前一段時間DIDI被罰80.26億的事件，以及上海健康碼信息泄漏事件，數(shù)據(jù)安全的合規(guī)也逐步進(jìn)入大家的視野。

筆者之前是做安全的另一個分支，內(nèi)容安全相關(guān)方面的工作，由于工作調(diào)整有機會進(jìn)入數(shù)據(jù)安全領(lǐng)域，為了對這個行業(yè)建立全面的了解，筆者調(diào)研了整個市場上存在的數(shù)據(jù)安全產(chǎn)品，按照按照數(shù)據(jù)的生命周期的框架形成了一個數(shù)據(jù)安全全圖，希望能對數(shù)據(jù)安全感興趣的同學(xué)有幫助。

一、為什么要做數(shù)據(jù)安全？

數(shù)據(jù)是一種重要的生產(chǎn)要素，是中國數(shù)字經(jīng)濟(jì)的基石；

2020 年 4 月 9 日，中共中央、國務(wù)院印發(fā)《關(guān)于構(gòu)建更加完善的要素市化配置體制機制的意見》(以下簡稱《意見》)，提出土地、勞動力、資本、技術(shù)、數(shù)據(jù)五個要素領(lǐng)域的改革方向和具體舉措。數(shù)據(jù)作為一種新型生產(chǎn)要素寫入中央文件中。

數(shù)據(jù)處理利用過程中存在風(fēng)險；

數(shù)據(jù)這種新型生產(chǎn)要素，是實現(xiàn)業(yè)務(wù)價值的主要載體，數(shù)據(jù)只有在流動中才能體現(xiàn)價值，而流動的數(shù)據(jù)必然伴隨風(fēng)險，數(shù)據(jù)安全威脅伴隨業(yè)務(wù)生產(chǎn)無處不在。 因此，凡是有數(shù)據(jù)流轉(zhuǎn)的業(yè)務(wù)場景，都會有數(shù)據(jù)安全的需求產(chǎn)生。

二、什么是數(shù)據(jù)安全？

《中華人民共和國數(shù)據(jù)安全法》中第三條，給出了數(shù)據(jù)安全的定義，“是指通過采取必要措施，確保數(shù)據(jù)處于有效保護(hù)和合法利用的狀態(tài)，以及具備保障持續(xù)安全狀態(tài)的能力?！倍芰Υ蠖鄶?shù)情況是要借助工具體現(xiàn)的。

而作為這個行業(yè)的產(chǎn)品經(jīng)理在整個過程中穿創(chuàng)造的價值就是讓能力工具化，規(guī)模性的解決一個數(shù)據(jù)流轉(zhuǎn)過程中的安全問題，甚至消滅一個數(shù)據(jù)安全問題問題。

三、數(shù)據(jù)安全產(chǎn)品建設(shè)思路

在數(shù)據(jù)安全法的定義中，數(shù)據(jù)安全是一種能力建設(shè)。而從業(yè)務(wù)視角出發(fā)，數(shù)據(jù)安全需求重點是數(shù)據(jù)的機密性和完整性。 單數(shù)據(jù)作為這種新型的生產(chǎn)要素，是實現(xiàn)業(yè)務(wù)價值的主要載體，只有在流動中才能體現(xiàn)價值，而流動的數(shù)據(jù)必然伴隨風(fēng)險，所以數(shù)據(jù)安全威脅伴隨業(yè)務(wù)生產(chǎn)無處不在。 因此，凡是有數(shù)據(jù)流轉(zhuǎn)的業(yè)務(wù)場景，都會有數(shù)據(jù)安全的需求產(chǎn)生。

這樣的建設(shè)思路和傳統(tǒng)的網(wǎng)絡(luò)安全的產(chǎn)品建設(shè)思路不一樣，傳統(tǒng)的網(wǎng)絡(luò)安全是以防火墻、殺毒軟件和入侵檢測等“老三樣”為代表的安全產(chǎn)品體系為基礎(chǔ)，基于網(wǎng)絡(luò)邊界防護(hù)開展的產(chǎn)品構(gòu)建及設(shè)計。

而IT系統(tǒng)不可避免的存在缺陷，利用缺陷進(jìn)行漏洞攻擊或是網(wǎng)絡(luò)安全永遠(yuǎn)的命題，攻防對抗視角的網(wǎng)絡(luò)安全防護(hù)是過去主要的安全防護(hù)手段 ，但是隨著云計算、移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、大數(shù)據(jù)等新技術(shù)蓬勃發(fā)展，數(shù)據(jù) 高效共享、遠(yuǎn)程訪問、云端共享，原有的安全邊界被逐漸“打破”了。這樣的情況下，由于數(shù)據(jù)的高流動性，且每一個數(shù)據(jù)均是包含的完整的生命周期，數(shù)據(jù)安全業(yè)界的思路是“以數(shù)據(jù)為中心的安全”的建設(shè)思路。

而基于這個思路，由于數(shù)據(jù)生命周期的存在，本文的數(shù)據(jù)安全產(chǎn)品全圖是基于數(shù)據(jù)安全的產(chǎn)品思路梳理。數(shù)據(jù)生命周期分為數(shù)據(jù)采集、數(shù)據(jù)傳輸、數(shù)據(jù)存儲、數(shù)據(jù)使用、數(shù)據(jù)共享、數(shù)據(jù)銷毀。

四、數(shù)據(jù)安全產(chǎn)品概覽

1. 數(shù)據(jù)采集類產(chǎn)品

數(shù)據(jù)分類分級產(chǎn)品：解決數(shù)據(jù)資產(chǎn)發(fā)現(xiàn)及識別的問題，一般通過掃描形式發(fā)現(xiàn)數(shù)據(jù)，通過內(nèi)置規(guī)則庫進(jìn)行資產(chǎn)分類分級標(biāo)簽的識別；實現(xiàn)夯實企業(yè)數(shù)據(jù)安全建設(shè)基礎(chǔ)，為敏感數(shù)據(jù)的精細(xì)化管控提供技術(shù)抓手；數(shù)據(jù)資產(chǎn)化能使企業(yè)從安全分級角度明確數(shù)據(jù)整體態(tài)勢，利用數(shù)據(jù)分類分級的結(jié)果指導(dǎo)數(shù)據(jù)安全策略的部署與實施，實現(xiàn)數(shù)據(jù)安全治理。

敏感數(shù)據(jù)發(fā)現(xiàn)系統(tǒng)：通過掃描手段發(fā)現(xiàn)資產(chǎn)后，通過內(nèi)置敏感數(shù)據(jù)規(guī)則，實現(xiàn)敏感資產(chǎn)流轉(zhuǎn)監(jiān)控；一般基于隱私保護(hù)與合規(guī)的數(shù)據(jù)安全治理技術(shù)框架，根據(jù)各行業(yè)的業(yè)務(wù)數(shù)據(jù)特征和分類分級規(guī)范，提供行業(yè)模板，通過自主創(chuàng)新研發(fā)的敏感數(shù)據(jù)識別技術(shù)，全面、快速、準(zhǔn)確發(fā)現(xiàn)和定位敏感數(shù)據(jù)，構(gòu)建持續(xù)更新的企業(yè)敏感數(shù)據(jù)分類分級目錄。內(nèi)置GDPR、網(wǎng)絡(luò)安全法、PCI等合規(guī)知識庫，結(jié)合敏感數(shù)據(jù)目錄識別和量化數(shù)據(jù)安全風(fēng)險，生成評估報告，驅(qū)動數(shù)據(jù)安全策略的落地，可以為數(shù)據(jù)安全工作的推進(jìn)提供抓手。

數(shù)據(jù)資產(chǎn)安全管理平臺：全面盤點數(shù)據(jù)資產(chǎn)、實現(xiàn)數(shù)據(jù)動態(tài)跟蹤、開展數(shù)據(jù)分級分類建設(shè)、保障數(shù)據(jù)安全合規(guī)等為重點內(nèi)容和目標(biāo)的綜合管理平臺?？赏ㄟ^數(shù)據(jù)資產(chǎn)梳理規(guī)劃、分級分類，幫助管理者全面了解核心數(shù)據(jù)資產(chǎn)，識別數(shù)據(jù)資產(chǎn)風(fēng)險，完成數(shù)據(jù)資產(chǎn)類目構(gòu)建與數(shù)據(jù)敏感信息歸集等工作，從而不斷優(yōu)化和提升數(shù)據(jù)資產(chǎn)管理規(guī)范、安全規(guī)范。

2. 數(shù)據(jù)傳輸類產(chǎn)品

動態(tài)及靜態(tài)脫敏系統(tǒng)：可以幫助企業(yè)高效、合規(guī)、安全使用數(shù)據(jù)。需要支持的數(shù)據(jù)源類型，系統(tǒng)一般通過聚類分析自動分類，內(nèi)置豐富規(guī)則，運用無監(jiān)督機器學(xué)習(xí)模型，得到精準(zhǔn)智能的識別結(jié)果。脫敏數(shù)據(jù)需要保持原有數(shù)據(jù)特征、關(guān)聯(lián)性、一致性、可逆性，系統(tǒng)一般會實現(xiàn)對靜態(tài)數(shù)據(jù)庫、文件的脫敏，支持基于用戶角色、訪問物理身份、訪問頁面和敏感數(shù)據(jù)類型，提供敏感數(shù)據(jù)實時動態(tài)脫敏。

數(shù)據(jù)安全交換系統(tǒng)：安全數(shù)據(jù)交換系統(tǒng)一般作為邊界保護(hù)設(shè)施，通過這些邊界保護(hù)系統(tǒng)構(gòu)成安全標(biāo)記強訪的核心網(wǎng)，形成云平臺安全標(biāo)記強訪控制中樞，是構(gòu)筑安全可靠云架構(gòu)的基石。安全數(shù)據(jù)交換系統(tǒng)通常采用安全標(biāo)記為核心的思路，解決傳統(tǒng)邊界僅能實現(xiàn)兩域間隔離細(xì)度弱、策略復(fù)雜、工程設(shè)備中安全標(biāo)記產(chǎn)品系列不齊全等問題。構(gòu)成技術(shù)上簡單、高效的一套具備隔離強度高、防護(hù)粒度細(xì)、控制力度大的產(chǎn)品系列和技術(shù)體系。

3. 數(shù)據(jù)存儲類產(chǎn)品

數(shù)據(jù)庫加密系統(tǒng)：需要在保障業(yè)務(wù)系統(tǒng)透明訪問的前提下，實現(xiàn)數(shù)據(jù)存儲加密、訪問控制增強、等保合規(guī)的數(shù)據(jù)安全設(shè)備。一般的數(shù)據(jù)庫加密系統(tǒng)無需改造業(yè)務(wù)系統(tǒng)，通過加密引擎即可從根本上解決數(shù)據(jù)明文存儲造成的敏感數(shù)據(jù)易因黑客拖庫、越權(quán)訪問、磁盤失竊等威脅被批量泄露的問題。

數(shù)據(jù)庫容災(zāi)備份系統(tǒng)：容災(zāi)備份系統(tǒng)（數(shù)據(jù)防泄漏產(chǎn)品可以用來檢測、保護(hù)和管理敏感數(shù)據(jù)，無論數(shù)據(jù)是在移動、存儲或者使用的過程中，以深層內(nèi)容分析技術(shù)為核心，以集中策略為基礎(chǔ)，并通過一個統(tǒng)一的管理系統(tǒng)對數(shù)據(jù)進(jìn)行各種處理并與其它安全技術(shù)聯(lián)動。 Disaster Recovery）是為滿足云環(huán)境和傳統(tǒng)環(huán)境下的數(shù)據(jù)保護(hù)等多種場景下的備份需求。系統(tǒng)需要支持私有云、公有云、混合云環(huán)境下的虛擬機備份與恢復(fù)、數(shù)據(jù)庫實時與定時備份、異地副本、文件備份、數(shù)據(jù)歸檔、災(zāi)難恢復(fù)演練等服務(wù)和解決方案，解決由于人為誤操作、病毒攻擊、邏輯錯誤、硬件故障和自然災(zāi)害等原因造成的數(shù)據(jù)丟失，為用戶業(yè)務(wù)系統(tǒng)提供安全保障。

4. 數(shù)據(jù)使用類產(chǎn)品

特權(quán)賬號管理系統(tǒng)：簡稱PAM，是以數(shù)據(jù)的重要訪問入口——賬號口令安全為維度的數(shù)據(jù)安全產(chǎn)品，能夠主動發(fā)現(xiàn)各類基礎(chǔ)設(shè)施資源的賬號分布、識別賬號風(fēng)險（包括弱口令、僵尸賬號、幽靈賬號、長期未改密賬號，賬號違規(guī)提權(quán)等）、管理賬號使用，實現(xiàn)對各類基礎(chǔ)設(shè)施資源賬號的全生命周期管理，幫助客戶提升賬號安全的主動防御能力，降低因賬號口令泄漏或被非法利用而造成的數(shù)據(jù)外泄風(fēng)險。國外代表廠商CyberArk、BeyondTrust。

API安全檢測：主要通過對Web、APP、小程序、IoT等應(yīng)用系統(tǒng)的流量分析，從而實現(xiàn)API數(shù)據(jù)暴露面的治理和對數(shù)據(jù)攻擊行為持續(xù)發(fā)現(xiàn)。系統(tǒng)部署在企業(yè)互聯(lián)網(wǎng)出口，實時監(jiān)控企業(yè)API的數(shù)據(jù)暴露面以及被攻擊情況。主要價值是對API進(jìn)行梳理，避免企業(yè)安全管理盲區(qū)，降低API的數(shù)據(jù)泄露和合規(guī)風(fēng)險。

數(shù)據(jù)庫安全網(wǎng)關(guān)系統(tǒng)：由于數(shù)據(jù)庫作為業(yè)務(wù)系統(tǒng)核心源泉，其當(dāng)數(shù)據(jù)庫中存儲有敏感的數(shù)據(jù)，如個人身份信息、企業(yè)財務(wù)信息等數(shù)據(jù)，數(shù)據(jù)庫安全網(wǎng)關(guān)主要實現(xiàn)實時監(jiān)測內(nèi)部的訪問行為，對高頻高危操作行為進(jìn)行告警和阻斷，保證敏感數(shù)據(jù)的安全，確保數(shù)據(jù)不會被非法竊取、確保無關(guān)人員不能看到明文數(shù)據(jù)、確保開發(fā)測試數(shù)據(jù)不會產(chǎn)生泄露。

隱私計算保護(hù)平臺：隱私計算保護(hù)平臺主要是保護(hù)數(shù)據(jù)在計算過程中可用不可見的痛點問題，一般是針對機器學(xué)習(xí)算法進(jìn)行定制化的隱私保護(hù)改造，保證原始數(shù)據(jù)不出本地即可完成聯(lián)合建模及數(shù)據(jù)使用，支持安全多方 PSI（隱私保護(hù)集合求交技術(shù)）、安全隱私查詢、安全統(tǒng)計分析，通過該產(chǎn)品，數(shù)據(jù)使用各合作機構(gòu)能保障數(shù)據(jù)安全，發(fā)揮數(shù)據(jù)最大價值，很好地解決業(yè)界數(shù)據(jù)孤島的難題。

5. 數(shù)據(jù)共享類產(chǎn)品

數(shù)據(jù)庫防泄漏（DLP）：數(shù)據(jù)防泄漏產(chǎn)品是常見的數(shù)據(jù)安全產(chǎn)品，可以用來檢測、保護(hù)和管理敏感數(shù)據(jù)，無論數(shù)據(jù)是在移動、存儲或者使用的過程中，以深層內(nèi)容分析技術(shù)為核心，以集中策略為基礎(chǔ)，并通過一個統(tǒng)一的管理系統(tǒng)對數(shù)據(jù)進(jìn)行各種處理并與其它安全技術(shù)聯(lián)動；

數(shù)據(jù)水印系統(tǒng)：數(shù)據(jù)水印系統(tǒng)束腰實現(xiàn)對數(shù)據(jù)文件進(jìn)行自動讀取、識別、增加水印的，可自動發(fā)現(xiàn)源數(shù)據(jù)中的數(shù)據(jù)類型，對外發(fā)數(shù)據(jù)進(jìn)行添加數(shù)據(jù)標(biāo)記、自動生成水印、數(shù)據(jù)源追溯等功能，避免了內(nèi)部人員外發(fā)數(shù)據(jù)泄露無法對事件追溯，自動對數(shù)據(jù)增加仿真性水印，產(chǎn)品可提高數(shù)據(jù)傳遞的安全性和可追溯能力，水印分為明水印和暗水印兩種。

6. 數(shù)據(jù)銷毀類產(chǎn)品

數(shù)據(jù)庫安全審計系統(tǒng)：數(shù)據(jù)庫安全審計系統(tǒng)主要用于監(jiān)視并記錄對數(shù)據(jù)庫服務(wù)器的各類操作行為，通過對網(wǎng)絡(luò)數(shù)據(jù)的分析，實時地、智能地解析對數(shù)據(jù)庫服務(wù)器的各種操作，并記入審計數(shù)據(jù)庫中以便日后進(jìn)行查詢、分析、過濾，實現(xiàn)對目標(biāo)數(shù)據(jù)庫系統(tǒng)的用戶操作的監(jiān)控和審計。

7. 其他產(chǎn)品

8. 安全合規(guī)類

數(shù)據(jù)安全風(fēng)險評估系統(tǒng)：主要協(xié)助用戶發(fā)現(xiàn)數(shù)據(jù)庫存在的安全隱患和風(fēng)險，提示數(shù)據(jù)全生命周期的安全管控能力。一般實現(xiàn)方式是內(nèi)置資產(chǎn)價值評估、脆弱性評估和威脅性評估，最終形成數(shù)據(jù)庫資產(chǎn)風(fēng)險評估結(jié)果報告。

9. 數(shù)據(jù)安全分析類

數(shù)據(jù)安全態(tài)勢平臺：數(shù)據(jù)安全態(tài)勢感知平臺是以數(shù)據(jù)安全全生命周期管理為核心，通過多維度量化指標(biāo)，精準(zhǔn)描述數(shù)據(jù)安全的實時風(fēng)險及整體狀況；利用海量數(shù)據(jù)分析引擎及模型實現(xiàn)對數(shù)據(jù)風(fēng)險的主動發(fā)現(xiàn)、精準(zhǔn)定位、智能研判、快速處置、嚴(yán)格審計，完成對數(shù)據(jù)安全保護(hù)工作的閉環(huán)處置流程。

10.大數(shù)據(jù)相關(guān)

大數(shù)據(jù)審計系統(tǒng)：主要基于對大數(shù)據(jù)組件的審計日志采集，實現(xiàn)對用戶的登錄、授權(quán)、文件操作、數(shù)據(jù)庫表操作等行為進(jìn)行審計溯源，提取出對危及到數(shù)據(jù)安全的風(fēng)險事件進(jìn)行告警。除此之外，該工具一般能實時監(jiān)測平臺中的針對敏感數(shù)據(jù)的操作事件，若一旦發(fā)生數(shù)據(jù)泄露，能實現(xiàn)及時告警通知。