報(bào)告編號(hào)：DWC_WB_2022003

分析師：金東東?首席戰(zhàn)略分析師

發(fā)布時(shí)間：2022年6月

數(shù)據(jù)治理安全(DGS)是適應(yīng)我國(guó)國(guó)情以及數(shù)據(jù)安全商業(yè)市場(chǎng)現(xiàn)狀，解決企業(yè)數(shù)字化轉(zhuǎn)型過(guò)程中有關(guān)數(shù)據(jù)安全需求的思想。

DGS是以數(shù)據(jù)安全合規(guī)驅(qū)動(dòng)的，聚焦于數(shù)據(jù)的分類(lèi)分級(jí)、合規(guī)條款匹配和數(shù)據(jù)安全能力的對(duì)接與調(diào)度。將傳統(tǒng)的數(shù)據(jù)安全治理(DSG)框架化繁為簡(jiǎn)、化重為輕，以期更好的幫助解決數(shù)據(jù)安全保障體系的落地問(wèn)題。同時(shí)，為未來(lái)全局化的數(shù)據(jù)治理工作做好準(zhǔn)備。由于治理的概念大于安全，所以我們稱(chēng)之為數(shù)據(jù)治理安全(DGS)。

數(shù)世咨詢(xún)?cè)竿a(chǎn)業(yè)界一起，以中國(guó)數(shù)字安全實(shí)踐為根基，樹(shù)立全球網(wǎng)絡(luò)空間安全發(fā)展的新風(fēng)向，給出全球網(wǎng)絡(luò)空間命運(yùn)共同體的中國(guó)答案。

關(guān)鍵發(fā)現(xiàn)

● 數(shù)字時(shí)代的數(shù)據(jù)安全關(guān)注的是數(shù)據(jù)生產(chǎn)和處理過(guò)程中的安全狀態(tài)，已經(jīng)不適應(yīng)于傳統(tǒng)數(shù)據(jù)安全生命周期的思考方式，即數(shù)據(jù)沒(méi)有生命周期。因?yàn)閿?shù)據(jù)的價(jià)值是由流動(dòng)性體現(xiàn)的，只要是流動(dòng)的數(shù)據(jù)，就必然會(huì)通過(guò)計(jì)算或者存儲(chǔ)的形式將自身轉(zhuǎn)移到其他數(shù)據(jù)或系統(tǒng)中，并不存主動(dòng)銷(xiāo)毀這一行為。并且從《數(shù)據(jù)安全法》中可以看到，有關(guān)數(shù)據(jù)處理的內(nèi)容中也不包括銷(xiāo)毀。

● 現(xiàn)階段我國(guó)數(shù)據(jù)安全市場(chǎng)的驅(qū)動(dòng)力主要來(lái)自安全合規(guī)。

● 數(shù)據(jù)做為人類(lèi)活動(dòng)的第五大生產(chǎn)要素，站在國(guó)家、行業(yè)的層面用頂層治理的高度來(lái)考慮是完全必要的。但站在企業(yè)或機(jī)構(gòu)的自身層面，用治理的高度來(lái)實(shí)現(xiàn)數(shù)據(jù)安全管理，無(wú)異于“大炮打蚊子”，時(shí)間、人力、物力上的成本令企業(yè)或機(jī)構(gòu)舉步維艱。這幾年來(lái)的實(shí)踐也證明，傳統(tǒng)數(shù)據(jù)安全治理(DSG)的概念和思路均存在無(wú)法落地的問(wèn)題。

● 由于數(shù)據(jù)安全治理的框架是用治理的高度來(lái)做安全，因此前期的咨詢(xún)、分類(lèi)分級(jí)、資產(chǎn)化會(huì)變得極其沉重。數(shù)世咨詢(xún)提出的解決思路是，以安全驅(qū)動(dòng)(為目的)的數(shù)據(jù)治理，聚焦于安全和輕量級(jí)資產(chǎn)化，在減輕前期咨詢(xún)、分類(lèi)分級(jí)、資產(chǎn)化沉重壓力的同時(shí)，又為未來(lái)大一統(tǒng)的數(shù)據(jù)治理工作做好準(zhǔn)備。

● (CPI)2 框架的應(yīng)用基于AI的數(shù)據(jù)自動(dòng)分類(lèi)分級(jí)能力、具有行業(yè)屬性的知識(shí)圖譜和全域數(shù)據(jù)/多模態(tài)數(shù)據(jù)的治理能力，支持云原生、私有化部署和SaaS服務(wù)，與數(shù)據(jù)治理安全(DGS)的理念完全契合，滿(mǎn)足企業(yè)數(shù)字化轉(zhuǎn)型的各種需求。

參考建議

● 數(shù)據(jù)安全生命周期是從數(shù)據(jù)的流動(dòng)環(huán)節(jié)上做安全控制，但由于絕大多數(shù)電子數(shù)據(jù)實(shí)際上沒(méi)有生命周期，并且數(shù)據(jù)的價(jià)值是通過(guò)流動(dòng)性的強(qiáng)弱來(lái)體現(xiàn)的。所以數(shù)據(jù)安全應(yīng)該從流動(dòng)性的視角(即應(yīng)用需求)切入，而不是以流動(dòng)環(huán)節(jié)(即信息技術(shù))的視角為核心，流動(dòng)環(huán)節(jié)應(yīng)該作為流動(dòng)性的輔助。

● 行業(yè)用戶(hù)在數(shù)字化轉(zhuǎn)型的過(guò)程中，安全合規(guī)是繞不開(kāi)的一環(huán)。為了盡量避免企業(yè)因數(shù)據(jù)安全問(wèn)題遭到損失，可以?xún)?yōu)先通過(guò)AI的方式進(jìn)行數(shù)據(jù)分類(lèi)分級(jí)的工作，然后為各種類(lèi)數(shù)據(jù)匹配不同的安全能力。

● 以數(shù)據(jù)輕量資產(chǎn)化、AI分類(lèi)分級(jí)、持續(xù)分類(lèi)分級(jí)、安全條款符合化和安全能力對(duì)接與調(diào)度為核心的數(shù)據(jù)治理安全(DGS)思路，才是適應(yīng)我國(guó)行業(yè)用戶(hù)的數(shù)據(jù)安全需求的。

● 數(shù)據(jù)分類(lèi)分級(jí)的工作不是一錘子買(mǎi)賣(mài)，應(yīng)該是持續(xù)化不斷迭代進(jìn)行的。行業(yè)用戶(hù)應(yīng)該不斷根據(jù)國(guó)家與行業(yè)的要求以及商業(yè)系統(tǒng)的變更來(lái)動(dòng)態(tài)調(diào)整分類(lèi)分級(jí)的結(jié)果，并對(duì)其施以相應(yīng)的安全能力。

● (CPI)2 框架已經(jīng)在部分行業(yè)用戶(hù)的生產(chǎn)環(huán)境進(jìn)行了落地應(yīng)用，可以作為現(xiàn)階段數(shù)據(jù)治理安全(DGS)的最佳實(shí)踐來(lái)參考。

?

有關(guān)定義

隨著我國(guó)《數(shù)據(jù)安全法》的施行，數(shù)據(jù)安全已經(jīng)與網(wǎng)絡(luò)安全并行，作為一個(gè)單獨(dú)的研究領(lǐng)域，加之?dāng)?shù)字經(jīng)濟(jì)的蓬勃發(fā)展，數(shù)據(jù)安全的問(wèn)題越來(lái)越被廣大的行業(yè)客戶(hù)所關(guān)注。

數(shù)世咨詢(xún)《數(shù)字安全能力圖譜》將數(shù)據(jù)治理安全歸納于數(shù)據(jù)安全-數(shù)據(jù)訪問(wèn)安全分類(lèi)下，替換了上一版《數(shù)字安全能力圖譜》中，數(shù)據(jù)安全-數(shù)據(jù)安全體系-DSG分類(lèi)。

圖 1 數(shù)字安全能力圖譜

數(shù)據(jù)治理安全(DGS)是一種思想，聚焦于數(shù)據(jù)的分類(lèi)分級(jí)、合規(guī)條款匹配和數(shù)據(jù)安全能力的對(duì)接與調(diào)度。整體以輕量化的治理方式引路，優(yōu)先解決安全合規(guī)的迫切需求，再輔以其他數(shù)據(jù)安全能力，用人工智能的方式實(shí)現(xiàn)安全能力的正向循環(huán)迭代。用最輕量化的數(shù)據(jù)治理思路建設(shè)數(shù)據(jù)安全能力，用最小的代價(jià)解決當(dāng)前最迫切的需求，為后續(xù)數(shù)據(jù)安全與數(shù)據(jù)治理的全面建設(shè)提供技術(shù)與管理基礎(chǔ)。

?

數(shù)據(jù)安全概況

數(shù)據(jù)安全的發(fā)展階段

數(shù)世咨詢(xún)認(rèn)為，數(shù)據(jù)的價(jià)值是由流動(dòng)性創(chuàng)造的，并數(shù)據(jù)的價(jià)值是通過(guò)流動(dòng)性的強(qiáng)弱來(lái)體現(xiàn)的。

傳統(tǒng)的數(shù)據(jù)安全防護(hù)思想是圍繞數(shù)據(jù)安全生命周期進(jìn)行的，而數(shù)據(jù)安全生命周期是從數(shù)據(jù)的流動(dòng)環(huán)節(jié)上做安全控制，但絕大多數(shù)電子數(shù)據(jù)實(shí)際上沒(méi)有生命周期。數(shù)字時(shí)代的數(shù)據(jù)安全關(guān)注的是數(shù)據(jù)生產(chǎn)和處理過(guò)程中的安全狀態(tài)，已經(jīng)不適應(yīng)于傳統(tǒng)數(shù)據(jù)安全生命周期的思考方式。一方面是因?yàn)椤皵?shù)據(jù)安全法”所規(guī)定的條款里，數(shù)據(jù)處理并不包含銷(xiāo)毀這一過(guò)程;另一方面是因?yàn)閿?shù)據(jù)的價(jià)值是由流動(dòng)性體現(xiàn)的，只要是流動(dòng)的數(shù)據(jù)，就必然會(huì)通過(guò)計(jì)算或者存儲(chǔ)的形式將自身轉(zhuǎn)移到其他數(shù)據(jù)或系統(tǒng)中，也不存在銷(xiāo)毀這一結(jié)果。

所以數(shù)據(jù)安全應(yīng)該從流動(dòng)性的視角(即應(yīng)用需求)切入，而不是以流動(dòng)環(huán)節(jié)(即信息技術(shù))的視角為核心，流動(dòng)環(huán)節(jié)應(yīng)該作為流動(dòng)性的輔助。

在流動(dòng)性的視角下，數(shù)據(jù)作為一種保護(hù)主體，在不同時(shí)期具備不同的流動(dòng)性。根據(jù)不同的流動(dòng)性，數(shù)據(jù)安全伴隨著社會(huì)和經(jīng)濟(jì)的發(fā)展，針對(duì)數(shù)據(jù)的安全實(shí)現(xiàn)和方法也各不相同。數(shù)據(jù)安全發(fā)展至今可以總結(jié)為三個(gè)階段：

1. 數(shù)據(jù)貯存安全，保護(hù)數(shù)據(jù)的價(jià)值：這一階段的數(shù)據(jù)缺乏流動(dòng)性。安全防護(hù)主要以文檔安全、磁盤(pán)加密、防勒索、數(shù)據(jù)恢復(fù)和容災(zāi)備份為保護(hù)手段，重點(diǎn)防止數(shù)據(jù)被破壞;

2. 數(shù)據(jù)訪問(wèn)安全，釋放顯性的價(jià)值：這一階段的數(shù)據(jù)擁有有限的流動(dòng)性。安全防護(hù)核心以安全合規(guī)、數(shù)據(jù)防泄露、數(shù)據(jù)庫(kù)安全、數(shù)據(jù)脫敏、數(shù)據(jù)訪問(wèn)安全域?yàn)楸Ｗo(hù)手段，重點(diǎn)防止數(shù)據(jù)被非法利用;

3. 數(shù)據(jù)開(kāi)放安全，挖掘隱藏的價(jià)值：這一階段的數(shù)據(jù)擁有完全的流動(dòng)性。安全防護(hù)核心以人工智能、隱私計(jì)算為保護(hù)手段，重點(diǎn)防止數(shù)據(jù)被誤用和濫用。

雖然現(xiàn)在我們已經(jīng)開(kāi)始談?wù)摂?shù)據(jù)開(kāi)放安全，但這并不意味著我們已經(jīng)步入了數(shù)據(jù)開(kāi)放安全時(shí)代。一個(gè)時(shí)代的來(lái)臨，是要以國(guó)家頂層設(shè)計(jì)和社會(huì)與經(jīng)濟(jì)發(fā)展的現(xiàn)狀來(lái)決定的。對(duì)于數(shù)據(jù)的完全開(kāi)放，我們還沒(méi)有做好十足的準(zhǔn)備。人工智能和隱私計(jì)算的算力與模型問(wèn)題至今仍然具有很大的挑戰(zhàn)，法律與社會(huì)道德層面的約束還不足以支撐。

所以，我們現(xiàn)在處于一個(gè)數(shù)據(jù)訪問(wèn)安全與數(shù)據(jù)開(kāi)放安全交叉的時(shí)代。在這種狀態(tài)下，如何認(rèn)清市場(chǎng)趨勢(shì)、抓住轉(zhuǎn)瞬即逝的機(jī)會(huì)，對(duì)于數(shù)據(jù)安全企業(yè)和行業(yè)用戶(hù)來(lái)說(shuō)，都是必須考慮的問(wèn)題。

數(shù)據(jù)安全的法律要求

根據(jù)數(shù)據(jù)不同的流動(dòng)性，我國(guó)在數(shù)據(jù)安全法治建設(shè)進(jìn)程上也體現(xiàn)出了不同階段的不同方向。從建國(guó)至今，有關(guān)網(wǎng)絡(luò)安全、數(shù)據(jù)安全的法律要求，或多或少的在各領(lǐng)域法律文件中都有所涉及了數(shù)據(jù)安全的內(nèi)容。

2017年6月1日以網(wǎng)絡(luò)安全為主體的《網(wǎng)絡(luò)安全法》正式實(shí)施，從此宣告我國(guó)網(wǎng)絡(luò)空間安全進(jìn)入明確法制時(shí)代。《網(wǎng)絡(luò)安全法》指出：建設(shè)、運(yùn)營(yíng)網(wǎng)絡(luò)或者通過(guò)網(wǎng)絡(luò)提供服務(wù)，應(yīng)當(dāng)依照法律、行政法規(guī)的規(guī)定和國(guó)家標(biāo)準(zhǔn)的強(qiáng)制性要求，采取技術(shù)措施和其他必要措施，保障網(wǎng)絡(luò)安全、穩(wěn)定運(yùn)行，有效應(yīng)對(duì)網(wǎng)絡(luò)安全事件，防范網(wǎng)絡(luò)違法犯罪活動(dòng)，維護(hù)網(wǎng)絡(luò)數(shù)據(jù)的完整性、保密性和可用性;國(guó)家鼓勵(lì)開(kāi)發(fā)網(wǎng)絡(luò)數(shù)據(jù)安全保護(hù)和利用技術(shù)，促進(jìn)公共數(shù)據(jù)資源開(kāi)放，推動(dòng)技術(shù)創(chuàng)新和經(jīng)濟(jì)社會(huì)發(fā)展。

2021年9月1日，為了規(guī)范數(shù)據(jù)處理活動(dòng)，保障數(shù)據(jù)安全，促進(jìn)數(shù)據(jù)開(kāi)發(fā)利用，保護(hù)個(gè)人、組織的合法權(quán)益，維護(hù)國(guó)家主權(quán)、安全和發(fā)展利益，《數(shù)據(jù)安全法》橫空出世，標(biāo)志著數(shù)據(jù)安全與網(wǎng)絡(luò)安全并行，作為一個(gè)單獨(dú)的法律主體?！稊?shù)據(jù)安全法》將數(shù)據(jù)定義為任何以電子或者其他方式對(duì)信息的記錄;將數(shù)據(jù)處理定義為收集、存儲(chǔ)、使用、加工、傳輸、提供、公開(kāi)等過(guò)程;將數(shù)據(jù)安全定義為通過(guò)采取必要措施，確保數(shù)據(jù)處于有效保護(hù)和合法利用的狀態(tài)，以及具備保障持續(xù)安全狀態(tài)的能力。

圖 2 涉及數(shù)據(jù)安全的法律

2021年1月1日發(fā)布的《民法典》，以及2021年11月1日發(fā)布的《個(gè)人信息保護(hù)法》對(duì)國(guó)家、企業(yè)、社會(huì)、個(gè)人接觸到的公民個(gè)人敏感信息都做出了明確的法律要求。

不僅如此，根據(jù)上圖所示法律，中央部委、各地區(qū)、行業(yè)、團(tuán)體，還根據(jù)自身業(yè)務(wù)管轄范疇制定了一系列(數(shù)以百計(jì))辦法、規(guī)章、制度等法規(guī)文件。鑒于本報(bào)告只是為了借助國(guó)家法律、法規(guī)文件來(lái)反映數(shù)據(jù)安全在我國(guó)各層面的重要地位，具體法律條文和法規(guī)內(nèi)容不在這里做展開(kāi)描述。對(duì)于這一部分內(nèi)容，數(shù)世咨詢(xún)會(huì)在將來(lái)的文章以及報(bào)告中體現(xiàn)。

合規(guī)驅(qū)動(dòng)數(shù)據(jù)安全

數(shù)據(jù)流動(dòng)性的不斷變化推動(dòng)數(shù)據(jù)安全的不斷發(fā)展，在不同數(shù)據(jù)安全發(fā)展階段，驅(qū)動(dòng)技術(shù)和市場(chǎng)的因素也擁有各自的特點(diǎn)。

圖 3 數(shù)據(jù)安全的驅(qū)動(dòng)因素

現(xiàn)階段來(lái)看，數(shù)據(jù)安全建設(shè)的訂單來(lái)自合規(guī)驅(qū)動(dòng)和業(yè)務(wù)驅(qū)動(dòng)，概括來(lái)說(shuō)為經(jīng)營(yíng)風(fēng)險(xiǎn)、業(yè)務(wù)受限、國(guó)家監(jiān)管和合規(guī)要求，各類(lèi)驅(qū)動(dòng)力還包括上圖所示的一些具體事項(xiàng)。

如果說(shuō)網(wǎng)絡(luò)安全的需求(預(yù)算)約70%來(lái)自于安全合規(guī)，那么不同于網(wǎng)絡(luò)安全的是，數(shù)據(jù)的權(quán)屬大多為企業(yè)、個(gè)人自身，數(shù)據(jù)安全的責(zé)任也屬于企業(yè)、個(gè)人自身，安全責(zé)任對(duì)于企業(yè)、個(gè)人來(lái)說(shuō)，從來(lái)沒(méi)有如此直接和重大。

2021年10月31日，國(guó)家安全部公布了三起危害重要數(shù)據(jù)安全的案例，其中一例涉及某航空公司。經(jīng)確認(rèn)，其相關(guān)信息系統(tǒng)遭到網(wǎng)絡(luò)武器攻擊，部分乘客出行記錄等數(shù)據(jù)被竊取。經(jīng)國(guó)家安全機(jī)關(guān)進(jìn)一步排查發(fā)現(xiàn)，另有多家航空公司信息系統(tǒng)遭到同一類(lèi)型的網(wǎng)絡(luò)攻擊和數(shù)據(jù)竊取。經(jīng)深入調(diào)查，確認(rèn)相關(guān)攻擊活動(dòng)是由某境外間諜情報(bào)機(jī)關(guān)精心謀劃、秘密實(shí)施，攻擊中利用了多個(gè)技術(shù)漏洞，并利用多個(gè)網(wǎng)絡(luò)設(shè)備進(jìn)行跳轉(zhuǎn)，以隱匿蹤跡。

2021年8月2日，技嘉在中國(guó)臺(tái)灣的總部遭遇了RansomEXX的網(wǎng)絡(luò)攻擊，被竊取了112GB的數(shù)據(jù)，其中包含來(lái)自英特爾、AMD 和其他公司的機(jī)密技術(shù)文件。該組織還使用勒索軟件來(lái)加密技嘉的數(shù)據(jù)，導(dǎo)致業(yè)務(wù)中斷、服務(wù)關(guān)停。該組織勒索的金額不詳，但聲明如果不支付贖金，還會(huì)把竊取的數(shù)據(jù)公開(kāi)販賣(mài)。

2021年3月19日和2022年2月14日，中信銀行分別被銀保監(jiān)會(huì)和央行開(kāi)具了兩張罰單，處罰金額分別為450萬(wàn)和240萬(wàn)。而原因就是數(shù)據(jù)安全問(wèn)題引發(fā)的，例如消費(fèi)者金融信息保護(hù)、客戶(hù)信息安全管理不到位和訪問(wèn)控制與權(quán)限管理不到位等。

根據(jù)數(shù)世咨詢(xún)的調(diào)研發(fā)現(xiàn)，在現(xiàn)階段數(shù)據(jù)安全的需求(預(yù)算)約90%來(lái)自于安全合規(guī)，10%來(lái)自于業(yè)務(wù)需求，所以我們說(shuō)合規(guī)驅(qū)動(dòng)數(shù)據(jù)安全。

但不論安全合規(guī)驅(qū)動(dòng)還是業(yè)務(wù)需求驅(qū)動(dòng)，數(shù)據(jù)對(duì)于企業(yè)、個(gè)人來(lái)說(shuō)，已經(jīng)作為一種資產(chǎn)和生產(chǎn)要素被廣泛應(yīng)用于改善生活和創(chuàng)新業(yè)務(wù)，所以數(shù)據(jù)安全就成為一項(xiàng)必須要考慮和付諸行動(dòng)的工作。當(dāng)數(shù)字時(shí)代全面來(lái)臨時(shí)，數(shù)據(jù)安全進(jìn)入完備的開(kāi)放階段，數(shù)據(jù)安全的需求(預(yù)算)可能安全合規(guī)驅(qū)動(dòng)只占到10%，業(yè)務(wù)需求驅(qū)動(dòng)占到90%。

?

數(shù)據(jù)治理安全概況

數(shù)據(jù)治理安全需求

數(shù)據(jù)的價(jià)值已經(jīng)不言而喻，對(duì)企業(yè)發(fā)展有強(qiáng)大的促進(jìn)作用。數(shù)據(jù)的風(fēng)險(xiǎn)也很直觀，在數(shù)字時(shí)代甚至決定著企業(yè)的生死存亡。

數(shù)世咨詢(xún)認(rèn)為，數(shù)據(jù)治理安全作為數(shù)據(jù)安全的一個(gè)一級(jí)分類(lèi)，在現(xiàn)階段的我國(guó)商業(yè)市場(chǎng)，需求大致可以概括為以下三個(gè)方面：

1. 安全合規(guī)

國(guó)家在對(duì)處理政務(wù)數(shù)據(jù)、商業(yè)數(shù)據(jù)和個(gè)人隱私數(shù)據(jù)方面都做出了法律要求，各地區(qū)、行業(yè)監(jiān)管部門(mén)也制定了一系列監(jiān)管要求，如果相關(guān)部門(mén)或企業(yè)觸犯法律或者違反法規(guī)，除了收到行政處罰外，還會(huì)受到刑事處罰，甚至國(guó)家審查。

雖然我國(guó)目前規(guī)定的處罰金額整體偏低，但處罰之外的，例如吊銷(xiāo)執(zhí)照、停職審查、停業(yè)整頓、取消資格和暫緩辦理行政事項(xiàng)等，對(duì)相關(guān)部門(mén)和企業(yè)來(lái)說(shuō)，可謂滅頂之災(zāi)。近兩年最為轟動(dòng)的莫過(guò)字節(jié)跳動(dòng)海外業(yè)務(wù)案和滴滴出行赴美上市案。

在我國(guó)一大部分?jǐn)?shù)據(jù)安全的需求就來(lái)源于安全合規(guī)，規(guī)章制度細(xì)致入微、國(guó)家監(jiān)管也可謂事無(wú)巨細(xì)，這些基本囊括了所有數(shù)據(jù)處理的過(guò)程，所以后面提到現(xiàn)階段數(shù)據(jù)安全需求(預(yù)算)90%來(lái)自于合規(guī)驅(qū)動(dòng)。

2. 保護(hù)數(shù)據(jù)資產(chǎn)

在生產(chǎn)和生活過(guò)程中，產(chǎn)生和收集的數(shù)據(jù)權(quán)屬通常為本人、本部門(mén)、本地區(qū)，安全保護(hù)責(zé)任也一并劃歸。數(shù)據(jù)作為一種資產(chǎn)，已經(jīng)在社會(huì)層面和商業(yè)層面具有巨大的價(jià)值。

政府相關(guān)部門(mén)可以使用數(shù)據(jù)進(jìn)行社會(huì)治理和公民服務(wù)方面的研究，最直觀的就是疫情防控大數(shù)據(jù)的應(yīng)用。而企業(yè)可以使用數(shù)據(jù)進(jìn)行用戶(hù)行為分析，改善產(chǎn)品體驗(yàn)和服務(wù)精準(zhǔn)度，最直觀的就是短視頻推薦算法和出行規(guī)劃算法。

在我國(guó)一部分?jǐn)?shù)據(jù)安全的需求就是因?yàn)檫@些在生產(chǎn)和生活過(guò)程中產(chǎn)生和收集的數(shù)據(jù)，是擁有者的無(wú)形資產(chǎn)，在數(shù)字時(shí)代屬于核心競(jìng)爭(zhēng)力的一種，需要被有效的保護(hù)起來(lái)，建立業(yè)務(wù)壁壘。

3. 業(yè)務(wù)發(fā)展

激活數(shù)據(jù)要素潛能，加快建設(shè)數(shù)字經(jīng)濟(jì)、數(shù)字社會(huì)、數(shù)字政府，以數(shù)字化轉(zhuǎn)型整體驅(qū)動(dòng)生產(chǎn)方式、生活方式和治理方式變革，已經(jīng)成為國(guó)家和社會(huì)共同的認(rèn)知。隨著數(shù)據(jù)種類(lèi)和量級(jí)不斷高速增長(zhǎng)，數(shù)據(jù)收集、存儲(chǔ)、使用、加工、傳輸、提供、公開(kāi)、銷(xiāo)毀等過(guò)程從未有現(xiàn)今如此復(fù)雜，而且這一趨勢(shì)仍然是長(zhǎng)期向上的。

如果不進(jìn)行數(shù)據(jù)安全建設(shè)，可能會(huì)出現(xiàn)被數(shù)據(jù)反噬的現(xiàn)象，即因?yàn)辇嫶蟮臄?shù)據(jù)保護(hù)和維護(hù)成本以及低級(jí)的使用效率，使得企業(yè)在耗費(fèi)大量人、財(cái)、物的同時(shí)并沒(méi)有發(fā)展或難于創(chuàng)新業(yè)務(wù)，最終拖累企業(yè)正常業(yè)務(wù)開(kāi)展。

在我國(guó)一部分?jǐn)?shù)據(jù)安全的需求就是因?yàn)槠髽I(yè)數(shù)據(jù)保護(hù)和維護(hù)的成本逐年增長(zhǎng)，需要升級(jí)數(shù)據(jù)安全的解決方案，更重要的是需要借助數(shù)據(jù)隱藏的價(jià)值發(fā)展和創(chuàng)新業(yè)務(wù)，為企業(yè)尋求新的發(fā)力點(diǎn)。

數(shù)據(jù)治理安全實(shí)踐

針對(duì)數(shù)據(jù)治理安全的三種需求，實(shí)現(xiàn)數(shù)據(jù)安全的應(yīng)對(duì)方法各不相同，但是最終的目標(biāo)都是要為企業(yè)的數(shù)字化轉(zhuǎn)型提供數(shù)據(jù)安全保障。本報(bào)告研究的核心就是在實(shí)現(xiàn)數(shù)字化轉(zhuǎn)型的過(guò)程中，怎樣才能在業(yè)務(wù)促進(jìn)和創(chuàng)新上提供匹配的數(shù)據(jù)安全能力。

擁有數(shù)據(jù)安全能力的途徑很多，數(shù)世咨詢(xún)認(rèn)為，當(dāng)前我國(guó)商業(yè)市場(chǎng)上有關(guān)數(shù)據(jù)安全的實(shí)踐方向總體分為兩大類(lèi)，分別為源自安全和源自數(shù)據(jù)。

源自安全

這類(lèi)解決問(wèn)題的方法通常是根據(jù)數(shù)據(jù)生命周期來(lái)進(jìn)行數(shù)據(jù)安全建設(shè)的應(yīng)對(duì)思路，從安全防護(hù)以及等級(jí)保護(hù)的角度切入，幫助行業(yè)用戶(hù)對(duì)應(yīng)檢查項(xiàng)目和相關(guān)安全功能需求，屬于上文提到的數(shù)據(jù)安全發(fā)展階段中的數(shù)據(jù)貯存安全和數(shù)據(jù)訪問(wèn)安全。

源自安全的實(shí)踐方向：

1. 數(shù)據(jù)安全專(zhuān)項(xiàng)能力：主要實(shí)現(xiàn)類(lèi)似身份認(rèn)證與訪問(wèn)、數(shù)據(jù)防泄漏、數(shù)據(jù)審計(jì)、數(shù)據(jù)風(fēng)險(xiǎn)監(jiān)測(cè)、數(shù)據(jù)庫(kù)安全等單點(diǎn)防護(hù)的安全控制。

它可以很快的為企業(yè)建立基礎(chǔ)的數(shù)據(jù)安全控制能力，一方面可以點(diǎn)對(duì)點(diǎn)的將等級(jí)保護(hù)相關(guān)控制項(xiàng)能力補(bǔ)齊，一方面可以配合大型IT項(xiàng)目進(jìn)行安全能力的引入。

2. 數(shù)據(jù)安全管理平臺(tái)：主要是將零散的數(shù)據(jù)安全控制點(diǎn)，進(jìn)行統(tǒng)一的管理和實(shí)現(xiàn)可視化，將安全能力串聯(lián)、放大，起到安全協(xié)同處置的作用。

它可以接管數(shù)據(jù)安全的相關(guān)流量并提供一定的安全分析功能，將安全控制協(xié)調(diào)串聯(lián)，通過(guò)統(tǒng)一化的管理界面和控制面管道，便捷的維護(hù)和管理數(shù)據(jù)安全能力。

源自數(shù)據(jù)

與源自安全的解決方法不同的是，源自數(shù)據(jù)的思路核心為驅(qū)動(dòng)企業(yè)業(yè)務(wù)發(fā)展與創(chuàng)新，在企業(yè)數(shù)字化轉(zhuǎn)型過(guò)程中，提供匹配業(yè)務(wù)需求的數(shù)據(jù)安全能力。屬于上文提到的數(shù)據(jù)安全發(fā)展階段中的數(shù)據(jù)訪問(wèn)安全和數(shù)據(jù)開(kāi)放安全。

從業(yè)務(wù)發(fā)展和創(chuàng)新的角度來(lái)看，源自安全的方法在企業(yè)深入數(shù)字化轉(zhuǎn)型后，可能會(huì)出現(xiàn)安全控制與現(xiàn)有的業(yè)務(wù)流程不匹配、與管理環(huán)節(jié)脫軌等問(wèn)題，因?yàn)樵诓渴疬@些數(shù)據(jù)安全措施時(shí)，并沒(méi)有完全根據(jù)業(yè)務(wù)運(yùn)營(yíng)的邏輯和流程去設(shè)計(jì)，更多的是利用通用性的安全控制點(diǎn)來(lái)體現(xiàn)效果。這樣的話，就必須對(duì)其進(jìn)行定制化的改造，才能賦予其對(duì)不同類(lèi)型和級(jí)別數(shù)據(jù)的不同安全能力，實(shí)現(xiàn)精確化管控，驅(qū)動(dòng)業(yè)務(wù)發(fā)展。而源自數(shù)據(jù)的數(shù)據(jù)安全方法，天然就和企業(yè)數(shù)據(jù)相匹配，避免了后期重復(fù)投入的問(wèn)題。

源自數(shù)據(jù)的實(shí)踐方向：

1. 隱私計(jì)算：主要解決數(shù)據(jù)開(kāi)放階段的數(shù)據(jù)流動(dòng)安全問(wèn)題，保護(hù)對(duì)象是隱私數(shù)據(jù)和敏感數(shù)據(jù)，目的是挖掘政務(wù)數(shù)據(jù)和個(gè)人隱私數(shù)據(jù)的隱藏價(jià)值，在不侵犯數(shù)據(jù)所有者權(quán)利的前提下，進(jìn)行社會(huì)服務(wù)和科學(xué)研究。

雖然現(xiàn)在已經(jīng)出現(xiàn)了多方安全計(jì)算和差分隱私等隱私計(jì)算產(chǎn)品，解決了部分隱私流動(dòng)與匯聚計(jì)算的問(wèn)題，但有關(guān)隱私保護(hù)和數(shù)據(jù)交易方面的法律法規(guī)還不算完善。并且隱私計(jì)算最大的價(jià)值是融合到業(yè)務(wù)應(yīng)用中，通過(guò)人工智能和深度學(xué)習(xí)去促進(jìn)企業(yè)發(fā)展，現(xiàn)階段還沒(méi)有成熟、穩(wěn)定的實(shí)踐。

2. DSG(數(shù)據(jù)安全治理)：這類(lèi)解決方案主要根據(jù)GARTNER發(fā)布的DSG框架進(jìn)行操作，DSG先治理、后安全的概念和理論本身沒(méi)有問(wèn)題，但是不論在國(guó)際還是國(guó)內(nèi)，其推行效果都不太理想，迄今為止并沒(méi)有太多的完整案例可以作為參考和借鑒。以至于此類(lèi)解決方案往往是以咨詢(xún)服務(wù)開(kāi)始、以咨詢(xún)服務(wù)結(jié)束，并沒(méi)有落地實(shí)際產(chǎn)品或者流程，對(duì)企業(yè)數(shù)據(jù)安全建設(shè)沒(méi)有起到實(shí)質(zhì)性的幫助。

3. 數(shù)據(jù)治理安全(DGS)：這類(lèi)解決方案是用來(lái)替代DSG這一實(shí)踐方向的，雖然與DSG在先治理，后安全的理念上一致，但邏輯架構(gòu)和實(shí)踐應(yīng)用卻大相徑庭。

就目前的數(shù)據(jù)安全落地應(yīng)用來(lái)說(shuō)，凡是借用DSG的理念進(jìn)行推廣，優(yōu)先進(jìn)行數(shù)據(jù)分類(lèi)分級(jí)的工作，然后再匹配相應(yīng)安全能力的解決方案，其實(shí)都是數(shù)據(jù)治理安全(DGS)的實(shí)踐方向。

一方面是因?yàn)閿?shù)據(jù)分類(lèi)分級(jí)或數(shù)據(jù)輕量資產(chǎn)化的方式，根本沒(méi)有達(dá)到或匹配DSG有關(guān)數(shù)據(jù)戰(zhàn)略的頂層設(shè)計(jì)，不符合其框架邏輯;另一方面是因?yàn)閿?shù)據(jù)治理安全(DGS)的出發(fā)點(diǎn)就是減輕項(xiàng)目前期人工咨詢(xún)、事務(wù)性工作、數(shù)據(jù)資產(chǎn)化的沉重壓力，同時(shí)為未來(lái)全局化數(shù)據(jù)治理工作做好準(zhǔn)備。

從落地應(yīng)用可以直觀的發(fā)現(xiàn)，產(chǎn)業(yè)界都已發(fā)現(xiàn)了傳統(tǒng)DSG的可行性困難，并在具體的實(shí)施方法上做了基于各自理解之上的修改。之所以一直在沿用DSG的名稱(chēng)概念，只是因?yàn)橐恢睙o(wú)人提出更好的概念、理念和技術(shù)框架以代替。

數(shù)據(jù)治理安全市場(chǎng)

從上文中的分析我們已經(jīng)得知，現(xiàn)階段我國(guó)數(shù)據(jù)安全商業(yè)市場(chǎng)是由安全合規(guī)驅(qū)動(dòng)的。而數(shù)據(jù)治理安全(DGS)的核心，數(shù)據(jù)分類(lèi)分級(jí)、合規(guī)條款匹配和數(shù)據(jù)安全能力的對(duì)接與調(diào)度，與合規(guī)這一硬性需求結(jié)合的更加緊密。

圍繞《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》和《個(gè)人信息保護(hù)法》，國(guó)家開(kāi)展數(shù)據(jù)分類(lèi)分級(jí)制度的建設(shè)，相繼發(fā)布或正在修改一系列法規(guī)與政策文件。而《重要數(shù)據(jù)識(shí)別規(guī)則》、《網(wǎng)絡(luò)安全審查辦法》、《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》等文件，與企業(yè)生產(chǎn)經(jīng)營(yíng)和持續(xù)發(fā)展息息相關(guān)。行業(yè)用戶(hù)還受到行業(yè)主管部門(mén)的監(jiān)管，需要遵循相關(guān)數(shù)據(jù)安全特定要求和分類(lèi)分級(jí)的具體規(guī)范。

目前，政府、國(guó)央企、金融、醫(yī)療、互聯(lián)網(wǎng)等行業(yè)，對(duì)數(shù)據(jù)安全合規(guī)建設(shè)和分類(lèi)分級(jí)的需求極為迫切，屬于剛需。

據(jù)數(shù)世咨詢(xún)統(tǒng)計(jì)，2021年僅數(shù)據(jù)安全原廠商的業(yè)務(wù)收入就達(dá)到了60億元的規(guī)模，并保守預(yù)計(jì)未來(lái)5年的平均增長(zhǎng)率為50%，即2026年為455億元，未7年將突破千億元。

圖 4 市場(chǎng)規(guī)模

數(shù)世咨詢(xún)認(rèn)為，從網(wǎng)絡(luò)安全演化到數(shù)字安全的范式轉(zhuǎn)換過(guò)程中，網(wǎng)絡(luò)安全已成為基礎(chǔ)手段，而核心是數(shù)據(jù)安全。數(shù)據(jù)承載著業(yè)務(wù)、驅(qū)動(dòng)著業(yè)務(wù)，因此數(shù)據(jù)安全與業(yè)務(wù)融合、數(shù)據(jù)安全驅(qū)動(dòng)業(yè)務(wù)必將是數(shù)字時(shí)代的終級(jí)趨勢(shì)。隨著數(shù)字經(jīng)濟(jì)的發(fā)展，數(shù)字時(shí)代的企業(yè)對(duì)數(shù)據(jù)安全的需求都將成為剛需，未來(lái)數(shù)據(jù)安全市場(chǎng)將與網(wǎng)絡(luò)安全市場(chǎng)的規(guī)模相當(dāng)，甚至超過(guò)都有可能。

?

DSG困境分析

面對(duì)如此廣袤的市場(chǎng)，我們可以看到，如果以推動(dòng)企業(yè)數(shù)字化轉(zhuǎn)型過(guò)程，促進(jìn)和創(chuàng)新業(yè)務(wù)發(fā)展的角度去思考，源于安全的數(shù)據(jù)安全建設(shè)模式存在一些發(fā)展問(wèn)題，因?yàn)槠洳粷M(mǎn)足企業(yè)數(shù)字化轉(zhuǎn)型的初衷以及企業(yè)管理和業(yè)務(wù)流程不斷變化的需求。

那為何源于數(shù)據(jù)的DSG思路，以先治理、后安全的方法切入，依然不能很好解決這一現(xiàn)象，是因?yàn)镈SG框架存在三大問(wèn)題。

圖 5 DSG框架

實(shí)踐問(wèn)題

DAMA(國(guó)際數(shù)據(jù)管理協(xié)會(huì))理論框架(下圖左)指出，數(shù)據(jù)治理職能包括戰(zhàn)略、組織和角色、政策和標(biāo)準(zhǔn)、項(xiàng)目和服務(wù)、問(wèn)題、估值幾個(gè)方面，數(shù)據(jù)治理職能指導(dǎo)其他數(shù)據(jù)管理職能如何執(zhí)行。從DAMA體系不難看出，數(shù)據(jù)安全是數(shù)據(jù)治理的一部分，屬于管理范疇。

《GB/T 34960.5-2018 信息技術(shù)服務(wù) 治理 第五部分：數(shù)據(jù)治理規(guī)范》(下圖右)指出數(shù)據(jù)治理的框架體系，主要由頂層設(shè)計(jì)、數(shù)據(jù)治理環(huán)境、數(shù)據(jù)治理域和數(shù)據(jù)治理過(guò)程組成。數(shù)據(jù)治理域的數(shù)據(jù)管理體系指出，組織應(yīng)圍繞數(shù)據(jù)標(biāo)準(zhǔn)、數(shù)據(jù)質(zhì)量、數(shù)據(jù)安全、元數(shù)據(jù)管理和數(shù)據(jù)生存周期等。從國(guó)家標(biāo)準(zhǔn)不難看出，數(shù)據(jù)安全是數(shù)據(jù)治理的一部分，屬于管理范疇。

圖 6 數(shù)據(jù)治理與數(shù)據(jù)安全的關(guān)系

如此可知，數(shù)據(jù)治理大于數(shù)據(jù)安全，數(shù)據(jù)安全屬于管理范疇，數(shù)據(jù)安全治理(DSG)用治理的方法實(shí)現(xiàn)管理的事情，很顯然是一種吃力不討好的做法，也是其在推行過(guò)程中最大的阻力。

數(shù)世咨詢(xún)認(rèn)為，數(shù)據(jù)做為人類(lèi)活動(dòng)的第五大生產(chǎn)要素，站在國(guó)家、行業(yè)的層面用頂層治理的高度來(lái)考慮是完全必要的。但站在企業(yè)或機(jī)構(gòu)的自身層面，用治理的高度來(lái)實(shí)現(xiàn)數(shù)據(jù)安全管理，無(wú)異于“大炮打蚊子”，時(shí)間、人力、物力上的成本令企業(yè)或機(jī)構(gòu)舉步維艱。這幾年來(lái)的實(shí)踐也證明，傳統(tǒng)數(shù)據(jù)安全治理的概念和思路均存在無(wú)法落地的問(wèn)題。

從理論和國(guó)外實(shí)踐來(lái)看，推行DSG的企業(yè)會(huì)建立企業(yè)級(jí)數(shù)據(jù)治理委員會(huì)，有業(yè)務(wù)部門(mén)領(lǐng)導(dǎo)、IT部門(mén)領(lǐng)導(dǎo)共同參與，讓業(yè)務(wù)與業(yè)務(wù)之間、業(yè)務(wù)與技術(shù)之間能夠有更充分的討論溝通，從而對(duì)宏觀的數(shù)據(jù)戰(zhàn)略、制度達(dá)成共識(shí)。

但就國(guó)內(nèi)現(xiàn)狀來(lái)看，因?yàn)榻?jīng)濟(jì)體制、企業(yè)架構(gòu)以及管理模式與國(guó)際情況大相徑庭，在DSG基于美洲、歐洲商業(yè)市場(chǎng)環(huán)境開(kāi)發(fā)的前提下依然推行不暢，在國(guó)內(nèi)推行DSG更是阻礙重重。

不可否認(rèn)的是，歐美國(guó)家在科技創(chuàng)新和應(yīng)用上在現(xiàn)階段是領(lǐng)先于我國(guó)的，數(shù)據(jù)安全在企業(yè)經(jīng)營(yíng)中的作用已經(jīng)得到了許多驗(yàn)證，并且歐美國(guó)家的許多企業(yè)已經(jīng)完成或者開(kāi)始了數(shù)據(jù)治理的工作，所以他們可以用數(shù)據(jù)治理的方式去進(jìn)行數(shù)據(jù)安全建設(shè)，因?yàn)閿?shù)據(jù)安全本就是數(shù)據(jù)治理的重要一環(huán)，是業(yè)務(wù)驅(qū)動(dòng)的選擇。

而反觀我國(guó)，除了一些行業(yè)頭部企業(yè)外，數(shù)以?xún)|記的企業(yè)都沒(méi)有開(kāi)始數(shù)據(jù)治理的工作，用數(shù)據(jù)治理的流程去做數(shù)據(jù)安全，不僅不能加速企業(yè)的數(shù)據(jù)安全建設(shè)，通常還會(huì)渙散企業(yè)對(duì)數(shù)據(jù)安全建設(shè)的決心。

成本問(wèn)題

根據(jù)DSG框架描述，為了構(gòu)建數(shù)據(jù)安全能力，不能從安全控制點(diǎn)開(kāi)始，必須從商業(yè)策略、業(yè)務(wù)策略、治理策略、IT策略、風(fēng)險(xiǎn)策略等等一系列頂層戰(zhàn)略開(kāi)始，基本和數(shù)據(jù)治理的操作方式一致。

數(shù)世咨詢(xún)認(rèn)為，從企業(yè)的數(shù)據(jù)安全需求和應(yīng)用效果的角度來(lái)看，DSG框架不具備落地執(zhí)行性。從數(shù)據(jù)安全建設(shè)的成本控制和投入產(chǎn)出比來(lái)看，DSG方法和利益最大化原則相悖。這就好比我只是想吃一盤(pán)蒸羊羔，沒(méi)必要下一個(gè)滿(mǎn)漢全席的訂單，單獨(dú)點(diǎn)一道菜就完全可以解決我的需求。

數(shù)世咨詢(xún)通過(guò)調(diào)研發(fā)現(xiàn)，我國(guó)大多數(shù)有數(shù)據(jù)安全需求的企業(yè)，至少在現(xiàn)階段，最大的需求是優(yōu)先為數(shù)據(jù)資產(chǎn)賦予安全能力，其他的數(shù)據(jù)治理環(huán)節(jié)與流程在業(yè)務(wù)開(kāi)展的過(guò)程中慢慢磨合與改進(jìn)。而不是為了數(shù)據(jù)安全去執(zhí)行數(shù)據(jù)治理的流程，投入數(shù)據(jù)治理所需要的人、財(cái)、物和時(shí)間，這種投入大、耗時(shí)長(zhǎng)、見(jiàn)效慢的做法是企業(yè)不能接受的，也是不符合正常商業(yè)模式的。

監(jiān)管問(wèn)題

由于國(guó)家層面的推動(dòng)，我國(guó)企業(yè)對(duì)數(shù)據(jù)安全的需求，基本上都是合規(guī)驅(qū)動(dòng)的選擇。就合規(guī)監(jiān)管來(lái)說(shuō)，DSG主要面向類(lèi)似GDPR(通用數(shù)據(jù)保護(hù)條例)中DPIA(數(shù)據(jù)保護(hù)影響評(píng)估)對(duì)數(shù)據(jù)風(fēng)險(xiǎn)和隱私數(shù)據(jù)的描述，但不論GDPR還是CCPA(加州隱私保護(hù)法)，與我國(guó)在數(shù)據(jù)安全和隱私保護(hù)方面的監(jiān)管要求都有或多或少的差別。

另一層面，企業(yè)數(shù)據(jù)安全建設(shè)中，符合國(guó)家監(jiān)管政策的第一步是實(shí)現(xiàn)分類(lèi)分級(jí)，安全能力要基于分類(lèi)分級(jí)的結(jié)果去匹配相應(yīng)的措施。《數(shù)據(jù)安全法》雖然指出我國(guó)要對(duì)數(shù)據(jù)安全進(jìn)行分類(lèi)分級(jí)保護(hù)建設(shè)，但現(xiàn)階段并沒(méi)有國(guó)家層面的法律法規(guī)文件做出各類(lèi)、各級(jí)細(xì)則條款的明確規(guī)定，《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》和《重要數(shù)據(jù)識(shí)別指南》還處在征求意見(jiàn)稿階段。目前企業(yè)對(duì)上述法規(guī)文件只能做參考，更多的是基于行業(yè)監(jiān)管和通用標(biāo)準(zhǔn)進(jìn)行數(shù)據(jù)分類(lèi)分級(jí)工作，這就導(dǎo)致了不同行業(yè)的企業(yè)需要遵從不同的要求，對(duì)安全解決方案提出了嚴(yán)苛的定制化需要。

數(shù)據(jù)治理安全分析

綜上所述，現(xiàn)階段我國(guó)行業(yè)用戶(hù)數(shù)據(jù)安全建設(shè)的最佳方式，是實(shí)現(xiàn)以合規(guī)驅(qū)動(dòng)的數(shù)據(jù)安全建設(shè)，即數(shù)據(jù)治理安全(DGS)。用最輕量化的數(shù)據(jù)治理思路，建設(shè)數(shù)據(jù)安全能力，用最小的代價(jià)解決當(dāng)前最迫切的需求，為后續(xù)數(shù)據(jù)安全的全面建設(shè)提供技術(shù)與管理基礎(chǔ)。

數(shù)世咨詢(xún)認(rèn)為，數(shù)字安全是以網(wǎng)絡(luò)安全為基礎(chǔ)，以數(shù)據(jù)安全為核心的。數(shù)據(jù)安全不再是網(wǎng)絡(luò)安全的分支，在數(shù)字時(shí)代已經(jīng)擁有了其自身技術(shù)架構(gòu)和商業(yè)模式，傳統(tǒng)的安全防護(hù)思路與方法已無(wú)法滿(mǎn)足現(xiàn)代數(shù)據(jù)安全建設(shè)的要求。

為了應(yīng)對(duì)我國(guó)商業(yè)市場(chǎng)以合規(guī)驅(qū)動(dòng)的數(shù)據(jù)安全建設(shè)需求，落地方案應(yīng)該首先解決如下核心問(wèn)題：

1. 輕量資產(chǎn)化：數(shù)據(jù)資產(chǎn)化是一個(gè)體系化的問(wèn)題，涉及數(shù)據(jù)的權(quán)屬、估值、交易、隱私等等。但輕量資產(chǎn)化只需要將原始數(shù)據(jù)進(jìn)行一些簡(jiǎn)單的處理，剔除劣質(zhì)和無(wú)效數(shù)據(jù)后，將其制作成有效支持分析運(yùn)算與業(yè)務(wù)應(yīng)用的數(shù)據(jù)資產(chǎn)。這就意味著輕量資產(chǎn)化的過(guò)程要進(jìn)行數(shù)據(jù)和業(yè)務(wù)的關(guān)聯(lián)性思考，既要懂?dāng)?shù)據(jù)、又要懂業(yè)務(wù)，需要接管企業(yè)全部業(yè)務(wù)數(shù)據(jù)。

2. 智能分類(lèi)分級(jí)：很多解決方案依然會(huì)使用手工的分類(lèi)分級(jí)方法，這樣的方式需要引入繁重的咨詢(xún)服務(wù)流程，并且日后使用效率低下和缺乏靈活性。輕量級(jí)的咨詢(xún)服務(wù)是需要的，但這里的核心是AI/ML的深度應(yīng)用，對(duì)國(guó)家法律法規(guī)、行業(yè)監(jiān)管的理解和對(duì)業(yè)務(wù)數(shù)據(jù)的理解，通過(guò)行業(yè)數(shù)據(jù)的訓(xùn)練使其極大的減少行業(yè)客戶(hù)初期咨詢(xún)的工作量，并且在日后的深度應(yīng)用過(guò)程中高效匹配業(yè)務(wù)流轉(zhuǎn)。

3. 安全條款符合化：在實(shí)現(xiàn)數(shù)據(jù)輕量資產(chǎn)化和持續(xù)分類(lèi)分級(jí)的前提下，需要根據(jù)數(shù)據(jù)安全相關(guān)的法律法規(guī)和地方、行業(yè)的安全要求，以安全合規(guī)基線的方法，為企業(yè)提供完整的安全條款項(xiàng)對(duì)應(yīng)控制。

4. 安全能力對(duì)接與編排調(diào)度：匹配數(shù)據(jù)在收集、存儲(chǔ)、使用、加工、傳輸、提供、公開(kāi)等過(guò)程中的安全控制，通過(guò)API的方式對(duì)接各種數(shù)據(jù)安全能力，結(jié)合業(yè)務(wù)流程與管理需求，編排調(diào)度各種數(shù)據(jù)安全能力，確保數(shù)據(jù)處于有效保護(hù)和合法利用的狀態(tài)，以及具備保障持續(xù)安全狀態(tài)的能力

5. 持續(xù)分類(lèi)分級(jí)：業(yè)務(wù)在不斷的發(fā)展、數(shù)據(jù)在不斷的變化、監(jiān)管也在不斷的調(diào)整，為了更加準(zhǔn)確的為業(yè)務(wù)數(shù)據(jù)分類(lèi)分級(jí)，為了更加及時(shí)的將新的監(jiān)管要求和業(yè)務(wù)需求進(jìn)行匹配，就必須具備持續(xù)修正分類(lèi)分級(jí)規(guī)則從從而進(jìn)行不斷調(diào)優(yōu)迭代的能力。

?

數(shù)據(jù)治理安全能力框架

基于數(shù)據(jù)治理安全(DGS)的思想，數(shù)世咨詢(xún)聯(lián)合霍因科技開(kāi)發(fā)了(CPI)2 框架，用來(lái)描述數(shù)據(jù)治理安全能力的建設(shè)思路，給行業(yè)帶來(lái)新的參考借鑒。

該框架基于霍因科技在數(shù)據(jù)存儲(chǔ)與數(shù)據(jù)治理方面沉淀的技術(shù)和對(duì)行業(yè)數(shù)據(jù)的深度理解，匹配數(shù)據(jù)安全相關(guān)法律法規(guī)和地方、行業(yè)的安全要求，實(shí)現(xiàn)了以合規(guī)驅(qū)動(dòng)的數(shù)據(jù)安全建設(shè)落地應(yīng)用，是數(shù)據(jù)治理安全(DGS)的最佳實(shí)踐。

圖 7 (CPI)2 框架

其中Consulting代表輕量級(jí)咨詢(xún)、Capitalzation代表輕量級(jí)資產(chǎn)化，Policy代表安全策略，Protection代表安全防護(hù)，Iteration代表迭代調(diào)優(yōu)，Improvement代表持續(xù)改善。

整體框架邏輯為，通過(guò)霍因科技對(duì)行業(yè)數(shù)據(jù)安全法規(guī)條例和業(yè)務(wù)特性的深度理解，輔以輕量級(jí)的咨詢(xún)服務(wù)，用人工智能的方式為企業(yè)實(shí)現(xiàn)數(shù)據(jù)分類(lèi)分級(jí)和輕量資產(chǎn)化;為數(shù)據(jù)資產(chǎn)制定全面的安全策略，匹配法律法規(guī)和政策要求的安全控制能力;持續(xù)跟進(jìn)法律法規(guī)和政策變化、持續(xù)學(xué)習(xí)業(yè)務(wù)邏輯的特性與管理運(yùn)作的流程，不斷調(diào)整分類(lèi)分級(jí)的結(jié)果，使數(shù)據(jù)資產(chǎn)更加精確、明晰，往復(fù)循環(huán)正向迭代的過(guò)程，實(shí)現(xiàn)可持續(xù)發(fā)展的數(shù)據(jù)治理安全。

圖 8 (CPI)2 技術(shù)實(shí)現(xiàn)

將框架拆解到實(shí)踐應(yīng)用部分，執(zhí)行邏輯為：

1. C&C：行業(yè)數(shù)據(jù)理解—>全域數(shù)據(jù)接入—>基于AI的敏感數(shù)據(jù)自動(dòng)發(fā)現(xiàn)和分類(lèi)分級(jí)—>數(shù)據(jù)自動(dòng)標(biāo)簽和入湖倉(cāng)—>完成資產(chǎn)化。

2. P&P：數(shù)據(jù)安全基線和策略—>API安全網(wǎng)關(guān)—>隱私計(jì)算—>數(shù)據(jù)安全能力的編排與調(diào)度。

3. I&I：AI引擎本地化訓(xùn)練和建模—>正向循環(huán)迭代—>持續(xù)提升精準(zhǔn)度

圖 9 霍因?海石-數(shù)據(jù)加工展示

圖 10 霍因?海石-數(shù)據(jù)質(zhì)量展示

圖 11 霍因?海石-數(shù)據(jù)目錄展示

(CPI)2 的應(yīng)用基于AI的數(shù)據(jù)自動(dòng)分類(lèi)分級(jí)能力、具有行業(yè)屬性的知識(shí)圖譜和全域數(shù)據(jù)/多模態(tài)數(shù)據(jù)的治理能力，配備全種類(lèi)數(shù)據(jù)接入模塊、數(shù)據(jù)智能識(shí)別引擎、API安全網(wǎng)關(guān)并擁有安全湖倉(cāng)，支持云原生、私有化部署和SaaS服務(wù)，滿(mǎn)足企業(yè)數(shù)字化轉(zhuǎn)型的各種需求。

?

未來(lái)趨勢(shì)分析

與網(wǎng)絡(luò)安全不同，數(shù)據(jù)安全天然的屬性就是要和業(yè)務(wù)融合。保護(hù)數(shù)據(jù)資產(chǎn)的安全性已經(jīng)不能滿(mǎn)足數(shù)字時(shí)代的要求，數(shù)據(jù)安全要成為支撐業(yè)務(wù)發(fā)展和創(chuàng)新的中流砥柱。

因?yàn)榱鲃?dòng)的數(shù)據(jù)才能創(chuàng)造價(jià)值，才能稱(chēng)之為生產(chǎn)要素，數(shù)字時(shí)代的數(shù)據(jù)安全更重要的是關(guān)注數(shù)據(jù)開(kāi)放過(guò)程中的誤用與濫用，怎樣平衡數(shù)據(jù)使用與安全監(jiān)管兩者的關(guān)系，是產(chǎn)業(yè)界必須研究的課題。

未來(lái)的數(shù)據(jù)安全必然繞不開(kāi)深度學(xué)習(xí)和隱私計(jì)算，這兩大技術(shù)都需要極大的計(jì)算力和計(jì)算模型去支撐。數(shù)據(jù)安全企業(yè)應(yīng)該在數(shù)據(jù)開(kāi)放時(shí)代完全到來(lái)之前，深度挖掘各行業(yè)應(yīng)用的特性，積累并轉(zhuǎn)化成數(shù)學(xué)模型，以支撐未來(lái)數(shù)據(jù)安全的不同應(yīng)用需求。

?

報(bào)告結(jié)語(yǔ)

數(shù)世咨詢(xún)?cè)诋a(chǎn)業(yè)創(chuàng)新方面，立志于“將全球領(lǐng)先的安全理念、技術(shù)中國(guó)化，將中國(guó)領(lǐng)先的安全理念、技術(shù)國(guó)際化”。根據(jù)科技發(fā)展的趨勢(shì)和數(shù)字安全的中國(guó)環(huán)境，數(shù)世咨詢(xún)認(rèn)為，凡是優(yōu)先進(jìn)行數(shù)據(jù)分類(lèi)分級(jí)的工作，然后再匹配相應(yīng)安全能力的解決方案都屬于數(shù)據(jù)治理安全(DGS)的范疇。

為了推動(dòng)我國(guó)數(shù)據(jù)安全研究和應(yīng)用的進(jìn)步，更為了企業(yè)可以著實(shí)構(gòu)建自身數(shù)據(jù)安全能力，更好的落地?cái)?shù)據(jù)安全保障體系，數(shù)世咨詢(xún)發(fā)起并撰寫(xiě)了本報(bào)告，向用戶(hù)展示一種適應(yīng)于國(guó)內(nèi)信息系統(tǒng)和商業(yè)市場(chǎng)環(huán)境，在現(xiàn)階段可實(shí)際應(yīng)用到生產(chǎn)環(huán)節(jié)和業(yè)務(wù)流程中的數(shù)據(jù)安全建設(shè)思想。希望通過(guò)本報(bào)告，可以切實(shí)促進(jìn)我國(guó)本土數(shù)據(jù)安全的商業(yè)市場(chǎng)發(fā)展，同時(shí)也為網(wǎng)絡(luò)空間安全產(chǎn)業(yè)帶來(lái)新的參考思路。

數(shù)世咨詢(xún)的核心理念為，數(shù)字時(shí)代、安全共生。希望通過(guò)本報(bào)告，能夠切實(shí)解決行業(yè)用戶(hù)在企業(yè)發(fā)展過(guò)程中出現(xiàn)的關(guān)于數(shù)字安全的問(wèn)題，實(shí)現(xiàn)數(shù)世咨詢(xún)的第三方參考價(jià)值，幫助企業(yè)用戶(hù)屹立在數(shù)字浪潮之巔。

原文來(lái)源：數(shù)世咨詢(xún)