在數字經濟時代，數據作(zuò)為(wèi)生産(chǎn)要素發揮越來越重要的作(zuò)用(yòng)，數據安(ān)全也得到了前所未有(yǒu)的重視。而随着數據安(ān)全能(néng)力已經進入了相對體(tǐ)系化建設的階段，更加智能(néng)化、協同化的新(xīn)一代數據安(ān)全管理(lǐ)平台得到了各類企業組織的廣泛關注。

本期牛人訪談邀請到美創科(kē)技(jì )CTO周傑，就如何構建新(xīn)一代數據安(ān)全管理(lǐ)平台相關話題展開深入讨論。周傑認為(wèi)，新(xīn)一代數據安(ān)全管理(lǐ)平台能(néng)夠契合雲時代和數據資産(chǎn)的複雜性，颠覆傳統認知中(zhōng)統一日志(zhì)收集中(zhōng)心的單一特性，在資産(chǎn)管理(lǐ)、身份治理(lǐ)、平台的彈性擴展性、适應性進化以及數字化表述等方面具(jù)有(yǒu)更全面的應用(yòng)價值。新(xīn)一代數據安(ān)全管理(lǐ)平台能(néng)夠幫助用(yòng)戶完成體(tǐ)系化數據安(ān)全建設，并真正實現“韌性數據安(ān)全”。

“

周傑

美創科(kē)技(jì )副總裁、首席技(jì )術官。從事數據安(ān)全領域研究開發十多(duō)年，曾經在思科(kē)等公(gōng)司任職，長(cháng)期跟蹤和關注數據安(ān)全理(lǐ)論、技(jì )術、實踐，對于增強身份治理(lǐ)、資産(chǎn)治理(lǐ)、風險治理(lǐ)、動态策略等有(yǒu)深入的研究，同時對于零信任、攻擊鏈、持續自适應風險信任評估等理(lǐ)論體(tǐ)系比較熟悉，在雲管端的數據安(ān)全産(chǎn)品開發方面有(yǒu)着多(duō)年的實踐，積累了大量經驗。目前他(tā)是雲安(ān)全聯盟（CSA）零信任專家、認證講師，從事 SDP、數據安(ān)全等研究，保持和 NIST、Gartner 等機構的緊密聯系，緊跟數據安(ān)全理(lǐ)論技(jì )術的最新(xīn)動态。此外，他(tā)還代表公(gōng)司參與了數據庫防火牆、數據脫敏、數據共享、數據備份等産(chǎn)品的标準制定及修訂。

随着數字化時代到來，數據已成為(wèi)企業的重要資産(chǎn)。同時數據隻有(yǒu)流動才能(néng)釋放價值，數據的流動性屬性以及訴求，帶來了數據安(ān)全的複雜性。原來的數據加密、脫敏、數據庫防火牆、數據庫審計等産(chǎn)品，都是解決某個單一場景的數據安(ān)全問題。當面對數據的複雜性時，就很(hěn)難做到有(yǒu)效防護。

我們認為(wèi)，企業開展數據資産(chǎn)防護工(gōng)作(zuò)時，可(kě)以從以下幾個方面重點展開：

首先，在理(lǐ)念方面，從靜态到動态防禦。數據天然具(jù)備流動性，在流動過程中(zhōng)帶來原安(ān)全防護能(néng)力無法有(yǒu)效解決的複雜性。所以需要通過動态防護的自适應性，根據不斷變化的安(ān)全環境和威脅形勢調整防禦策略。通過不斷學(xué)習和優化，企業可(kě)以提高數據安(ān)全防禦的效率和準确性，以及降低誤報率。

其次，在防護能(néng)力方面，要以資産(chǎn)為(wèi)中(zhōng)心，結合各種安(ān)全防護能(néng)力構建多(duō)層安(ān)全防禦機制，确保在各種極端場景下的安(ān)全防護與快速恢複。

最後，在管理(lǐ)方面，要建立相關數據安(ān)全管理(lǐ)制度。數據安(ān)全防護與實際業務(wù)結合，通過相關業務(wù)流程與機制，增強數據安(ān)全有(yǒu)效防護。

數據安(ān)全管理(lǐ)平台（DSP）最初主要功能(néng)是數據活動管理(lǐ)和數據庫活動管理(lǐ)。随後增加了數據庫審計等功能(néng)，并擴展到脫敏、安(ān)全分(fēn)析等能(néng)力。近年來，DSP平台的功能(néng)進一步擴展，包括加密、令牌、數據分(fēn)類等功能(néng)。

不同的安(ān)全廠商(shāng)在DSP領域可(kě)能(néng)有(yǒu)相似的技(jì )術路線(xiàn)，但在具(jù)體(tǐ)實現細節上可(kě)能(néng)存在差異。例如，在數據分(fēn)類分(fēn)級功能(néng)中(zhōng)，廠商(shāng)們關注準确率和降低成本。最近，使用(yòng)大語言模型進行數據分(fēn)類和分(fēn)級成為(wèi)熱門話題，這種方法可(kě)以根據内容推測字段的用(yòng)途、類别和級别。此外，廠商(shāng)們還在不同行業積累了模闆和實施成本方面的經驗。

數據安(ān)全态勢管理(lǐ)（DSPM）是較新(xīn)的概念，在2022年提出。在DSPM中(zhōng)，可(kě)見性是核心前提條件，包括“系統可(kě)見性”、“數據可(kě)見性”和”身份可(kě)見性”。系統可(kě)見性涵蓋全面監控和可(kě)視化系統，特别是針對複雜的雲上系統；數據可(kě)見性包括數據存放位置、擁有(yǒu)的數據、數據類型和時間。除了一些相對簡單的靜态數據，還涵蓋數據分(fēn)發、彙聚和二次加工(gōng)等處理(lǐ)過程中(zhōng)的中(zhōng)間數據。這些都是需要被保護的數據資産(chǎn)，但往往被忽視；身份可(kě)見性涉及識别組織内的身份，大型企業或組織通常有(yǒu)數百甚至數千個身份，需要準确識别這些身份。

單點式數據安(ān)全産(chǎn)品隻能(néng)解決部分(fēn)已經看到的數據安(ān)全問題，缺乏全局視角和全域的數據可(kě)見性，這是組織長(cháng)期存在數據安(ān)全風險的原因之一。為(wèi)了充分(fēn)暴露風險并采取相應措施，需要以可(kě)見性為(wèi)核心進行工(gōng)作(zuò)。通過實施數據安(ān)全策略、進行數據風險評估、分(fēn)類分(fēn)級、防洩漏和訪問控制等措施，在可(kě)見性的基礎上進行安(ān)全運營。将所有(yǒu)與安(ān)全相關的因素以可(kě)視化方式展現，包括各種隐私資産(chǎn)。隻有(yǒu)展現所有(yǒu)這些内容，才能(néng)評估其風險攻擊面。

各種數據安(ān)全平台的發展都具(jù)有(yǒu)一些共性的特點，其中(zhōng)最重要的是設備對接。這些平台能(néng)夠将脫敏、防火牆、審計和分(fēn)類分(fēn)級等能(néng)力整合到一個統一的平台上，用(yòng)戶可(kě)以查看底層設備、進行策略下發和日志(zhì)分(fēn)析等操作(zuò)，這被業界認為(wèi)是一個較好的平台。然而，現在的數據環境變得越來越複雜，面臨雲上、雲下、多(duō)雲、跨雲以及線(xiàn)上線(xiàn)下結合等挑戰。

我們認為(wèi)，與傳統的數據安(ān)全平台相比，新(xīn)一代數據安(ān)全管理(lǐ)平台的最大優勢在于，能(néng)夠充分(fēn)實踐并落地“韌性數據安(ān)全”這一理(lǐ)念和架構，并具(jù)備以下特點：

ㆍ數字化：安(ān)全數字化，以數字化能(néng)力賦能(néng)平台，降低管理(lǐ)複雜性。

ㆍ彈性：以資産(chǎn)為(wèi)中(zhōng)心，結合各種安(ān)全端點能(néng)力構建多(duō)層安(ān)全防禦機制，确保在各種極端場景下的安(ān)全防護與快速恢複。

ㆍ雲化：平台、能(néng)力全面融合，複雜性收斂到雲管理(lǐ)中(zhōng)心，端點能(néng)力保持靈活，快速适配各種安(ān)全場景。

ㆍ自适應性：圍繞數據、身份全生命周期變化，提供安(ān)全策略的自适應進化能(néng)力，實現智能(néng)化安(ān)全防護。

ㆍ可(kě)觀測性：圍繞資産(chǎn)、身份、行為(wèi)、風險等維度，結合數字化能(néng)力，進行可(kě)視化呈現，快速感知各類安(ān)全風險并及時響應。

我們認為(wèi)，企業在實現新(xīn)一代數據安(ān)全管理(lǐ)平台體(tǐ)系化的過程中(zhōng)，需要重點考慮以下幾個因素：

首先，在思路上保持一緻，圍繞組織提出的韌性數據安(ān)全防護體(tǐ)系，以資産(chǎn)為(wèi)中(zhōng)心，以身份為(wèi)邊界，以風險為(wèi)界面，作(zuò)為(wèi)新(xīn)一代平台的核心産(chǎn)品建設理(lǐ)念進行建設。

其次，安(ān)全防護能(néng)力原子化，從數據安(ān)全三大域：存儲域、訪問域、流動域場景化出發，構建多(duō)層級防禦體(tǐ)系。

最後，通過平台具(jù)備的連接能(néng)力，将人、技(jì )術、産(chǎn)品有(yǒu)效連接。結合用(yòng)戶業務(wù)層級，連接業務(wù)、連接安(ān)全能(néng)力，進行體(tǐ)系建設。

在雲計算環境中(zhōng)，數據面臨的安(ān)全問題比傳統本地環境更加複雜。雲計算規模更大，尤其是公(gōng)有(yǒu)雲服務(wù)容易受到全球黑客的攻擊。即使是政務(wù)雲和私有(yǒu)雲相比傳統機房，它們的攻擊面和接觸面也更廣。此外，雲計算還面臨着海量的數據、各種類型的數據庫和大量的身份信息。不同客戶的環境和需求也使得整體(tǐ)情況更加複雜和分(fēn)散。

新(xīn)一代數據安(ān)全管理(lǐ)平台，可(kě)以從以下幾個方面滿足雲環境安(ān)全：

多(duō)雲、海量資産(chǎn)全面納管：突破傳統靜态管理(lǐ)模式，平台的雲端技(jì )術架構天然具(jù)備應對多(duō)元混合生長(cháng)和海量數據增長(cháng)之後的安(ān)全資産(chǎn)管理(lǐ)問題。

數據安(ān)全保障能(néng)力全面融合：通過一個平台，全面融合數據安(ān)全管理(lǐ)、數據安(ān)全能(néng)力、數據安(ān)全可(kě)視化，實現數據安(ān)全可(kě)持續運營。

安(ān)全防護标準全面統一：統一分(fēn)類分(fēn)級防護、統一身份管理(lǐ)、統一安(ān)全策略配置入口和分(fēn)發、統一事件處置，确保多(duō)雲環境遵循相同的數據安(ān)全标準。

彈性、靈活的防護機制：集群、雲端架構、集中(zhōng)納管、存算分(fēn)離等機制，可(kě)應對海量數據增長(cháng)和流動加速帶來的散亂未知的安(ān)全風險監測和防護。

海量資産(chǎn)自适應防護：安(ān)全策略AI、端雲閉環、動态防護等能(néng)力，可(kě)快速應對海量數據增長(cháng)和流動使用(yòng)場景爆炸之後的閉環安(ān)全防護。