数据安全概述数据安全背景传统的网络安全、信息安全侧重于对信息资产的管理。当数据不单属于某个企业或机构，而是动态流转进

传统的网络安全、信息安全侧重于对信息资产的管理。

当数据不单属于某个企业或机构，而是动态流转进行海量大数据处理时，传统信息资产安全管理方式无法满足现实需要。

《数据安全法》中提出并强调了要进行数据分类分级保护制度建立，并贯彻落实相应的数据分类分级保护制度。

依据数据所属不同的行业或主体，其内容、使用方式和重要程度不同，数据分类分级的思路、方法和路径也不相同的。

应当先做好数据资产管理，对数据资产进行识别、对敏感数据进行发现，识别出元数据、敏感数据后才能对数据进行科学的分类和分级，为后续数据安全保护打好基础。

数据资产管理和数据分类分级是数据安全的必要前提。

传统数据的数据量少且不具有联系性，现在数据量大、离散并且联系紧密。

传统安全手段，如防火墙、数据库审计、堡垒机等相关安全产品，缺乏数据安全针对性的防护能力。

传统管控方式中，数据安全策略零散分布在各个安全设备中，无法进行统一展示和管理。

因此，数据安全策略的集中管控也是解决数据安全问题的重要保障。

数据安全治理可以从管理、技术、运营三个方面解决。

数据识别技术包括数据资产识别和敏感数据识别两个技术组成

按照相应的数据资产识别规则，对数据环境(如大数据平台)进行全量扫描，识别数据库、中间件数据，并根据识别的结果，建立数据资产之间的关系，数据的流转全景视图，为后续数据安全相关决策提供便利及指导。

敏感数据识别包括结构化数据中的敏感数据以及文档、图片等非机构化数据中的敏感数据识别

数据安全策略的集中管理，可实现对发现的敏感数据分级分类，以及对数据安全技术手段的策略定义、任务下发、策略分析等工作。

使不同数据级别、不同数据使用场景的数据安全管控策略具有一致性，策略基线的维护和管理也具有统一性和时效性。

可以根据风险处置的结果,对相应策略进行集中的调整,以策略动态调整的方式对数据风险进行管控。

需结合多方面的审计数据进行联合分析，包括数据库审计、API审计、行为审计、数据安全事件监测等，并结合数据血缘，进行数据溯源、取证等风险管理工作。

安全厂商主要关注API审计和数据溯源技术

通过端口镜像或Agent的方式，获取PCAP包，并通过API监测设备解析包的内容，对HTTP、HTTPS、FTP、SMTP等协议内容进行解析，综合分析这些协议包中是否有高风险数据请求、敏感数据泄露、异常访问行为等，结合历史数据和数据风险特征学习，对疑似数据脆弱性的接口进行告警。

数据溯源技术现有3种，

(1)数据标注法，即给数据进行相应的标注，把标注添加至原始数据之外，数据标注法,即给数据进行相应的标注,把标注添加至原始数据之外

(2)数据水印技术，即通过给数据库加水印的方式，给数据库表中增加行、列或编辑数据指纹，后通过一定的算法识别这些嵌入的数据或标记来进行数据溯源。

(3)基于区块链的数据溯源技术，,通过去中心化的数据库，对数据的使用信息进行不可篡改的分布式记账，当数据发生泄漏时快速检索溯源

隐私计算技术是面向数据共享、流通和交易过程的

隐私计算技术现分为3类

(1)以密码学为基础的多方安全计算技术

(2)以分布式机器学习为基础的联邦学习技术。是一种多个参与方共同训练同一机器学习任务，并且参与方不共享自己的数据，而是在本地进行机器学习模型训练，共享中间结果和梯度，保障原始数据不出域，数据可用不可见，实现数据隐私保护和数据共享分析的平衡的技术。

(3)依托于硬件加密的可信执行环境技术。基于硬件CPU进行内存隔离计算，划分可信的计算区域，敏感数据在此区域进行计算，其他计算不能访问此隔离区域，通过这种硬件隔离的方法实现隐私计算。

参考链接
数据安全现状与发展趋势研究
http://ictp.caict.ac.cn/article/2022/2096-5931/2096-5931-48-10-69.shtml