三万字｜2021密码产业洞察报告(29)

而传统的城防式数据安全，主要用于保护被传统物理网络多层包围的数据，这种防护体系仅适用于保护静态数据。但当下，数据作为新型生产要素，在被充分共享流转中产生更多价值，传统城防式数据安全已很难以满足相关防护需求。另外，数据与“网络/主机/数据库/应用”作为正交关系，数据安全的本质其实就是在数据流转的多个层次环节中，通过密码等安全技术重建业务规则，对数据施加主动式安全防护。
因此，兼顾数据利用和安全的技术，需要将加密等安全能力结合到业务流程中，一方面可以根据不同业务场景，定制不同的商业秘密保护方案；另一方面不会改变用户的操作习惯，方便用户使用，不影响数据的高效共享流转，并基于高性能的密码技术支撑，将安全机制与用户现有流程无缝对接，实现在业务高效流转和安全防护之间的平衡。
当然企业真实的业务需求往往更复杂，很难框定边界，因此对应的数据安全也几乎没有边界。所以在实施数据安全防护的时候，数据安全需要结合具体业务展开，很难有“一招鲜”的数据安全解决方案。
3.4.2 打造融合密码的数据安全框架
数据安全的防护会涉及到很多场景，同时会有多种加密技术的应用，因此，以数据安全的多种场景为中心，绘制一张数据安全的技术地图，则非常有意义，且有必要。针对数据进行安全防护的技术，可以先回顾经典网络安全攻击模型：ATT&CK，作为当前权威的网络安全技术模型，ATT&CK包涵14个攻击战术、205个攻击技术以及573个攻击流程，覆盖了大多数网络攻击手段，从而给网络安全防护提供了专业的技术参考。

图7：经典网络安全攻击模型ATT&CK架构概览
但是，ATT&CK模型更侧重网络攻防视角，从“主动式保护数据”的角度来看，ATT&CK并没有针对内部业务人员威胁，也没有将数据进行分级分类等。在基于ATT&CK模型的攻防对抗思路下，传统“以网络为中心的安全”主要通过“防漏洞、堵漏洞”的方式去保护数据，而当下来看，网络漏洞在所难免，因此直接针对数据本身进行主动式加密等保护，是实现数据安全的最直接有效的手段。信息安全技术发展的大趋势也正从“以网络为中心的安全”转向为如今的“侧重以数据为中心的安全”，美国国防部对这种理念也非常认可，并将防护重点从边界开始转向数据和服务。