数据安全法一周年 | 2022数据安全技术白皮书

1.1.1 数字经济蓬勃发展加速数字化升级

从1987年“跨越长城，走向世界”，一封只有8个字的电子邮件由北京发出，到1994年中国全功能接入国际互联网，再到我国数字经济发展乘风而起、日新月异，涓涓细流汇成奔腾不息的滔滔江河，为中国经济转型升级和蓬勃发展注入不竭动力。

近年来，我国加快建设网络强国、数字中国，从国家层面部署推动数字经济发展，取得显著成就。2022年1月，国务院印发《“十四五”数字经济发展规划》指出，数字经济是继农业经济、工业经济之后的主要经济形态，是以数据资源为关键要素，以现代信息网络为主要载体，以信息通信技术融合应用、全要素数字化转型为重要推动力，促进公平与效率更加统一的新经济形态。

数据显示，从2012年至2021年，我国数字经济规模从11万亿元增长到45.5万亿元，数字经济占国内生产总值比重由21.6%提升至39.8%。我国数字经济规模连续多年位居全球第二，其中电子商务交易额、移动支付交易规模位居全球第一，一批网信企业跻身世界前列，新技术、新产业、新业态、新模式不断涌现，推动经济结构不断优化、经济效益显著提升。数字经济发展速度之快、辐射范围之广、影响程度之深前所未有，正在成为重组全球要素资源、重塑全球经济结构、改变全球竞争格局的关键力量。

发展数字经济是我国把握新一轮科技革命和产业变革新机遇的战略选择，也正在成为行业加速数字化转型升级的驱动力量。数字经济所具有的高创新性、强渗透性、广覆盖性，是催生新兴产业“无中生有”的有力抓手，是实现传统产业“有中生新”的重要支点。在数字经济时代背景下，数字化转型成为众多行业重要发展趋势，数据作为基础性资源和战略性资源，通过释放潜在价值，实现了各个行业的创新发展。具体体现在商业模式的创新、价值链的增长、用户体验的提升、业务流程的优化等，这一系列的变化和影响下，各个行业将会朝着数字化、智能化的方向迈进，实现数字技术与行业的对接发展，以满足数字经济时代所带来的更高要求，保障可持续性及更大的发展空间。

1.1.2 数据要素价值释放赋能高质量发展
 

一切数字化发展的背后，都离不开数据。数据作为新型生产要素，被称为“信息时代的石油”，已成为一个国家重要的基础性、战略性资源。“要构建以数据为关键要素的数字经济。”2017年，习近平总书记在十九届中央政治局第二次集体学习时，突出强调了数据在发展数字经济中的重要性。

2020年4月9日，中共中央、国务院印发《关于构建更加完善的要素市场化配置体制机制的意见》，提出土地、劳动力、资本、技术、数据五个要素领域的改革方向和具体举措。数据作为一种新型生产要素写入中央文件中，体现了互联网大数据时代的新特征。数据要素的高效配置，是推动数字经济发展的关键一环。加快培育数据要素市场，推进政府数据开放共享、提升社会数据资源价值、加强数据资源整合和安全保护，使大数据成为推动经济高质量发展的新动能，对全面释放数字红利、构建以数据为关键要素的数字经济具有战略意义。

在数据时代，以大数据为代表的信息资源向生产要素形态演进，数据已同其他要素一起融入经济价值创造过程。与其他资源要素相比，数据资源要素具有如下特征：一是数据体量巨大。且历史数据量不断累积增加，通过流转和共享对社会发展产生重要价值，基于数据创新的商业模式或应用不断演进。二是数据类型复杂。不仅包含各种复杂的结构化数据，而且图片、指纹、声纹等非结构化数据日益增多。三是数据处理快，时效性要求高。通过算法对数据的逻辑处理速度非常快，区别于传统数据挖掘，大数据处理技术遵循“一秒定律”，可以从各种类型的数据中快速获得高价值的信息。四是数据价值密度低。数据价值的高度与精确性、信噪比有关，在海量数据面前有价值的数据所占比例很小。在获取高价值数据的过程中，往往需要借助数据挖掘等方法深度分析海量数据，从中提取出对未来趋势与模式预测分析有价值的数据。

基于以上四个特性分析，数据在参与经济建设、社会治理、生活服务时，具有重要意义。一是数据作为一种生产性投入方式，可以大大提高生产效率，是新时期我国经济增长的重要源泉之一。二是推动数据发展和应用，可以鼓励产业创新发展，推动数据与科研创新的有机结合，推进基础研究和核心技术攻关，形成数据产业体系，完善数据产业链，使得大数据更好服务国家发展战略。三是数据安全是数据应用的基础。保护个人隐私、企业商业秘密、国家秘密等。在加强安全管理的同时，又鼓励合规应用，促进创新和数字经济发展，实现公共利益最大化。从合规要求看，数据安全成为国家顶层设计，相关法律政策明确提出加强网络安全、数据安全和个人信息保护，数据安全产业迎来前所未有的历史发展机遇。最终用户对于主动化、自动化、智能化、服务化、实战化的安全需求进一步提升，在此需求推动下，数据安全市场未来五年将继续维持高增速发展。从实战需求看，日趋严峻的网络安全威胁让企业面临业务风险，数字产业化迫切需要数据安全能力，而产业数字化转型带来数据安全新需求。当前，我国数据安全产业处于起步期，相比于西方发达国家，我国尚有很大增长潜力，这既是短板也是市场机会。随着实战化和新合规的要求逐步深入，数据安全将迎来广阔的市场空间。

1.1.3 数据有效开发利用迎来跨越式变革
 

当前，数据要素成为推动经济转型发展的新动力。通过数据流引领技术流、物资流、资金流、人才流，推动社会生产要素的网络化共享、集约化整合、协作化开发和高效化利用，提升经济运行水平和效率。特别是后疫情时代，数字产业化和产业数字化将推动数据开发利用的需求从被动变为主动，从启动变为加速，迎来蓬勃发展的黄金时代。

促进政府数据开放，加强资源整合，提升治理能力。随着国家顶层设计和统筹规划，政府依托数据统一共享交换平台和政府数据统一开放平台，大力推进中央部门与地方政府条块结合、联合试点，实现公共服务的多方数据安全共享、制度对接和协同配合；通过政务数据公开共享，引导企业、行业协会、科研机构、社会组织等主动采集并开放数据，提升社会数据资源价值、加强数据资源整合和安全保护。同时，优化数据开发利用，不断提升大数据基础设施建设、宏观调控科学化、政府治理精准化、商事服务便捷化、安全保障高效化、民生服务普惠化。

推动行业融合创新，培育新兴业态，助力经济转型。随着5G、云计算、大数据、人工智能等新技术的发展，以及互联网金融、数据服务、数据探矿、数据化学、数据材料、数据制药等新业态的加速兴起，提升了数据资源的采集获取和分析利用能力，充分发掘数据资源支撑创新的潜力。同时，工业大数据、农业农村大数据、万众创新大数据、基础研究和核心技术攻关等同步蓬勃发展，围绕数据采集、整理、分析、发掘、展现、应用等环节，打造较为健全的大数据产品体系，带动技术研发体系创新、管理方式变革、商业模式创新和产业价值链体系重构，推动跨领域、跨行业的数据融合和协同创新。

支撑企业数字蝶变，赋能业务协同，实现分析决策。对于企业来说，数据要素不仅是核心资产，也是实现分析服务、智能决策的有效抓手。数据要素具有边际成本低、规模效应大、流动性高、可复用性强等区别于传统生产要素的新特点。推进数据聚合，激活要素潜能，以需求和应用场景为导向，推进数据开发利用和产业发展，有利于形成符合业务需要、使用场景灵活、实际功能多元的数据服务能力，并实现能力输出和反哺，赋能创新应用与业务协同。

强化安全保障，提高管理水平，促进健康发展。数据开发利用升级离不开数据安全的保障，加强数据安全问题研究和安全技术研究，落实商用密码应用安全性评估、信息安全等级保护、网络安全审查等网络安全制度，建立健全大数据安全保障体系、大数据安全评估体系。同时，采用安全可信产品和服务，提升基础设施关键设备安全可靠水平，强化安全支撑。以数据安全保障数据开发利用和产业数字化发展，将发挥数据要素倍增效应，拉动产业经济效益和社会效益，加速数字中国建设。

1.2.1 数据安全能力建设有待加强

当前，信息技术快速演进，数字经济蓬勃发展，促使海量数据资源汇聚融合、开发利用，推动数据价值的正向发挥，但也带来了严峻的数据安全挑战。着眼于国外，数据潜在价值的凸显，使得各国高度重视并围绕数据开展战略博弈，全球数据安全形势日益严峻；着眼于国内，高价值数据泄漏、个人信息贩卖情况突出，新技术迭代衍生出新的风险，针对数据的攻击、窃取、劫持、滥用等手段不断推陈出新，经济、政治、社会等各领域遭受巨大影响。其背后凸显出的是，数据安全整体管控不足、安全建设滞后于业务建设、数据安全能力建设有待提升的产业现状。

安全本身就是一种业务需求，通过实现“不希望发生什么”，从而确保“发生什么”。但在实际调研中，企业出现安全投入比例不足、安全建设与业务功能建设不同步等情况，大多源于数据安全需求被企业管理者放在“次要地位”。安全需求重视程度不够可用两个经济学原理来解释：一是安全需求本身具备经济学的外部效应特征，即消费方与受益方不一致。以化工厂为例，如果没有《环境保护法》等法律法规制约，在不考虑社会责任的情况下，其最经济的选择是就地排污排废。就数据保护而言，如果没有外部的合规要求，数据泄露最直接的受害者就是老百姓，而对企业等数据处理者的自身利益没有实质损害。二是管理者的行为遵从Prospect Theory（前景理论），意味着人对损失和获得的敏感程度是不同的，损失的痛苦要远远大于获得的快乐，映射到数据安全就是：“管理者往往认为自己是幸运儿，数据泄露等风险不会发生在自己身上”。因此，对数据的服务者提出基础性的安全保障要求，如将密码应用保障数据安全的要求通过法定程序转化为国家意志，对于提升国家安全具有积极意义。

从技术演进来看，数据是实现业务价值的主要载体，数据安全需求来自于数据复杂业务处理的“风险映射”，实现数据安全这种“业务需求”是通过“安全访问规则”来体现，而安全访问规则又取决于业务规则，所以业务边界决定着数据安全的边界。但是，难以划定边界的复杂业务与数据安全扭结缠绕，会给业务实现者造成客观上的负担。尤其是在政务、金融、电信等业务高度依赖信息化的领域，随着数据在企业内部快速流转，更高的数据价值被“萃取”，由于自身的安全防护机制不严谨，引发的数据安全泄露事件，对企业生存发展有着举足轻重的影响。但由于业务网络存在区域分散、数据分散、系统繁多、环境复杂的特征，即便想要对所有数据泄露的“风险点”建立严密制度和技术管控，实际操作起来也是困难重重。

当下，伴随着政策大力驱动和安全急迫需求，提升数据安全的覆盖度和连接能力，补齐安全短板，无疑是当下产业数字化转型发展的首要目标。因此，各行业与企业逐步展开对自身安全情况梳理排查，试图通过对潜在风险点的整改，将数据安全保障能力和必要的隐私设计融入产品及运营流程，构建与整体架构相匹配的安全体系，进一步提升公司在安全方面的管理。然而，在实际建设及整改中发现，相同领域不同企业在相关环节数据安全保障建设中，存在相关数据安全产品配置、技术投入、管控监督不平衡，安全能力参差不齐、水平不一，留下安全与常态化运营结合不紧密的漏洞，为后续企业发展埋下隐患，为数据安全防护带来严峻挑战。因此，企业急需一套从决策层到技术层，从业务部门到IT部门，从管理制度到技术支撑，自上而下深入业务流程的数据安全防护完整覆盖，并且要与其间的各个环节相匹配和适应，以能确保企业数字化支撑下业务的“长治久安”。这在一定程度上，也为数据安全产业发展提供驱动力量。

1.2.2 个人信息泄漏呈现三高特征
 

数字经济时代下，要素属性的加持，促进了数据资源“势能”转变为创新发展动能。数据创新赋能主要体现在，数据作为实现业务价值的主要载体，对于创新产品和服务、加深市场需求洞察与即时响应、优化生产及分配过程等的价值赋能。尤其是各行业所掌握的海量个人隐私信息，例如在电信业务流转中的个人信息，涵盖身份信息、网络偏好、位置信息、社交特征、消费账单、通信使用状况、手机终端型号等数据，在真实性、规模性、多样性等方面具有独特优势，被赋予了高附加值属性。这些个人不仅是各行业的核心资产，也成为实现分析服务、智能决策的有效抓手，并在有效利用中进一步凸显价值属性。

由于高附加值属性引发蓄意持续的攻击，以及针对安全攻击能够带来高回报率，目前我国个人信息的安全状况相当严峻，个人信息安全事件呈现出大幅上升的势头。掌握大量个人信息的商业银行、电信运营商、电商平台、交通旅游业企业等成为案发重灾区，相关案例屡屡见诸媒体。总体来看，个人信息泄漏呈现出“高损化”“高频化”“高显化”三大特征。“高损化”体现在不论是丢失或泄露客户个人信息，还是涉及核心商业秘密的敏感数据，不仅给企业造成的损失难以估量，甚至会引发用户不满、社会动荡，乃至国家安全；“高频化”体现在企业正在遭受有针对性的大规模高频率的攻击，这些攻击不仅能够快速找到防御体系中潜藏的漏洞和薄弱区，还能模拟合法行为模式以绕开和躲避安全工具，让运营商防不胜防；“高显化”体现在自媒体的快速传播下，数据泄露事件常常跻身头条、影响巨大，企业将面临品牌声誉受损、用户不信任、舆论压力谴责等严重影响。

2021年11月1日，《中华人民共和国个人信息保护法》正式施行。《个人信息保护法》就“个人信息处理规则”、“个人信息跨境提供的规则”、“个人在个人信息处理活动中的权利”、“个人信息处理者的义务”、“履行个人信息保护职责的部门”等，以及相关各方的“法律责任”作出了明确界定。该法统筹私人主体和公权力机关的义务与责任，兼顾个人信息保护与利用，为个人信息保护工作提供了清晰的法律依据。《个人信息保护法》是我国保护个人信息的基础性法律，奠定了我国网络社会和数字经济的法律之基。个人信息受到应有的保护是社会文明进步的重要标志之一，也是我国法制建设与国际接轨的有力举措。《个人信息保护法》借鉴国际立法经验，结合本国经济社会实际，是中国智慧的结晶。该法必将在保护个人权益，促进经济社会稳定发展方面发挥重要作用。

基于此，与个人信息相关的行业企业，需要提高对个人信息保护工作重视程度，依照个人信息保护法要求，建立起行之有效的保护体系。基本措施包括：

（1）建立和完善相关的组织机构

《个人信息保护法》具有强制力，相关部门和单位应该依照法条要求，制定和落实保护计划。只有建立高效的组织，制定科学的制度，积极采取行动，使措施落地，个人信息的安全才能依法得到保证。

（2）加强个人信息保护技术的应用

数字经济能够产生高附加值的重要原因之一是数据资源的共享。大数据、云计算、区块链等新技术的应用，使得网络“边界”难于划分，原有的基于传统信息安全保护思路，注重固定“边界”攻防的技术手段，已难于满足当前个人信息保护的需求。新老问题叠加，需要新的信息安全保护思路和技术手段，积极采用加密与去标识化等技术，才能有效应对新的安全威胁，这对个人信息保护工作提出了新挑战。

（3）落实个人信息处理者责任

1.2.3 数据安全市场发展空间巨大

当下来看，数据安全已经迎来了里程碑式的新发展阶段，无论是个人层面、企业层面还是国家层面，促进数据安全产业发展已经成为数字时代的最大命题。而随着数据量的增加，隐藏在数据背后可被挖掘的信息也逐渐丰富，无论是政府还是企业都开始意识到数据泄露可能带来的严重后果，对数据安全的重视程度提升趋势明显，并在积极探索在安全可控的情况下最大化发掘数据价值。

图 1 2010-2025全球数据量增长预测

数据呈现海量且持续增长势头，我国将成全球最大数据圈。根据IDC发布的《数据时代2025》报告，到2020年，全球数据量达到了60ZB，2025年将达到175ZB，接近2020年数据量的3倍。同时，IDC预测中国数据量增速最为迅猛，预计2025年将增至48.6ZB，占全球数据圈的27.8％，成为全球最大的数据圈。

数据安全是一片蓝海市场，成长空间潜力巨大、未来可期。据海外市场研究机构VMR统计，2019年全球数据安全市场规模约为173.8亿美元，且预计到2027年全球数据安全市场规模将达到572.9亿美元，年复合增长率约为17.35%。而中商产业研究院统计数据显示，2019年我国数据安全市场规模仅为38亿元，仅占全球数据安全市场规模的3.4%，与我国整体数据量在全球27.8％的占比仍有较大差距。由此可见，未来中国数据安全市场容量仍有较大增长空间，而考虑到中国数据安全市场整体发展节奏慢于美国，所以中期来看中国数据安全市场存在千亿市场空间，长期看市场空间可达万亿。

网络安全投入占信息化投入比例达10%，带动数据安全投入。工信部在2021年7月16日发布《网络安全产业高质量发展三年行动计划（2021-2023 年）（征求意见稿）》，其中提出未来三年电信等重点行业网络安全投入占信息化投入比例达10%，而这将会同时带动数据安全领域的投入。通过对现有重点行业在网络安全领域的投入占比情况进行测算，对标工信部对于10%的网络安全投入占比要求以及国际平均投入水平，可以预测未来政府、金融、运营商、交通、医疗等行业数据安全领域的投入将进一步打开5到10倍的成长空间。

图 2 数据安全市场规模/同比增长率及预测情况

数据安全将用6年时间，达到网络安全20年创造市场规模。据预估，数据安全3年后的市场规模将达到传统网络安全2018年的市场规模。根据嘶吼安全产业研究院最新调研数据显示，2021年数据安全产业市场规模达到88亿元，同比增长91%；预计2022年数据安全产业规模有望达到130亿元，同比增长率达到48%；预计2025年，数据安全产业有望达到478亿元，用6年时间（2020-2025年）达到传统网络安全20年（1999-2018年）所创造的市场规模。

1.3.1 防范业务处理各环节安全薄弱点

数据作为基础性资源和战略性资源，是实现业务价值的主要载体，数据只有在流动中才能体现价值，而流动的数据必然伴随风险，数据安全威胁伴随业务生产无处不在。因此，凡是有数据流转的业务场景，都会有数据安全的需求产生。而确保数据要素处于有效保护和高效利用的状态，以及具备保障持续安全状态的能力，是推动数字经济发展的关键一环。各类数据处理者对于数据安全防护需求日渐强烈，将其作为信息化建设中的重中之重。然而，在实际业务中，高速流动的数据增大风险敞口，在收集、存储、使用、加工、传输、提供、公开、删除等全生命周期中的各个环节面临诸多安全威胁和挑战。（该章节各环节的案例内容省略，详见白皮书原文）

1.3.1.1 数据收集：合法、正当、必要

在数据收集环节，风险威胁涵盖保密性威胁、完整性威胁等，以及超范围采集用户信息等。保密性威胁指攻击者通过建立隐蔽隧道，对信息流向、流量、通信频度和长度等参数的分析，窃取敏感的、有价值的信息；完整性威胁指数据伪造、刻意篡改、数据与元数据的错位、源数据存在破坏完整性的恶意代码。

1.3.1.2 数据存储：加密、控制、审计

在数据存储环节，风险威胁来自外部因素、内部因素、数据库系统安全等。外部因素包括黑客脱库、数据库后门、挖矿木马、数据库勒索、恶意篡改等，内部因素包括内部人员窃取、不同利益方对数据的超权限使用、弱口令配置、离线暴力破解、错误配置等；数据库系统安全包括数据库软件漏洞和应用程序逻辑漏洞，如：SQL注入、提权、缓冲区溢出；存储设备丢失等其他情况。

1.3.1.3 数据使用：告知、监督、检测

在数据使用环节，风险威胁来自于外部因素、内部因素、系统安全等。外部因素包括账户劫持、APT攻击、身份伪装、认证失效、密钥丢失、漏洞攻击、木马注入等；内部因素包括内部人员、DBA违规操作窃取、滥用、泄露数据等，如：非授权访问敏感数据、非工作时间、工作场所访问核心业务表、高危指令操作；系统安全包括不严格的权限访问、多源异构数据集成中隐私泄露等。

1.3.1.4 数据加工：内控、风险、响应

在数据加工环节，泄露风险主要是由分类分级不当、数据脱敏质量较低、恶意篡改/误操作等情况所导致。

1.3.1.5 数据传输：加密、脱敏、约定

在数据传输环节，数据泄露主要包括网络攻击、传输泄露等风险。网络攻击包括DDoS攻击、APT攻击、通信流量劫持、中间人攻击、DNS欺骗和IP欺骗、泛洪攻击威胁等；传输泄露包括电磁泄漏或搭线窃听、传输协议漏洞、未授权身份人员登录系统、无线网安全薄弱等。

1.3.1.6 数据提供：评估、保护、监督

在数据提供环节，风险威胁来自政策因素、外部因素、内部因素等。政策因素主要指不合规的提供和共享；内部因素指缺乏数据拷贝的使用管控和终端审计、行为抵赖、数据发送错误、非授权隐私泄露/修改、第三方过失而造成数据泄露；外部因素指恶意程序入侵、病毒侵扰、网络宽带被盗用等情况。

1.3.1.7 数据公开：危害、分析、影响

在数据公开环节，泄露风险主要是很多数据在未经过严格保密审查、未进行泄密隐患风险评估，或者未意识到数据情报价值或涉及公民隐私的情况下随意发布的情况。

1.3.1.8 数据删除：约定、委托、主动

在数据删除环节，主要风险是违约删除和未履约删除。一方面对于不应删除的个人信息，服务提供者未按时限留存、设备事故误操作等进行了删除，就造成了违约删除，给用户带来人身财产或精神损失；另一方面对于应删除的个人信息，没有删除或删除不及时、不彻底，因漏洞、攻击、撞库等形式外泄，会造成未履约删除的风险，危及用户隐私和信息安全。

1.3.2 化解产业创新多维度潜在风险源

1.3.2.1 信创安全可控面临新挑战

迈入新时代，信息技术应用创新是数字经济发展的基础，是制造强国、网络强国、数字中国建设的关键支撑。推进安全技术与信创产业的深化融合应用，对于发展软件和信息技术服务行业，支撑数字中国建设具有重要意义。

信创发展尽头是市场经济前提下的产业领先。当下，信创产业已进入发展关键期，这是我国坚持信息技术应用自主创新的必经之路。据艾媒咨询统计，中国信创产业规模在2020年突破1万亿，2021年信创产业规模超1.3万亿元，预计未来将保持高速增长态势。信创发展初期，采用指令式的手段，按照“计划经济模式”发展，旨在通过行业应用拉动构建国产化信息技术软硬件底层架构体系和全周期生态体系，解决核心技术关键环节“卡脖子”的问题，实现为数字中国建设夯实基础的目标。但信创产业的尽头，应该是市场经济前提下达到产业领先，在国家信创战略的指引下，依靠市场和广大企业、用户的自发选择。

在实际建设发展中，信创产业面临着多方面的安全挑战：一是关键软件自主可控方面，中美贸易摩擦，凸显关键软件供应链安全风险，针对通用基础软件、重要领域应用软件，我国已开始布局国产化替代，但仍然需要周期；二是软件内建安全机制方面，安全的外部经济学、前景理论等特点，决定了安全机制总是滞后于业务设计，软件安全机制普遍薄弱；三是安全应用协同发展方面，传统安全合规侧重基础设施防护，导致安全主要以“外挂”模式保护应用与数据，导致安全与应用长期脱钩，如同隔靴搔痒，防护效果有限。

1.3.2.2 数据跨境流动带来新隐患

随着全球数字经济的发展，数据跨境流动成为推动国际贸易中货物、服务、人、资金流动不可或缺的部分，并且在促进经济增长、提升创新能力、推动全球化等方面发挥着积极作用。然而，数据跨境流动的价值与风险越来越凸显，数据跨境流动风险与隐忧主要集中于数据的传输、存储和使用三个环节。传输上，数据跨境过程环节多、路径广、溯源难，传输过程中可能被中断，数据也面临被截获、篡改、伪造等风险；存储上，受限于数据跨域存储当地的防护水平等因素，容易出现数据泄露等问题；使用上，跨境数据的承载介质多样、呈现形态各异、应用广泛，数据所在国政策和法律存在差异，甚至冲突，导致数据所有和使用者权限模糊，数据应用开发存在数据被滥用和数据合规等风险。具体来看：

一是海量跨境数据难以梳理分类，不当应用引发风险隐患。一方面，数据在产生、存储后，被开放利用的情况随着数据采集、挖掘、分析等技术的不断发展而动态变化，加上数据体量大、增速快，当下未必就能准确地完成分类分级评估；另一方面，跨境流动中已被开发利用的各类数据，呈现形态各异、应用领域广泛、价值定义不明的状态，新技术、新业态引发的数据风险未知大于已知，加剧了数据跨境流动的安全隐患。

二是跨境数据攻击升级，黑灰产加剧数据风险。一是攻击者从独立的黑客扩展到具有特定目标诉求的专业团体。例如，全球最大的SIM卡制造商金雅拓曾遭英美联合攻击，SIM卡密钥被盗取，用于解密、监控移动通信用户的语音等通讯数据。二是攻击对象从个人设备逐渐升级为各类泛在网络设备、终端和软硬件，甚至包括关键信息基础设施。比如，移动设备的GPS、麦克风、摄像头，移动通信的SIM卡、蜂窝基站、热点、蓝牙、Wi-Fi，以及广泛分布的物联网设备等。三是攻击方式随着技术发展不断演变升级，更加多样、隐蔽、智能。以人工智能为例，通过对数据的推理学习，会使数据去标识化、匿名化等安全保护措施无效。

1.3.2.3 新兴技术迭代催生新风险

随着云计算、大数据、物联网、人工智能、5G等数字经济新技术的发展，数据安全技术与之深度融合。新兴技术伴生新风险，为安全防线带来“新口子”。比如：网络架构的变化中虚拟化、边缘化、能力开放、切片等技术给 5G 带来多种安全风险；人工智能培训数据污染会导致人工智能决策错误，即所谓的“数据中毒”；物联网设备的处理能力和内存通常较短，导致其缺乏强大的安全解决方案和加密协议保护免受威胁；云计算模式下，传输数据需要依赖网络，由于网络自身的缺陷和技术弊端，在出现非法操作的情况下，黑客更容易入侵网络导致数据泄露。

进一步分析，一方面，数据价值凸显引来更多的攻击者，而新兴技术的应用使得外部攻击面不断扩大，数据安全防御能力亟待提升。另一方面，在新兴技术应用与数据安全防护间寻找平衡。新兴技术本身安全方面的脆弱性，容易带来新安全问题并增加引入恶意攻击的风险。在数字化转型与新兴技术的融合中，数据交互的维度和范围增加，业务提供的个性化和复杂性提升，导致更多设施面临网络攻击。

1.3.2.4产业结构优化激发新需求

2022年政府工作报告指出，“高技术制造业增加值增长18.2％，信息技术服务等生产性服务业较快发展”，数字经济时代下产业结构优化呈现新业态。第二产业中的制造业逐渐由中低附加值走向中高附加值，包括配方、工艺、图纸、数模等工业数据在内的商业秘密保护，在我国制造业知识产权保护中占比居首位，直接关系到我国自主创新成果和创新主体的“安身立命之本”，亟待提升工业数据安全能力建设。以服务业为主体的第三产业，通过对海量个人信息的处理、共享和分析，推动数据挖掘分析、商业决策应用等价值释放，但由于应用场景和参与主体日益多样化，安全外延不断扩展，尤其是掌握大量个人信息的政务、金融、运营商、交通、教育医疗文旅等行业，个人信息泄漏事件频发。随着《个人信息保护法》的施行，在技术层面将加密和去标识化、匿名化等关键技术作为个人信息保护的基线要求，在合规层面推进个人信息保护手段融入企业运营全流程，建设个人信息全生命周期保护体系成为关键所在。（该部分剩余内容省略，详见白皮书原文）

2.1.1 国际数据安全发展政策概况
 

数据安全是事关国家安全和发展、事关人们工作生活的重大战略问题，应该从国际国内大势出发，总体布局，统筹各方，创新发展。一个安全稳定繁荣的网络空间，对各国乃至世界都具有重大意义。随着数据量呈指数级增长，数据安全成为美国、欧盟、英国等国家经济发展和国际竞争力提升的新引擎。大国竞争正在从国际规则制定权竞争向技术标准制定权转移。各国纷纷制定法律政策、技术标准，在数据安全领域进行国家战略博弈，占据价值链的制高点，其中欧洲、北美洲、南美洲、亚洲、大洋洲、非洲六大洲，包括欧盟、德国、法国、英国、意大利、俄罗斯、美国、加拿大、巴西、日本、印度、韩国、澳大利亚、南非等14个国家或组织发布了数据安全相关政策。（注：国外数据安全相关法律政策、技术标准详见白皮书附录2）

图 3 全球数据安全政策汇总图

2.1.2 我国数据安全立法监管加强
 

近年来，国家陆续出台相关法律政策，统筹发展和安全，推动数据安全建设。2021年《数据安全法》《个人信息保护法》出台，与《国家安全法》《网络安全法》《密码法》《民法典》形成“五法一典”安全体系，在此基础上，2022年7月国家互联网信息办公室正式发布《数据出境安全评估办法》（简称《办法》），开启数据出境监管新篇章，这是继《网络安全法》《数据安全法》《个人信息保护法》颁布实施的又一项重要的法律文件，标志着我国在依法治网方面取得了新的成效。同年《“十四五”数字经济发展规划》和《网络安全审查办法》颁布，要求提升重要设施设备安全可靠水平，增强重点行业数据安全保障能力，维护国家安全。2022年6月为了鼓励网络运营者通过认证方式规范网络数据处理活动，加强网络数据安全保护，国家市场监督管理总局、国家互联网信息办公室发布了基于 《信息安全技术 网络数据处理安全要求》（以下简称“GB/T 41479”）等相关标准规范开展数据安全管理认证工作（简称DSM认证）。

我国数据安全法制化建设不断推进，监管体系不断完善，安全由“或有”变“刚需”。结合顶层设计、法律法规，数据安全新监管同时体现对过程和结果的合规要求。数据处理者既应当从过程方面积极履行数据安全保护义务，也要对数据安全防护的最终结果负责。

同时，我国强化数据安全技术自主创新，加速数据安全标准国际化进程。积极开展数据安全技术创新，提升产品性能，促进数据安全技术的成果转化；坚持立足于开放环境推进数据安全标准化工作，推进数据安全中国标准与国外标准之间的转化运用，扩大我国数据安全技术的国际影响力，进而鼓励数据安全企业进入海外市场，为交易流通、跨境传输和安全保护等数据安全应用的基础制度、标准规范和安全评估体系，保障跨境数据安全。（注：我国数据安全相关法律政策、技术标准详见白皮书附录1.）

2.1.3 全球公正数据安全规则构建
 

（该章节内容省略，详见白皮书原文）

2.2.1 数据安全面临国内外挑战
 

数字经济时代，数字产业化和产业数字化快速推进，人工智能、物联网、云计算等技术与数据采集、挖掘、分析能力加速融合，数据活动不断发展、迭代与深化，使得数据安全风险越来越具有多样性、复杂性和多变性等特征，一方面在利用数据追求利益最大化的诱导下，数字技术融入互联互通的新产业生态时，也意味着向产业链供应链相关环节的其他市场主体特别是平台企业让渡了部分数据权益，增加了数据泄露和经济损失风险。另一方面现代战争需要依靠军事指挥信息系统实现指挥控制、情报侦察、预警探测、情报交互、安全保密、信息对抗等功能，这种以计算机网络为核心的军事信息系统，即便实行物理隔离也不能高枕无忧。数据的重要性日益凸显，推数据资源“势能”转换为数字化转型升级的“动能”，海量数据重新定义大国博弈的空间和国家治理架构和模式，进一步成为“国家主权”信息战重要影响因素。

放眼于国外，俄乌冲突关键信息基础设施成为“新战场”。2022年“俄乌冲突”爆发，在此期间，除了正面的军事对抗外，关键信息基础设施是对手发动网络攻击的首要目标，打击、破坏关键信息基础设施甚至成为一个新战场。

表 1 俄乌冲突网络战时间线

着眼于国内，中美摩擦升级威胁国家安全。8月2日，美国议长佩洛西窜访台湾，牵动中国亿万人民的心，由于美国严重违反中美三个联合公报中所作承诺，中方发布对美国的8项反制措施“三个取消五个暂停”：取消安排中美两军战区领导通话、取消中美国防部工作会晤、取消中美海上军事安全磋商机制会议和暂停中美非法移民遣返合作、暂停中美刑事司法协助合作、暂停中美打击跨国犯罪合作、暂停中美禁毒合作、暂停中美气候变化商谈，其中三个“取消”，都涉及到中美两军的交流机制，分属不同层级，意味着两国的军事互信已经降到谷底，也意味着中美未来一段时间发生碰撞、摩擦的风险威胁到国家安全。

没有网络安全和数据安全就没有国家安全，没有信息化就没有现代化。网络安全和数据安全就好比国家安全体系的“神经系统”，在整个安全体系链路中处于牵一发而动全身的战略地位。一旦网络安全和数据安全出现问题，与网络技术高度融合渗透的政治安全、国土安全、军事安全、经济安全和社会安全等方方面面都会发生系统性重大风险。

政府数据安全方面，例如：美国白宫和军方提供IT和电信支持的美国国防情报系统局（US Defence Information Systems Agency）发生数据泄露事件，约有20万人的个人数据遭到泄露。

美国200多个公检法部门泄露296GB数据文件，这些数据包含了美国200多个警察部门和执法融合中心（Fusion Centers）的报告、安全公告、执法指南等。据推测，某些文件还包含敏感的个人信息，例如姓名、银行账号和电话号码。据称，此次数据泄露事件的始作俑者又是黑客组织“匿名者”。政府相关数据安全泄漏事件，不仅危害到个人信息权益，还关系到国家安全。

现代战争需要依靠军事指挥信息系统实现指挥控制、情报侦察、预警探测、情报交互、安全保密、信息对抗等功能，这种以计算机网络为核心的军事信息系统，即便实行物理隔离也不能高枕无忧。其实，看似安全的物理隔离并不是绝对安全的，物理隔离对加强目标网络的安全性有不错的效果，但这只是基础防护措施，并不能完全解决安全问题，单纯依赖物理隔离的网络，其脆弱性将越来越明显。无论从防止数据泄露方面还是在防止远程控制方面，都必须在维持物理隔离的前提下，有效结合其他管理方法和技术手段去保护核心网络和资产。

2.2.2 安全需求被置于次要地位
 

目前，企业出现安全投入比例不足、安全建设滞后于业务功能建设，“马太效应”情况显现，原因在于数据安全需求被企业管理者放在“次要地位”。

安全需求不被重视可用两个角度来解释：一是数据安全的建设者与受益者不一致，符合“经济学的外部效应”理论，类似化工企业如果没有《环境保护法》等法律制约，在不考虑社会责任情况下，其最经济的选择是就地排污排废。数据安全亦然，比如泄漏了大量个人信息，最终受害者是广泛用户，而企业没有实质损失，因此企业往往会忽视数据安全建设。二是管理者的行为遵从“前景理论”（Prospect Theory），意味着人对损失和获得的敏感程度是不同的，损失的痛苦要远远大于获得的快乐，映射到数据安全方面，管理者往往认为自己是幸运儿，数据泄露等风险不会发生在自己身上，所以赌一把“业务先行、安全滞后”。

2.2.3 强合规监管深化鞭子效力

数据安全已成为事关国家安全与经济社会发展的重大问题。近年来，国家高度重视安全建设，统筹发展和安全，推进行业数据安全保障能力提升，构建起坚实有力的安全法律屏障，形成了《网络安全法》《密码法》《数据安全法》《个人信息保护法》“四法共治”新局面，使得合规监管权责更鲜明、制度更健全、技术更创新。

 “四法”之间紧密关联又各有侧重，《网络安全法》提出了安全治理道路，《数据安全法》和《个人信息保护法》明确了保护目标，提出了数据保护的“中国方案”，而《密码法》强调了保护信息与数据的技术手段。

结合顶层设计、法律法规，数据安全新监管同时体现对过程和结果的合规要求。数据处理者既应当从过程方面积极履行数据安全保护义务，也要对数据安全防护的最终结果负责。

从信息安全技术，到网络（空间）安全，再到数据安全，我国的安全事业跨过了新的里程碑。当下，法规监管（五法一典）与攻防演练（HVV）是安全事业的里程碑工程。
 

3.2.1 数据安全攻防视角的新思路
 

3.2.1.1 传统“老三样”防御手段面临新挑战
 

3.2.2 数据安全实战能力的新要求

3.2.3 数据安全思路模型的新演进

4.1.1 典型技术理念

（此章节的内容省略，详见白皮书原文）

4.1.2 典型技术架构

（此章节的内容省略，详见白皮书原文）

数据的最大特征就是流动，只有流动中的数据才能创造价值。对于重要信息系统而言，软硬件漏洞不可避免，未知威胁层出不穷，内外夹击形势严峻，传统的防御思路已不能有效应对，与其陷入无休止地“挖漏洞、补漏洞”的被动局面，不如寻求数据防护的新思路，探索数据安全建设新框架。
 

4.2.1 应对式叠加演进主动式安全
 

数据安全面临的风险主要来自两方面。一是带有获利目的的外部威胁与对抗的持续升级，加之新兴技术演进带来不可预知的安全风险。二是来自内部的安全风险，即传统安全体系存在着固有的问题。据《人民日报》报道，意大利信息安全协会近期发布的研究报告显示，2021年全球网络犯罪造成的相关损失超过6万亿美元，而2020年这一数字估计为1万亿美元。

传统的网络安全设备注重单点防护、静态防护，缺乏联动能力，且对未知威胁缺乏“看得见”的能力。同时，安全管理系统往往存在重建设、轻运营，缺乏有效的安全运营工具和手段，难以定位攻击方，缺乏事后分析、追溯能力等不足。网络和数据安全始终是攻击者和防御者之间的战斗。未来具有不确定性，但能肯定的一点是：作为数据安全的防御者，仍将继续面临新的、不断演化的网络安全威胁与挑战。

然而，目前的数据防护主流思路是应对式防御，通常是系统遭受了攻击后，根据攻击情况采取行动，包括且不限于：传统杀毒软件、基于特征库入侵检测、病毒查杀、访问控制、数据加密等手段，“滞后于攻击手段”的弊端明显。传统“封堵查杀”难以适应时代发展，应对拟人化和精密化的攻击，且容易被攻击者快速发现漏洞，针对薄弱点进行精准攻击，不利于整体安全。

当下来看，网络漏洞始终在所难免，应对式防御“治标不治本”，直接针对数据本身进行主动式防护，是实现数据安全的最直接有效的手段，这也是“以数据为中心的安全”。

构建主动防护能力，政策已先行。于2019年12月1日起正式实行的等保2.0标准，在1.0时代标准的基础上，也更加注重主动防御，从被动防御到事前、事中、事后全流程的安全可信、动态感知和全面审计，不仅实现了对传统信息系统、基础信息网络的等级保护，还实现了对云计算、大数据、物联网、移动互联网和工业控制信息系统的等级保护对象的全覆盖。

对于行业来说，威胁和安全响应就是一场时间赛跑，以主动式防护为代表的产品和服务需求未来必将快速增长。主动式防护将实现安全运营、安全态势感知与防御协同形成联动，能够在面临威胁时做到从容不迫，并给予“道高一丈”式压制打击。

4.2.2 网络与数据并重的安全建设
 

传统的城防式数据安全，主要是保护被传统物理网络多层包围的数据，这种防护体系仅适用于保护静态数据。但当下，数据已成为新生产要素，数据被充分共享流转以产生价值，传统城防式数据安全已经难以满足需求。

我们认为，数据与“网络/主机/数据库/应用”是正交关系，“以数据为中心的安全”本质，是在数据流转的多个层次环节中，通过重建业务规则，对数据施加主动式安全防护，即直接对数据本身进行加密、访问控制、安全审计等安全手段。结合企业信息化发展，以数据为中心的安全建设理念是更加有效的做法。

以网络为中心的安全体系是保证数据安全的前提和基石，而以数据为中心的安全，以数据为抓手实施安全保护，能够更有效增强对数据本身的防护能力。因此，网络与数据并重的安全建设成为大势所趋。“以网络攻防为中心的安全”与“以数据保护为中心的安全”之间是相互关联、彼此依赖、叠加演进的。

图 4 网络与数据并重的新安全建设理念

着眼当下，数据安全所面临的问题不是做的过多导致冗余，而是出血口太多、防护能力达不到。事实上，应用系统、安全产品、基础设施都潜藏着漏洞，或者存在考虑不周的安全设计缺陷。好的安全理念应该是以网络与数据并重为新建设方向，面向失效的安全机制，通过有联动协同的纵深安全机制，构建有效防线。

从针对数据本身进行主动式防护出发，将数据安全技术组合赋能给具体行业安全问题，比发掘一个适用于所有行业的通用问题，更符合用户的实际需求。在数据安全建设的发展进程中，不断洞悉时代发展需求，创造性地提供新框架、新方法，能够有效带动其他参与者在一个良性的生态中协同共进，为数据安全建设带来全新突破。

4.2.3 经典网络安全框架ATT&CK
 

作为网络安全行业目前公认权威、并被普遍接受的网络攻击模型框架，ATT&CK是由MITRE公开发布于2015年，全称是Adversarial Tactics， Techniques, and Common Knowledge（对抗性的战术、技术和通用知识）。从最初的一个内部人员分享的Excel电子表格工具，到如今已经发展成为威胁活动、技术和模型的全球知识库，ATT&CK汇聚来自全球安全社区贡献的基于历史实战的高级威胁攻击战术、技术，形成了针对黑客行为描述及相应防御构建的通用语言和知识图谱，并在企业、政府和安全厂商中广为流行。

目前，ATT&CK当前主流版本包括14个攻击战术、205个攻击技术、573个攻击流程，覆盖了绝大多数网络攻击手段，使安全运营不仅知己而且知彼，从而有机会衡量安全体系应对攻击的纵深防御、检测响应能力，并在实战对抗中持续改进提升，能够为网络安全防护提供专业的技术参考。ATT&CK框架以及关联的Shield主动防御框架，以网络攻防为视角，侧重“以网络为中心的安全”保护思路，通过“防漏洞、堵漏洞”的方式保护数据。

图 5 ATT&CK企业版矩阵

4.2.4 数据安全技术框架DTTACK
 

进入数据时代，侧重攻防对抗的ATT&CK框架，难以覆盖“主动式保护数据”的各种技术手段。炼石尝试从“以数据为中心”的角度提出DTTACK数据安全技术框架，全称是Data-centric Tactics, Techniques And Common Knowledge（以数据为中心的战术、技术和通用知识）。

4.2.4.1 DTTACK的设计思路

网络安全持续的变化，攻防之间的博弈在不停的进化，已有的网络安全能力的度量逐步显露出局限性和不适用性。数据安全建设领域亟待出现新的安全能力度量方式，以应对不断变化的网络与数据安全发展趋势。

如果说ATT&CK的出现，是让攻击手法拥有通用语言，那么DTTACK的诞生便是对数据本身进行主动式防护，为防护模式打造了通用技术库。DTTACK不是网络服务器或应用程序安全性的模型，它更强调数据本身的安全性，并从对数据的应对式防护向主动式防护转变，重视从业务风险映射视角列举数据保护需求，也可以为信息化建设、企业业务架构设计提供数据安全能力参考。

目前，炼石已初步梳理6个战术，31个技术，83个扩展技术，145个方法，并持续更新迭代，致力于打造数据安全领域的专业权威技术框架。

4.2.4.2 DTTACK的设计理念

DTTACK框架列举了诸多技术，其作用类似于“兵器库”，防守方需要体系化的思路整合这些技术，才能利用好先发优势，精心“排兵布阵”，环环相扣构造纵深防御战线，体系化的防范内外部威胁，提升防御有效性。

（1）重视从业务风险映射视角列举数据保护需求

安全本质上是一种业务需求，“传统业务需求”侧重于“希望发生什么”，而“安全需求”侧重于“不希望发生什么”，从而确保“发生什么”。从这个角度看，各种安全的定义都可以映射到业务需求，比如Security（安全防攻击）、Safety（安全可靠）、Reliability（可靠性）、Trustiness（诚信度）以及Sureness（确定性）等。而数据安全需求重点是数据的机密性和完整性。

当前版本的DTTACK，在数据安全技术列举方面，参考了工信部相关机构正在编制的行业标准《电信网和互联网数据安全管控平台技术要求和测试方法》，将114个具体技术流程分类并对号入座，为数据安全建设提供技术支持。

（2）结合NIST安全能力模型、安全滑动标尺模型

DTTACK框架的构建，以NIST安全能力模型和安全滑动标尺模型为参考，并做了整合与精简。基于此，DTTACK最新版本选择了六大战术作为基本结构：IDENTIFY（识别）、PROTECT（防护）、DETECT（检测）、RESPOND（响应）、RECOVER（恢复）、COUNTER（反制）。

图 6 参考IPDR2和安全滑动标尺模型的结构

NIST CSF是由美国国家标准与技术研究所（National Institute of Standards and Technology，简称NIST）制定的网络安全框架（Cybersecurity Framework，简称CSF），旨在为寻求加强网络安全防御的组织提供指导，目前已成为全球认可的权威安全评估体系。该体系由标准、指南和管理网络安全相关风险的最佳实践三部分组成，其核心内容可以概括为经典的IPDRR能力模型，即风险识别能力（Identify）、安全防御能力（Protect）、安全检测能力（Detect）、安全响应能力（Response）和安全恢复能力（Recovery）五大能力，实现了网络安全“事前、事中、事后”的全过程覆盖，可以主动识别、预防、发现、响应安全风险。

安全滑动标尺模型为企业在威胁防御方面的措施、能力以及所做的资源投资进行分类，可作为了解数据安全措施的框架。模型的标尺用途广泛，如向非技术人员解释安全技术事宜，对资源和各项技能投资进行优先级排序和追踪、评估安全态势以及确保事件根本原因分析准确无误。该模型包含五大类别：基础结构安全、纵深防御、态势感知与积极防御、威胁情报、攻击与反制。这五大类是一个非割裂的连续体，从左到右，具有一种明确的演进关系，左侧是右侧的基础，如果没有左侧基础结构安全和纵深防御能力的建设，在实际中也很难实现右侧的能力有效发挥。从左到右，是逐步应对更高级网络威胁的过程。

深入研究发现，NIST安全能力模型、安全滑动标尺模型两者有交集、但也各有侧重。DTTACK融合两大模型中的丰富安全能力，并施加到流转的数据上，为防御纵深夯实技术基础，是提升数据安全建设有效性的关键之举。

（3）发挥以密码技术为核心的数据安全实战价值

在DTTACK六大战术中，密码技术也为其提供了重要价值。比如：识别方面，密码可以为数据识别提供身份安全能力，为接口通道实现安全加密；防护方面，数据加密技术本身就是在开放式信道中，构建了强制的防护措施，并结合身份实现访问控制。检测、响应、恢复和反制方面，密码也能够为其分别提供身份鉴别、数据保护、水印追溯等不同能力。

尤其对于流转数据防护，密码技术可以提供独特价值。共享流转的数据很难有边界，在做访问控制的时候，如果数据库或归档备份中的数据是明文，访问控制机制很容易被绕过。而通过数据加密技术，可以打造一个强防护场景，用户在正常访问应用的过程中数据才会解密，并结合身份访问控制、审计等安全技术，从而实现了“防绕过的访问控制”、以及“高置信度的审计”。密码技术为数据重新定义了虚拟的“防护边界”，从而更好地对数据实施防护与管控。

（4）填补“以数据为中心”的安全技术体系空白

当下，数据已成为新生产要素，数据被充分共享流转以产生价值。凡是有数据流转的业务场景，都会有数据安全的需求产生。“以数据为中心”的安全强调数据处于中心位置，就需要站在数据的视角，纵观数据的生命周期，然后针对数据流转的每个关键环节重新审视安全问题和解法。

结合到企业或机构的信息系统中，数据安全则来自于业务处理中的风险映射。从时间维度看，数据在流转的全生命周期中的每个环节都会有相应的安全需求；从空间维度看，数据在基础设施层、平台层以及应用层之间流转，不同层次会有不同颗粒度的防护需求。

DTTACK以数据安全领域的“全地图技术框架”为目标，可为不同场景的数据安全防护提供基本思路，期望在一定程度上助力提升全社会、全行业的数据安全水位，填补“以数据为中心”的安全技术体系的空白，为数据安全厂商提供通用知识库，为甲方的数据安全规划和技术对比提供参考依据。

4.2.5 网络与数据一体化叠加演进
 

实际上，DTTACK不是孤立的。由于“以网络攻防为中心的安全”与“以数据保护为中心的安全”之间是相互关联、依赖、叠加演进的，网络安全是实现数据安全的基础，但光靠网络安全又很难有效保护数据，数据安全新框架是安全技术演进的必然。因此，把“以网络攻防为中心的ATT&CK框架”和“以数据保护为中心的DTTACK框架”相结合，两者相辅相成，将实现全方位多维度的网络与数据安全防护。

4.2.6 切面安全提升防守资源效率

从实战角度，数据安全攻防对抗中，如果攻击者投入足够资源，理论上总能窃取到目标数据。从这个视角看，艰难的防守者也许永远无法构建出“绝对安全的防线”。但是，乐观的看，虽然我们无法杜绝数据泄露，但是可以积极采取技术防护手段，使攻击者对数据的窃取成本高于数据获利，从而让攻击者失去攻击的意义，从这个角度看，这就是“有效的数据保护”。借鉴物理世界中的战争，战争是双方消耗资源的行为，在战争中我方需要构建局部优势，形成降低我方成本、提高敌方成本的综合性博弈，也即所谓“战损比”优化。数据安全也是如此，防守方应当评估技术手段、排序优先，打造“纵深”的防御体系，用更少成本消耗攻击者更多成本，“集中优势兵力、各个歼灭敌人”，实现数据保护的“故胜兵若以镒称铢，败兵若以铢称镒”。
 

图 7 数据安全的防守方需要以低成本撬动攻击者高成本

安全漏洞层出不穷，攻击手段与利用手法日益复杂精妙，攻击方和内部威胁方天然具有单点突破的优势。同时，在构建安全防御体系的过程中，由于防护规则覆盖难以面面俱到，或在具体实施过程中难免疏漏，或内部人员天然有接触数据的风险，这些都可能导致某个安全节点被突破失效，所以简单堆叠防护技术和产品在体系化进攻和日益复杂的内部威胁面前是难以奏效的。

面对数倍于防护速度的安全威胁，防守者需要摒弃“一招制敌”的幻想，体系化地与进攻者对抗，打造更为先进的防护战法，才能有效应对日益严峻的安全形势。基于DTTACK的防御纵深，将凭借强大的知识库和技术支撑，形成层层递进、协同联动的新战法，实现在网安对抗中的技高一筹。

4.3.1 数据安全建设的发展演进
 

当前，数据安全已经成为了政府、企业以及人民群众等各个领域都高度关注的焦点。纵观安全建设的整个发展历程，大体经历了三个阶段。（此处内容省略，详见白皮书原文）

4.3.2 数据安全攻击不断体系化
 

当下，数据安全防御变得越来越困难，各种强悍的防御手段，在一些“精妙”的攻击下都很快被击破，比如APT攻击让传统防御手段变得形同虚设，信息交互的刚需使网络隔离难以奏效，各种宣称“解决一起安全问题”的防御技术很快被绕过。究其根本，是伴随着安全体系建设的演进，攻击也呈现出体系化的发展趋势。

从攻击对象来看，只要有利益、有价值的系统和服务，都存在被攻击的现象，尤其是有影响力国家级、企业级数据，由于针对安全攻击能够带来高回报率，引来越来越多的活跃数据安全攻击团伙的全面研究与精准打击。

从攻击特点来看，攻击正变得更为聪明和大胆，不仅是蓄意且具备高智力的，而且逐渐向拟人化和精密化的方向发展。攻击者们不仅能够通过快速查明防御系统或环境中存在的漏洞，精确针对特定薄弱区域定制并发起大规模攻击，还能模拟合法行为模式以绕开和躲避安全工具。

从攻击趋势来看，过去针对数据安全漏洞层出不穷的情况，攻击手法大多都是“单点突破”，但绝大多数的单点突破，难以达到攻击目的。因此，攻击趋势正从“单点突破”向“体系化”转变，攻击手段也越来越专业，甚至攻击任务都出现了“黑产链”、“专业外包”等情况。在这样复杂的进攻下，传统的安全边界或网络隔离策略变得形同虚设。

当然，体系化的攻击也并非没有弱点。攻击的目的是获利，获利往往会让攻击暴露更多细节。在分析窃取信息为目的的攻击并设计防御措施时，特别需要关注“窃取”这个获利环节。定位寻找有价值的信息，读取访问获得目标信息，以及各种渠道回传窃取的信息，从而实现攻击的目的。如果没有获利环节，一次针对信息系统的攻击可能是没有效益的。另一方面，在整个攻击过程中，获利环节的隐匿性可能是最低的，而且由于攻击产业链的信任关系问题，其执行水平可能也是最差的。

4.3.3 数据安全需放弃“一招鲜”

可以看到，攻击者已经联合起来，形成分工合作的生态圈，如果防守依然处于孤立、静态且不成体系的，那么成功者毋庸置疑会是攻击者。基于分析，值得庆幸的一点是，攻击行为的体系化、链条化，恰恰带来了更多的防御点。

防御者首先要达成一个共识，数据安全建设不存在“银弹”，要放弃一招制敌的幻想。“银弹”即银色子弹，在欧洲民间传说及19世纪以来哥特小说风潮的影响下，往往被描绘成具有驱魔功效的武器，是针对狼人等超自然怪物的特效武器。用在数据安全建设领域，代表具有极端有效性的解决方法。但实际上，安全防护不可能达到100% 的安全，即使是1% 的漏洞，也可能造成100% 的损伤。

数据依托于信息系统而存在，数据安全不仅仅局限于数据本身，而应扩展到信息系统的各安全领域。多层面、全方位、环环相扣的纵深防御，是目前保障数据安全的有效路径。

纵深防御（Defence in depth）概念来源于一种军事战略，在军事领域中是指利于纵深、梯次地部署兵力兵器，抗击敌人大纵深、立体攻击；利于疏散配置兵力兵器，减少敌方火力杀伤；利于实施兵力、火力机动，适时以攻势行动歼灭突入、迂回、机降之敌；利于组织指挥各部队、分队相互支援。数据安全领域的纵深防御是指，在信息系统上根据不同的安全威胁或系统攻击，结合不同的安全防护技术与措施，实施多层的安全控制策略，目标是提供了环环相扣、协同联动的安全防御，也意味着一种安全措施失效或被攻破后，还有另一种安全防御来阻止进一步的威胁，降低攻击者进攻成功的机率。

麻烦是永远存在的，除非主动解决，否则它不会主动消失。在数据安全建设领域也是这样，数据安全是件极其复杂的事，现在考虑进来的麻烦多了，未来遇到的麻烦就会少。事后消补永远不及设计之初就纳入安全，不论是效果还是成本都会有所体现。

4.3.4 数据安全多维递进式设防

知己知彼，才能百战不殆。针对数据安全漏洞的攻击变得体系化加大了防御的难度，但获利环节让攻击暴露更多细节，使得防御者有了更加精准的防护切入点。在数据安全防护过程中，不存在一招制敌的战法，基于DTTACK 的防御纵深，将凭借先发优势、面向失效的设计、环环相扣的递进式设防，成为百战不殆的有效战术。

4.3.4.1 利用好先发优势

为了对抗体系化的攻击，防御体系的设计应用好“先发优势”，针对威胁行为模式，提前布置好层层防线，综合利用多样化的手段，实现各个维度防御手段的纵深覆盖，让进攻者在防守者布局的环境中“挣扎”。

一方面，通过“排兵布阵”制定策略，结合IT基础设施、网络结构、系统分区、业务架构、数据流向等进行精心防御设计，消耗进攻者的资源；另一方面，是形成多道防线，每一道防线都是针对前一道防线破防的情形打造，而不是盲目的堆砌，这就需要提到面向失效的设计原则。

4.3.4.2 面向失效的设计

面向失效的设计原则是指，任何东西都可能失效，且随时失效。需要考虑如前面一道防御机制失效了，后面一道防御机制如何补上后手等问题，考虑系统所有可能发生故障或不可用的情形，并假设这些可能都会发生，倒逼自己设计出足够健壮的系统。是一种在悲观假设前提下，采取积极乐观的应对措施。

面向失效的设计是防御纵深的关键。整体思路：从传统静态、等待银弹的方式转向积极体系化的防御纵深模式。分析进攻者的进入路径，基于面向失效的设计原则，打造多样化多层次递进式的防御“后手”。

图 8 面向失效的数据安全纵深防御新战法

基于面向失效（Design for Failure）的防御理念，从几个重要维度层层切入，综合利用多样化手段构建纵深，当一种保护手段失效后，有后手安全机制兜底，打造纵深协同、而非简单堆叠的新战法。这里选择三个比较重要的维度，一是安全能力维度（I.识别、P.防护、D.检测、R.响应、R.恢复、C.反制），二是数据形态维度（使用态、存储态和传输态等），三是技术栈维度（SaaS/业务应用、Paas/平台、IaaS/基础设施），这三个维度之间关系是独立的、正交的，三者叠加可构建更有效的数据纵深防御体系。

4.3.4.3 多维度纵深防御

“纵深防御”是一种应该体现在数据安全防御体系设计各个方面的基本原则，而不是一种“可以独立堆叠形成的解决方案”。

（1）多层堆叠不等于防御纵深

图 9 数据安全防护架构图

企业传统的城防式安全防护是将数据一层层地保护在中心，为了保护核心数据，在多个层面进行控制和防御，比如安全制度建设（安全意识培训）、物理安全防护（服务器加锁，安保措施等）、边界安全措施（使用防火墙等）、应用安全系统防御（访问控制、日志审计等）以及对数据本身的保护（数据加密等）。实际上任意层漏洞都可能直接造成数据的泄漏，导致之前建设的所有的安全手段就会瞬间瓦解。

例如，在2017年11月15日，Oracle就发布了五个针对Tuxedo的补丁，修补了5个极高危的漏洞，攻击者可以利用这些漏洞从应用层面获得数据库的完全访问权限，而无需有效的用户名和密码即可获得数据库中的关键数据。内网+多层边界防护是一个丰满的理想，但现实却是骨感的。因为攻击者有可能绕过网络和主机层的“马奇诺防线”，直接从Web应用层打进来。单一边界防护难以保证所谓的内网安全，堆砌式“纵深防御”难以实现“安全网神话”。

多组件系统实现“模块纵深”防御覆盖时，必须实现可信可靠、环环相扣的组件间安全交互机制，才能确保实现的是纵深防御而不是多层堆叠。结合业务流程设置多道防线，有助于阻断攻击获利环节。密文信息的解密环节可重点防护，信息系统在加密等防御保护措施基础上，对解密操作等行为的重点监控，可能给攻击获利环节造成难度，甚至形成威慑效果。

企业传统的城防式安全防护不等于防御纵深，多层堆叠容易沦为马奇诺防线，环环相扣的多层面递进式纵深是最佳防御路径。

（2）安全措施和业务的动态平衡

从安全能力到数据形态，再到技术栈的层层纵深，包含着一个重要思路就是逐层收缩攻击面，对于攻击行为自由度进行压制，形成一个逐步内聚、互相隔离的防御纵深逻辑。

当然，防御纵深的“排兵布阵”也并非一成不变。这里可以引入包以德循环（OODA循环）理论。该理论的基本观点是：武装冲突可以看作是敌对双方互相较量谁能更快更好地完成“观察（Observation）—调整（Orientation）—决策（Decision）—行动（Action）”的循环程序。双方都从观察开始，观察自己、观察环境和敌人。基于观察，获取相关的外部信息，根据感知到的外部威胁，及时调整系统，作出应对决策，并采取相应行动。

通过OODA循环的基本观点就可以看出，它同样适用于有着“对抗”特征的数据安全领域，提醒数据安全防守者必须时刻警惕和调整自己的战略和行为，提高对攻击事件的“广度与纵深覆盖”能力。

“调整”步骤在整个OODA循环中最为关键，也是快速战术响应的重要环节。因为如果防守者对外界威胁判断有误，或者对于周围的环境理解错误，那么必将导致方向调整错误，最终作出错误决策。而进攻者与防守者在这一决策循环过程的速度显然有快慢之分。防守者的目标应该是，率先完成一个OODA循环，然后迅速采取行动，干扰、延长、打断敌人的OODA循环。

此外，防御纵深需要兼具有安全防护和系统保障的双重意义。在防御建设过程中，要提升数据安全能力，也不能忽视业务持续流畅度。安全措施和业务也是密切相关的，两者需要保持调和往前走的状态，最终实现动态平衡。找到两者的平衡点，就意味着实现了最佳安全防护和最佳业务性能。这也再一次印证了，不论是效果还是成本，事后消补永远不及设计之初就纳入安全。

（3）从多个维度分别构建数据纵深防御

①　从安全能力构建数据防御纵深

“IPDRRC”体现了数据保护的时间顺序，基于时间维度，可以有机结合多种安全机制。识别是一切数据保护的前提，在数据识别与分类分级、以及身份识别的前提下，针对数据安全威胁的事前防护、事中检测和响应、事后恢复和追溯反制等多种安全机制环环相扣，协同联动，可以有效构建出面向失效的纵深防御机制。

图 10 IPDRRC投资回报率分布图

当然，从当前企业的数据安全建设重点看，越靠近“事前防护”，投资回报率越高，如果仅依靠检测/响应、恢复以及反制等环节，损失已经发生，企业会付出更高成本。因此，数据安全建设之初，应当优先建设事前防护能力，需要综合应用多种安全技术，尤其是采用密码技术开展数据安全保护，比如加密、脱敏等。

②　从数据形态构建数据防御纵深

数据大致可以分成传输态、存储态和使用态，而身份鉴别及信任体系则是对数据访问的补充或者前提，基于“数据三态”可延伸出数据全生命周期。围绕数据形态，可以构建多种安全机制有机结合的防御纵深。我们梳理出20种密码应用模式，采用IPDRRC中数据防护段的密码技术，进入了数据形态维度的纵深防御构建。

图 11 二十种密码应用模式一览

在信息系统中，数据在传输、存储、使用等不同形态之间的转化，每时每刻都在发生，在这种转化过程中，可以利用多种安全技术构建协同联动的纵深防御机制。

在传统网络安全防护中，边界是非常重要的概念，边界上可以构建防火墙或IDS等规则。但数据防护过程中，数据没有边界，如果应用密码技术，则可以起到一种虚拟边界的作用，从而在虚拟边界基础上对数据实施保护，形成有效保护作用。在数据存储和使用态的切换中，如果不经过数据加密，只进行访问控制和身份认证，当明文数据在数据库或归档备份时，数据访问容易被绕过。但当我们在数据流转的关键节点上，对数据进行加解密，并结合用户的身份信息和上下文环境做访问控制，可以构建防绕过的访问控制、高置信度的审计，进而在数据存储、使用形态上形成防护纵深，构建出密码安全一体化的数据防护体系。

③　从技术栈构建数据防御纵深

信息系统的技术栈体现了空间维度，这也可以作为数据保护的纵深。沿着数据流转路径，在典型B/S三层信息系统架构（终端侧、应用侧、基础设施侧）的多个数据处理流转点，综合业内数据加密技术现状，总结出适用技术栈不同层次的数据保护技术。我们继续前文所述的IPDRRC中数据防护段的密码技术，保护数据存储态，再结合典型信息系统的技术栈分层，可以从技术栈维度构建数据防御纵深。

图 12 覆盖不同技术栈的数据存储加密技术

上图列举了10种数据存储加密技术，在应用场景以及优势挑战方面各有侧重：DLP终端加密技术侧重于企业PC端的数据安全防护；CASB代理网关、应用内加密（集成密码SDK）、应用内加密（AOE面向切面加密）侧重于企业应用服务器端的数据安全防护；数据库加密网关、数据库外挂加密、TDE透明数据加密、UDF用户自定义函数加密则侧重于数据库端的数据安全防护；TFE透明文件加密、FDE全磁盘加密则侧重于文件系统数据安全防护。其中，覆盖全量数据的FDE技术可作为基础设施层安全标配，进一步的，针对特别重要的数据再叠加AOE等技术实施细粒度加密保护，两者的结合可以面向技术栈构建出数据防护纵深。

综上所述，从安全能力、数据形态、技术栈等多个不同维度上，有机结合多种安全技术构建纵深防御机制，形成兼顾实战和合规、协同联动体系化的数据安全新战法。

进一步的，针对数据本身进行安全技术的“排兵布阵”，可利用先发优势，基于面向失效的设计，布置层层防线，综合利用多样化的手段，构造层层递进式的纵深防御战线，并在一定程度上实现安全与业务的动态平衡。这对于企业数据安全建设来说，必将婴城固守、金城汤池、易守难攻。

白皮书针对数据安全从识别（I）、防护（P）、检测（D）、响应（R）、恢复（R）、反制（C）、治理（G）七大方面扩充了相应的战术和技术，形成38个技术、110个扩展技术、172个方法，覆盖数据全生命周期安全防护，增强政府、金融、运营商、交通、教医旅等行业事前事中事后的数据安全防御能力。

在识别战术领域，主要聚焦在数据资产发现和处理，本白皮书重点对数据资源发现，数据资产识别，数据资产处理（分析），数据分类分级，数据资产打标作出描述。

5.1.1 技术:数据资源发现
 

数据源发现是指对不同类型的数据资源发现的技术，是[战术： 识别]的首要工作。 数据资源发现非正式定义指： 或通过网络流量分析并还原应用协议（被动的），或通过在业务应用嵌入监测锚点（主动的），或利用网络爬虫和扫描引擎探测并请求应用程序接口数据（主动的），以识别网络协议、应用接口、网页、文本、图片、视频、脚本等数据源。

数据源发现系列技术主要包括网络流量分析、应用接口探测和业务锚点监测等。

5.1.2 技术:数据资产识别
 

数据资源的资产属性，且一般归类为无形资产。 由于数据资产属性，在开展数据安全工作时，首先对数据资产识别是常见技术手段之一。

数据资产识别非正式定义为： 结合组织的行业属性，利用文本识别（音频转义）、图像识别（视频分帧）等技术，通过关键字匹配，正则表达式匹配以及其他自动化识别技术，对数据资源信息、构成等进行资产属性挖掘。

数据资产识别一般为数据资源发现后置动作，一般为数据资产处理、数据分类分级前置动作。

数据资产，是指拥有数据权属（勘探权、使用权、所有权）、有价值、可计量、可读取的网络空间中的数据集。

数据资产识别的主要实现方式为利用自动化技术手段对企业数据进行筛选与分析，找出符合数据资产定义的数据集。 数字资产的识别技术主要包含关键字、正则表达式、基于文件属性识别、精准数据比对、指纹识别技术和支持向量网络等。

5.1.3 技术:数据资产处理(分析)
 

当前，常规的、可控的、静态的数据分类分级已有较好的技术支撑，但针对多格式的、自动采集、动态的数据安全分类分级特别要求在数据资产识别后，需要优先进行数据资产处理。

数据资产处理（分析）指在数据清洗的基础上，针对已采集和识别的重要数据资产和个人信息进行合规和安全处理。

通常，数据资产处理（分析）要首先对数据内容进行识别，然后再进行安全性分析、合规性分析、重要性（敏感性）分析等。

5.1.4 技术:数据分类分级
 

数据分类分级需要分两个步骤来开展。 数据分类指根据组织数据的属性或特征，将其按照一定的原则和方法进行区分和分类，并建立起一定的分类体系和排列顺序，以便更好地管理和使用组织数据的过程。 数据分级指按照一定的分级原则对分类后的数据进行定级，从而为数据的开放和共享安全策略提供支撑。

数据分类分级主要实现方式为依据标签库、关键词、正则表达式、自然语言处理、数据挖掘、机器学习等内容识别技术，进行数据分类，根据数据分类的结果，依据标签进行敏感数据的划分，最终实现数据分级的效果。

5.1.5 技术:数据资产打标
 

数据资产打标指在生产过程中，依据国家相关规定或企业自身管理需求，在产品上通过各种技术进行文字、图片等标识，产品并不局限于实体。

数据资产打标的主要实现方式包括： 基于关键字的敏感数据打标： 通过字段名称，注释信息； 基于正则的敏感数据打标： 通过样本数据； 基于机器学习的敏感数据打标： 整个表中所有字段名，样本数据，与其他表的相似度进行训练； 对账号字段打标等。

在防护战术领域，重点考虑识别战术后，围绕数据资产展开的主动、被动安全保护技术手段，故对于未直接作用于数据本身的保护技术手段暂未收录。

5.2.1 技术:数据加密技术
 

数据加密指通过加密算法和加密密钥将明文转变为密文，而解密则是通过解密算法和解密密钥将密文恢复为明文。

利用加密算法、加密协议以及加密产品，对存储态数据、传输态数据、使用态数据实现密文到明文相互转化。

5.2.2 技术:数据脱敏技术
 

数据脱敏又称为数据漂白、数据去隐私话或数据变形。 是指从原始环境向目标环境进行敏感数据交换的过程中，通过一定方法消除原始环境数据中的敏感信息，并保留目标环境业务所需的数据特征或内容的数据处理过程。 既能够保障数据中的敏感数据不被泄露又能保证数据可用性的特性，使得数据脱敏技术成为解决数据安全与数据经济发展的重要工具。

数据脱敏主要包括动态脱敏技术、静态脱敏技术、隐私保护技术等。

5.2.3 技术:隐私计算技术
 

隐私计算是指在保护数据本身不对外泄露的前提下实现数据分析计算的一类信息技术，是数据科学、密码学、人工智能等多种技术体系的交叉融合。

从技术实现原理上看，隐私计算主要分为密码学和可信硬件两大领域。 密码学技术目前以多方安全计算等技术为代表； 可信硬件领域则主要指可信执行环境； 此外，还包括基于以上两种技术路径衍生出的联邦学习等相关应用技术。

5.2.4 技术:身份认证技术
 

身份认证技术，是指对实体和其所声称的身份之间的绑定关系进行充分确认的过程，目的是解决网络通信双方身份信息是否真实的问题，使各种信息交流可以在一个安全的环境中进行。 身份认证技术可以提供关于某个人或某个事物身份的保证，这意味着当某人（或某事）声称具有一个身份时，认证技术将提供某种方法来证实这一声明是正确的。

在网络安全，乃至数据安全中，身份认证技术作为第一道，也是极其重要的一道防线，有着重要地位。 可靠的身份认证技术可以确保信息只被正确的“人”访问。 身份认证技术的发展，经历了从软件实现到硬件实现，从单因子认证到多因子认证，从静态认证到动态认证的过程。 目前比较流行的身份认证技术包括口令认证技术、无口令认证、生物特征认证等。

5.2.5 技术:访问控制技术
 

访问控制（Access Control）指系统对用户身份及其所属的预先定义的策略组限制其使用数据资源能力的手段。 通常用于系统管理员控制用户对服务器、目录、文件等网络资源的访问。 访问控制的主要目的是限制访问主体对客体的访问，从而保障数据资源在合法范围内得以有效使用和管理。

访问控制的功能性实现一般需要两步： 一是识别和确认访问系统的用户； 二是利用技术手段决定该用户可以对某一系统资源进行何种类型及权限的访问。 技术实现方式可分为网络访问控制、权限管理控制、风险操作控制和数据访问控制等衍生技术。
 

5.2.6 技术:数字签名技术
 

数字签名（Digital signature），签名者使用私钥对待签名数据的杂凑值做密码运算得到的结果，该结果只能用签名者的公钥进行验证，用于确认签名数据的完整性、签名者身份的真实性和签名行为的抗抵赖性。

数字签名使用了公钥加密领域的技术实现，用于鉴别数字信息。 一套数字签名通常定义两种互补的运算，一个用于签名，另一个用于验证。 每种公钥加密体系都能设计实现相应的数字签名，代表性的有RSA签名和DSA签名。
 

5.2.7 技术:DLP技术
 

数据（泄露）防护（Data leakage prevention, DLP），又称为“数据丢失防护”(Data Loss prevention, DLP)，通过一定的技术手段，防止企业的指定数据或信息资产以违反安全策略规定的形式流出企业的一种策略。 DLP这一概念来源于国外，是国际上最主流的信息安全和数据防护手段。

DLP技术，即数据泄露防护技术，主要核心是通过识别结构化数据和非结构化等数据资产，根据安全策略执行相关动作，以实现数据资产保护。

DLP技术的内容识别方法别包括关键字、正则表达式、文档指纹、向量学习等； 策略包括拦截、提醒、记录等。 DLP技术可部署在终端、电子邮件、云和网络等各种出口通道上，能够为其提供DLP功能的工具包括邮件安全和邮件网关（SEG）解决方案、Web安全网关（SWG）、云访问安全代理（CASB）、终端保护平台以及防火墙等。

5.2.8 技术:数据销毁技术
 

数据销毁是指将数据存储介质上的数据不可逆地删除或将介质永久销毁，从而使数据不可恢复、还原的过程。

数据销毁作为数据生命周期中的最后一环，其目的是使得被删除的敏感数据不留踪迹、不可恢复，主要分为硬销毁和软销毁。

5.2.9 技术:云数据保护技术
 

数据保护技术是指利用云资源和虚拟化技术，实现云平台海量数据的保护技术。 通常包含数据分级存储、多租户身份认证等。
 

在数据安全领域，云安全保护技术呈现“百花齐放”，基于白皮书篇幅问题，本文重点探讨云密码服务、云身份鉴别服务、云身份管理和访问控制等已经在非云领域得到算法分析、模型推导等充分验证的安全技术。
 

5.2.10 技术:大数据保护技术
 

除了传统的网络安全、信息安全、数据安全相关保护技术外，在大数据环境下安全保护技术具有特定应用背景下数据保护技术。

大数据保护技术指在大数据处理环境下，针对大数据自身安全特性，施加安全增强的数据保护技术。

常见的大数据保护技术包含数据隔离、分层访问、列数据授权、批量授权等。

在检测战术领域，结合数据动态流转特性，本文共收录六类检测手段，即威胁检测、流量监测、数据访问治理、安全审计、共享监控等。

5.3.1 技术:威胁检测
 

威胁检测，是指采用应用威胁情报、机器学习、沙箱、大数据技术计算资产历史行为等多种检测方法，对网络流量和终端进行实时的监控，深度解析、发现与成分分析； 对IT资产进行精细化识别和重要度评估，帮助信息系统管理者精准检测失陷风险，追溯攻击链，定位攻击阶段，防止攻击进一步破坏系统或窃取数据的主动安全排查行为。

通过对全流量常态化威胁监测，提取行为模式和属性特征，创建异常行为基线，智能检测分析如内网横移行为、漏洞利用行为、隐蔽通信行为等APT高级威胁攻击行为，提前发现或隐藏在流量和终端日志中的可疑活动与安全威胁因素。

5.3.2 技术:流量监测
 

网络流量是指单位时间内通过网络设备和传输介质的信息量（报文数、数据包数或字节数）。 流量检测，是指针对网络流量以及其他流量进行的检测分析。

流量检测需要对网络中传输的实际数据进行分析，包括从底层的数据流一直到应用层的数据的分析，目前包括网络流量分析、高级安全分析、文件分析、TLS解密等技术。
 

5.3.3 技术:数据访问治理
 

数据访问治理包括政策、流程、协议和监督等方面职能，是指对数据存储单位中的数据分级分类访问权限进行实时跟踪、合规审核与风险评估的治理过程。

通常是针对存储在数据库中的数据，采用实时检测、用户访问行为分析、业务风险评估、动态风险评估、安全影响评估、优化管理等措施来保障数据安全治理整体工作的有效开展。

5.3.4 技术:安全审计
 

安全审计，主要是指通过检测组织针对数据平台的日常服务和运维是否开展安全审计，并验证安全审计是否具有自动分析和报警功能的行为。

安全审计主要内容分为两项： 一是检查是否对数据平台部署独立、实时的审计系统； 二是验证数据平台的安全审计系统是否具有日志自动分析功能。 主要包括主机安全审计、网络安全审计、数据库安全审计、业务安全审计和数据流转审计等环节。

5.3.5 技术:共享监控
 

共享监控，是一种基于应用特征的终端识别方法，是指针对在业务系统之间流转或对外提供服务过程中API接口调用未授权或调用异常的监测。

在数据共享过程中，需要采取相应的共享安全监控措施实时掌握数据共享后的完整性、保密性和可用性。 基于HTTP报文User-agent字段识别网络接入终端，可对网络中用户私接设备共享上网的行为进行识别和控制； 通过针对共享数据的监测管控，防止数据丢失、篡改、假冒和泄漏。

R： 响应是D： 检测的极其重要的后手动作，是DR模型的重要一环。 本文收录了事件发现，事件处置，应急响应，事件溯源等四个技术。

5.4.1 技术:事件发现
 

安全事件发现是数据安全事件响应的第一步，是指通过主动发现和被动发现，确认入侵检测机制或另外可信站点警告已入侵，以及主动监测数据可能泄露的点，第一时间定位和处理，是实行紧急预案。

数据安全事件发现依赖内/外部情报技术和互联网监测技术，同时在综合参考5.3 D：检测战术后，采集足够安全检测和异常行为数据，进行结合大数据分析和快照技术实现事件分析与事件留痕。

5.4.2 技术:事件处置
 

事件处理是指安全事件发生之后，采取常规的技术手段处理应急事件，目前包括了事件还原和流量分析等技术，一方面分析安全事件发生的原因，一方面减小安全事件造成的影响或者损失。 法律法规方面，《中华人民共和国数据安全法》对于有关部门在发生数据安全事件时的处理作了相关说明： “发生数据安全事件，有关主管部门应当依法启动应急预案，采取相应的应急处置措施，防止危害扩大，消除安全隐患，并及时向社会发布与公众有关的警示信息。 ”，同时对相关数据处理的主体也做了责任说明： “发生数据安全事件时，应当立即采取处置措施，按照规定及时告知用户并向有关主管部门报告。 ”

略
 

（5.1~5.4章节的部分细节内容省略，详见白皮书原文）

（5.5~5.7 章节的内容，此处省略，详见白皮书原文）

参考适用场景： 政务类平台的数据存储、数据提供场景

表  4   政务大数据交换共享场景典型威胁情境
 

7.1.1 概要
 

2022年1月6日，国家发展改革委印发《“十四五”推进国家政务信息化规划》，提出坚持安全可靠，强化安全保障。坚持网络安全底线思维，强化网络安全和数据安全，严格保护商业秘密和个人隐私，落实信息安全和信息系统等级分级保护制度，全面提升政务信息化基础设施、重大平台、业务系统和数据资源的安全保障能力。

电子政务公共数据开放共享平台项目建设目标是，依托统一的“云”数据中心建设统一的公共数据开放共享平台。集中机关各部门业务应用进行，制定相关的数据规范和信息交换标准，使机关各部门业务系统依托统一的开放平台进行开发建设。确保部门之间系统之间的互联互通、数据共享，为大数据分析提供数据依据。

7.1.2 安全现状
 

7.1.3 解决方案
 

建议平台管理者单位结合DTTACK模型，进行如下方案分析与设计：

需求一实现：选择5.1 I:识别ˆ5.1.3 技术：数据资产处理（分析）ˆ5.1.3.1 扩展技术：数据内容识别与5.1.5.1 扩展技术：标记字段法技术；选择5.3 D:检测ˆ5.3.2技术：流量监测ˆ5.3.2.1 扩展技术：网络流量分析；5.3.2.2 扩展技术：高级安全分析技术；针对电子政务类数据类型，筛选并建立行业敏感字段、数据库字段等特征库；利用识别算法和检测算法实现持续优化；（该部分剩余内容省略，详见白皮书原文）

7.1.4 总结
 

随着法律法规监管日趋收紧，前期缺乏数据安全顶层设计的政务大数据交换共享平台面临数字经济发展和数据安全双重挑战。在尽量不改动平台架构与设计的前提下，重点考虑平台业务特性，贴合平台业务形态设计专有数据安全方案变得必要。参考DTTACK模型，从数据安全保护角度，查漏补缺，实现平台数据安全防护能力快速迭代，解决痛点问题，并最大化降低不必要或非紧急安全投入，平衡合规、威胁和安全投入。

（ 7.2~7.10章节的内容，此处省略，详见白皮书原文）

来源：炼石网络