随笔 | 数据安全的下一个十年（1）

正在进行中的《身份安全的下一个十年》进行了4篇，现开启《数据安全的下一个十年》系列。为何要洞察数据安全的下一个十年？,原因很简单，一个清晰的认知是：

身份与数据，密不可分。身份（或凭据）是访问数据的钥匙，数据是身份权限最终指向的目标和价值所在。

而大多数买单者面向营销者有共同的疑问：数据是否安全，数据的安全是否可被验证？是否有泄露的风险？。

正如2024年11月美联邦发布的《零信任数据安全指南》所强调的，在零信任架构下，数据本身就是新的安全边界，而身份、凭证和访问管理（ICAM）是保护这道边界的核心支柱。那么，我们为何要花费精力去洞察和思考遥远的、充满不确定性的数据安全的下一个十年呢？

回顾我们之前对身份未来的探讨，不难发现很多驱动力同样适用于数据安全领域：

1、变革速度加快：云计算的普及、大数据的爆发、AI/ML技术的广泛应用、物联网的兴起，以及日益严苛的全球数据隐私法规，都在以前所未有的速度重塑数据产生的、存储、处理和流动的方式，也带来了全新的安全挑战。

2、易陷战术泥潭：正如IAM领域容易陷入对合规条款的战术性应对，数据安全也常常疲于应对这些、满足特定的审计要求或部署防护工具（如数据库审计，数据分类分级，数据安全平台，数据加密，数据安全监测等），而缺乏一个整体的、面向未来的战略蓝图。

3、复杂性指数级增长：数据量激增、数据类型多样化（结构化、非结构化、半结构化）、存储环境混合化（本地、多云、SaaS）、数据供应链的延长，使得传统的数据安全方法捉襟见肘。可见性差、策略不一致、管理碎片化成为常态。

4、技术并非唯一瓶颈：与IAM类似，限制数据安全水平的往往不只是技术本身，更在于组织流程的滞后、跨部门协作的障碍、数据安全意识的缺乏、治理框架的不完善以及难以量化的价值衡量体系。

数据安全的“中年危机”

作为一名同时关注身份与数据安全的从业者，我深切感受到，当前的数据安全领域正面临着一种“中年危机”：

1、被动响应常态化：许多组织的数据安全投入仍然是事件驱动或合规驱动的。只有在发生数据泄露事件后，或者面临严格的法规审计时，才会“头痛医头，脚痛医脚”式地增加投入或部署新工具。那么以后准备走安全的老路吧。

2、“工具堆砌”而非“能力构建”：市场上数据安全工具层出不穷（加密、脱敏、DLP、数据库审计、数据水印、DSP、DSPM……），很多企业采购了不少工具，但往往缺乏有效的整合与协同，未能真正构建起体系化的数据安全能力，这些或许跟国内“土壤”相关，而非技术主因。

3、可见性黑洞普遍存在：“我的敏感数据在哪里？”“谁在访问它们？”“它们是如何流动的？”“是否存在风险？”——能够清晰、全面回答这些基本问题的组织寥寥无几。数据资产不清、分类分级不明、访问关系混乱是常态。大多数数据安全口号式的以数据为中心，但是不解决问题，其实权限问题才是关键，比如Varonis数据安全平台收集并处理广泛的元安全数据，平台分析确定哪些用户不再需要访问特定数据，哪些数据属于哪些所有者，以及如何管理关键数据元素的权限。这里可多关注下安全红蓝紫知识星球号的洞察报告【移步文末获取地址】。

4、价值衡量与战略脱节：数据安全其价值难以量化，安全投入往往基于恐惧或合规压力，而非基于其对业务的支撑和赋能价值。

如果不跳出这种被动、碎片化、战术性的怪圈，我们将无法应对未来十年更为严峻的挑战。正如《零信任数据安全指南》开篇所言，网络风险格局和攻击者都在不断进化。我们需要一个前瞻性的视角和战略性的框架来指导我们的行动：

·预见风险，主动防御：理解AI、云计算、数据共享等趋势带来的新风险，提前布局防御策略，从被动响应转向主动预防，可能要进入Runtime时代。

·统一治理，打破孤岛：构建跨环境、覆盖数据全生命周期的统一治理框架，整合碎片化的工具和流程。

·数据赋能，安全融合：将数据安全要求深度融入数据处理、分析和应用的全过程（Data SecOps），使其成为数据价值释放的保障而非阻碍。

·战略协同，价值驱动：将数据安全目标与企业整体业务目标对齐，用业务语言阐释数据安全的价值，争取战略性投入。

开启我们的数据安全未来之旅

本系列随笔的目的是为数据安全的下一个十年构建一个思考框架。这注定是一场充满挑战但也极具价值的探索。下一篇，让我们从基础出发，回顾数据安全理念是如何从传统的边界防护演进到今天的“以数据为中心”的。期待您的关注！

比如，RSAC 2025年有一场演讲是关于《以数据中心为中心的安全性：为何细粒度安全性如此重要》，讨论了从传统的以边界为中心的防御模式转向以数据为中心的安全模型。演讲者认为，尽管在构建“边界”方面投入了大量时间和资源，但数据泄露仍在急剧增加，表明现有模式不足。提出了一种新的“进攻性”方法，专注于直接保护数据本身，无论数据位于何处。实现这一目标的关键技术是基于ABAC和Trusted Data Format(TDF)，这是一个开放标准，用于将策略和加密绑定到数据对象上。

（地址：https://path.rsaconference.com/flow/rsac/us25/FullAgenda/page/catalog/session/1728052668046001dcgw）

一段知识营销，耽搁1分钟

🔐您是否厌倦了在碎片化信息中浪费时间？我们为您提供"深度知识蒸馏服务"！

我开设了我的知识星球-安全红蓝紫，关注AI、网络、身份与数据安全及延伸领域，对供应商资讯与行业知识进行深度整合（Deep Neaten），助您用最少的时间精准洞察行业及技术趋势，把握发展先机。

-定位：做知识的深度整合（Deep Neaten）。

-价值：时间是宝贵的，利用深度整合的数据帮助自己快速学习、二次加工、随时Review。

在这里，您将获得：

✅每周精选AI、网络、身份与数据安全及延伸领域"脱水干货"。

✅结构化知识支持随时Review - 像查字典一样快速定位关键洞察。

（前20名朋友加入可在星球里私信我领取电子书刊-《网络安全的第一原则》电子版和翻译稿）

【扫码加入"安全红蓝紫"知识星球，快速获取深度知识蒸馏服务！】

原文始发于微信公众号（安全红蓝紫）：随笔 | 数据安全的下一个十年（1）