數字化轉型時期，數據的開發利用、數據價值的再創造讓數據成為了新時代關注的焦點。與此同時，保障數據安全的訴求也變得愈發強烈。數據開發利用的新場景、新技術應用引入了新的安全風險，數據安全技術正發展面臨著前所唯有的全新挑戰。未來社會經濟將持續向數字化乃至智能化的方向演進，數據安全技術的發展將與社會發展的進程密切相關。

不久前，在【T·TALK】系列活動的第六期中，我們特別邀請到了北京數安行科技有限公司CEO王文宇做客直播間。王文宇老師在本期分享過程中詳細介紹了數據安全技術的演進過程，并分享了對數據安全技術未來發展的思考與前瞻。【T·TALK】也將這些精彩內容進行了整理，希望能夠給讀者帶來一些收獲：

數據安全技術簡介

從DIKW模型定義的角度看，數據是一種枯燥的01代碼的組成。人們需要在數據的基礎上提取信息，在信息的基礎上加工知識，才能得到最終用于創造價值的智慧。因此，數據可以說是一種最底層的載體，數據安全所關心的則是信息的安全、知識的安全以及數據本體的安全。

目前業界數據安全技術大致可以分為三類。第一類是最底層的基礎安全技術，例如較為常見的密碼技術，包括古典密碼與現代密碼。密碼技術在不同時期的不同領域均發揮了巨大的作用。這也是整體數據安全技術中不可或缺的一個基礎。

第二類則是訪問控制，只要涉及到安全，訪問控制都是一個繞不過去的話題。數據是一把雙刃劍，誰在使用數據，如何利用數據，都會涉及到主體的問題。就像刀的使用者，在罪犯手中，刀會成為兇器，而在廚師手中，刀則會變為工具。

《實踐論》中對實踐的總結是主體、客體和社會實踐，共同形成了一個作用，這一概念也可以套用于訪問控制。在訪問控制中，主體是用戶，客體則是數據以及行為，也就是如何操作和訪問數據，以及它們之間一些更廣義的關聯關系。

在訪問控制之中，難度最大的是工程實踐。數據安全本質上是一個技術、科學與工程實踐高度融合的領域，涉及到成本、影響以及很多綜合的方面。選擇合適的、用戶能夠進行“正常使用”的訪問控制模型，是訪問控制在數據安全中實踐的關鍵。

第三類技術是可信計算，TCM、TPM、TPCM等可信計算邏輯與數據安全息息相關。可信計算能夠從硬件層到軟件層形成一個完整信任鏈的傳遞，同時也應用了密碼等各方面技術。目前，許多操作系統都將可信計算進行了內置，包括國內的部分芯片之中也內置了可信的部分模塊。

接下來介紹幾種比較有代表性的安全技術。首先是文件加密技術，對安全而言加密是一種非常直接的方式。但加密必定會對數據的易用性造成一些影響，因此加密技術的核心訴求是實現安全性與易用性的平衡，并在平衡的過程中減少副作用的產生。

加密本身是一件高度敏感的操作，對實時性、加密解密的安全性要求都非常高。一旦在某一過程中出現錯誤，例如加解密的順序、位置等出現任何變化，就意味著文件將被破壞，因此加密可以理解為一種暴力有效但有一定副作用的安全技術。

同理，數據庫加密技術與文件加密比較類似。數據庫加密技術的發展大概有10多年的時間，比文件加密的應用窄，應用場景少，因為庫加密依托于數據庫平臺、架構設計、高并發，主要在應用層處理，為了避免加密所帶來的影響，實際可操作的點比較少。受技術原理限制以及性能考量的約束，采用數據庫加密需要慎重。

對于重要文件及數據使用加密技術一定要慎之又慎，加密技術的確是解決一些安全問題的合理思路。但在使用前需要確認目前場景是否適合加密技術應用，以及到底該采取什么樣的加密方式，包括加密所產生的副作用是否在你的可接受范圍之內。

其次，關于目前應用比較廣泛的脫敏技術，脫敏最早脫胎于金融和運營商行業的開發環境、實驗環境以及生產環境之間。業務在上線前需要進行測試，而測試所使用的數據既不能是真實數據又需要偏向于真實數據，數據脫敏技術便誕生于這類需求之中。

從整體角度看，數據脫敏可以分為靜脫與動脫兩類。相比而言，靜脫的應用范圍更廣，動脫則容易受制于業務的一些場景與性能等方面需求。但就目前而言，無論是靜脫還是動脫，其技術發展都已較為成熟，并在國內外的許多領域有著優秀實踐。

數字水印技術是一項傳統安全技術，其技術路徑的演進非常之多。數字水印技術的關鍵在于實現數字水印的同時，保障數字水印的魯棒性以及數據原體不受影響與破壞。整體而言，水印主要是威懾和追溯的作用，與其余技術比起來，數字水印在事中與事后階段產生的影響更為明顯。

DLP比較特殊，全稱是數據泄露防護，特征是以內容識別為基礎做防護，分為終端DLP、網絡DLP、郵件DLP等等。DLP的理念主要是無意識的泄密，防止好人做壞事。

隱私計算是近幾年安全圈中的一個熱點領域，也有著一些不同的分支，例如同態加密、MPC，包括監管沙箱等一些不同的方式，都是隱私計算中的方法。隱私計算任重而道遠，其更多的是對算法以及數學問題提出一些較高的要求，以實現理想中的隱私計算與現實中隱私計算的平衡問題。

除了上述這些技術外，數據安全也可以理解為一個方法論的邏輯，在應用各類安全技術前，需要從管理與制度的視角切入，根據業務分析的情況來選取合適的技術路徑。不同的業務部門對數據安全的期許、對數據安全的保護方式往往有著不同的訴求。

從歷史角度看，起初數據安全只是網絡安全的一個子集，但隨著數字化轉型以及IT架構的變遷，數據業務作為核心的資產與要素，受到了越來越多的重視。數據安全也逐漸演進為了與網絡安全平級的，共同服務于網絡空間安全的一個子維度，未來數據安全也將極有可能迭代出更多的細分領域，這是數據安全未來發展的一大趨勢。

數據安全技術發展驅動力

數據安全發展的幾個重要驅動因素，第一點就是我們所熟知的法律驅動，隨著《網絡安全法》、《數據安全法》與《個人信息保護法》的相繼頒布實施，網絡空間安全已上升到法律層面，同時三大立法處罰力度在中國立法歷史上也算得上是top級。

其次是風險驅動，在我們愈發關注數據安全的今天，數據安全事件的發生反而越來越多，造成的損失也越來越嚴重。僅2020年發生的數據安全事件已經超過了過去15年的總和，且平均損失達到了五百萬美元的維度。因此，目前各大信息化企業均在密集發布數據安全相關的行業監管標準以及分類分級標準，甚至一些行業已經將數據安全列入了考核辦法，并計入到了KPI指標之中。

最后一項因素是新興技術驅動，在AI、大數據、云計算、5G、物聯網等創新技術應用的過程中會產生的大量數據。我們需要去關注這些數據，為這些數據創建保護措施，保障數據的安全合規，這也是目前時代我們所面臨的一大挑戰。

總的來說，數據安全發展的首要推動力就是時代的發展，安全是永遠為業務進行服務的，是一種業務的強支撐。在時代發展的過程中，業務總是在變得更加豐富，其復雜度的提升、形態的變化都會對安全提出更高的要求，數據安全技術演進需要緊隨時代信息化發展的節奏，才能夠為業務帶來更優質的服務。

在數據安全的發展過程中，不同階段有著不同的技術手段，以設備為中心的階段，數據庫加密、靜脫、文件加密是非常常見的手段。以邊界和網絡為核心的階段，更多的會使用阻斷，例如數據審計、數據庫防火墻、DLP、數據脫敏等技術。

未來十年，在重新構建以數據為中心的安全體系的情況下，我們需要去使用例如離線數據安全、隱私計算、全鏈路數據追蹤保護、數據風險評估等更多新技術手段，去構建一體化的數據安全治理平臺，打破傳統的數據安全孤島，以形成更多新的邏輯、思路與標準。

數據安全技術理念與演進

數據安全技術經歷了四個發展階段，也可以理解為四種不同類型技術。第一個階段，是囚籠型，相當于保險柜，以不丟失數據為目標，將數據進行封鎖。至今為止這都是一種很常見的安全保護措施。

第二個階段是枷鎖型，例如文件加密及數據庫加密，相當于房間的門鎖。這樣的方式對于交互性較弱的領域有較大的價值，但由于這一形式容易受到力度、顆粒度以及適用場景等問題的影響，因此枷鎖型技術也并不能適用于所有需求場景。

第三階是識別性，主要方式是基于內容的識別。

第四階段則是綜合型，也就是對技術的疊加應用。但往往理想很豐滿，現實卻有些骨感，疊加使用過多技術，反而會產生一些負面作用，例如運維成本的增加以及效率的降低等。最大的問題是付出了成本巨大，卻無法收獲顯著的效果，因為系統中事先存在的一些盲區以及缺口，其實是無法通過產品的堆疊來解決的。

現階段的數據安全更多的是向平臺型發展，將數據進行完整統一的映射，在這樣的基礎之上，有統一的數據映射、統一的身份、統一的數據身份、統一的管控策略，在自動化的監測的情況下，才能夠更好地實現數據安全的保障。

目前，隨著數據價值的升高，竊取數據的手段也變得愈發隱蔽。經常會出現內外勾結惡意竊取數據的事件，還有惡意竊密如APT攻擊以及一些高階竊取木馬等,這在一些地方商戰中可以看到。除此之外，還有國家級的安全對抗，竊取目標國的數據。對這些未知問題的追蹤缺乏有效的手段，這是目前和未來數據安全技術面臨的一大挑戰。解決這些問題的思路之一就是DataSecOps。

DataSecOps的核心維度是數據安全的左移，在數據處理的第一現場持續對數據處理和使用的過程進行追蹤，這樣才能監測數據流轉的整個過程，并發掘數據風險的真正源頭，因此數據安全左移是數據安全未來演進中的一個核心方向。

在數據安全左移之中，存在三個核心能力。第一是全鏈路數據識別與追蹤，簡單來說就是追蹤數據的各種使用維度，包括端點側、Server側、流量測、API側、Docker側等，數據安全永遠關注數據的使用與流轉。這是一個較為淺顯的維度，但出于成本的考量，這部分往往會被忽視。

第二是輕量化自適應防護，當無法承受全鏈路識別追蹤所帶來的壓力時，通過輕量化的方式，可以有效降低各維度的成本，包括最終使用側的成本與維護側的成本。通過自適應的方式，根據風險進行量化評估，便能實現對全流程進行監測和分析，以便對癥下藥。

最后一點，是與《數據安全法》的合法性相關的數據安全風險評估。安全風險評估希望的是脫離傳統的技術為輔、人力為主的方式，更多的以工具及產品為主導，利用自動化的方式進行風險評估，提高業務落地過程中的可執行性。

DataSecOps將IT分為了三個平面，第一個平面是基礎設施，包括存儲、主機、各類業務系統以及終端。在這一過程中我們可以看到數據存儲流轉的業務流與數據流。

第二個平面，則是關注在基礎設施上所運行的數據，數據可能來自不同的數據源，擁有不同的數據類型、不同的用戶以及不同的API接口，可能是隱私類數據、商業類數據等，因此第二個平面是從數據的角度來考量的。

第三個平面，是最為核心的技術落地，也就是數據安全平面，其有著不同的數據主體請求以及個人隱私管理，這是《個人信息保護法》中對隱私類數據的要求，包括敏感數據的自適應防護、安全監測以及對數據安全風險評估。建立自動化數據安全和防護診療一體的平臺，就是未來DataSecOps類產品發展演進的邏輯與路徑。

數據安全技術發展要素

除上述主觀因影響素外，全球數字化博弈，同樣也是影響數據安全技術發展的關鍵要素。在過去的兩年中，中國、新加坡、澳大利亞、南非、韓國、日本等國都相繼頒布了安全相關法律，這標志著世界范圍內對數據本地化的邏輯已經形成共識。

特別是在“十四五”數字經濟的維度下，越來越多的資金、人力被投入到數字化轉型企業之中，數據資產的價值也變得越來越高，數據安全的受重視程度也被抬升到了一個全新的高度，數據安全逐漸成為了經濟發展的一個維度要求。

無論是網絡安全還是數據安全，都是強監管的領域。在企業側，有著原生保護的驅動，而對于個人數據隱私，企業側則沒有原生驅動，更多的需要監管來推動安全的發展，這也是數據安全監管條例落實的意義所在。

在生產環境中，人力是第一生產力，也是第一風險源，數據安全事件的發生，很大一部分因素是人為因素。第一是人的惡意或無意的數據泄露，有些人因為不懂、不小心導致數據泄露。而另一些人則是由于經濟、政治等因素鋌而走險，人類的智慧是無窮的，但如何運用、用在哪里是需要思考與斟酌的。

此外，人為的間接影響也是目前普遍存在的，開發人員的不小心，經常會導致系統攜帶數據安全的隱患和風險。大部分企業中開發團隊與安全團隊是分離的，更多的是安全團隊通過一些制度方法進行風險的管控。但在實踐過程中往往依然難以避免一些漏洞，而任何存在漏洞的地方都有可能產生風險和問題。

數據安全發展前瞻

數據安全與數據開發利用，是同步建設的伴生性關系，數據安全是難以單獨生產的，安全永遠是一個保鏢的角色，是一個輔助的、伴生性的維度。一定要服務于主體，也就是數據的開發和利用，這也是未來永恒的主題。從國家提出這一生產要素，從企業認知這一要素，從我們全球競爭的視角看到這一要素，最終，這一要素融將入我們的血液，與勞動力、資金、土地等共同成為人類的基本共識。

數據安全并非只是完全單一的技術利用或人為管理，對技術人員而言，數據安全需要采用一種方式。曾經流行的觀點是“三分技術，七分管理”，但隨著時代的發展與技術的演進，人為的管理過程會變得冗余且不可控，因此未來數據安全領域更有可能轉變為“七分技術，三分管理”，甚至是“九分技術，一分管理”。

在未來的環境之下，數據的產生量與使用量只會繼續增加，數據的應用場景也會變得更加復雜，并形成蛛網形態的復雜數據網絡結構，在這樣的情景之下，技術將成為驅動數據安全發展，解決數據安全問題的核心。