热点点评 | 数据安全左移成为数据保护策略演进的核心方向

数字化转型时期，数据的开发利用、数据价值的再创造让数据成为了新时代关注的焦点。数据开发利用的新场景、新兴技术的应用引入了全新的威胁风险，数据安全技术发展正面临着前所未有的挑战。

1、从以网络和系统为中心到以数据为中心

长期以来，数据作为相对静态的资产，存放于数据库中，传统的防护以网络和系统为中心，更多关注的是数据的存储位置以及所在的业务系统。如今，数据成为新型生产资料，数量级急剧暴增，既有结构化的数据也有非结构化的数据，处理活动变得频繁，访问、复制、传输数据的角色过多，数据扩散在各个终端电脑中。此时，以网络和系统为中心的防护策略从被保护对象层面来看粒度较粗，无法从数据价值、数据类型以及业务关系的角度对数据资产进行梳理，无法根据数据的重要程度和泄露影响采取不同的管控措施。着眼于数据本体的防护策略的转变成为新时代数据安全保护的要领，使保护对象更加清晰明确，让数据安全保护拥有有效的抓手，安全收益得以量化。

2、从关注网络边界到跟踪数据流转路径

过去，安全防护思想有明显的内外网之分，默认内部是安全可信的，安全动作集中在内外网边界处，部署一系列检测、监控、拦截等感知和处置措施，阻断数据泄露的可能性。伴随数据使用场景的增加以及数据全面上云，数据生命周期中涉及的节点数量变多，数据形态多样，在数据抵达边界之前，在内部流动过程中，因畅通无阻且缺乏监控，容易造成越权滥用、无序扩散、存储混乱等风险，恶意泄露以及被攻击窃取的风险也在不断增加，只进行边界防护存在很大的数据防护盲区。更早地识别并标记组织内的数据资产，并且对敏感数据流动的轨迹、状态的变化进行记录成为有力的突破手段，安全策略应该依据敏感数据本身的风险变动而做出细粒度的、动态的控制。

3、从单品各自为阵到一致性安全原则

伴随组织信息化逐步完善而建立起来的安全体系，逐渐从单薄走向了臃肿，复杂的IT架构导致安全设备碎片化，异构的产品之间采用不同的逻辑和策略，形成了新的数据安全孤岛，带来新的防护盲区。为了更高效和更有效地感知数据安全风险，做出恰如其分的处置措施，一体化的数据安全建设逐渐成为主流选择，诊疗一体的数据安全管控平台将成为践行一致性安全原则的最佳实践。

4、从被动响应到持续风险评估

网安法、数安法、个保法建立起来的数据安全保护顶层设计，以及众多实施配套实施细则和标准释放出强烈信号，未来数据安全合规监管将会是常态化的工作，以查促建、以查促防采是根本，而并非针对安全事故进行单独的响应。企业必须建立自动化的、持续的合规评估流程和技术体系来应对监管，随着数据不断增删和变动、业务流程越来越复杂，自动化的风险评估手段成为面对监管考核的必备手段。

基于以上数据安全保护诉求的变化，需要新的防护理念和安全架构，使数据在全生命周期的处理活动中都能保证被安全地存储、使用、共享，既要满足合规要求又要做到风险可控，这需要将数据防护措施从边界延展到数据运营（DataOps）的全流程。数据安全左移是数字时代以数据为中心的安全发展的必然趋势，使安全能力前置，在数据处理的第一现场持续对数据处理和使用的过程进行追踪，横贯数据处理流转的整个环节，发掘数据风险的真正源头。

在数据安全左移之中，存在三个核心能力。第一是全链路数据识别和追踪，即追踪数据的各种使用维度，包括端点侧、Server侧、流量侧、API侧、Docker侧等，数据安全永远关注数据的使用与流转。第二是轻量化自适应防护，当无法承受全链路识别追踪所带来的压力时，通过轻量化的方式，可以有效降低各维度的成本，包括最终使用侧的成本与维护侧的成本。通过自适应的方式，根据风险进行量化评估，便能实现对全流程进行监测和分析，以便对症下药。第三是数据安全风险评估，脱离传统的技术为辅、人力为主的方式，更多地以工具及产品为主导，利用自动化的方式进行风险评估，提高业务落地过程中的可执行性。

根据Gartner的定义，DataOps是一种协作化数据管理实践，专注于改善整个组织中数据管理人员和数据消费者之间数据流的通信、集成和自动化。通过在DataOps中内嵌安全属性的方式，可以实现数据安全左移的技术落地，DataSecOps是一种敏捷、整体、安全的嵌入式方法，用于协调不断变化的数据及其用户，旨在提供快速的数据价值，同时保持数据的私密性、安全性和良好的管理。

1、敏感数据感知识别

基于人工智能技术的应用，DataSecOps对数据进行深度的识别，包括全类型、多源头以及结构化数据、非结构化数据，甚至是暗数据，让组织的海量数据不落死角清晰呈现，为业务运营与数据保护提供抓手支撑。对于个人隐私、商业数据、政务数据的本体特征、行业特征、合规特征等不同的角度，以数据为核心的主视角挖掘各种风险，通过数据分类模型及小数据机器学习能力，快速建立敏感数据知识图谱，并支持文件内容、个人信息以及数据血亲关系的多维度快速检索，辅助企业对数据进行详细梳理和分类研判，为安全合规与有效保护之间达成高度平衡。

2、持续风险监测和自适应防护

以数据为中心，DataSecOps向频繁接受数据的业务和用户靠近，对数据运营过程中的数据进行自动的梳理，全流程跟踪数据的形态变化和运行轨迹，完整溯源敏感数据流转过程，持续评估数据在业务系统、计算终端、服务器接口等处的运行风险。基于风险评估结果，对不同的数据角色和风险接受程度进行自适应的细粒度的防护策略，对于敏感数据流出业务范围、越权访问等风险快速识别响应，实现基于业务的数据利用和数据安全的有效平衡。

3、数据安全风险合规评估

基于以上数据深度识别建立起的数据全流程追踪与防护能力，DataSecOps为用户建立的是数据安全风险态势感知能力，最终，这种新理念下的安全平台将服务于企业的数据使用和数据运营，类似于人体的健康体检，持续在进行数据安全评估，保障了企业的核心机密、用户隐私数据保护的内生需求和安全合规要求，指导企业进行业务和安全整改完善，做到风险的持续收敛，通过多次循环的评估检查过程最终实现数据的快速合规和安全运用。

（本文作者：北京数安行科技有限公司 郭灵）