数据安全行业技术水平分析
思瀚产业研究院 明朝万达    2023-11-29

（1）我国数据安全体系包含四个层面

数据安全技术包括四个层面，分别为边界安全、访问和控制、数据保护、审计监控等四个层面。

①边界安全——授权合法用户访问大数据平台集群

边界安全包括身份认证、网络隔离和传输安全。身份认证指的是：关注外部用户或者第三方服务，对集群访问过程中的身份鉴别，用户在访问启用安全认证的集群时，需通过服务所需要的安全认证方式。

网络隔离指的是：大数据平台集群，支持通过网络平面隔离的方式，保证网络安全。传输安全指的是：关注数据在传输过程中的安全性，包括采用安全的接口设计，和高安全的数据传输协议，来保证在通过接口访问、处理、传输数据时的安全性，避免数据被非法访问、窃听或旁路嗅探。

②访问控制——定义可以访问、应用数据的用户

访问控制包括权限控制1和审计管理。权限控制包括鉴权、授信管理；即确保用户对平台、接口、操作、资源、数据等都具有相应的访问权限，避免越权访问；分级管理，即根据敏感度对数据进行分级，对不同级别的数据提供差异化的流程、权限和审批要求等管理措施。审计管理指的是：基于底层提供的审计数据，在权限管理、数据使用、操作行为等多个维度，对大数据平台的运转提供安全审计能力，确保及时发现大数据平台中的隐患点。

③数据审计——数据溯源、数据使用和销毁路径跟踪

数据审计包括数据生命周期管理和日志审计。数据生命周期管理指的是：追溯大数据平台内的数据来源信息；熟知数据使用、销毁情况，通过安全审计，监测大数据系统中，是否存在非法数据访问。安全审计的目的是捕获系统内的完整活动记录，且不可被更改，遵守“事前可管、事中可控、事后可查”，三大原则。日志审计是对日志和审计记录做集中管理和分析。

④数据保护——数据加密和脱敏、多租户隔离、数据侵权保护、容灾管理

数据保护包括数据加密、数据脱敏、多租户隔离、数据侵权保护、容灾管理。数据加密指的是：提供数据在传输过程及静态存储的加密保护，在敏感数据被越权访问时仍然能够得到有效保护。数据脱敏指的是：提供数据脱敏和个人信息去标识化功能，提供满足国际密码算法的用户数据加密服务。

多租户隔离是指实施多租户访问隔离措施，实施数据安全等级划分，支持基于标签的强制访问控制，提供基于 ACL 的数据访问授权模型，提供全局数据视图和私有数据视图，提供数据视图的访问控制。数据侵权与保护是利用区块链等类似技术实现数据的溯源确权。数据容灾是为集群内部数据提供实时的异地数据容灾功能。

（2）定制化数据安全产品能够实现数据全生命周期的防护

近几年，“Data-centricSecurity”（简称 DCS）即“以数据为中心的安全”引发国内外网络安全企业热议。由于数据安全与业务活动关联紧切，数据安全企业必须在熟练掌握所服务数据库的数据全貌、业务细节的基础上才可能提炼出有效的安全策略，以部署周密的数据防护计划。随着越来越多的企业依靠大数据实现高效的运营管理，其运营的核心就是企业内网的数据防护及部署安全策略。

定制化数据安全产品属于 DCS 产品，它主要服务于企业的内网安全，它融合了 DCS 模型中的研发技术，以更好地服务具有特殊数据安全防护需求的企业、政府部门及个人用户；其产品职能是保护企业在业务活动中的计算机硬件、软件和数据不因意外和恶意原因而遭到损坏、更改和泄露，同时能够提供实时、相关、准确、完整的数据，为管理者提供业务管理保障的安全运营策略。

DCS 产品的目标包括防窃取、防滥用和防误用三方面的内容（防窃取是指防止数据被主动窃取或被动泄露到外部的过程；防滥用是指防止数据被主动不正当使用的过程；防误用是指防止数据被不经意间错误使用的过程），其产品将数据的全生命周期内各不同环节所涉及的信息系统、运行环境、业务场景和操作人员行为等作为围绕数据安全保护的支撑，在数据全生命周期内进行数据保护。