基于DataSecOps的下一代数据安全防护体系建设

数字化转型引发新生数据安全需求与挑战

数字化转型背景下，数据量级暴增、数据价值高涨，敏感和重要数据资产是恶意程序、用户重点泄露窃取对象，而企业难以理清全网数据类型及分布位置。数据在企业内部流动、企业间合作过程中存在未知的扩散、泄露风险，且风险难以识别。同时，随着数据安全法规逐步健全，合规压力增大，企业需要持续配备自动化的数据安全监测评估手段。

因此，数字化转型过程中的数据安全建设受到数据合规与原生保护的双轮驱动，同时，在各行各业业务升级转型的压力之下，数据安全防护需要兼顾业务效率，不影响业务数据的正常流动。眼下及未来企业建设数据安全体系的痛点主要表现在：

· 数据资产盘点困难：数据资产多源存储，涉及结构化、非结构化数据格式，涉及敏感商业数据和个人信息，数据海量增长、高速流转，多链路传输。

· 个人信息合规压力：个人信息合规监管增强，数据处理分析过程中缺少信息影响评估及信息保护，存在个人信息合规风险，企业个人信息合规与保护压力剧增。

· 数据风险敞口扩大：存储、应用以及计算终端存在大量的数据风险敞口，业务系统及数据接口提供数据开放和共享服务，内部数据协作处理频繁，数据处理流转以及开放共享缺乏持续的风险监测。

· 高对抗数据泄露窃取手段增多：针对高价值数据窃取手段越来越多，数据隐写、格式转换等方式的泄露行为越来越隐蔽，大量包含敏感信息的暗数据难以识别，数据泄露越来越难以监测。

数据本体特征冲击现有数据保护技术

传统的网络安全防护策略面向网络和系统边界，着重对流出存储、应用及网络边界的数据进行监控、审计及阻拦，随着数据使用边界越来越模糊，数据多元存储、高速流转，已经很难应对数据流动过程中的合规及未知的攻击窃取风险，面对流动数据缺乏有效的跟踪防护手段，对未知数据、未知风险的识别有较大难度。

因此，现有的数据保护方式总结存在以下问题：

主要解决数据在单个域内的安全，没有对不同域之间的数据流动进行保护。而数据只有流动起来，才能得到价值最大化。尤其是在大数据时代，数据孤岛被打破，企业业务线条复杂化，数据既可能在特定的业务服务流程中使用，也可能在不同的业务之间流动使用。在数据流动中保护个人信息，是个人信息保护的重点。

集中解决数据单个时期的安全问题，比如数据静态存储安全，或者监控数据检索、查询；保护了前端数据的存储、使用安全，但对前后端整个运维过程缺乏监管。

重在保护结构化数据，在处理非结构化数据方面存在空缺。

下一代数据安全防护技术方案实现

《数据安全法》第二十七条明确表示：“开展数据处理活动应当依照法律、法规的规定，建立健全全流程数据安全管理制度，组织开展数据安全教育培训，采取相应的技术措施和其他必要措施，保障数据安全。”

纵观国家及各行业的法律法规可以看到，数据处理活动共包含对数据的收集、传输、存储、使用、共享、销毁等，可见对数据基于业务流转过程的全生命周期保护，是数据保护的关键。

DataSecOps数据安全思路的出现，为化解现有保护技术缺陷以及满足数据安全监管要求提供了实施路径。DataSecOps核心在强调数据全生命周期流转运营过程中的内嵌安全属性，将敏感数据在基于业务的流动各环节和状态下的安全风险动态统一把控，将数据安全防护策略传递至参与数据运营的所有人员。以零信任技术为安全架构的DataSecOps，将解决人、环境的“持续验证、永不信任”，保证数据运营过程中对于个人隐私、商业数据、政务信息、敏感数据的合规使用以及自适应的防护。

通过人工智能技术的应用，DataSecOps可以对数据进行深度的识别，包括全类型、多源头，以及结构化数据、非结构化数据，甚至是暗数据，让企业海量数据不落死角清晰呈现，为业务运营与数据保护提供抓手支撑。对于个人隐私、商业数据、政务数据的本体特征、行业特征、合规特征等不同的角度，DataSecOps将以数据为核心的主视角挖掘各种风险，通过系统内置的上千个数据分类模型及万种文件类型识别能力，快速建立敏感数据知识图谱，并支持文件内容、个人信息以及数据血亲关系的多维度快速检索，辅助企业对数据进行详细梳理和分类研判，为安全合规与有效保护之间达成高度平衡。

要解决数据在流通过程中的安全风险，就要摸清企业面临的数据安全风险都在哪里，DataSecOps以数据为中心，向频繁接受数据的业务和用户靠近，对运营过程中的数据进行自动地梳理，全流程跟踪数据的形态变化和运行轨迹，持续评估数据在业务系统、计算终端、服务器接口等处的运行风险。基于风险评估结果，对不同的数据角色和风险接受程度进行自适应的细粒度的防护策略设置。

下一代数据安全产品要在数据保护基础上为企业提供符合业务需要的运营价值。基于不同的风险和业务场景，DataSecOps采用自适应的防护措施，比如内嵌的数据沙盒、数据隔离、微加密等不同的技术手段，对敏感的数据资产进行自动识别，通过以资产为核心、以数据为中心进行细粒度的访问控制和防护体系的建设，实现基于业务的数据利用和数据安全的有效平衡。

基于以上数据深度识别建立起的数据分级分类和数据全流程追踪防护能力，DataSecOps为用户建立的是数据安全风险态势感知能力，最终，这种新理念的安全产品将服务于企业的数据使用和数据运营，且建立在企业对经营数据及客户信息按照重要性和敏感性进行全面分类分级的基础上，保障了企业的核心机密与用户隐私数据保护的内生需求和安全合规要求。

结 语

数字化转型作为经济增长的新方向，亟需利用新技术建立新产品、新业务模式和新的合作关系，从而增加商品&服务价值和竞争优势。几乎所有行业都有数字化转型的需求，数字化转型越早、转型越彻底的企业，将在现在和未来建立优势领导者地位。数据保护随着时代的发展，保护诉求也会发生新的变化，新技术的大量应用将令数据安全风险散落于各处。基于DataSecOps的数据安全防护体系，遵循数据保护的内生需求及合规要求，是当前阶段适应数据保护具有高价值的有效方案。