2014年和2015年，分别被安全行业从业者看做数据泄露和勒索攻击爆发的元年，安全的防御重心更是直指企业的核心数据。随着企业对数据安全防护能力的需求不断提高，数据安全这一安全细分领域市场也呈现出快速的增长态势。

上周六，以“共建数据安全 共享安全数据”为主题的首届中国数据安全峰会在杭州举行。该会议由中国保密协会、浙江省网信办和浙江省经济和信息化委员会指导，华途信息承办。中国保密协会会长杜虹、浙江省网信办副主任马晓军分别到会场致辞。

大数据的发展深刻影响着社会分工协作的方式，并已经成为推动社会经济转型发展、提升政府治理能力的新动力和新路径。政府高度重视大数据产业的发展和数据的安全防护。除了《网络安全法》要求的防护措施外，国务院印发的《促进大数据发展行动纲要》和浙江省发布的《促进大数据发展实施计划》中也都明确提及要进行关于信息安全和隐私保护关键技术的攻关，并构建大数据安全保障体系。

——马晓军

阿里巴巴对数据价值的肯定，从其提出的DT时代的概念中可以完全体现。但是，大数据的发展，也暴露出其独特的安全隐患。而其中较为突出的，就是个人隐私数据的泄露问题。

1. 大数据安全与隐私 重塑大数据产业形态

张锐刚 华为大数据安全首席战略规划师

在张锐刚看来，随着欧盟的“通用数据保护规范“(GDPR)，以及国内的《网络安全法》等世界各国家或地区对数据安全提出要求的法律/行业规范地逐步生效，全球的大数据产业正走向一个更加重视“合规”的时代。目前，对个人隐私数据的保护，和禁止跨境的数据流动是较为突出的两个点。

数据是否是隐私没有绝对标准，但厂商使用和用户相关的任何数据都应得到用户的授权。目前大数据对数据资产的集中化管控中缺少有力的安全威慑以及实时的监测机制。同时，数据的集中使得其不仅更易成为黑客攻击的目标（一次成功攻击可收获更多数据），内部威胁引起的数据泄露事件也十分频发。

在华为看来，大数据安全管控体系的建设应以以下四点为基本原则：

• 安全对于业务使用应“无感无扰”
• 安全整体监控的威慑“可见”
  结合大数据技术和对整体信息安全的管理，构建对整体业务运营的监控，和对内部员工威慑力；对内部数据泄露风险进行排序，并进行实时的检测、告警与取证。
• 安全技术的可视、可见和可追溯
  安全手段的可视和可见有助于配合安全运营，对实际生产进行支撑；安全分析要实现“事前的风险预测、事中的实时管控以及事后的实时审计取证”。
• 走向智能化的安全架构
  安全能力以服务形式体现；减少整体安全建构和平台需要的人为审核、决策和审计环节；结合人工智能技术，通过自动化审计和自适应安全框架，引导安全纵深防御体系的支撑转型。

除此以外，企业还应更关注首席信息安全官(CISO)这一角色从传统的安全规章制度设计和战略指导，以及从被动式安全——事前->事中->事后的响应模式，向“安全风险决策量化管理”的转变，并最终实现投资回报率(ROI)可衡量的安全投资协助企业减少整体运营风险。

2. 阿里巴巴数据安全实践

郑斌 阿里巴巴集团安全总监

阿里巴巴的数据安全实践，更重视关注不同层级数据使用者的安全诉求。

在郑斌看来，大数据产业由下至上大致分为数据生产者、云平台服务商、数据提供者和数据消费者四个层级。

而安全需求方面，贯穿这四个层级的是对个人信息保护的基本诉求。针对数据生产者和云平台服务商，有包括数据权限管理、数据分类分级和数据共享安全等需求；在数据提供者到数据消费者的层级，则更重视数据的存储和传输安全。

为了评估组织在数据安全领域的能力，阿里提出了以数据生命周期安全过程和能力双重维度的评估标准模型——数据安全成熟度模型(DSMM)，并将成熟度等级分为5个层级：L1-非正式执行、L2-计划跟踪、L3-妥善定义、L4-量化控制和L5持续改进。

从数据生命周期角度来看，DSMM还分别从数据采集、数据存储、数据传输、数据处理、数据交换、数据销毁和数据生命周期通用安全中七个角度设立了下图所示的34个安全过程域。

据郑斌介绍，在行业实践方面阿里巴巴提出的数据安全成熟度模型已覆盖诸如制造、软件、金融、文娱、零售等10余重点行业，并已和伊利、优酷、大麦等企业达成合作。同时，在行业实践中阿里巴巴还就DSMM模型达成以下四点共识：

• 数据安全是商业落地的重要基石；
• 建设以“数据”为中心的安全；
• 大数据下的数据安全必须具有聚焦产业生态的视角；
• 数据安全急需技术的创新和体系化的安全产品。

3. 用反向思路进行数据安全建设

此次会议的承办方，深入文档安全领域10年，以内容识别和加密技术起家，并在数据防泄露领域有多年技术积累的华途信息，也在会上分享了华途对数据安全发展和企业数据安全建设的思考。

据IDC统计，2016年全球安全市场收入约为736亿美元，其中中国仅占全球市场的4%，而全球的数据防泄漏却占到了全球安全总收入的15%。不难看出，中国的安全市场还有很大潜力，而对数据安全的投入更是远远不足。

华途信息董事长兼总裁谢永胜认为，目前安全建设和防护主流思路仍是从“物理安全->网络->主机->应用->数据”，而这个思路应该是倒置的。企业应大大提升对数据安全的重视，而不是将最重要的防护对象放到最后考虑。

上至国家政策、法律，下到用户的行为和防护技术，如何形成良好的数据安全生态圈，并打造完整的数据安全产业链；不再是单点布防，而是集成多安全能力的平台型产品和体系化的安全建设，这才是我们应该努力的方向。

据华途信息副总裁吴进波向记者介绍，之前国内的安全能力建设侧重于边界和网络安全，文档安全则主要是加密，并没有主动针对数据做全生命周期的风险管控。

2013年棱镜门爆发后，数据防泄露(DLP)市场需求开始出现并在之后的几年快速增长。但由于DLP策略配置过于复杂，在购买外国厂商的DLP产品后定制化的技术支持和服务成本居高不下等问题，国内DLP厂商的市场才慢慢出现。

目前，国内主流数据安全建设是根据不同场景或密级，强管控（加密）和轻管控（DLP）结合。除此以外，如何将数据安全的管理职责划分清晰，并从合规的角度出发，梳理企业的数据资产和安全风险点，确立防护的优先级，并利用技术和管理手段进行规避，提升员工的安全意识，都是企业为提升攻击成本，降低安全事件的发生后带来的损失要做的事情。

特别在商密信息系统的数据安全建设上，华途的经验如下：