數據安全技術發(fā)展正面臨著前所未有的挑戰(zhàn)

數字化轉型時期，數據的開發(fā)利用、數據價值的再創(chuàng)造讓數據成為了新時代關注的焦點。數據開發(fā)利用的新場景、新興技術的應用引入了全新的威脅風險，數據安全技術發(fā)展正面臨著前所未有的挑戰(zhàn)。

數據安全保護訴求正在發(fā)生變化

1、從以網絡和系統(tǒng)為中心到以數據為中心

長期以來，數據作為相對靜態(tài)的資產，存放于數據庫中，傳統(tǒng)的防護以網絡和系統(tǒng)為中心，更多關注的是數據的存儲位置以及所在的業(yè)務系統(tǒng)。如今，數據成為新型生產資料，數量級急劇暴增，既有結構化的數據也有非結構化的數據，處理活動變得頻繁，訪問、復制、傳輸數據的角色過多，數據擴散在各個終端電腦中。此時，以網絡和系統(tǒng)為中心的防護策略從被保護對象層面來看粒度較粗，無法從數據價值、數據類型以及業(yè)務關系的角度對數據資產進行梳理，無法根據數據的重要程度和泄露影響采取不同的管控措施。著眼于數據本體的防護策略的轉變成為新時代數據安全保護的要領，使保護對象更加清晰明確，讓數據安全保護擁有有效的抓手，安全收益得以量化。

2、從關注網絡邊界到跟蹤數據流轉路徑

過去，安全防護思想有明顯的內外網之分，默認內部是安全可信的，安全動作集中在內外網邊界處，部署一系列檢測、監(jiān)控、攔截等感知和處置措施，阻斷數據泄露的可能性。伴隨數據使用場景的增加以及數據全面上云，數據生命周期中涉及的節(jié)點數量變多，數據形態(tài)多樣，在數據抵達邊界之前，在內部流動過程中，因暢通無阻且缺乏監(jiān)控，容易造成越權濫用、無序擴散、存儲混亂等風險，惡意泄露以及被攻擊竊取的風險也在不斷增加，只進行邊界防護存在很大的數據防護盲區(qū)。更早地識別并標記組織內的數據資產，并且對敏感數據流動的軌跡、狀態(tài)的變化進行記錄成為有力的突破手段，安全策略應該依據敏感數據本身的風險變動而做出細粒度的、動態(tài)的控制。

3、從單品各自為陣到一致性安全原則

伴隨組織信息化逐步完善而建立起來的安全體系，逐漸從單薄走向了臃腫，復雜的IT架構導致安全設備碎片化，異構的產品之間采用不同的邏輯和策略，形成了新的數據安全孤島，帶來新的防護盲區(qū)。為了更高效和更有效地感知數據安全風險，做出恰如其分的處置措施，一體化的數據安全建設逐漸成為主流選擇，診療一體的數據安全管控平臺將成為踐行一致性安全原則的最佳實踐。

4、從被動響應到持續(xù)風險評估

網安法、數安法、個保法建立起來的數據安全保護頂層設計，以及眾多實施配套實施細則和標準釋放出強烈信號，未來數據安全合規(guī)監(jiān)管將會是常態(tài)化的工作，以查促建、以查促防采是根本，而并非針對安全事故進行單獨的響應。企業(yè)必須建立自動化的、持續(xù)的合規(guī)評估流程和技術體系來應對監(jiān)管，隨著數據不斷增刪和變動、業(yè)務流程越來越復雜，自動化的風險評估手段成為面對監(jiān)管考核的必備手段。

下一代數據安全保護思路趨勢和落地方式

基于以上數據安全保護訴求的變化，需要新的防護理念和安全架構，使數據在全生命周期的處理活動中都能保證被安全地存儲、使用、共享，既要滿足合規(guī)要求又要做到風險可控，這需要將數據防護措施從邊界延展到數據運營（DataOps）的全流程。數據安全左移是數字時代以數據為中心的安全發(fā)展的必然趨勢，使安全能力前置，在數據處理的第一現(xiàn)場持續(xù)對數據處理和使用的過程進行追蹤，橫貫數據處理流轉的整個環(huán)節(jié)，發(fā)掘數據風險的真正源頭。

在數據安全左移之中，存在三個核心能力。第一是全鏈路數據識別和追蹤，即追蹤數據的各種使用維度，包括端點側、Server側、流量側、API側、Docker側等，數據安全永遠關注數據的使用與流轉。第二是輕量化自適應防護，當無法承受全鏈路識別追蹤所帶來的壓力時，通過輕量化的方式，可以有效降低各維度的成本，包括最終使用側的成本與維護側的成本。通過自適應的方式，根據風險進行量化評估，便能實現(xiàn)對全流程進行監(jiān)測和分析，以便對癥下藥。第三是數據安全風險評估，脫離傳統(tǒng)的技術為輔、人力為主的方式，更多地以工具及產品為主導，利用自動化的方式進行風險評估，提高業(yè)務落地過程中的可執(zhí)行性。

根據Gartner的定義，DataOps是一種協(xié)作化數據管理實踐，專注于改善整個組織中數據管理人員和數據消費者之間數據流的通信、集成和自動化。通過在DataOps中內嵌安全屬性的方式，可以實現(xiàn)數據安全左移的技術落地，DataSecOps是一種敏捷、整體、安全的嵌入式方法，用于協(xié)調不斷變化的數據及其用戶，旨在提供快速的數據價值，同時保持數據的私密性、安全性和良好的管理。

1、敏感數據感知識別

基于人工智能技術的應用，DataSecOps對數據進行深度的識別，包括全類型、多源頭以及結構化數據、非結構化數據，甚至是暗數據，讓組織的海量數據不落死角清晰呈現(xiàn)，為業(yè)務運營與數據保護提供抓手支撐。對于個人隱私、商業(yè)數據、政務數據的本體特征、行業(yè)特征、合規(guī)特征等不同的角度，以數據為核心的主視角挖掘各種風險，通過數據分類模型及小數據機器學習能力，快速建立敏感數據知識圖譜，并支持文件內容、個人信息以及數據血親關系的多維度快速檢索，輔助企業(yè)對數據進行詳細梳理和分類研判，為安全合規(guī)與有效保護之間達成高度平衡。

2、持續(xù)風險監(jiān)測和自適應防護

以數據為中心，DataSecOps向頻繁接受數據的業(yè)務和用戶靠近，對數據運營過程中的數據進行自動的梳理，全流程跟蹤數據的形態(tài)變化和運行軌跡，完整溯源敏感數據流轉過程，持續(xù)評估數據在業(yè)務系統(tǒng)、計算終端、服務器接口等處的運行風險。基于風險評估結果，對不同的數據角色和風險接受程度進行自適應的細粒度的防護策略，對于敏感數據流出業(yè)務范圍、越權訪問等風險快速識別響應，實現(xiàn)基于業(yè)務的數據利用和數據安全的有效平衡。

3、數據安全風險合規(guī)評估

基于以上數據深度識別建立起的數據全流程追蹤與防護能力，DataSecOps為用戶建立的是數據安全風險態(tài)勢感知能力，最終，這種新理念下的安全平臺將服務于企業(yè)的數據使用和數據運營，類似于人體的健康體檢，持續(xù)在進行數據安全評估，保障了企業(yè)的核心機密、用戶隱私數據保護的內生需求和安全合規(guī)要求，指導企業(yè)進行業(yè)務和安全整改完善，做到風險的持續(xù)收斂，通過多次循環(huán)的評估檢查過程最終實現(xiàn)數據的快速合規(guī)和安全運用。

審核編輯：郭婷