数世咨询：数据访问安全域能力白皮书

数字安全时代，数据安全成为继信息安全、网络安全之后新的安全产业轴心。《数据安全法》的颁布实施纲举目张，数据安全各个细分领域开始全面落地。2021年12月世界信息安全大会，数世咨询发布《中国数字安全能力图谱》，涵盖了数据资产安全，数据访问安全，数据共享安全与数据安全综合治理四大数据安全分类，这其中传统的文档安全、数据库安全，数据防泄漏以及新兴的数据应用安全与隐私计算等多个细分领域都收录在内，但仍然存在一些薄弱环节。例如，在机构用户向机构内部发起某个敏感数据（本报告中“数据”一般指用户或机构拥有的核心业务数据、商业敏感信息、知识产权信息、客户隐私信息等高价值业务数据资产）的访问请求后，数据从机构内部数据中心，通过安全的数据通路，落盘到用户终端侧，在这个过程中，机构如何落实整个访问过程的安全管控，特别是数据在用户终端侧落盘后的更进一步安全管控，目前并没有一个与之适配较强且行之有效的较好的解决方案。

据数世咨询近两年发布的“大事记”中数据泄露事件粗略统计可以看到，数据的采集、传输、存储、使用、交换、销毁等几个阶段中，发生在使用和交换阶段的数据泄漏占比呈递增趋势，发生在存储阶段的数据泄露占比呈下降趋势。此外，在众多数据泄漏事件中，内部人员、合作伙伴导致的数据泄漏事件占据了事件的多数，这其中既包括员工主动的泄密、由于失误造成的泄密，也有合作伙伴提供运维服务、业务外包和供应链等过程中发生的数据泄密。

因此，数世咨询认为，目前的数据安全正在由数据资产安全迈入数据访问和使用安全的时代——针对存储阶段的数据安全防护固然重要，其他阶段的数据安全也需要给予更多的重视；数据泄漏要面对的也不再仅仅是外部的黑客攻击，还包括内部员工、合作伙伴使用和交换数据时的数据失泄密行为。

报告出品/作者：数世咨询