如何轉(zhuǎn)型數(shù)據(jù)安全？搭建文件硬盤數(shù)據(jù)銷毀的知識體系！

01

數(shù)據(jù)安全崗-轉(zhuǎn)型需求

最近兩年咨詢轉(zhuǎn)型做數(shù)據(jù)安全的人特別多，有在校的學(xué)生、有剛參加工作的同學(xué)、也有工作經(jīng)驗豐富的朋友，在認(rèn)真回答他們后，發(fā)現(xiàn)大家對數(shù)據(jù)安全崗需求認(rèn)識有一些誤區(qū)。現(xiàn)在不能用傳統(tǒng)網(wǎng)絡(luò)安全的思路、或純安全思維看待數(shù)據(jù)安全（如僅考慮安全管理、安全技術(shù)），它們與新型態(tài)的數(shù)據(jù)安全差異性比較大，今天借助本文一起理一理數(shù)據(jù)安全崗位相關(guān)的事情。

02

數(shù)據(jù)安全崗-就業(yè)方向

數(shù)據(jù)安全相關(guān)崗位可分為四大塊，如下：

甲方企業(yè)：圍繞甲方企業(yè)開展數(shù)據(jù)安全管理、數(shù)據(jù)安全技術(shù)建設(shè)，過程中從嚴(yán)管控風(fēng)險等，主要涉及數(shù)據(jù)安全管理、數(shù)據(jù)安全合規(guī)、數(shù)據(jù)安全技術(shù)、數(shù)據(jù)安全運營等崗位。

乙方企業(yè)：為甲方企業(yè)提供數(shù)據(jù)安全服務(wù)、支持的各類服務(wù)商，如數(shù)據(jù)安全廠商，包括市場、銷售、售前、實施、運維崗等；數(shù)據(jù)安全咨詢方，包括數(shù)據(jù)安全咨詢專家、解決方案專家等。這些企業(yè)協(xié)助甲方搭建數(shù)據(jù)安全技術(shù)體系、提供數(shù)據(jù)安全解決方案等支持內(nèi)容。

第三方企業(yè)：包括數(shù)據(jù)安全第三方的測評、評估機(jī)構(gòu)、協(xié)助監(jiān)管的支撐機(jī)構(gòu)等，主要從第三方的視角驗證甲方企業(yè)的安全合規(guī)、安全技術(shù)的執(zhí)行情況，配合做好各類支持工作，形成評估報告等。

安全監(jiān)管機(jī)構(gòu)：國家數(shù)據(jù)安全管理及監(jiān)管機(jī)構(gòu)，承擔(dān)相關(guān)職責(zé)的機(jī)構(gòu)，他們負(fù)責(zé)對管轄的企業(yè)發(fā)起安全監(jiān)管、檢查、考核等動作，從國家層面推動企業(yè)數(shù)據(jù)安全水平的整體提升，防范主要數(shù)據(jù)安全風(fēng)險事件。

文件硬盤數(shù)據(jù)銷毀

03

數(shù)據(jù)安全崗-主要類型

數(shù)據(jù)安全管理/合規(guī)方向

工作主要內(nèi)容

（1）甲方企業(yè)為主，比如集團(tuán)型的數(shù)據(jù)安全管理，推進(jìn)落實國家、行業(yè)主管的數(shù)據(jù)安全監(jiān)管、考核要求和新型試點工作要求，形成主要工作項向集團(tuán)內(nèi)部子公司、專業(yè)公司推進(jìn)落實。

（2）類似子公司或?qū)I(yè)公司的數(shù)據(jù)安全崗，更多配合集團(tuán)公司的管理要求，進(jìn)行企業(yè)數(shù)據(jù)安全工作落地實踐，配合各類安全檢查和監(jiān)管工作，在公司內(nèi)部橫向組織技術(shù)部門、業(yè)務(wù)部門等進(jìn)行落地，開展內(nèi)部的安全檢查和工作執(zhí)行的復(fù)核、內(nèi)部審計等，防范風(fēng)險為主。

知識能力要求

（1）以數(shù)據(jù)安全管理和合規(guī)方面知識為核心，掌握國家及行業(yè)數(shù)據(jù)安全法律法規(guī)、標(biāo)準(zhǔn)規(guī)范和每年主要的數(shù)據(jù)安全重點工作，配套數(shù)據(jù)安全管理類的產(chǎn)品或工具輔助安全管理支撐。

（2）重點把安全要求轉(zhuǎn)化工作方案，推進(jìn)工作的落地執(zhí)行，具備綜合協(xié)調(diào)和溝通能力。其中，工作推進(jìn)能力非常重要，對數(shù)據(jù)安全技術(shù)需要一定的了解，要求不會特別高，掌握數(shù)據(jù)安全通用知識，熟悉數(shù)據(jù)安全技術(shù)或者產(chǎn)品的工作實際應(yīng)用場景。

數(shù)據(jù)安全技術(shù)方向

工作主要內(nèi)容

主要圍繞數(shù)據(jù)安全產(chǎn)品的部署實施、配置管理、運行維護(hù)、技術(shù)支持等方面。包括數(shù)據(jù)分類分級、防泄漏、數(shù)據(jù)脫敏、數(shù)字水印、數(shù)據(jù)備份恢復(fù)、隱私技術(shù)、數(shù)據(jù)虛擬化等數(shù)據(jù)安全相關(guān)的產(chǎn)品和工具。

知識能力要求

（1）通用的IT技術(shù)能力，如網(wǎng)絡(luò)、密碼、操作系統(tǒng)、數(shù)據(jù)庫、大數(shù)據(jù)平臺等，會覆蓋網(wǎng)絡(luò)安全方向內(nèi)容，都是技術(shù)類崗位。但是網(wǎng)絡(luò)安全的安全滲透測試、安全掃描、攻防演練、代碼審計等需要具備比較強(qiáng)的安全開發(fā)能力及IT編程能力，專業(yè)能力要求度非常高。

（2）相對而言，個人認(rèn)為數(shù)據(jù)安全技術(shù)區(qū)別網(wǎng)絡(luò)安全技術(shù)，技術(shù)性沒有那么強(qiáng)，更多是體現(xiàn)綜合能力，在了解基礎(chǔ)原理的情況下，能夠掌握和使用好數(shù)據(jù)安全產(chǎn)品，運用到實際工作開展過程中、數(shù)據(jù)處理活動過程中，發(fā)揮安全產(chǎn)品的實際功能。

數(shù)據(jù)安全運營方向

工作主要內(nèi)容

（1）圍繞信息系統(tǒng)或數(shù)據(jù)業(yè)務(wù)過程中，從風(fēng)險視角觀察業(yè)務(wù)過程可能存在風(fēng)險隱患，搭建體系化的數(shù)據(jù)安全運營內(nèi)容，包含組織架構(gòu)、制度規(guī)范、流程機(jī)制、安全技術(shù)能力等內(nèi)容，是一個更大的范疇，需要銜接網(wǎng)絡(luò)安全部分運營的內(nèi)容，比如日志、流量、攻防、告警等。

（2）實際工作內(nèi)容也有明顯區(qū)別，數(shù)據(jù)安全運營覆蓋面更廣、與業(yè)務(wù)和數(shù)據(jù)處理活動結(jié)合度更高，因此顆粒度更細(xì)、更復(fù)雜，是綜合性更強(qiáng)的運營。具體工作上，圍繞數(shù)據(jù)安全產(chǎn)品運行情況進(jìn)行分析和運營，風(fēng)險告警處置等。

（3）另一方面，運營的對象有所不同，網(wǎng)絡(luò)安全對象是信息系統(tǒng)和網(wǎng)絡(luò)流量，數(shù)據(jù)安全對象包含信息系統(tǒng)、網(wǎng)絡(luò)流量和數(shù)據(jù)資產(chǎn)，圍繞數(shù)據(jù)資產(chǎn)延伸出來的數(shù)據(jù)資產(chǎn)目錄、數(shù)據(jù)分類分級、個人信息保護(hù)等相關(guān)內(nèi)容。

知識能力要求

（1）要求綜合能力強(qiáng)，整體構(gòu)建數(shù)據(jù)安全運營體系，運營的核心是體系化、常態(tài)化，即建立系統(tǒng)性的工作流程，讓參與其中各類角色有序的運轉(zhuǎn)起來，各自清晰需要日常周期性開展的工作，這些工作的標(biāo)準(zhǔn)和規(guī)則是什么，輸入、輸出物內(nèi)容。

（2）個人想轉(zhuǎn)向數(shù)據(jù)安全運營崗位，可以從其中一些角色做起來，逐步建立綜合的運營能力和管理能力，比如先從熟悉數(shù)據(jù)安全產(chǎn)品配置使用，日常監(jiān)測維護(hù)等，或者從數(shù)據(jù)安全流程規(guī)范、安全運營周報逐步入手。

04

哪些崗位比較適合轉(zhuǎn)型數(shù)據(jù)安全

數(shù)據(jù)安全崗位核心方向包括管理方向和技術(shù)方向，需要具備安全的思維能力，即安全、合規(guī)、風(fēng)險的意識，用安全的視角看信息系統(tǒng)及數(shù)據(jù)處理活動過程。

管理方向包含合規(guī)：技術(shù)要求不會特別高，適合技術(shù)能力不強(qiáng)，尤其是沒有IT能力基礎(chǔ)的同學(xué)。熟悉數(shù)據(jù)安全相關(guān)法律法規(guī)、標(biāo)準(zhǔn)規(guī)范，組織企業(yè)安全管理、考核、檢查等偏向于管理性質(zhì)內(nèi)容，具備較好的溝通表達(dá)能力和文字編輯能力，通常需要寫很多通知、方案、各類總結(jié)報告等。因此，非技術(shù)方向的同學(xué)可以向數(shù)據(jù)安全管理和合規(guī)方向轉(zhuǎn)型。

技術(shù)方向含運營：需要較強(qiáng)的IT背景知識，實際工作中數(shù)據(jù)安全與信息系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)庫、大數(shù)據(jù)平臺等IT技術(shù)知識交叉較多，需要較強(qiáng)的IT基礎(chǔ)知識。具體來說，開發(fā)、運維（含系統(tǒng)、應(yīng)用、數(shù)據(jù)庫）、網(wǎng)絡(luò)安全、IT項目經(jīng)理、安全售前等崗位比較適合轉(zhuǎn)向數(shù)據(jù)安全技術(shù)方向，像偏管理、數(shù)據(jù)分析師、數(shù)據(jù)工程師、網(wǎng)絡(luò)工程師（IT經(jīng)驗欠缺）等不太適合。

有IT背景的適合轉(zhuǎn)安全技術(shù)，沒有IT背景的可以考慮安全管理。但是，作為學(xué)校學(xué)生或者剛畢業(yè)沒多久的同學(xué)，還是特別建議從技術(shù)做起，積累IT方面的技術(shù)知識，它們都是通用類知識，有技術(shù)的經(jīng)歷后期轉(zhuǎn)安全管理會比較容易。當(dāng)然，只要學(xué)習(xí)能力強(qiáng)和悟性高，什么專業(yè)方向的都適合做數(shù)據(jù)安全。

?Tips特別提醒：

企業(yè)側(cè)實際很少有數(shù)據(jù)安全部門，相關(guān)的崗位實際不多，具體工作開展整體還是以網(wǎng)絡(luò)安全為主，數(shù)據(jù)安全工作內(nèi)容比重在不斷提升和重視，未來發(fā)展方向肯定是趨勢向好，屬于“朝陽”崗位，盡量向數(shù)據(jù)類企業(yè)比較多的行業(yè)，比如金融、互聯(lián)網(wǎng)、運營商、衛(wèi)生健康等行業(yè)，數(shù)據(jù)應(yīng)用、數(shù)據(jù)運營類企業(yè)方向靠攏。

05

可落地的數(shù)據(jù)安全知識體系

構(gòu)建數(shù)據(jù)業(yè)務(wù)的數(shù)據(jù)安全體系

除了信息系統(tǒng)的數(shù)據(jù)安全，圍繞“數(shù)據(jù)業(yè)務(wù)”的數(shù)據(jù)安全知識體系，屬于相對比較前沿和新鮮的內(nèi)容，需要從“數(shù)據(jù)合規(guī)、風(fēng)險、安全”三角出發(fā)進(jìn)行整理考慮和設(shè)計。

文件硬盤數(shù)據(jù)銷毀

圖2：新型數(shù)據(jù)安全

從數(shù)據(jù)安全的整體框架出發(fā)，包括建設(shè)、運行、監(jiān)督管理、事后審計等基本動作，即如何將安全要求進(jìn)行設(shè)計、安全執(zhí)行落地，然后確認(rèn)安全執(zhí)行情況，并對執(zhí)行情況進(jìn)行監(jiān)督和審計。

大數(shù)據(jù)平臺數(shù)據(jù)安全的知識構(gòu)成

在數(shù)據(jù)業(yè)務(wù)類的項目實際落地中，通常以大數(shù)據(jù)平臺形式建設(shè)，圍繞數(shù)據(jù)進(jìn)行加工利用和數(shù)據(jù)內(nèi)部使用和外部共享等場景開展，帶動了較多的數(shù)據(jù)運營項目。接下來，我們以大數(shù)據(jù)平臺的數(shù)據(jù)安全為例，提出個人如何積累相關(guān)實用知識。

1.掌握基礎(chǔ)設(shè)施底座

了解云基礎(chǔ)知識、基礎(chǔ)框架，比如在騰訊、阿里、華為官網(wǎng)去了解一個大廠家的云基礎(chǔ)知識，云的整體框架知識都差不多，先找一個先熟悉即可，比如iaas、paas、ecs、負(fù)載均衡、網(wǎng)閘、waf、安全組、vpc等等基礎(chǔ)知識。

文件硬盤數(shù)據(jù)銷毀

圖3：阿里公有云的產(chǎn)品文檔

2.了解數(shù)據(jù)底座

除了了解云基礎(chǔ)設(shè)施，或者私有云部署情況，第二個關(guān)鍵是了解數(shù)據(jù)底座，即華為、騰訊、阿里的大數(shù)據(jù)平臺，它們背后大體邏輯是基于Hadoop框架，比如hdfs、mapreduce等，在官網(wǎng)同樣有大量的基礎(chǔ)資料，找一個大廠家深入查看各類白皮書和文檔，能快速掌握基礎(chǔ)大數(shù)據(jù)組件和框架。

文件硬盤數(shù)據(jù)銷毀

圖4：華為智能數(shù)據(jù)湖FusionInsight

3.了解數(shù)據(jù)治理體系

搭建好云基礎(chǔ)設(shè)施底座和數(shù)據(jù)底座后，在大數(shù)據(jù)平臺進(jìn)行數(shù)據(jù)治理和數(shù)據(jù)融合開發(fā)，會涉及數(shù)據(jù)治理相關(guān)知識體系，即利用大數(shù)據(jù)平臺的組件進(jìn)行數(shù)據(jù)開發(fā)任務(wù)，比如華為DGC（數(shù)據(jù)治理中心）和MRS（mapreduce服務(wù)-任務(wù)執(zhí)行中心）應(yīng)用，需要熟悉基本的工具和組件，然后了解數(shù)據(jù)開發(fā)工程師的大致過程。 過程中需要了解數(shù)據(jù)全生命周期或者數(shù)據(jù)處理活動的知識，即數(shù)據(jù)源的收集、數(shù)據(jù)加工處理過程、數(shù)據(jù)共享服務(wù)過程。即掌握一個數(shù)據(jù)產(chǎn)品到底是如何產(chǎn)生的？

文件硬盤數(shù)據(jù)銷毀

圖5：華為MRS大數(shù)據(jù)平臺示意圖

4.了解數(shù)據(jù)運營體系

以前大數(shù)據(jù)平臺基本功能是做數(shù)據(jù)的歸集，現(xiàn)在要挖掘數(shù)據(jù)的價值必然有大量的數(shù)據(jù)分析、數(shù)據(jù)融合開發(fā)工作，因此需要大量的數(shù)據(jù)開發(fā)方參與到數(shù)據(jù)開發(fā)工作中，數(shù)據(jù)開發(fā)方通常帶著數(shù)據(jù)需求場景而來，如何管理好數(shù)據(jù)開發(fā)方、承接數(shù)據(jù)需求方的需求，數(shù)據(jù)運營的概念就順其產(chǎn)生。

圍繞數(shù)據(jù)運營過程構(gòu)建體系化的運營框架，變得異常重要，它涉及商務(wù)、結(jié)算、業(yè)務(wù)、工單派發(fā)等，也涉及具體數(shù)據(jù)服務(wù)開發(fā)等事項。

5.了解數(shù)據(jù)安全

關(guān)于數(shù)據(jù)業(yè)務(wù)的過程，經(jīng)過上述1-4步，對其過程已經(jīng)相對了解，接下來就是學(xué)習(xí)數(shù)據(jù)安全知識，包括數(shù)據(jù)安全管理、數(shù)據(jù)安全技術(shù)、數(shù)據(jù)處理活動、個人信息保護(hù)等方面知識，包括國家政策、法律法規(guī)、安全標(biāo)準(zhǔn)的了解；

包括數(shù)據(jù)管理、數(shù)據(jù)技術(shù)等具體的數(shù)據(jù)安全工作內(nèi)容，比如數(shù)據(jù)安全風(fēng)險評估、數(shù)據(jù)安全監(jiān)督檢查、數(shù)據(jù)安全考核、數(shù)據(jù)安全能力建設(shè)等方面。對上述內(nèi)容熟悉后，再考慮數(shù)據(jù)安全運營的思路來整體管控數(shù)據(jù)業(yè)務(wù)過程的風(fēng)險點。

總體來說，想要做好數(shù)據(jù)運營類項目的數(shù)據(jù)安全，需要不斷拓寬數(shù)據(jù)相關(guān)的知識面，在實際項目中磨練和實踐。在未正式參與相關(guān)項目前，上述提及的五方面的知識內(nèi)容，相當(dāng)于提前的知識儲備，和以后實際工作所遇到實際情況匹配度非常高，不過特別提示，做數(shù)據(jù)安全一定要從業(yè)務(wù)和數(shù)據(jù)視角出發(fā)，再談數(shù)據(jù)安全。

06

數(shù)據(jù)合規(guī)可能包含的方面

甲方企業(yè)面的數(shù)據(jù)安全重點工作還是需要區(qū)分偏安全管理｜合規(guī)方向還是數(shù)據(jù)安全技術(shù)方向。

• 安全管理的重點工作清單：

• 安全技術(shù)的重點工作清單：

此外，建議把國標(biāo)《數(shù)據(jù)安全風(fēng)險評估（報批稿）》401項的評估仔細(xì)了解和研究，尤其關(guān)注401項的一級和二級分類，基本就知道數(shù)據(jù)安全它到底關(guān)注哪些方面，每個方面的大致內(nèi)容是什么，然后在企業(yè)具體的數(shù)據(jù)安全工作開展，逐步積累實戰(zhàn)經(jīng)驗。

數(shù)據(jù)安全風(fēng)險評估的“一個調(diào)研四個評估”

07

數(shù)據(jù)合規(guī)可能包含的方面

個人從IT項目建設(shè)、系統(tǒng)運維，再到數(shù)據(jù)運營，后來往數(shù)據(jù)安全管理轉(zhuǎn)型；在過去的幾年，又開始做IT項目的安全建設(shè)和具體實施，從信息系統(tǒng)層面做具體安全運行保障工作。隨著數(shù)據(jù)要素價值流通，最近重點研究數(shù)據(jù)業(yè)務(wù)、大數(shù)據(jù)平臺的數(shù)據(jù)安全體系建設(shè)和落地運營，都屬于比較新鮮、前沿的內(nèi)容。