報告編號：DWC_WB_2022003

分析師：金東東?首席戰(zhàn)略分析師

發(fā)布時間：2022年6月

數據治理安全(DGS)是適應我國國情以及數據安全商業(yè)市場現狀，解決企業(yè)數字化轉型過程中有關數據安全需求的思想。

DGS是以數據安全合規(guī)驅動的，聚焦于數據的分類分級、合規(guī)條款匹配和數據安全能力的對接與調度。將傳統的數據安全治理(DSG)框架化繁為簡、化重為輕，以期更好的幫助解決數據安全保障體系的落地問題。同時，為未來全局化的數據治理工作做好準備。由于治理的概念大于安全，所以我們稱之為數據治理安全(DGS)。

數世咨詢愿同產業(yè)界一起，以中國數字安全實踐為根基，樹立全球網絡空間安全發(fā)展的新風向，給出全球網絡空間命運共同體的中國答案。

關鍵發(fā)現

● 數字時代的數據安全關注的是數據生產和處理過程中的安全狀態(tài)，已經不適應于傳統數據安全生命周期的思考方式，即數據沒有生命周期。因為數據的價值是由流動性體現的，只要是流動的數據，就必然會通過計算或者存儲的形式將自身轉移到其他數據或系統中，并不存主動銷毀這一行為。并且從《數據安全法》中可以看到，有關數據處理的內容中也不包括銷毀。

● 現階段我國數據安全市場的驅動力主要來自安全合規(guī)。

● 數據做為人類活動的第五大生產要素，站在國家、行業(yè)的層面用頂層治理的高度來考慮是完全必要的。但站在企業(yè)或機構的自身層面，用治理的高度來實現數據安全管理，無異于“大炮打蚊子”，時間、人力、物力上的成本令企業(yè)或機構舉步維艱。這幾年來的實踐也證明，傳統數據安全治理(DSG)的概念和思路均存在無法落地的問題。

● 由于數據安全治理的框架是用治理的高度來做安全，因此前期的咨詢、分類分級、資產化會變得極其沉重。數世咨詢提出的解決思路是，以安全驅動(為目的)的數據治理，聚焦于安全和輕量級資產化，在減輕前期咨詢、分類分級、資產化沉重壓力的同時，又為未來大一統的數據治理工作做好準備。

● (CPI)2 框架的應用基于AI的數據自動分類分級能力、具有行業(yè)屬性的知識圖譜和全域數據/多模態(tài)數據的治理能力，支持云原生、私有化部署和SaaS服務，與數據治理安全(DGS)的理念完全契合，滿足企業(yè)數字化轉型的各種需求。

參考建議

● 數據安全生命周期是從數據的流動環(huán)節(jié)上做安全控制，但由于絕大多數電子數據實際上沒有生命周期，并且數據的價值是通過流動性的強弱來體現的。所以數據安全應該從流動性的視角(即應用需求)切入，而不是以流動環(huán)節(jié)(即信息技術)的視角為核心，流動環(huán)節(jié)應該作為流動性的輔助。

● 行業(yè)用戶在數字化轉型的過程中，安全合規(guī)是繞不開的一環(huán)。為了盡量避免企業(yè)因數據安全問題遭到損失，可以優(yōu)先通過AI的方式進行數據分類分級的工作，然后為各種類數據匹配不同的安全能力。

● 以數據輕量資產化、AI分類分級、持續(xù)分類分級、安全條款符合化和安全能力對接與調度為核心的數據治理安全(DGS)思路，才是適應我國行業(yè)用戶的數據安全需求的。

● 數據分類分級的工作不是一錘子買賣，應該是持續(xù)化不斷迭代進行的。行業(yè)用戶應該不斷根據國家與行業(yè)的要求以及商業(yè)系統的變更來動態(tài)調整分類分級的結果，并對其施以相應的安全能力。

● (CPI)2 框架已經在部分行業(yè)用戶的生產環(huán)境進行了落地應用，可以作為現階段數據治理安全(DGS)的最佳實踐來參考。

?

有關定義

隨著我國《數據安全法》的施行，數據安全已經與網絡安全并行，作為一個單獨的研究領域，加之數字經濟的蓬勃發(fā)展，數據安全的問題越來越被廣大的行業(yè)客戶所關注。

數世咨詢《數字安全能力圖譜》將數據治理安全歸納于數據安全-數據訪問安全分類下，替換了上一版《數字安全能力圖譜》中，數據安全-數據安全體系-DSG分類。

圖 1 數字安全能力圖譜

數據治理安全(DGS)是一種思想，聚焦于數據的分類分級、合規(guī)條款匹配和數據安全能力的對接與調度。整體以輕量化的治理方式引路，優(yōu)先解決安全合規(guī)的迫切需求，再輔以其他數據安全能力，用人工智能的方式實現安全能力的正向循環(huán)迭代。用最輕量化的數據治理思路建設數據安全能力，用最小的代價解決當前最迫切的需求，為后續(xù)數據安全與數據治理的全面建設提供技術與管理基礎。

?

數據安全概況

數據安全的發(fā)展階段

數世咨詢認為，數據的價值是由流動性創(chuàng)造的，并數據的價值是通過流動性的強弱來體現的。

傳統的數據安全防護思想是圍繞數據安全生命周期進行的，而數據安全生命周期是從數據的流動環(huán)節(jié)上做安全控制，但絕大多數電子數據實際上沒有生命周期。數字時代的數據安全關注的是數據生產和處理過程中的安全狀態(tài)，已經不適應于傳統數據安全生命周期的思考方式。一方面是因為“數據安全法”所規(guī)定的條款里，數據處理并不包含銷毀這一過程;另一方面是因為數據的價值是由流動性體現的，只要是流動的數據，就必然會通過計算或者存儲的形式將自身轉移到其他數據或系統中，也不存在銷毀這一結果。

所以數據安全應該從流動性的視角(即應用需求)切入，而不是以流動環(huán)節(jié)(即信息技術)的視角為核心，流動環(huán)節(jié)應該作為流動性的輔助。

在流動性的視角下，數據作為一種保護主體，在不同時期具備不同的流動性。根據不同的流動性，數據安全伴隨著社會和經濟的發(fā)展，針對數據的安全實現和方法也各不相同。數據安全發(fā)展至今可以總結為三個階段：

1. 數據貯存安全，保護數據的價值：這一階段的數據缺乏流動性。安全防護主要以文檔安全、磁盤加密、防勒索、數據恢復和容災備份為保護手段，重點防止數據被破壞;

2. 數據訪問安全，釋放顯性的價值：這一階段的數據擁有有限的流動性。安全防護核心以安全合規(guī)、數據防泄露、數據庫安全、數據脫敏、數據訪問安全域為保護手段，重點防止數據被非法利用;

3. 數據開放安全，挖掘隱藏的價值：這一階段的數據擁有完全的流動性。安全防護核心以人工智能、隱私計算為保護手段，重點防止數據被誤用和濫用。

雖然現在我們已經開始談論數據開放安全，但這并不意味著我們已經步入了數據開放安全時代。一個時代的來臨，是要以國家頂層設計和社會與經濟發(fā)展的現狀來決定的。對于數據的完全開放，我們還沒有做好十足的準備。人工智能和隱私計算的算力與模型問題至今仍然具有很大的挑戰(zhàn)，法律與社會道德層面的約束還不足以支撐。

所以，我們現在處于一個數據訪問安全與數據開放安全交叉的時代。在這種狀態(tài)下，如何認清市場趨勢、抓住轉瞬即逝的機會，對于數據安全企業(yè)和行業(yè)用戶來說，都是必須考慮的問題。

數據安全的法律要求

根據數據不同的流動性，我國在數據安全法治建設進程上也體現出了不同階段的不同方向。從建國至今，有關網絡安全、數據安全的法律要求，或多或少的在各領域法律文件中都有所涉及了數據安全的內容。

2017年6月1日以網絡安全為主體的《網絡安全法》正式實施，從此宣告我國網絡空間安全進入明確法制時代?！毒W絡安全法》指出：建設、運營網絡或者通過網絡提供服務，應當依照法律、行政法規(guī)的規(guī)定和國家標準的強制性要求，采取技術措施和其他必要措施，保障網絡安全、穩(wěn)定運行，有效應對網絡安全事件，防范網絡違法犯罪活動，維護網絡數據的完整性、保密性和可用性;國家鼓勵開發(fā)網絡數據安全保護和利用技術，促進公共數據資源開放，推動技術創(chuàng)新和經濟社會發(fā)展。

2021年9月1日，為了規(guī)范數據處理活動，保障數據安全，促進數據開發(fā)利用，保護個人、組織的合法權益，維護國家主權、安全和發(fā)展利益，《數據安全法》橫空出世，標志著數據安全與網絡安全并行，作為一個單獨的法律主體?！稊祿踩ā穼祿x為任何以電子或者其他方式對信息的記錄;將數據處理定義為收集、存儲、使用、加工、傳輸、提供、公開等過程;將數據安全定義為通過采取必要措施，確保數據處于有效保護和合法利用的狀態(tài)，以及具備保障持續(xù)安全狀態(tài)的能力。

圖 2 涉及數據安全的法律

2021年1月1日發(fā)布的《民法典》，以及2021年11月1日發(fā)布的《個人信息保護法》對國家、企業(yè)、社會、個人接觸到的公民個人敏感信息都做出了明確的法律要求。

不僅如此，根據上圖所示法律，中央部委、各地區(qū)、行業(yè)、團體，還根據自身業(yè)務管轄范疇制定了一系列(數以百計)辦法、規(guī)章、制度等法規(guī)文件。鑒于本報告只是為了借助國家法律、法規(guī)文件來反映數據安全在我國各層面的重要地位，具體法律條文和法規(guī)內容不在這里做展開描述。對于這一部分內容，數世咨詢會在將來的文章以及報告中體現。

合規(guī)驅動數據安全

數據流動性的不斷變化推動數據安全的不斷發(fā)展，在不同數據安全發(fā)展階段，驅動技術和市場的因素也擁有各自的特點。

圖 3 數據安全的驅動因素

現階段來看，數據安全建設的訂單來自合規(guī)驅動和業(yè)務驅動，概括來說為經營風險、業(yè)務受限、國家監(jiān)管和合規(guī)要求，各類驅動力還包括上圖所示的一些具體事項。

如果說網絡安全的需求(預算)約70%來自于安全合規(guī)，那么不同于網絡安全的是，數據的權屬大多為企業(yè)、個人自身，數據安全的責任也屬于企業(yè)、個人自身，安全責任對于企業(yè)、個人來說，從來沒有如此直接和重大。

2021年10月31日，國家安全部公布了三起危害重要數據安全的案例，其中一例涉及某航空公司。經確認，其相關信息系統遭到網絡武器攻擊，部分乘客出行記錄等數據被竊取。經國家安全機關進一步排查發(fā)現，另有多家航空公司信息系統遭到同一類型的網絡攻擊和數據竊取。經深入調查，確認相關攻擊活動是由某境外間諜情報機關精心謀劃、秘密實施，攻擊中利用了多個技術漏洞，并利用多個網絡設備進行跳轉，以隱匿蹤跡。

2021年8月2日，技嘉在中國臺灣的總部遭遇了RansomEXX的網絡攻擊，被竊取了112GB的數據，其中包含來自英特爾、AMD 和其他公司的機密技術文件。該組織還使用勒索軟件來加密技嘉的數據，導致業(yè)務中斷、服務關停。該組織勒索的金額不詳，但聲明如果不支付贖金，還會把竊取的數據公開販賣。

2021年3月19日和2022年2月14日，中信銀行分別被銀保監(jiān)會和央行開具了兩張罰單，處罰金額分別為450萬和240萬。而原因就是數據安全問題引發(fā)的，例如消費者金融信息保護、客戶信息安全管理不到位和訪問控制與權限管理不到位等。

根據數世咨詢的調研發(fā)現，在現階段數據安全的需求(預算)約90%來自于安全合規(guī)，10%來自于業(yè)務需求，所以我們說合規(guī)驅動數據安全。

但不論安全合規(guī)驅動還是業(yè)務需求驅動，數據對于企業(yè)、個人來說，已經作為一種資產和生產要素被廣泛應用于改善生活和創(chuàng)新業(yè)務，所以數據安全就成為一項必須要考慮和付諸行動的工作。當數字時代全面來臨時，數據安全進入完備的開放階段，數據安全的需求(預算)可能安全合規(guī)驅動只占到10%，業(yè)務需求驅動占到90%。

?

數據治理安全概況

數據治理安全需求

數據的價值已經不言而喻，對企業(yè)發(fā)展有強大的促進作用。數據的風險也很直觀，在數字時代甚至決定著企業(yè)的生死存亡。

數世咨詢認為，數據治理安全作為數據安全的一個一級分類，在現階段的我國商業(yè)市場，需求大致可以概括為以下三個方面：

1. 安全合規(guī)

國家在對處理政務數據、商業(yè)數據和個人隱私數據方面都做出了法律要求，各地區(qū)、行業(yè)監(jiān)管部門也制定了一系列監(jiān)管要求，如果相關部門或企業(yè)觸犯法律或者違反法規(guī)，除了收到行政處罰外，還會受到刑事處罰，甚至國家審查。

雖然我國目前規(guī)定的處罰金額整體偏低，但處罰之外的，例如吊銷執(zhí)照、停職審查、停業(yè)整頓、取消資格和暫緩辦理行政事項等，對相關部門和企業(yè)來說，可謂滅頂之災。近兩年最為轟動的莫過字節(jié)跳動海外業(yè)務案和滴滴出行赴美上市案。

在我國一大部分數據安全的需求就來源于安全合規(guī)，規(guī)章制度細致入微、國家監(jiān)管也可謂事無巨細，這些基本囊括了所有數據處理的過程，所以后面提到現階段數據安全需求(預算)90%來自于合規(guī)驅動。

2. 保護數據資產

在生產和生活過程中，產生和收集的數據權屬通常為本人、本部門、本地區(qū)，安全保護責任也一并劃歸。數據作為一種資產，已經在社會層面和商業(yè)層面具有巨大的價值。

政府相關部門可以使用數據進行社會治理和公民服務方面的研究，最直觀的就是疫情防控大數據的應用。而企業(yè)可以使用數據進行用戶行為分析，改善產品體驗和服務精準度，最直觀的就是短視頻推薦算法和出行規(guī)劃算法。

在我國一部分數據安全的需求就是因為這些在生產和生活過程中產生和收集的數據，是擁有者的無形資產，在數字時代屬于核心競爭力的一種，需要被有效的保護起來，建立業(yè)務壁壘。

3. 業(yè)務發(fā)展

激活數據要素潛能，加快建設數字經濟、數字社會、數字政府，以數字化轉型整體驅動生產方式、生活方式和治理方式變革，已經成為國家和社會共同的認知。隨著數據種類和量級不斷高速增長，數據收集、存儲、使用、加工、傳輸、提供、公開、銷毀等過程從未有現今如此復雜，而且這一趨勢仍然是長期向上的。

如果不進行數據安全建設，可能會出現被數據反噬的現象，即因為龐大的數據保護和維護成本以及低級的使用效率，使得企業(yè)在耗費大量人、財、物的同時并沒有發(fā)展或難于創(chuàng)新業(yè)務，最終拖累企業(yè)正常業(yè)務開展。

在我國一部分數據安全的需求就是因為企業(yè)數據保護和維護的成本逐年增長，需要升級數據安全的解決方案，更重要的是需要借助數據隱藏的價值發(fā)展和創(chuàng)新業(yè)務，為企業(yè)尋求新的發(fā)力點。

數據治理安全實踐

針對數據治理安全的三種需求，實現數據安全的應對方法各不相同，但是最終的目標都是要為企業(yè)的數字化轉型提供數據安全保障。本報告研究的核心就是在實現數字化轉型的過程中，怎樣才能在業(yè)務促進和創(chuàng)新上提供匹配的數據安全能力。

擁有數據安全能力的途徑很多，數世咨詢認為，當前我國商業(yè)市場上有關數據安全的實踐方向總體分為兩大類，分別為源自安全和源自數據。

源自安全

這類解決問題的方法通常是根據數據生命周期來進行數據安全建設的應對思路，從安全防護以及等級保護的角度切入，幫助行業(yè)用戶對應檢查項目和相關安全功能需求，屬于上文提到的數據安全發(fā)展階段中的數據貯存安全和數據訪問安全。

源自安全的實踐方向：

1. 數據安全專項能力：主要實現類似身份認證與訪問、數據防泄漏、數據審計、數據風險監(jiān)測、數據庫安全等單點防護的安全控制。

它可以很快的為企業(yè)建立基礎的數據安全控制能力，一方面可以點對點的將等級保護相關控制項能力補齊，一方面可以配合大型IT項目進行安全能力的引入。

2. 數據安全管理平臺：主要是將零散的數據安全控制點，進行統一的管理和實現可視化，將安全能力串聯、放大，起到安全協同處置的作用。

它可以接管數據安全的相關流量并提供一定的安全分析功能，將安全控制協調串聯，通過統一化的管理界面和控制面管道，便捷的維護和管理數據安全能力。

源自數據

與源自安全的解決方法不同的是，源自數據的思路核心為驅動企業(yè)業(yè)務發(fā)展與創(chuàng)新，在企業(yè)數字化轉型過程中，提供匹配業(yè)務需求的數據安全能力。屬于上文提到的數據安全發(fā)展階段中的數據訪問安全和數據開放安全。

從業(yè)務發(fā)展和創(chuàng)新的角度來看，源自安全的方法在企業(yè)深入數字化轉型后，可能會出現安全控制與現有的業(yè)務流程不匹配、與管理環(huán)節(jié)脫軌等問題，因為在部署這些數據安全措施時，并沒有完全根據業(yè)務運營的邏輯和流程去設計，更多的是利用通用性的安全控制點來體現效果。這樣的話，就必須對其進行定制化的改造，才能賦予其對不同類型和級別數據的不同安全能力，實現精確化管控，驅動業(yè)務發(fā)展。而源自數據的數據安全方法，天然就和企業(yè)數據相匹配，避免了后期重復投入的問題。

源自數據的實踐方向：

1. 隱私計算：主要解決數據開放階段的數據流動安全問題，保護對象是隱私數據和敏感數據，目的是挖掘政務數據和個人隱私數據的隱藏價值，在不侵犯數據所有者權利的前提下，進行社會服務和科學研究。

雖然現在已經出現了多方安全計算和差分隱私等隱私計算產品，解決了部分隱私流動與匯聚計算的問題，但有關隱私保護和數據交易方面的法律法規(guī)還不算完善。并且隱私計算最大的價值是融合到業(yè)務應用中，通過人工智能和深度學習去促進企業(yè)發(fā)展，現階段還沒有成熟、穩(wěn)定的實踐。

2. DSG(數據安全治理)：這類解決方案主要根據GARTNER發(fā)布的DSG框架進行操作，DSG先治理、后安全的概念和理論本身沒有問題，但是不論在國際還是國內，其推行效果都不太理想，迄今為止并沒有太多的完整案例可以作為參考和借鑒。以至于此類解決方案往往是以咨詢服務開始、以咨詢服務結束，并沒有落地實際產品或者流程，對企業(yè)數據安全建設沒有起到實質性的幫助。

3. 數據治理安全(DGS)：這類解決方案是用來替代DSG這一實踐方向的，雖然與DSG在先治理，后安全的理念上一致，但邏輯架構和實踐應用卻大相徑庭。

就目前的數據安全落地應用來說，凡是借用DSG的理念進行推廣，優(yōu)先進行數據分類分級的工作，然后再匹配相應安全能力的解決方案，其實都是數據治理安全(DGS)的實踐方向。

一方面是因為數據分類分級或數據輕量資產化的方式，根本沒有達到或匹配DSG有關數據戰(zhàn)略的頂層設計，不符合其框架邏輯;另一方面是因為數據治理安全(DGS)的出發(fā)點就是減輕項目前期人工咨詢、事務性工作、數據資產化的沉重壓力，同時為未來全局化數據治理工作做好準備。

從落地應用可以直觀的發(fā)現，產業(yè)界都已發(fā)現了傳統DSG的可行性困難，并在具體的實施方法上做了基于各自理解之上的修改。之所以一直在沿用DSG的名稱概念，只是因為一直無人提出更好的概念、理念和技術框架以代替。

數據治理安全市場

從上文中的分析我們已經得知，現階段我國數據安全商業(yè)市場是由安全合規(guī)驅動的。而數據治理安全(DGS)的核心，數據分類分級、合規(guī)條款匹配和數據安全能力的對接與調度，與合規(guī)這一硬性需求結合的更加緊密。

圍繞《網絡安全法》、《數據安全法》和《個人信息保護法》，國家開展數據分類分級制度的建設，相繼發(fā)布或正在修改一系列法規(guī)與政策文件。而《重要數據識別規(guī)則》、《網絡安全審查辦法》、《網絡數據安全管理條例》等文件，與企業(yè)生產經營和持續(xù)發(fā)展息息相關。行業(yè)用戶還受到行業(yè)主管部門的監(jiān)管，需要遵循相關數據安全特定要求和分類分級的具體規(guī)范。

目前，政府、國央企、金融、醫(yī)療、互聯網等行業(yè)，對數據安全合規(guī)建設和分類分級的需求極為迫切，屬于剛需。

據數世咨詢統計，2021年僅數據安全原廠商的業(yè)務收入就達到了60億元的規(guī)模，并保守預計未來5年的平均增長率為50%，即2026年為455億元，未7年將突破千億元。

圖 4 市場規(guī)模

數世咨詢認為，從網絡安全演化到數字安全的范式轉換過程中，網絡安全已成為基礎手段，而核心是數據安全。數據承載著業(yè)務、驅動著業(yè)務，因此數據安全與業(yè)務融合、數據安全驅動業(yè)務必將是數字時代的終級趨勢。隨著數字經濟的發(fā)展，數字時代的企業(yè)對數據安全的需求都將成為剛需，未來數據安全市場將與網絡安全市場的規(guī)模相當，甚至超過都有可能。

?

DSG困境分析

面對如此廣袤的市場，我們可以看到，如果以推動企業(yè)數字化轉型過程，促進和創(chuàng)新業(yè)務發(fā)展的角度去思考，源于安全的數據安全建設模式存在一些發(fā)展問題，因為其不滿足企業(yè)數字化轉型的初衷以及企業(yè)管理和業(yè)務流程不斷變化的需求。

那為何源于數據的DSG思路，以先治理、后安全的方法切入，依然不能很好解決這一現象，是因為DSG框架存在三大問題。

圖 5 DSG框架

實踐問題

DAMA(國際數據管理協會)理論框架(下圖左)指出，數據治理職能包括戰(zhàn)略、組織和角色、政策和標準、項目和服務、問題、估值幾個方面，數據治理職能指導其他數據管理職能如何執(zhí)行。從DAMA體系不難看出，數據安全是數據治理的一部分，屬于管理范疇。

《GB/T 34960.5-2018 信息技術服務 治理 第五部分：數據治理規(guī)范》(下圖右)指出數據治理的框架體系，主要由頂層設計、數據治理環(huán)境、數據治理域和數據治理過程組成。數據治理域的數據管理體系指出，組織應圍繞數據標準、數據質量、數據安全、元數據管理和數據生存周期等。從國家標準不難看出，數據安全是數據治理的一部分，屬于管理范疇。

圖 6 數據治理與數據安全的關系

如此可知，數據治理大于數據安全，數據安全屬于管理范疇，數據安全治理(DSG)用治理的方法實現管理的事情，很顯然是一種吃力不討好的做法，也是其在推行過程中最大的阻力。

數世咨詢認為，數據做為人類活動的第五大生產要素，站在國家、行業(yè)的層面用頂層治理的高度來考慮是完全必要的。但站在企業(yè)或機構的自身層面，用治理的高度來實現數據安全管理，無異于“大炮打蚊子”，時間、人力、物力上的成本令企業(yè)或機構舉步維艱。這幾年來的實踐也證明，傳統數據安全治理的概念和思路均存在無法落地的問題。

從理論和國外實踐來看，推行DSG的企業(yè)會建立企業(yè)級數據治理委員會，有業(yè)務部門領導、IT部門領導共同參與，讓業(yè)務與業(yè)務之間、業(yè)務與技術之間能夠有更充分的討論溝通，從而對宏觀的數據戰(zhàn)略、制度達成共識。

但就國內現狀來看，因為經濟體制、企業(yè)架構以及管理模式與國際情況大相徑庭，在DSG基于美洲、歐洲商業(yè)市場環(huán)境開發(fā)的前提下依然推行不暢，在國內推行DSG更是阻礙重重。

不可否認的是，歐美國家在科技創(chuàng)新和應用上在現階段是領先于我國的，數據安全在企業(yè)經營中的作用已經得到了許多驗證，并且歐美國家的許多企業(yè)已經完成或者開始了數據治理的工作，所以他們可以用數據治理的方式去進行數據安全建設，因為數據安全本就是數據治理的重要一環(huán)，是業(yè)務驅動的選擇。

而反觀我國，除了一些行業(yè)頭部企業(yè)外，數以億記的企業(yè)都沒有開始數據治理的工作，用數據治理的流程去做數據安全，不僅不能加速企業(yè)的數據安全建設，通常還會渙散企業(yè)對數據安全建設的決心。

成本問題

根據DSG框架描述，為了構建數據安全能力，不能從安全控制點開始，必須從商業(yè)策略、業(yè)務策略、治理策略、IT策略、風險策略等等一系列頂層戰(zhàn)略開始，基本和數據治理的操作方式一致。

數世咨詢認為，從企業(yè)的數據安全需求和應用效果的角度來看，DSG框架不具備落地執(zhí)行性。從數據安全建設的成本控制和投入產出比來看，DSG方法和利益最大化原則相悖。這就好比我只是想吃一盤蒸羊羔，沒必要下一個滿漢全席的訂單，單獨點一道菜就完全可以解決我的需求。

數世咨詢通過調研發(fā)現，我國大多數有數據安全需求的企業(yè)，至少在現階段，最大的需求是優(yōu)先為數據資產賦予安全能力，其他的數據治理環(huán)節(jié)與流程在業(yè)務開展的過程中慢慢磨合與改進。而不是為了數據安全去執(zhí)行數據治理的流程，投入數據治理所需要的人、財、物和時間，這種投入大、耗時長、見效慢的做法是企業(yè)不能接受的，也是不符合正常商業(yè)模式的。

監(jiān)管問題

由于國家層面的推動，我國企業(yè)對數據安全的需求，基本上都是合規(guī)驅動的選擇。就合規(guī)監(jiān)管來說，DSG主要面向類似GDPR(通用數據保護條例)中DPIA(數據保護影響評估)對數據風險和隱私數據的描述，但不論GDPR還是CCPA(加州隱私保護法)，與我國在數據安全和隱私保護方面的監(jiān)管要求都有或多或少的差別。

另一層面，企業(yè)數據安全建設中，符合國家監(jiān)管政策的第一步是實現分類分級，安全能力要基于分類分級的結果去匹配相應的措施。《數據安全法》雖然指出我國要對數據安全進行分類分級保護建設，但現階段并沒有國家層面的法律法規(guī)文件做出各類、各級細則條款的明確規(guī)定，《網絡數據安全管理條例》和《重要數據識別指南》還處在征求意見稿階段。目前企業(yè)對上述法規(guī)文件只能做參考，更多的是基于行業(yè)監(jiān)管和通用標準進行數據分類分級工作，這就導致了不同行業(yè)的企業(yè)需要遵從不同的要求，對安全解決方案提出了嚴苛的定制化需要。

數據治理安全分析

綜上所述，現階段我國行業(yè)用戶數據安全建設的最佳方式，是實現以合規(guī)驅動的數據安全建設，即數據治理安全(DGS)。用最輕量化的數據治理思路，建設數據安全能力，用最小的代價解決當前最迫切的需求，為后續(xù)數據安全的全面建設提供技術與管理基礎。

數世咨詢認為，數字安全是以網絡安全為基礎，以數據安全為核心的。數據安全不再是網絡安全的分支，在數字時代已經擁有了其自身技術架構和商業(yè)模式，傳統的安全防護思路與方法已無法滿足現代數據安全建設的要求。

為了應對我國商業(yè)市場以合規(guī)驅動的數據安全建設需求，落地方案應該首先解決如下核心問題：

1. 輕量資產化：數據資產化是一個體系化的問題，涉及數據的權屬、估值、交易、隱私等等。但輕量資產化只需要將原始數據進行一些簡單的處理，剔除劣質和無效數據后，將其制作成有效支持分析運算與業(yè)務應用的數據資產。這就意味著輕量資產化的過程要進行數據和業(yè)務的關聯性思考，既要懂數據、又要懂業(yè)務，需要接管企業(yè)全部業(yè)務數據。

2. 智能分類分級：很多解決方案依然會使用手工的分類分級方法，這樣的方式需要引入繁重的咨詢服務流程，并且日后使用效率低下和缺乏靈活性。輕量級的咨詢服務是需要的，但這里的核心是AI/ML的深度應用，對國家法律法規(guī)、行業(yè)監(jiān)管的理解和對業(yè)務數據的理解，通過行業(yè)數據的訓練使其極大的減少行業(yè)客戶初期咨詢的工作量，并且在日后的深度應用過程中高效匹配業(yè)務流轉。

3. 安全條款符合化：在實現數據輕量資產化和持續(xù)分類分級的前提下，需要根據數據安全相關的法律法規(guī)和地方、行業(yè)的安全要求，以安全合規(guī)基線的方法，為企業(yè)提供完整的安全條款項對應控制。

4. 安全能力對接與編排調度：匹配數據在收集、存儲、使用、加工、傳輸、提供、公開等過程中的安全控制，通過API的方式對接各種數據安全能力，結合業(yè)務流程與管理需求，編排調度各種數據安全能力，確保數據處于有效保護和合法利用的狀態(tài)，以及具備保障持續(xù)安全狀態(tài)的能力

5. 持續(xù)分類分級：業(yè)務在不斷的發(fā)展、數據在不斷的變化、監(jiān)管也在不斷的調整，為了更加準確的為業(yè)務數據分類分級，為了更加及時的將新的監(jiān)管要求和業(yè)務需求進行匹配，就必須具備持續(xù)修正分類分級規(guī)則從從而進行不斷調優(yōu)迭代的能力。

?

數據治理安全能力框架

基于數據治理安全(DGS)的思想，數世咨詢聯合霍因科技開發(fā)了(CPI)2 框架，用來描述數據治理安全能力的建設思路，給行業(yè)帶來新的參考借鑒。

該框架基于霍因科技在數據存儲與數據治理方面沉淀的技術和對行業(yè)數據的深度理解，匹配數據安全相關法律法規(guī)和地方、行業(yè)的安全要求，實現了以合規(guī)驅動的數據安全建設落地應用，是數據治理安全(DGS)的最佳實踐。

圖 7 (CPI)2 框架

其中Consulting代表輕量級咨詢、Capitalzation代表輕量級資產化，Policy代表安全策略，Protection代表安全防護，Iteration代表迭代調優(yōu)，Improvement代表持續(xù)改善。

整體框架邏輯為，通過霍因科技對行業(yè)數據安全法規(guī)條例和業(yè)務特性的深度理解，輔以輕量級的咨詢服務，用人工智能的方式為企業(yè)實現數據分類分級和輕量資產化;為數據資產制定全面的安全策略，匹配法律法規(guī)和政策要求的安全控制能力;持續(xù)跟進法律法規(guī)和政策變化、持續(xù)學習業(yè)務邏輯的特性與管理運作的流程，不斷調整分類分級的結果，使數據資產更加精確、明晰，往復循環(huán)正向迭代的過程，實現可持續(xù)發(fā)展的數據治理安全。

圖 8 (CPI)2 技術實現

將框架拆解到實踐應用部分，執(zhí)行邏輯為：

1. C&C：行業(yè)數據理解—>全域數據接入—>基于AI的敏感數據自動發(fā)現和分類分級—>數據自動標簽和入湖倉—>完成資產化。

2. P&P：數據安全基線和策略—>API安全網關—>隱私計算—>數據安全能力的編排與調度。

3. I&I：AI引擎本地化訓練和建?！?gt;正向循環(huán)迭代—>持續(xù)提升精準度

圖 9 霍因?海石-數據加工展示

圖 10 霍因?海石-數據質量展示

圖 11 霍因?海石-數據目錄展示

(CPI)2 的應用基于AI的數據自動分類分級能力、具有行業(yè)屬性的知識圖譜和全域數據/多模態(tài)數據的治理能力，配備全種類數據接入模塊、數據智能識別引擎、API安全網關并擁有安全湖倉，支持云原生、私有化部署和SaaS服務，滿足企業(yè)數字化轉型的各種需求。

?

未來趨勢分析

與網絡安全不同，數據安全天然的屬性就是要和業(yè)務融合。保護數據資產的安全性已經不能滿足數字時代的要求，數據安全要成為支撐業(yè)務發(fā)展和創(chuàng)新的中流砥柱。

因為流動的數據才能創(chuàng)造價值，才能稱之為生產要素，數字時代的數據安全更重要的是關注數據開放過程中的誤用與濫用，怎樣平衡數據使用與安全監(jiān)管兩者的關系，是產業(yè)界必須研究的課題。

未來的數據安全必然繞不開深度學習和隱私計算，這兩大技術都需要極大的計算力和計算模型去支撐。數據安全企業(yè)應該在數據開放時代完全到來之前，深度挖掘各行業(yè)應用的特性，積累并轉化成數學模型，以支撐未來數據安全的不同應用需求。

?

報告結語

數世咨詢在產業(yè)創(chuàng)新方面，立志于“將全球領先的安全理念、技術中國化，將中國領先的安全理念、技術國際化”。根據科技發(fā)展的趨勢和數字安全的中國環(huán)境，數世咨詢認為，凡是優(yōu)先進行數據分類分級的工作，然后再匹配相應安全能力的解決方案都屬于數據治理安全(DGS)的范疇。

為了推動我國數據安全研究和應用的進步，更為了企業(yè)可以著實構建自身數據安全能力，更好的落地數據安全保障體系，數世咨詢發(fā)起并撰寫了本報告，向用戶展示一種適應于國內信息系統和商業(yè)市場環(huán)境，在現階段可實際應用到生產環(huán)節(jié)和業(yè)務流程中的數據安全建設思想。希望通過本報告，可以切實促進我國本土數據安全的商業(yè)市場發(fā)展，同時也為網絡空間安全產業(yè)帶來新的參考思路。

數世咨詢的核心理念為，數字時代、安全共生。希望通過本報告，能夠切實解決行業(yè)用戶在企業(yè)發(fā)展過程中出現的關于數字安全的問題，實現數世咨詢的第三方參考價值，幫助企業(yè)用戶屹立在數字浪潮之巔。

原文來源：數世咨詢