面向“十四五”时期，在国家高度关注、重磅政策利好的加持下，数据安全的基础保障作用和发展驱动效应日益突出，成为关系数字中国建设的根基所在。然而，数字技术演进促使数据应用场景和参与主体日益多样化，数据安全外延不断扩展，安全治理面临多重棘手困境。对此，在兼顾实现与合规的前提下，针对重要数据与个人信息展开安全防护建设，成为新时代下高科技行业重要的探索课题。

1.1数据资产具有高附加值属性

数字经济时代下，要素属性的加持，促进了数据资源“势能”转变为创新发展“动能”。聚焦高科技企业，数据创新赋能主要体现在，数据作为实现业务价值的主要载体，对于创新产品和服务、加深市场需求洞察与即时响应、优化生产及分配过程等的价值赋能。

在这其中，数据被赋予了高附加值属性，如同一种全新的资产形态，成为实现分析服务、智能决策的有效抓手，其重要程度堪比企业核心资产。在《数据管理知识体系指南》中也给出了“数据资产”的定义，即由企业拥有或企业控制的，能够为企业带来未来经济利益的，以物理或电子的方式记录的数据资源，如文件资料、电子数据等。但并非所有的数据都是数据资产，数据资产是能够为企业产生价值的数据资源。

正是由于高科技领域数据的高附加值属性，以及针对其进行安全攻击所带来的高回报率，引来越来越多的活跃数据安全攻击团伙，展开全面研究与精准打击，并呈现出“高频化”“高损化”“高显化”三大特征，对企业生存发展有着举足轻重的影响。

“高频化”指企业正在遭受有针对性的大规模高频率的攻击，其不仅能够快速查明防御系统或环境中存在的漏洞和薄弱区，还能模拟合法行为模式以绕开和躲避安全工具，让企业防不胜防、焦头烂额。

“高损化”指不论是丢失或泄露客户个人信息，还是涉及企业核心商业秘密的敏感数据，对企业造成的损失都是不可估量的，甚至会引发人民不满、社会动荡，乃至国家安全。

“高显化”指在自媒体的快速传播下，数据泄露事件常常跻身头条、无法掩盖，企业将面临品牌声誉受损、用户不信任、舆论压力谴责等严重后果。

数据泄露等安全事件本身，符合“经济学的外部效应”特征，即消费方与受益方不一致。例如，大量个人信息的泄漏，最终受害者是广泛用户，而企业没有实质损失，当没有法律责任与社会责任的制约，企业往往会忽视数据安全建设。

对此，我国初步建立了数据安全相关的法律法规体系，形成“五法一典”共治的新合规局面，包括《国家安全法》《网络安全法》《密码法》《数据安全法》《个人信息保护法》以及《民法典》，使得合规监管权责更鲜明、制度更健全、技术更创新。

“五法一典”之间紧密关联又各有侧重，《国家安全法》是维护国家总体安全的基础法律，《网络安全法》提出了安全治理道路，《数据安全法》和《个人信息保护法》明确了保护目标，《民法典》包含了自然人的人格权保护，而《密码法》强调了保护信息与数据的技术手段。

在新合规政策的有效加持下，以实战为导向的需求市场被充分激活。传统“封堵查杀”思路难以适应时代发展，而“以数据为中心”安全防护，在数据流转的多个层次环节中，通过重建业务规则，施加主动式安全防护，成为新时代下安全建设新思路。

基于此，站在数据的视角，炼石网络秉承面向失效的防御理念（当一种保护手段失效后，有后手安全机制兜底，打造纵深协同、而非简单堆叠的防御“后手”），通过在安全能力、数据形态、技术栈等多个维度进行控制和防御，并有机结合多种安全技术构建纵深防御机制，构建出协同联动递进式的纵深防护新战法。

在安全能力维度，对数据安全威胁防护时间轴划分为识别、防护、检测、响应、恢复、反制（“IPDRRC”）六个环节。以识别为前提，优先从“防护”环节构建数据安全增强点，达到越靠近损失未发生前的“事前防护”，投资回报率越高的效果。

在数据形态维度，聚焦数据传输、存储、使用“三态”，身份鉴别及信任体系作为对数据访问的补充或者前提，进而延伸出数据全生命周期防护。针对数据形态及形态转化，将数据加解密结合用户的身份信息和上下文环境做访问控制，构建防绕过的访问控制、高置信度的审计，将实现数据形态转换的防御纵深。

在技术栈维度，针对数据防护重点，随着网络安全到数据安全的转变，也从“网关/端点”转向“应用”，防护思路也从传统“按分区”转向“追数据”。“追数据”本质是针对数据在业务应用流转的不同环节，进行威胁分析，选取关键安全增强点，主动实施加密等保护，实现适用技术栈不同层次的数据保护技术。

2021年作为“十四五”开局之年，两部重磅法律《数据安全法》与《个人信息保护法》在这一年相继出台，数据安全备受瞩目。针对重要数据与个人信息保护的场景化实践探索，成为业内关注重点。

3.1重要数据安全建设

3.1.1重要商业秘密数据保护

3.1.1.1概要

《数据安全法》的亮点之一就是明确了国家建立数据分类分级保护制度，而数据分类分级保护的核心就是加强对重要数据的保护。商业秘密作为企业或组织的重要无形资产，自带高价值属性，记录了组织、人、流程、业务演变、融合、分析的过程，能够产生巨大价值的资产价值。尤其是在国际竞争日益激烈的情况下，对重要经营管理和技术科研等商业秘密数据，实施有效保护的重要性和必要性越发凸显。

3.1.1.2安全现状

近年来，随着中央企业数字化转型升级，商业秘密数据从多个渠道大量汇聚，数据类型、用户角色和应用需求更加复杂化，企业外部黑客攻击、内部人员窃取数据非法销售的防不胜防。

在行业监管政策方面，《中央企业商业秘密安全保护技术指引》、《中央企业商业秘密安全技术保护实施指南》、《中央企业商业秘密安全技术保护风险评估细则》、《关于进一步加强中央企业商业秘密保护工作有关事项的通知》等文件出台，使得商业秘密保护迎来了高要求、新范式的合规需求。

炼石网络实际调研发现，商业秘密信息系统普遍缺失内建数据安全能力，随着中央企业内部各类信息系统之间打通共享，成倍放大了商业秘密数据安全管理复杂度。而商业秘密数据在不同系统之间流转，导致数据所有者、数据控制者和数据处理者难以有效控制，商业秘密数据可能被非法访问和处理，造成数据保密性和完整性方面的巨大安全风险。

3.1.1.3解决方案

中央企业的业务架构复杂，数据安全需求与业务流程扭结缠绕、难以分割，结构化与非结构化数据掺杂其中，难以进行有效保护。对此，炼石网络基于AOE面向切面加密与TFE透明文件加密等多种加密技术结合的技术应对路径，构建高覆盖率的安全增强点组合，融合识别、加密、去标识化、检测/响应、追溯等能力，有效保护结构化与非结构化数据。

针对结构化数据，可以采用AOE面向切面加密技术，将数据安全插件部署在应用服务中间件，结合旁路部署的数据安全管理平台、密钥管理系统，通过拦截入库SQL，将数据加密后存入数据库；针对非结构化数据，可以采用TFE透明文件加密技术，通过在操作系统的文件管理子系统上部署加密插件来实现数据安全防护，基于用户态与内核态交付，可实现“逐文件逐密钥”加密。

3.1.2工业互联网敏感数据保护

3.1.2.1概要

随着新一代信息技术的广泛应用，泛在互联、平台汇聚、智能发展等制造业新特征日益凸显。在工业互联网发挥关键基础设施作用进程中，数据安全是关乎未来发展的决定性因素。《国务院关于深化“互联网+先进制造业”发展工业互联网的指导意见》、《加强工业互联网安全工作的指导意见》、《工业互联网创新发展行动计划（2021-2023年）》等文件的发布，进一步深化完善工业互联网安全标准体系，指导工业互联网企业提升网络安全防护能力。

3.1.2.2安全现状

然而在实际应用中，国内大部分数控系统特别是中高端数控系统均采用国外产品和技术，有可能留有“后门”或存在漏洞，而且有被“卡脖子”的风险。因此实现自主可控的工业互联网安全体系才能持续发展。

深入产业流程，在工业互联网数据中，工业现场时序数据等结构化数据较多，研发设计数据、经营管理数据等多为非结构化数据，要求具有真实性、完整性、可用性。同时，工业互联网数据注重时效性，覆盖工业生产经营过程中各类变化条件，确保从数据中能提取以反映对象真实状态信息的全面性，相比较一般互联网数据要求更高。

3.1.2.3解决方案

在工业数据流转的关键节点施加安全增强点，以数据加密和去标识化技术为核心，融合数据识别、防护、检测/响应、追溯等多种安全技术，实现对于异构应用系统、不同数据库的解耦，在不改造原工业互联网平台、不改变其网络拓扑结构、不影响业务的情况下，实现对于工业数据保护。

CASB助力工业云实现数据安全上取得了超出预期的效果。以腾讯Wemake工业互联网平台为例，工业云用户通过Wemake平台录入的敏感信息，首先会通过CASB Proxy加密，然后以密文方式存入后端数据库，读出数据时同样也通过Proxy进行解密操作，最后返回数据给前端。CASB以一种Proxy代理的方式对接业务代码，方便快捷无侵入。

自工业云接入CASB以后，整体效果显著，实现系统的免应用改造的字段级数据加密需求，保护用户和运营商数据安全，提升系统安全水平；相比传统加密方案上线动辄数月的上线周期，借助腾讯云鼎实验室新一代CASB数据安全方案，工业云数据加密1天即完成服务的快捷上线，支撑业务稳定安全运行，加密性能损耗2%～5%。除了完成敏感数据加密需求，CASB方案提供了更多安全性，比如分级、分类、动态脱敏等，为工业云在数据安全建设方面又增加了更多的保障。

3.2个人信息安全防护

3.2.1概要

《个人信息保护法》作为我国第一部个人信息保护的专门法律，承继和细化了《民法典》和《网络安全法》中关于个人信息保护的规定，将自然人姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等全面纳入保护范围，从个人主体的权利、个人信息处理者的义务和监管者职责等多方面塑造了中国个人信息保护规则的全貌，为企业的合规工作提供了明确的方向性指导。以新合规要求为抓手，进一步推动个人信息安全防护建设，加强密码技术等数据保护核心手段的应用，可增强实战防护能力。

3.2.2安全现状

放眼于国外，数据潜在价值的凸显，使得各国高度重视并围绕数据开展战略博弈，全球数据安全形势日益严峻；着眼于国内，高价值数据泄漏、个人信息滥用情况突出，新技术迭代衍生出新的风险，针对数据的攻击、窃取、劫持、滥用等手段不断推陈出新，使得经济、政治、社会等各领域面临巨大潜在影响。

在高科技企业内部，对数据价值的挖掘和利用却是“动态”的，比如数据需要随时跨部门、跨区域、跨应用进行传输和运转，亟需对既有保护措施进行分析，探索新的保护路径，为个人信息的合理、合法流动以及保护提供屏障。

3.2.3解决方案

考虑到高科技企业多采用“总部与多分支机构”的业务运营管理模式，总部与分支往往分布异地，重要应用系统多达上百个，涉及数据库品牌及版本众多，同时应用系统之间逻辑关联复杂，个人信息数据掺杂其中，难以实现数据安全的集中管控。而传统数据加密传统方案，是对大量信息系统进行二次开发改造，不仅涉及到高昂研发成本，同时还涉及业务连续性风险等间接成本，也很难实施落地。

对于此种情况，炼石网络引入“分布式部署、集中式管控”的部署方式，即：在总部部署一套基于CASB技术的数据管理平台，负责整体的策略管理和密钥管理，在分支公司的应用系统中部署客户端的方式，实现应用系统协同工作，达到“A处加密、B处解密”的目的，确保数据能安全流动之目标。

通过大规模端点控制，推进分级部署，一方面能够降低部署、维护和管理成本，只需在分支公司的应用系统上，增加插件和简单配置即可实现细粒度的加密、脱敏，并支持根据各分支系统架构，部署集中数据安全管理平台，统一下发数据加密、脱敏等策略；另一方面能够满足多元化组织体系的特性，实现总部对于全部分支公司的集中式监管，也可直接作用于个人隐私数据、细控到内部业务人员，实现自上到下的全层级部署管控，可有效增强系统安全防护水平，规避数据安全威胁。

安全村始终致力于为安全人服务，通过博客、文集、专刊、沙龙等形态，交流最新的技术和资讯，增强互动与合作，与行业人员共同建设协同生态。

投稿邮箱：[email protected]