1 什么是数据安全

数据安全治理专业治理委员会发布的《数据安全治理白皮书3.0》指出数据安全概念的演进和发展速度很快，并伴随数字化转型的浪潮加速向前奔涌，不断突破人类现有的认知和想象。当下一般将数据安全理解以数据为中心，保护数据在其生存周期(包括数据的采集或生成、传输、存储、处理或使用、交换销毁等众多流转环节)内的安全性，一个形象比喻就是“为数据配备贴身保镖”——不限制数据的自由流动，同时确保数据走到哪，安全措施就覆盖到哪

2 基础数据安全要求

基础安全主要包括数据分类分级、合规管理、合作方管理、监控审计、鉴别与访问、风险和需求分析、安全事件应急等7大内容，11大功能项。基础数据安全主要有数据库审计、日志审计、态势感知等，也是数据全生命周期安全建设的重要基石。

根据《数据安全治理实践1.0》指出，基础数据安全要求如下

(1)数据分类分级技术：敏感数据识别，分类分级规则定义、管理、打标等

(2)分类分级规则定义及管理：数据资产的识别、录入、管理，以及分类分级标识

(3)工单审批管理平台：覆盖数据全生命周期和业务场景的各类工单的申请、审批、流转跟踪等; 根据申请内容，与其他平台形成联动管理机制等

(4)合规管理平台：法律、合规等文件管理，合规风险库管理，合规评审计划、记录、报告、整改的管理

(5)合作方管理平台：合作方录入、删除、更新等;合作商机评审管理;合作方安全评估计划、记录、报告等管理

(6)监控审计平台：覆盖全部业务场景、系统、平台等的数据流动及人员操作监控及审计;监控点及监控阈值管理;风险告警策略的配置管理等

(7)日志管理平台：数据处理日志收集、记录等;全部数据访问者的操作日志收集、记录;日志监控与分析

(8)账号及权限管理平台：账号申请、分配、回收等的管理;权限申请、分配、变更、回收等的管理;涉敏账号及权限管理

(9)需求管理平台：业务数据安全需求的申请、分析及安全方案管理

(10)风险管理平台：数据安全风险的登记、评估、更新;防控措施记录及更新

(11)数据安全事件管理平台：数据安全事件的登记、应急处置记录;宣贯宣导管理等

3 数据安全相关产业

安全领域还有一些产业与数据安全息息相关，具体包括数据安全治理、身份与访问管理(“零信任”体系)、隐私计算、云数据安全(SASE)等

(1)数据安全治理：指从决策层到技术层，从管理制度到工具支撑，自上而下建立的数据安全保障体系和保护生态，包含国家宏观治理和企业组织内部微观自治两个层面。其中企业组织内部自治旨在规范企业组织敌据全生命周期处理流程，保证数据处理活动的合规性和合法性。除具体相关技术产品外,数据安全治理多以咨询服务的形式体现。

(2)身份与访问管理：主要指访问控制，即精选出来的一系列数据访问规则，主要包含身份验证与授权两个组成部分。身份验证是用于验证给定用户是否是其所声称的身份的一种技术，而授权技术是确定用户是否可以访问数据或执行其所尝试操作的技术。

(3)“零信任”体系：零信任指一组以“信任从不被隐式授予，而是必须持续评估”为前提的概念和设计思想，而“零信任体系”是基于零信任的一种企业资源和数据安全端到端的保护方法，包含人和非人实体的身份标识、认证信息、访问管理、操作运维、端点管控、运行环境和互连基础设施等内容。

(4)隐私计算：隐私计算体系通过融合多学科技术，使得两个或多个参与方可以在不泄漏各自数据的前提下进行联合计算，在保护数据安全的同时实现多源数据跨域合作，推进数据融合价值的挖掘。目前主流的隐私计算技术路径包含多方安全计算、联邦学习和可信计算三大方向。

(5)云数据安全：云数据安全可从两个层面理解:一个层面为把用户在数据安全上需要使用到的所有的能力抽象化，以云服务的方式提供，以最简便的方式保证用户和开发者的数据安全;另一个层面为云内应用的数据安全，这包括存储数据的敏感内容发现、数据流动的监控和保护、以及数据内容的安全分析等。

(6)SASE：SASE ( Secure Access Service Edge，安全访问服务边缘)是一个基于云化部署的网络和安全组件框架，包含了SD-WAN、云访问安全代理(CASB)、安全的 web网关(SWG)、零信任网络访问(zTNA)、防火墙即服务(FWaaS)和远程浏览器隔离(RBl)等一套技术。SASE将身份作为安全架构的中心，确保通常以云服务形式提供的应用程序、服务、用户和机器对云和网络资源的安全访问。

推荐阅读：《腾讯安全：政务大数据安全指南(36页).pdf》

《金融科技微洞察：金融数据安全 数据生命周期安全规范（57页）.pdf》

《工信安全&华为：2021数据安全白皮书（47页）.pdf》