在數(shù)字化轉(zhuǎn)型不斷提速的發(fā)展背景下，數(shù)智應(yīng)用及服務(wù)的輻射范圍也隨之越來越廣，數(shù)據(jù)正在成為推動數(shù)字經(jīng)濟高質(zhì)量發(fā)展的關(guān)鍵力量；但猶如硬幣的兩面一樣，數(shù)字技術(shù)的發(fā)展也具有其兩面性，在我們享受數(shù)字經(jīng)濟紅利的同時，也面臨著數(shù)據(jù)泄露、數(shù)據(jù)濫用等巨大的數(shù)據(jù)安全壓力。

隨著數(shù)據(jù)應(yīng)用場景的不斷拓展深化，數(shù)據(jù)流動的量級和頻率也日益激增，巨大的流量和訪問頻率背后是無法估量的數(shù)據(jù)安全風(fēng)險。作為寶貴的生產(chǎn)要素，如果通過限制數(shù)據(jù)流動，或者設(shè)置數(shù)據(jù)流動壁壘，不僅會造成嚴重的資源浪費，甚至不利于發(fā)揮數(shù)據(jù)要素的價值。顯然，數(shù)據(jù)開放和數(shù)據(jù)安全之間存在著矛盾和失衡。

流動是實現(xiàn)數(shù)據(jù)價值的前提，既需有序促進數(shù)據(jù)要素的開發(fā)利用，也要依法依規(guī)堅守數(shù)據(jù)安全的底線。在復(fù)雜的數(shù)據(jù)風(fēng)險環(huán)境下，企業(yè)或組織需要研究落地新的數(shù)據(jù)安全防護體系，將安全能力嵌入于數(shù)據(jù)流動生態(tài)中的每個節(jié)點中，從數(shù)據(jù)動態(tài)流轉(zhuǎn)的各個環(huán)節(jié)中強化數(shù)據(jù)安全防護能力。在這個過程中，解決數(shù)據(jù)流動可見性是首要先決條件。

數(shù)據(jù)流動可見不僅是數(shù)據(jù)流動安全建設(shè)的基礎(chǔ)底座，事實上，從監(jiān)管合規(guī)層面來看，解決數(shù)據(jù)流動可見也是企業(yè)的必由之路。不論是《數(shù)據(jù)安全法》明確了國家建立數(shù)據(jù)分類分級保護制度，要求對數(shù)據(jù)實行分類分級保護；還是《個人信息保護法》對個人信息的處理活動進行記錄進行了明確要求，抑或是《數(shù)據(jù)出境安全評估辦法》強調(diào)企業(yè)要進行數(shù)據(jù)風(fēng)險自評估，都是對落實數(shù)據(jù)流動可見的重要指引和必要要求。

一、如何理解數(shù)據(jù)流動可見

企業(yè)在持續(xù)的發(fā)展過程中會累積海量的數(shù)據(jù)，這些數(shù)據(jù)結(jié)構(gòu)類型多，流轉(zhuǎn)場景也很復(fù)雜。從數(shù)據(jù)安全角度來說，「數(shù)據(jù)可見」關(guān)注的是數(shù)據(jù)的發(fā)現(xiàn)和“敏感數(shù)據(jù)”的識別，能夠讓企業(yè)清晰自己需要保護的數(shù)據(jù)資產(chǎn)和需要保護的級別；「流動可見」描述的是這些數(shù)據(jù)資產(chǎn)在數(shù)據(jù)服務(wù)之間，通過數(shù)據(jù)接口進行傳遞、處理和存儲等過程。

?

數(shù)據(jù)流動可見的關(guān)鍵是基于數(shù)據(jù)發(fā)現(xiàn)和分類分級，對企業(yè)當(dāng)前的數(shù)據(jù)服務(wù)和數(shù)據(jù)接口進行梳理，同時關(guān)聯(lián)數(shù)據(jù)處理活動核心要素信息如數(shù)據(jù)范圍、數(shù)據(jù)處理目的、數(shù)據(jù)處理結(jié)果等，明確企業(yè)敏感數(shù)據(jù)及重要數(shù)據(jù)的業(yè)務(wù)場景化安全要求，快速構(gòu)建數(shù)據(jù)流動可見能力和數(shù)據(jù)流動風(fēng)險監(jiān)測能力。

在業(yè)務(wù)視角下，企業(yè)需要關(guān)注數(shù)據(jù)資產(chǎn)、數(shù)據(jù)服務(wù)、數(shù)據(jù)接口等要素的邏輯關(guān)系，動態(tài)掌握數(shù)據(jù)流轉(zhuǎn)狀態(tài)。

• 數(shù)據(jù)資產(chǎn)：指一個組織或企業(yè)擁有的數(shù)據(jù)集合，這些數(shù)據(jù)在經(jīng)過適當(dāng)處理、分析后可以生成價值，幫助組織做出更好的決策或優(yōu)化業(yè)務(wù)流程。銀行的數(shù)據(jù)資產(chǎn)可能包括客戶信息、客戶風(fēng)險評級、客戶服務(wù)記錄等。

• 數(shù)據(jù)服務(wù)：一種通過網(wǎng)絡(luò)提供數(shù)據(jù)訪問和操作的服務(wù)，能讓用戶可以通過簡單的網(wǎng)絡(luò)連接獲取、操作和分析數(shù)據(jù)，包括數(shù)據(jù)存儲和查詢、數(shù)據(jù)挖掘、數(shù)據(jù)分析、數(shù)據(jù)清洗等

• 數(shù)據(jù)接口：是數(shù)據(jù)服務(wù)對外提供的服務(wù)暴露面，也是數(shù)據(jù)流動的關(guān)鍵技術(shù)。數(shù)據(jù)接口使得用戶可以通過編程方式訪問和操作數(shù)據(jù)，如銀行可能通過API接口，提供給第三方支付平臺賬戶余額查詢和資金轉(zhuǎn)賬等服務(wù)。

二、數(shù)據(jù)流動可見四大難點

通過對真實數(shù)據(jù)安全建設(shè)實踐的觀察發(fā)現(xiàn)，對于大部分企業(yè)來說，要真正落地數(shù)據(jù)流動可見能力是一件極具挑戰(zhàn)的事情，主要原因集中表現(xiàn)在以下4點：

●?數(shù)據(jù)源的多樣性：企業(yè)通常從多個數(shù)據(jù)源獲取數(shù)據(jù)，這些數(shù)據(jù)源可能具有不同的格式、結(jié)構(gòu)和API，處理來自不同數(shù)據(jù)源的數(shù)據(jù)并將其整合起來是一項挑戰(zhàn)，需要解決數(shù)據(jù)源兼容性、數(shù)據(jù)轉(zhuǎn)換和數(shù)據(jù)映射的問題，確保數(shù)據(jù)的一致性和準(zhǔn)確性。

●?業(yè)務(wù)和數(shù)據(jù)的多樣性：不同業(yè)務(wù)領(lǐng)域和部門的數(shù)據(jù)需求和數(shù)據(jù)類型可能多樣化，這涉及到不同業(yè)務(wù)流程、數(shù)據(jù)結(jié)構(gòu)和業(yè)務(wù)規(guī)則的理解和整合。

●?業(yè)務(wù)和數(shù)據(jù)的多變性：企業(yè)業(yè)務(wù)數(shù)據(jù)可能會頻繁變化，包括新增字段、修改數(shù)據(jù)模型、業(yè)務(wù)規(guī)則的調(diào)整等，增加了數(shù)據(jù)流動識別復(fù)雜性和敏感性，需要具備靈活的數(shù)據(jù)流動識別機制，能夠快速適應(yīng)業(yè)務(wù)數(shù)據(jù)的變化，確保數(shù)據(jù)的準(zhǔn)確性和及時性。

●?實施人力成本：構(gòu)建完整和實時的數(shù)據(jù)流動信息需要投入人力和資源。處理數(shù)據(jù)源的多樣性、網(wǎng)絡(luò)架構(gòu)的復(fù)雜性以及業(yè)務(wù)和數(shù)據(jù)類型的多樣性需要專業(yè)的技能和知識。

三、構(gòu)建數(shù)據(jù)流動感知大腦

數(shù)據(jù)安全不僅是合規(guī)要求，更是支撐業(yè)務(wù)發(fā)展的動力。在面臨諸多難點的情況下，以業(yè)務(wù)為導(dǎo)向，建設(shè)以數(shù)據(jù)流動可見為內(nèi)核的全鏈路數(shù)據(jù)流動安全能力體系，是企業(yè)有效落實數(shù)據(jù)安全治理的破局之道。

全鏈路數(shù)據(jù)流動安全能力體系建設(shè)的核心是在持續(xù)的數(shù)據(jù)發(fā)現(xiàn)和分類分級的基礎(chǔ)上，關(guān)注數(shù)據(jù)資產(chǎn)內(nèi)外部流轉(zhuǎn)狀態(tài)，對數(shù)據(jù)的流轉(zhuǎn)、交互進行鏈路構(gòu)建，形成整體數(shù)據(jù)流動的安全態(tài)勢，并將鏈路的構(gòu)建結(jié)果應(yīng)用于業(yè)務(wù)場景化的風(fēng)險監(jiān)測和治理，同時，在數(shù)據(jù)安全治理機制上實現(xiàn)動態(tài)更新和統(tǒng)一管理。

基于全息數(shù)據(jù)資產(chǎn)發(fā)現(xiàn)的結(jié)果，匯聚多個單點能力實現(xiàn)自動化的敏感數(shù)據(jù)識別及數(shù)據(jù)流動鏈路刻畫，幫助企業(yè)構(gòu)建全量數(shù)據(jù)資產(chǎn)和流動感知網(wǎng)，形成實時感知、全域管理的數(shù)據(jù)流動感知大腦，實現(xiàn)數(shù)據(jù)流動鏈路的清晰可見和交互分析；同時通過持續(xù)掃描和暴露面風(fēng)險監(jiān)測的手段，動態(tài)完成資產(chǎn)掃描和暴露?更新，及時感知數(shù)據(jù)資產(chǎn)和數(shù)據(jù)流動的變化，適時開展數(shù)據(jù)風(fēng)險治理及合規(guī)評估等工作，提升數(shù)據(jù)要素深度利用和安全保護的水平。

四、數(shù)據(jù)流動可見實踐方法

企業(yè)在構(gòu)建數(shù)據(jù)流動感知大腦的時候通常需要依賴專業(yè)的技術(shù)方式來實現(xiàn)，以下幾種實踐技術(shù)可以參考借鑒：

1、問卷調(diào)研和訪談：問卷調(diào)研和訪談是咨詢服務(wù)機構(gòu)常見的分析數(shù)據(jù)流動可見的方式。通過對相關(guān)的產(chǎn)品經(jīng)理和研發(fā)人員進行訪談，收集和匯總數(shù)據(jù)和流動相關(guān)的信息，形成企業(yè)數(shù)據(jù)流動的架構(gòu)圖

2、主動掃描模式：通過技術(shù)工具對目標(biāo)范圍進行系統(tǒng)性的掃描，發(fā)現(xiàn)其中的數(shù)據(jù)服務(wù)和數(shù)據(jù)資產(chǎn)信息；基于對企業(yè)數(shù)據(jù)類型和范圍的收集、分析、處理，能夠幫助企業(yè)做出合理的保護策略

3、流量監(jiān)測模式：通過使用網(wǎng)絡(luò)流量分析工具和技術(shù)的方式，捕獲和監(jiān)測企業(yè)網(wǎng)絡(luò)中的數(shù)據(jù)流動情況，適用于分析企業(yè)內(nèi)部網(wǎng)絡(luò)和外部通信的數(shù)據(jù)流動情況，監(jiān)測數(shù)據(jù)的傳輸路徑、數(shù)據(jù)來源和數(shù)據(jù)的目的等信息

4、插樁模式：一種在應(yīng)用程序中插入代碼或工具，以監(jiān)測、記錄和分析數(shù)據(jù)流動的方式。通過在關(guān)鍵位置插入代碼，捕獲和跟蹤數(shù)據(jù)在應(yīng)用程序內(nèi)部的流動情況，并生成數(shù)據(jù)流動的可見架構(gòu)圖，適用于分析和監(jiān)測應(yīng)用程序內(nèi)部的數(shù)據(jù)流動

解決數(shù)據(jù)流動可見并不是簡單的公式模版，即便掌握了技術(shù)方法，仍需要避開建設(shè)誤區(qū)，結(jié)合行業(yè)規(guī)范、業(yè)務(wù)場景等進行針對性設(shè)計落地，這對企業(yè)來說無疑是種考驗。那么，企業(yè)在落實數(shù)據(jù)流動可見能力的路上應(yīng)該避開哪些“坑”呢？

1、 避免盲目求全

• 企業(yè)需要關(guān)注敏感數(shù)據(jù)的識別，而非全量業(yè)務(wù)數(shù)據(jù)的分類：在構(gòu)建數(shù)據(jù)流動的可見性時，重點關(guān)注敏感數(shù)據(jù)的識別和追蹤，將精力集中在敏感數(shù)據(jù)的流動路徑、使用情況和安全控制上，以確保對敏感信息的全面管理和保護。

• 優(yōu)先關(guān)注數(shù)據(jù)源頭和數(shù)據(jù)出口：因為企業(yè)生產(chǎn)網(wǎng)絡(luò)域內(nèi)部的數(shù)據(jù)流動非常復(fù)雜，要實現(xiàn)全面完整的梳理成本很高，從數(shù)據(jù)安全角度來看，應(yīng)當(dāng)重點關(guān)注數(shù)據(jù)的來源和最終去向（應(yīng)用和API的數(shù)據(jù)流動），這可以大幅的減少構(gòu)建數(shù)據(jù)流動視圖的成本。

2、避免打擾業(yè)務(wù)

避免對生產(chǎn)業(yè)務(wù)系統(tǒng)進行改造或者造成影響：插樁方案部署成本非常高，需要在應(yīng)用程序中插入額外的代碼或修改字節(jié)碼，這可能會對應(yīng)用程序的原有邏輯和性能產(chǎn)生影響。因此，在非必要場景下，不宜采用插樁模式。

3、避免過度人力投入

• 通過機器學(xué)習(xí)不斷沉淀經(jīng)驗：利用機器學(xué)習(xí)和數(shù)據(jù)分析技術(shù)，不斷沉淀和學(xué)習(xí)數(shù)據(jù)流動的模式和規(guī)律；建立基于機器學(xué)習(xí)模型的數(shù)據(jù)流動分析系統(tǒng)，自動化識別敏感數(shù)據(jù)和數(shù)據(jù)流動，減少對人工參與的依賴，提高數(shù)據(jù)流動可見性效率和準(zhǔn)確性。

• 自動化工具和流程：采用自動化工具和流程，可以降低人力投入的成本和風(fēng)險。通過選擇、部署適當(dāng)?shù)臄?shù)據(jù)流動分析工具，可以實現(xiàn)數(shù)據(jù)的自動收集、清洗、轉(zhuǎn)換和分析。

數(shù)字化發(fā)展進程不可逆轉(zhuǎn)，數(shù)據(jù)流動的受阻，意味著依賴數(shù)據(jù)流動創(chuàng)造的產(chǎn)業(yè)發(fā)展、技術(shù)創(chuàng)新、生活生產(chǎn)等，都會受到巨大影響。以數(shù)據(jù)流動可見為內(nèi)核，打造兼顧業(yè)務(wù)可用性與數(shù)據(jù)流動風(fēng)險可控性之間平衡的數(shù)據(jù)風(fēng)險治理體系，推動數(shù)據(jù)自由安全地流動，最大程度地挖掘和釋放數(shù)據(jù)價值。

?

全知科技《數(shù)據(jù)安全作戰(zhàn)地圖——數(shù)據(jù)流動可見》知識圖譜已正式發(fā)布，圖譜針對數(shù)據(jù)流動可見業(yè)務(wù)難點、技術(shù)方法、實踐思路、避坑指南等內(nèi)容模塊，摘取、關(guān)聯(lián)、歸納關(guān)鍵理論知識和實踐要點，具備強可視化的學(xué)習(xí)能力和分析能力，幫助企業(yè)建立體系化的數(shù)據(jù)安全建設(shè)思維。