原標題：資料安全工作在新法律體系下的變化與發展

《網路安全法》、《資料安全法》、《個人資訊保護法》、《關鍵資訊基礎設施安全保護條例》、《電子簽名法》、《涉及國家秘密的計算機資訊系統分級保護管理辦法》等等一系列法律法規的頒佈，將資料這一重要生產要素的流通安全性要求提高到前所未有的高度。

資料安全一直以來都是往安全領域建設和關注的重點，事實上，資料安全也並不是一個非常新的話題和領域。

從網路安全發展的歷史來看，傳統網路安全保護的方式都是保障資料產生和存放的系統和裝置的安全，來達到間接地對其上的資料進行保護的目的。

無論是在網路邊界部署網路流量類裝置，例如設定防火牆、IPS等，還是在業務伺服器上部署防病毒等主機保護產品；亦或是在生產服務區的資料庫伺服器上部署相應檢測防護產品，如資料庫防火牆、資料庫審計、資料庫安全評估等。本質上來說，保護的都是資料系統所有者的資料安全，是聚焦於對資料控制權的保護，目的僅僅是資料保管安全。

2021年11月1日起，《個人資訊保護法》正式開始施行。與9月1日起施行的《資料安全法》，及《網路安全法》等構成了我國新的資料安全的法律保障體系，“資料安全”這一網路安全領域的概念，快速被各個行業和領域所關心和重新認知。

新的法律法規的頒佈實施，對資料的歸屬、分發、使用、交易，以及資料的分級、傳輸、儲存、回收都提出了明確的法律要求。也對整個資料安全的保護和提出了一個新的要求，資料安全保護從資料保管安全，變成了要保障資料生命週期的全流程安全，是一種根本性的變化。

我們認為資料安全產品和方案，也需要從資料儲存、資料使用，資料業務系統保護的功能，變成了以資料為本的，在社會化生產中所有資料要素參與的全流程的資料安全治理，而非單純的基於網路對抗的保護。即：

資料原生的，資料安全治理

。

從廣義上來說，全生命週期的資料治理是對資料相關的各個環節進行安全管理。包括資料查詢、資料探勘、資料交易中所包括資料的產生、採集、清洗、轉換等傳統資料整合環節；資料儲存、資料資產化管理，資料分級分類，資料清洗，資料質量規劃管理等狹義資料治理環節；以及這個些環節過程中的資料存放、分發、流通、回收、銷燬等諸多方面。

這對於資料安全的從業者和資料安全產品來說提出了全新的要求和挑戰，需要從傳統的資料系統的攻防能力，逐步地向資料安全治理進行轉變，以滿足

國家法律

、

行業監管要求

、

企業自身制度規範

的要求。

在新的法律體系和監管要求下，網路安全企業要

從攻防對抗為核心的資料安全視角中邁出來

，不僅要解決資料保管的安全問題，更要從資料生產、資料流通、資料分級分類、資料使用這些環節入手，逐步

形成安全治理的整體能力和方案

。

資料安全要從“攻防視角”、“系統視角”，真正轉變為“業務視角”、“資料視角”。

資料安全要真正與業務緊密結合，資料安全的從業人員，不僅要懂安全，更要懂業務、懂資料、懂法規。

不可避免的，在產品方面會發生巨大的變化。

從原來的圍繞系統，變為進入系統；從原來的動作監控，變成過程治理；從靜態控制，變成動態控制。

也許這種深入業務的部署方式難以短時間內被甲方系統及業務管理人員接受，但隨著新的輕量化產品的出現，產品穩定性提升、雲及容器等新的架構廣泛應用，長期來看一定是必然的趨勢。

類比EDR，使用者逐步接受這種在業務伺服器部署輕量化Agent方式的產品，也用了幾年的時間，但事實的使用效果是廣泛得到認可的。進一步來說，在一個大的威脅分析能力平臺之上，可以將網路流量威脅檢測NDR與業務主機的威脅檢測EDR的結合和關聯分析，這就是目前網路安全領域最受關注的XDR。

同樣地進行類比，將生產業務系統的資料、流轉傳輸的資料、其他業務使用的資料、儲存存放的資料進行整體管理，會形成整體的資料安全治理平臺。

甚至未來企業資訊保安，會形成“綜合網路安全”和“資料安全治理”兩個基本層面，前者是以主機、OS、網路等為出發點的基礎網路安全視角，後者是以資料為出發點的資料安全治理視角。