下载掌阅APP,畅读海量书库
立即打开
如3.1节所述,传统的网络安全建设思路是以一台硬件主机、主机上的操作系统、操作系统上的应用程序以及服务等个体维度进行保护的,因此我们会习惯性地基于个体来分配所谓的责任,不同的个体由不同的责任人负责,他们须确保各自负责的个体满足对应的安全要求。
在数据安全治理的建设中,如果依然使用上述责任分担方法,则会出现一种非常危险的现象:即使作为一个个体系统的安全责任人,我确保了数据在流动至我所负责的系统时没有安全问题,但无法保证后面其他的系统不出现安全问题,如果他们出现问题导致数据泄露,那么所泄露的不仅是被攻破系统存在的数据内容,原本安全经过我所属系统的数据也会被攻击者截获并利用,从而导致我的安全建设间接失效。
若以人体组织结构类比,这就好比采用个体的、割裂式的责任分担法将人体的各个器官安排给不同的责任人保障健康,数据就是其中的血液,它并不会因为你单一某一个器官健康而保证人整体的状态都正常,只有保证全部器官都是健康的、没有破损的,才能确保血液的流动正常。
由此可见,数据安全治理相比于传统的网络安全建设中体现的“个人英雄主义”,它更倾向于“一荣俱荣,一损俱损”,因此传统的个人责任制并不适合数据安全治理建设的发展。因此在数据安全治理的建设中,需要以组织为单位,在将数据生命周期视为一个闭环的同时,也要将组织内所有数据流经的个体系统视作单一的责任单位,确保每一个系统的安全都在统一责任范围之内,从而防止出现短板效应导致满盘皆输。