什么是“以數據為中心的安全” | 數據防泄密似乎在IT行業里，大家都有過類似的感覺，那就是總有新名詞冒出來，大家討論的熱火朝天的同時，彼此對這個詞的含義理解并不相同。

好多年后，大家才逐漸清晰的總結出了這個詞的具體含義。

比如，大數據(Big Data)早在1983年就被提出來，在2011年進入行業視野，又過了好多年，人們才統一了認識，明確了大數據幾個“V”的特點。

在安全行業，這個現象同樣很常見。

近幾年，數據安全領域經常出現的一個熱詞是 “以數據為中心的安全”，很多報告都用“以數據為中心的安全”區別“傳統的數據安全”，但卻很少有人具體講清楚“以數據為中心的安全”到底是什么。

因此，我們梳理了近十年國內外對“以數據為中心的安全”這一概念的介紹和理解寫出這篇文章，希望能對大家理解“什么是以數據為中心的安全”有所幫助。

DCS是Data-centric Security的簡稱，即以數據為中心的安全。

為便于閱讀，本文以下內容將統一使用DCS表示“以數據為中心的安全”。

值得注意的是，有些文章提到的“以信息為中心的安全”(Information-centricSecurity)在本文中也一并以DCS代替。

本文的目的是探討DCS的具體含義，Data和Information的區別不在本文討論范圍內。

一、什么是DCS維基百科上對DCS的解釋是：相比系統安全、網絡安全、應用安全等更聚焦在數據自身安全的安全方法,并指出一個DCS模型具有4個關鍵組件，分別是：發現、管理、保護和監測。

這4個關鍵組件的具體能力是：發現是指發現敏感數據等數據存儲在什么位置的能力;管理是指定義數據在不同情況下可訪問、修改、阻斷等策略的能力;保護是指阻止敏感數據泄露或非授權使用的能力;監測是指持續對數據使用異常行為監測發現的能力。

MarketsandMarkets在《DATA-CENTRICSECURITY MARKET》報告中稱DCS市場規模將從2017年的20.6億美元增長到2022年的58.3億美元，其增長的主要動力來自于強勁的合規需求，其中亞太地區將成為增長最快的地區。

然而，目前行業內似乎還沒有對DCS形成統一的認識。

于是我們參考了數十份資料，包括學術論文、產業研究報告、技術白皮書等資料，系統梳理并結合我們自己的實踐經驗形成本文，目的是與大家一同討論DCS的概念并統一對DCS的認識。

二、大家眼中的DCS1. IBM：DCS的核心是數據分類IBM是一家偉大的公司，很早就在很多技術領域發表過深刻的思考。

2006年，IBM的研究人員Sreedhar就已經提出了基于角色分析的DCS方法，用于處理對象被不同方法訪問時的安全問題。

這個方法把角色作為重點考擦對象，并以角色一致為主要判別準則。

2009年，IBM又提出一個基于數據的安全模型，名為DCSM(Data-centric Security Model)。

DCSM把數據、策略和角色區分開，通過自定義一套策略描述語言，通過策略把數據和角色關聯起來。

DCSM是基于數據的商業價值進行制定策略，而不是基于傳統的IT安全規則。

更重要的時，DCSM強調了DCS的核心就是數據分類，而且必須是自動化的數據分類。

這一判斷非常準確，一直沿用至今。

IBM的觀點是，傳統的數據安全分類標簽如機密、專有、限制傳播、商業秘密等是不能滿足業務需求的，如果數據分類和業務流程不匹配，則分類越多，來帶的負面影響越多。

所以IBM提出了新的數據分類方法，這個分類方法遵循三條原則：

1)數據分類一次完成;

2)策略直接體現在分類標簽上;

3)業務主管直接推進分類并直接看到執行結果。

IBM最后還是強調DCS最核心的內容就是結構化數據的分類方法，同時也指出，數據如何有效分類是個大學問，需要對行業規范、公司標準、業務操作、各類文檔、部門交互都非常熟悉的核心人員來主導分類。

2. Symantec：數據打標和數據加密是重中之重Symantec提出了一個以信息為中心的安全模型(Symantec Information Centric Security Module ，簡稱ICSM)。

這個模型包括兩個核心組件：數據打標(Symantec Information Centric Tagging，簡稱ICT)和數據加密(Symantec Information Centric Encryption ，簡稱ICE)。

ICT和ICE都已在Symantec形成產品或解決方案。

ICT是針對郵件和文件進行打標簽和加水印的分類器。

ICE是基于云的一整套加密方案，包括加密算法、秘鑰管理、身份認證、用戶和文件監測以及終端用戶加密工具。

如果從Symantec的產品設計來看，還有Data Loss Prevention(DLP)和CloudSOC等產品。

整套的數據安全產品在數據防護的準備、保護、監測和響應四個環節進行保護，具體下圖所示。

圖1. SynmantecDCS框架3. IDC：DLP是DCS的神經系統IDC指出DCS是解決數據安全的優選方案。

數據具有三種主要的保護方式：定義和分類、監測和強化治理策略、加密和混淆。

數據防護的推薦方式就是將這三種方式有效的結合起來，而結合起來就是DLP、加密和訪問控制。

其中，DLP是在DCS策略中像神經系統一樣重要。

4. Sirius：完整的DCS策略具有10個核心要素Sirius Edge的一篇文章列出了一個完整的DCS必須具備的10個核心要素，分別是：

1)數據發現;

2)數據分類;

3)數據打標和數據水印;

4)DLP;

5)數據可視化;

6)加密策略;

7)增強的網關控制;

8)身份管理;

9)云訪問管理;

10)持續教育。

值得一提的是，這10個要素中強調了持續教育這一非技術要素，提醒我們做數據安全防護的時候一定不能只盯著技術、盯著功能性能，而忽略了教育、培訓等非技術要素。

三、DCS離不開數據生命周期DCS強調數據處于中心位置，如何體現中心位置呢?這就需要站在數據的視角，把數據的完整生命周期(Data Life Circle)梳理出來，然后從數據生命周期的每個關鍵環節重新審視安全問題和解法。

通過數據生命周期來看待DCS并不是某一家獨有的觀點，而是很多機構共同支持的觀點。

只不過，大家對數據生命周期的劃分數量和階段類型都不同。

一些文章用DLCM(Data Life Circle Model的簡稱，數據生命周期模型)來表述數據的生命周期。

為便于閱讀，本文統一使用DLCM表示數據生命周期，并用DLCM-X來區分不同的數據生命周期模型，其中X表示劃分的階段數量。

針對DLCM的討論和劃分有很多種，有些機構將數據生命周期分為5個階段，形成DLCM-5，有些則劃分成更多的階段，例如DLCM-6、DLCM-7、DLCM-10等。

本文，我們僅介紹幾個代表性的DLCM。

1. DLCM-6Securosis將數據生命周期劃分為6個階段，分別是：創建、存儲、使用、分享、存檔、銷毀。

而且，Securosis將這6個階段表示為單向流動，即從創建開始依次流動，直到銷毀結束，并在每個關鍵階段列出了對應的數據安全技術，如下圖所示。

圖2. 數據生命周期模型DLCM-6圖中，數據分享階段的CMP技術是“Content Monitoring and Protection”的簡稱，即數據內容監測與防護技術，這是DLP的核心技術。

圖中剩余關鍵技術都是常見技術，在本文不再詳細介紹。

2. DLCM-7Bloomberg在《7 phasesof a data pfe cycle》一文中，將數據生命周期劃分為7個階段，分別是：數據獲取、數據保存、數據合成、數據使用、數據發布、數據歸檔、數據清洗。

這個7段分法中，比較有特色的是數據合成(Data Synthesis)。

數據合成是一種數據分析過程，主要指通過多種數據共同計算產出更多數據價值的過程。

文章也提到，數據合成這個階段并不是常見的數據生命周期階段。

數據合成是連接數據保存和數據使用的中間階段，其中，對于數據最初的預處理是在數據保存階段完成的，而與實際業務直接相關的數據計算都在數據使用階段完成。

3. DLCM-11Uttaranchal University 的一篇論文將DLCM劃分為11個階段，分別是：收集、重要性判斷、用戶授權、分類、存儲、傳輸、存檔或轉換、發布、備份、留存、評估或移除。

DLCM-11增加了用戶授權階段，這一階段主要是通過訪問控制相關技術實現正確的主體訪問正確的數據。

不過，用戶授權并不是一個數據概念，而是一個系統概念，出現在數據生命周期中并不多見。

此外，DLCM-11也標出了每個階段的風險等級，其中用戶授權、存儲、存檔或轉換這三個階段的風險等級最高。

而且，文章提到的風險等級都是指“數據泄露”的風險，并沒有考慮“數據濫用”和“數據誤用”問題。

圖3. 數據生命周期模型DLCM-11

四、小結本文前面介紹了IBM、Symantec等幾個機構對DCS的理解，不難看出，不同機構在不同時期對DCS的理解角度不同，關注的重點也不同。

便于大家直觀理解各家DCS概念的區別，我們基于各家材料梳理形成了下表。

其中，部分機構的DCS未在本文中展開介紹，感興趣的讀者可以根據參考文獻進一步了解。

表1. 各家DSC核心組件對比大數據時代的數據安全是“舊瓶裝新酒”。

DCS(以數據為中心的安全)看上去是一個老的概念，但實際上是完全不同的新概念，所以不能用過去的思路理解今天的含義，也不能用過去的經驗來解決今天的數據安全問題。

想要解決今天面對的數據安全問題，創新是必不可少的。