电影《黑客帝国》是大家耳熟能详的黑客题材电影,影片已上映三部(《黑客帝国》、《黑客帝国2:重装上阵》、《黑客帝国3:矩阵革命》)。21世纪了,如今回看这三部屹立于世纪之交的经典作品,几乎成为人类科技发展的“预言之书”。剧情上,一句话描述就是:流氓软件和强大病毒的撕逼历程,其中有一个细节无不让人惊叹。
最初的史密斯是系统特工,相当于“杀毒软件”,因为对母体也有潜在危害,所以杀毒程序的源代码被加入一个子程序,确保源代码的权限永远高于杀毒程序,那个子程序就是特工头上戴的“耳机”。然而它升级时找到了“bug”,第二部史密斯终于完成了对自己源代码的全盘修改(耳机彻底消失了),最终可以无限复制,彻底同化了整个母体,从“杀毒软件”变成病毒严重威胁到整个母体的存亡。
最近大火的《西部世界》与《黑客帝国》有异曲同工之处,美剧中的弱人工智能觉醒,突破管理员权限,最终发展成为强人工智能,并对人类产生威胁。这放在网络安全的“攻防战”上,也颇有点相似之处,有杀毒软件就有不断升级的病毒,有架构师就有想逃离的程序。这引出大数据平台中最让人头疼的问题,那就是权限的管控。
大数据权限管理与安全
企业需要防控敏感数据,但是管得严了,业务不流畅,放得宽了,安全没有底。(你同意吗?)
权限管理的目标到底是什么,要做到什么程度?从技术的角度来说,权限管理的本质是通过技术来限制用户的行为,最终达到保障企业数据库的安全,这也是大部分安全产品的想法。
限制用户的行为,只是权限管理的手段而不是目的,那么目的是什么?对于多数国内公司的业务环境来说,最大的问题可能不是数据的泄露,而是防止误操作!误操作导致的伤害可能远大于信息泄漏,从微盟删库跑路一事就可以看见其杀伤力。运维人员短短几分钟内的操作,就可能会彻底毁掉一家公司,这就是缺乏管理体系约束所带来的问题,跟黑客帝国的史密斯如出一辙。
(网络安全管理体系)
G探长认为:敏感数据的控制固然重要,更重要的是通过网络可视化操作,约束业务逻辑和流程,减少用户不必要的权限。就可以减少受害面,降低可能存在的“内部风险”,也有利于明确用户的权责归属关系。
没有绝对的安全
“无危则安,无缺则全”,在中国传统观念中,“安全”意味着没有危险且尽善尽美。在大数据时代,绝对安全的观念早已不合时宜,风险的本质不存在是否发生,而在于我们认为它“可能发生”。
一个网站、一个企业被黑,恰恰说明它有安全漏洞。事实上这些易受攻击的弱点早就存在了,只是普通人根本没有相关的安全意识和知识。这对于企业管理者、执行者、基层员工同等重要,一旦人们认识到风险不可避免,“相对安全”便取代了“绝对安全”。企业可视化的操作能实现风险的“可见性”,从而实现安全的“可控性”。
在未来,数据的单点价值是越来越小了,让数据如同货币一样交换、分享,才可以实现数据价值最大化,让数据的生命周期得到延长,也极大地提升企业价值。通过电影《黑客帝国》,我们看到权限管理的“松与紧”,也清晰看到了大数据时代下企业服务的“变与不变”,随着产业互联网的深化,更需进一步提升对企业级服务的理解。
评论(0)