數(shù)字化轉型時期，數(shù)據(jù)的開發(fā)利用、數(shù)據(jù)價值的再創(chuàng)造讓數(shù)據(jù)成為了新時代關注的焦點。數(shù)據(jù)開發(fā)利用的新場景、新興技術的應用引入了全新的威脅風險，數(shù)據(jù)安全技術發(fā)展正面臨著前所未有的挑戰(zhàn)。

數(shù)據(jù)安全保護訴求正在發(fā)生變化

1、從以網(wǎng)絡和系統(tǒng)為中心到以數(shù)據(jù)為中心

長期以來，數(shù)據(jù)作為相對靜態(tài)的資產(chǎn)，存放于數(shù)據(jù)庫中，傳統(tǒng)的防護以網(wǎng)絡和系統(tǒng)為中心，更多關注的是數(shù)據(jù)的存儲位置以及所在的業(yè)務系統(tǒng)。如今，數(shù)據(jù)成為新型生產(chǎn)資料，數(shù)量級急劇暴增，既有結構化的數(shù)據(jù)也有非結構化的數(shù)據(jù)，處理活動變得頻繁，訪問、復制、傳輸數(shù)據(jù)的角色過多，數(shù)據(jù)擴散在各個終端電腦中。此時，以網(wǎng)絡和系統(tǒng)為中心的防護策略從被保護對象層面來看粒度較粗，無法從數(shù)據(jù)價值、數(shù)據(jù)類型以及業(yè)務關系的角度對數(shù)據(jù)資產(chǎn)進行梳理，無法根據(jù)數(shù)據(jù)的重要程度和泄露影響采取不同的管控措施。著眼于數(shù)據(jù)本體的防護策略的轉變成為新時代數(shù)據(jù)安全保護的要領，使保護對象更加清晰明確，讓數(shù)據(jù)安全保護擁有有效的抓手，安全收益得以量化。

2、從關注網(wǎng)絡邊界到跟蹤數(shù)據(jù)流轉路徑

過去，安全防護思想有明顯的內(nèi)外網(wǎng)之分，默認內(nèi)部是安全可信的，安全動作集中在內(nèi)外網(wǎng)邊界處，部署一系列檢測、監(jiān)控、攔截等感知和處置措施，阻斷數(shù)據(jù)泄露的可能性。伴隨數(shù)據(jù)使用場景的增加以及數(shù)據(jù)全面上云，數(shù)據(jù)生命周期中涉及的節(jié)點數(shù)量變多，數(shù)據(jù)形態(tài)多樣，在數(shù)據(jù)抵達邊界之前，在內(nèi)部流動過程中，因暢通無阻且缺乏監(jiān)控，容易造成越權濫用、無序擴散、存儲混亂等風險，惡意泄露以及被攻擊竊取的風險也在不斷增加，只進行邊界防護存在很大的數(shù)據(jù)防護盲區(qū)。更早地識別并標記組織內(nèi)的數(shù)據(jù)資產(chǎn)，并且對敏感數(shù)據(jù)流動的軌跡、狀態(tài)的變化進行記錄成為有力的突破手段，安全策略應該依據(jù)敏感數(shù)據(jù)本身的風險變動而做出細粒度的、動態(tài)的控制。

3、從單品各自為陣到一致性安全原則

伴隨組織信息化逐步完善而建立起來的安全體系，逐漸從單薄走向了臃腫，復雜的IT架構導致安全設備碎片化，異構的產(chǎn)品之間采用不同的邏輯和策略，形成了新的數(shù)據(jù)安全孤島，帶來新的防護盲區(qū)。為了更高效和更有效地感知數(shù)據(jù)安全風險，做出恰如其分的處置措施，一體化的數(shù)據(jù)安全建設逐漸成為主流選擇，診療一體的數(shù)據(jù)安全管控平臺將成為踐行一致性安全原則的最佳實踐。

4、從被動響應到持續(xù)風險評估

網(wǎng)安法、數(shù)安法、個保法建立起來的數(shù)據(jù)安全保護頂層設計，以及眾多實施配套實施細則和標準釋放出強烈信號，未來數(shù)據(jù)安全合規(guī)監(jiān)管將會是常態(tài)化的工作，以查促建、以查促防采是根本，而并非針對安全事故進行單獨的響應。企業(yè)必須建立自動化的、持續(xù)的合規(guī)評估流程和技術體系來應對監(jiān)管，隨著數(shù)據(jù)不斷增刪和變動、業(yè)務流程越來越復雜，自動化的風險評估手段成為面對監(jiān)管考核的必備手段。

下一代數(shù)據(jù)安全保護思路趨勢和落地方式

基于以上數(shù)據(jù)安全保護訴求的變化，需要新的防護理念和安全架構，使數(shù)據(jù)在全生命周期的處理活動中都能保證被安全地存儲、使用、共享，既要滿足合規(guī)要求又要做到風險可控，這需要將數(shù)據(jù)防護措施從邊界延展到數(shù)據(jù)運營（DataOps）的全流程。數(shù)據(jù)安全左移是數(shù)字時代以數(shù)據(jù)為中心的安全發(fā)展的必然趨勢，使安全能力前置，在數(shù)據(jù)處理的第一現(xiàn)場持續(xù)對數(shù)據(jù)處理和使用的過程進行追蹤，橫貫數(shù)據(jù)處理流轉的整個環(huán)節(jié)，發(fā)掘數(shù)據(jù)風險的真正源頭。

在數(shù)據(jù)安全左移之中，存在三個核心能力。第一是全鏈路數(shù)據(jù)識別和追蹤，即追蹤數(shù)據(jù)的各種使用維度，包括端點側、Server側、流量側、API側、Docker側等，數(shù)據(jù)安全永遠關注數(shù)據(jù)的使用與流轉。第二是輕量化自適應防護，當無法承受全鏈路識別追蹤所帶來的壓力時，通過輕量化的方式，可以有效降低各維度的成本，包括最終使用側的成本與維護側的成本。通過自適應的方式，根據(jù)風險進行量化評估，便能實現(xiàn)對全流程進行監(jiān)測和分析，以便對癥下藥。第三是數(shù)據(jù)安全風險評估，脫離傳統(tǒng)的技術為輔、人力為主的方式，更多地以工具及產(chǎn)品為主導，利用自動化的方式進行風險評估，提高業(yè)務落地過程中的可執(zhí)行性。

根據(jù)Gartner的定義，DataOps是一種協(xié)作化數(shù)據(jù)管理實踐，專注于改善整個組織中數(shù)據(jù)管理人員和數(shù)據(jù)消費者之間數(shù)據(jù)流的通信、集成和自動化。通過在DataOps中內(nèi)嵌安全屬性的方式，可以實現(xiàn)數(shù)據(jù)安全左移的技術落地，DataSecOps是一種敏捷、整體、安全的嵌入式方法，用于協(xié)調(diào)不斷變化的數(shù)據(jù)及其用戶，旨在提供快速的數(shù)據(jù)價值，同時保持數(shù)據(jù)的私密性、安全性和良好的管理。

1、敏感數(shù)據(jù)感知識別

基于人工智能技術的應用，DataSecOps對數(shù)據(jù)進行深度的識別，包括全類型、多源頭以及結構化數(shù)據(jù)、非結構化數(shù)據(jù)，甚至是暗數(shù)據(jù)，讓組織的海量數(shù)據(jù)不落死角清晰呈現(xiàn)，為業(yè)務運營與數(shù)據(jù)保護提供抓手支撐。對于個人隱私、商業(yè)數(shù)據(jù)、政務數(shù)據(jù)的本體特征、行業(yè)特征、合規(guī)特征等不同的角度，以數(shù)據(jù)為核心的主視角挖掘各種風險，通過數(shù)據(jù)分類模型及小數(shù)據(jù)機器學習能力，快速建立敏感數(shù)據(jù)知識圖譜，并支持文件內(nèi)容、個人信息以及數(shù)據(jù)血親關系的多維度快速檢索，輔助企業(yè)對數(shù)據(jù)進行詳細梳理和分類研判，為安全合規(guī)與有效保護之間達成高度平衡。

2、持續(xù)風險監(jiān)測和自適應防護

以數(shù)據(jù)為中心，DataSecOps向頻繁接受數(shù)據(jù)的業(yè)務和用戶靠近，對數(shù)據(jù)運營過程中的數(shù)據(jù)進行自動的梳理，全流程跟蹤數(shù)據(jù)的形態(tài)變化和運行軌跡，完整溯源敏感數(shù)據(jù)流轉過程，持續(xù)評估數(shù)據(jù)在業(yè)務系統(tǒng)、計算終端、服務器接口等處的運行風險。基于風險評估結果，對不同的數(shù)據(jù)角色和風險接受程度進行自適應的細粒度的防護策略，對于敏感數(shù)據(jù)流出業(yè)務范圍、越權訪問等風險快速識別響應，實現(xiàn)基于業(yè)務的數(shù)據(jù)利用和數(shù)據(jù)安全的有效平衡。

3、數(shù)據(jù)安全風險合規(guī)評估

基于以上數(shù)據(jù)深度識別建立起的數(shù)據(jù)全流程追蹤與防護能力，DataSecOps為用戶建立的是數(shù)據(jù)安全風險態(tài)勢感知能力，最終，這種新理念下的安全平臺將服務于企業(yè)的數(shù)據(jù)使用和數(shù)據(jù)運營，類似于人體的健康體檢，持續(xù)在進行數(shù)據(jù)安全評估，保障了企業(yè)的核心機密、用戶隱私數(shù)據(jù)保護的內(nèi)生需求和安全合規(guī)要求，指導企業(yè)進行業(yè)務和安全整改完善，做到風險的持續(xù)收斂，通過多次循環(huán)的評估檢查過程最終實現(xiàn)數(shù)據(jù)的快速合規(guī)和安全運用。

審核編輯：郭婷