CCIA分享 | 基于DataSecOps的数据安全合规防护体系建设

12月8日，由中国网络安全产业联盟（CCIA）主办的“数据安全风险评估及数据安全服务实践”技术沙龙在线上成功举办，聚焦数据安全评估、数据安全运营等数据安全服务，联合业界专家，共同探讨相关方案与实践。作为技术创新型数据安全企业以及CCIA优秀会员单位，数安行受邀出席本次沙龙，并作《基于DataSecOps的数据安全合规防护体系建设》的主旨演讲。

数字化转型下，数据量级暴增、数据价值高涨，敏感和重要数据资产是恶意程序、用户重点泄露窃取对象，而企业难以理清全网数据类型及分布位置。数据在企业内部流动过程中存在未知扩散泄露风险，风险难以识别。同时，随着数据安全法规逐步健全，合规压力增大，需要持续自动化的数据安全监测评估手段。

因此，数字化转型过程中的数据安全建设受到数据合规与原生保护的双轮驱动，在各行各业业务升级转型的压力之下，数据安全防护需要兼顾业务效率，不影响业务数据的正常流动。数安行基于长期的观察实践，总结了眼下及未来企业建设数据安全体系的痛点：

●数据资产盘点困难：数据资产多源存储，涉及结构化、非结构化数据格式，涉及敏感商业数据和个人信息，数据海量增长、高速流转，多链路传输。

●个人信息合规压力：个人信息合规监管增强，数据处理分析过程中缺少信息影响评估及信息保护，存在个人信息合规风险，企业个人信息合规与保护压力剧增。

●数据风险敞口扩大：存储、应用以及计算终端存在大量的数据风险敞口，业务系统及数据接口提供数据开放和共享服务，内部数据协作处理频繁，数据处理流转以及开放共享缺乏持续的风险监测。

●高对抗数据泄露窃取：针对高价值数据窃取手段越来越多，数据隐写、格式转换等方式的泄露行为越来越隐蔽，大量包含敏感信息的暗数据难以识别，数据泄露越来越难以监测。

传统的网络安全防护策略面向网络和系统边界，着重对流出存储、应用及网络边界的数据进行监控、审计及阻拦，随着数据使用边界越来越模糊，数据多元存储、高速流转，已经很难应对数据流动过程中的合规及未知的攻击窃取风险，面对流动数据缺乏有效的跟踪防护手段，对未知数据、未知风险的识别有较大难度。

因此，数安行提出基于DataSecOps创新理念的数据安全合规防护体系，在数据运营的全流程中，持续对数据处理和使用过程进行追踪，‍‍监测数据流转的整个过程，并依此发掘数据风险的真正源头。将通过全链路数据识别与追踪、轻量化自适应防护、全流程风险检测评估三层能力，来达到多元数据识别与数据流映射、数据最小权限管控与自动化防护、数据安全风险持续监测、以及数据安全合规评估四维目标。

在技术落地上，数安行DataSecOps建立跨存储、应用及终端的合规防护一体的安全架构，将IT系统分为三个平面。最下层的业务基础设施包含存储、主机、各类业务系统以及终端，可以看到数据存储流转的业务流和数据流；上一层通过建立与数据业务形成映射的数据流转存储空间，关注在基础设施上各种来源的数据，包括个人信息数据和敏感商业数据，通过不同技术进行识别，并跟踪其处理流转和状态变化过程；顶层作为数据安全平面，即一个自动化的数据合规与安全防护平台，将持续进行数据安全风险检测评估，根据识别到的敏感数据及其风险和具体的影响程度，采取自适应的细粒度防护措施。

‍‍与传统方案相比，DataSecOps一体化数据安全合规防护体系聚焦于数据本体的全链路流转，填补了分块治理、单点防护时期存在的安全盲区；全类型数据覆盖、基于内容的深度识别解析、丰富的数据分类模型和数据安全风险智能评估模型，可满足高对抗场景的精准防护；同时，平台建设不需要改变现有网络架构，不会阻碍数据流的效率，使安全与业务达到理想平衡状态。

随着数字化转型的深化推进，在以数据为中心建立安全体系的趋势下，一体化数据安全平台与全流程数据跟踪治理是数据安全建设体系的未来发展方向。数安行将继续专注该领域，聚焦DataSecOps，用技术创新驱动发展，让数据安全地流转、共享和使用，‍‍全力为数字化转型保驾护航。

北京数安行科技有限公司以数据运营安全为理念，以AI人工智能技术为核心驱动，聚焦数据运营安全，助力数字化转型，致力于让用户的数据安全地创造价值。公司以承载和保护每一个用户的数据运营安全为愿景，持续创新，合作共赢，成就用户。公司核心团队拥有十余年网络安全与数据安全经验，服务于政府、军工、金融、运营商、互联网、教育、高端制造等各行业客户。

数据运营安全（DataSecOps）核心是在数据运营中内嵌数据安全属性，解决数据运营过程中的数据安全问题，以一个产品或平台的方式运行。其目标是在不影响数据业务流程正常运行的情况下更有效的保护组织内的敏感数据资产，对敏感数据的扩散及滥用风险进行快速响应，将数据安全防护策略传递至参与数据运营的所有人员。