"数据是企业业务的核心，数据安全是企业发展的护城河，我们必须高度重视数据安全风险，进一步加强数据安全体系建设，才能保障企业真正实现高速健康增长。"绿盟科技集团首席行业专家张智南表示，绿盟科技基于多年网络攻防研究，仔细评估了企业数据安全和隐私安全存在的风险，借鉴Gartner的数据安全治理框架，提出了"知""识""控""察""行"数据安全建设方法论。

　　2020年，在疫情起伏与常态化防控之间飞逝而过。肆虐的疫情为生产生活带来了很多的不确定性。幸得数据作为“润滑油”，带动了整个社会大机器的有序运转。远程办公、居家学习、无人工厂等新型生产方式次第开花，数据的效用被持续充分释放。与此同时，随之产生的网络安全与数据合规问题也逐渐得到重视。

　　近日，绿盟科技集团推出《2020网络安全观察》报告并指出，2020年初新冠肺炎疫情暴发，随之而来的网络攻击行动也逐步扩散到世界范围，利用疫情发起的攻击活动越发频繁。全球数据泄露安全问题持续严峻，互联网错误配置和黑客攻击是造成大规模数据泄露事件的主要原因。在此背景下，全球大部分国家已经制定了数据安全与隐私法律，加强企业及用户对隐私数据的保护意识。

　　传统数据安全技术难以满足需求

　　2020年7月和10月，我国陆续发布两部重磅级的法规草案——《数据安全法(草案)》和《个人信息保护法(草案)》。国际上，欧盟于2018年实施《通用数据保护条例》(GDPR)，美国于2020年实施《加州消费者隐私法案》(CCPA)，日本于2020年6月通过修订版《个人信息保护法》。

　　随着全球数据安全法规监管的不断强化，合规性成为企业数据安全建设与治理的重要驱动力。在合规视角下，数据安全的内涵在合规与业务安全双重需求驱动下不断外延和扩展，安全问题的日益凸显及应用场景的多样化，给传统的数据安全技术与解决方案带来巨大挑战。

　　在市场需求和政策引导下，数据安全行业受到资本青睐、发展前景看好。

　　据计世资讯研究预计，2020-2022年中国数据安全市场规模将保持加速增长趋势。在新冠肺炎疫情预计将得到初步控制的2021年，企业数字化转型和数据安全的投入将得到显著加强，预计市场规模将达到73.1亿元，2022年将达到103.4亿元。扩张的市场规模迎来新一轮投资浪潮，根据相关数据统计，2020年数据安全领域共发生13起投资，投资笔数位居网络安全行业榜首。

　　合规要求下数据安全技术创新

　　在大多数个体用户看来，数据安全主要体现在保护自身的数据隐私。但是对于掌握着亿万用户数据的企业方来说，数据安全则是一个庞大而又繁复的问题。

　　“当前我国数据安全法律法规重点关注个人信息的保护，企业数据合规同样以此为核心。企业应首要解决的是用户隐私数据的采集、以及数据权利请求响应的合规性问题。”绿盟科技集团创新中心总监刘文懋介绍说，数据安全建设可以分为三类场景：用户隐私数据安全合规、企业内部数据安全治理、企业间数据共享与计算。根据不同的场景，需要针对性的技术手段。

　　在绿盟科技集团发布的《数据安全前沿技术研究报告》中，介绍了业界前沿的十种数据安全技术，比如差分隐私、同态加密、数据匿名等。

　　以苹果公司为例，苹果公司通过差分隐私技术可挖掘到iPhone用户使用表情的频率分布，但无法获得具体某一个用户的确切隐私。其原理是在本地差分隐私模式下，每一个用户终端都会运行一个差分隐私算法，每一个终端采集的数据都会加入噪声，然后将其上传给服务器;服务器虽然无法获得某一个用户的精确数据，但通过聚合与转换可以挖掘出用户群体的行为趋势。

　　信息泄漏事件仍是企业防范重点

　　1月29日，银保监会开出2021年第一张罚单，中国农业银行因涉及数据安全管理粗放存在数据泄露风险、互联网门户网站泄露敏感信息等六项问题，被罚420万元人民币。

　　无独有偶，2020年3月31日，万豪国际集团发布公告，称约520万名客人的信息可能被泄露，包括姓名、地址、联系方式、偏好等。此前在2018年，万豪曾发布公告称，约5亿名住客的信息被泄露。

　　对于金融、酒店、互联网等许多行业来说，数据对业务的开展情况影响深远，优质的数据内容将极大提升企业的服务能力。数据保护对这些行业来说也具有较强的特殊性，一方面，企业基于业务需求，需要收集、利用客户的个人信息;另一方面，从行业发展的大局出发，相关企业需要把数据作为核心资产管好、用好，在保护用户隐私安全的基础上促进数据资产的流动和增值。

　　“数据是企业业务的核心，数据安全是企业发展的护城河，我们必须高度重视数据安全风险，进一步加强数据安全体系建设，才能保障企业真正实现高速健康增长。”绿盟科技集团首席行业专家张智南表示，绿盟科技基于多年网络攻防研究，仔细评估了企业数据安全和隐私安全存在的风险，借鉴Gartner的数据安全治理框架，提出了“知”“识”“控”“察”“行”数据安全建设方法论。

　　据张智南介绍，“知”指分析政策法规、梳理业务及人员对数据的使用规范，定义敏感数据;“识”指根据定义好的敏感数据，利用工具对全网进行敏感数据扫描发现，对发现的数据进行数据定位、数据分类、数据分级;“控”指根据敏感数据的级别，设定数据在全生命周期中的可用范围，利用规范和工具对数据进行细粒度的权限管控;“察”指对数据进行监督监察，保障数据在可控范围内正常使用的同时，也对非法数据行为进行记录，为事后取证留下了清晰准确的日志信息;“行”指对不断变化的数据进行持续性跟踪，提供策略优化与持续运营服务。

　　责任编辑：张华