1.2 以数据为中心的网络安全时代

在数据业务蓬勃发展的同时，数据面临的安全风险也越来越高，主要体现在几个方面：一是技术的发展催生出新型攻击手段，这些手段攻击范围广、命中率高、潜伏周期长，针对数据的高级可持续攻击（APT）普遍存在隐蔽性高、感知困难的特点，使得传统的安全检测和防御技术难以抵御入侵监测；二是数据中心大量使用的一些开源软件由于被广泛使用，被暴露的安全漏洞也相对较多；三是数据使用过程中各个阶段都有安全相关的风险暴露，数据安全需要从被动安全保护转向主动风险控制。数据相关的安全风险存在于数据生命周期的各个阶段，包括数据收集、存储、加工、治理、应用和流通的各个环节。我们需要建立一套以数据为中心的安全防护体系（将在第2章介绍），以及专门面向数据流通的基于密态数据的多方数据流通技术（将在第3章介绍），同时配合已有的网络安全技术体系来共同构建有效的数据安全防护能力。

《信息安全技术 网络安全等级保护基本要求》（即等保2.0），其定义的网络安全等级保护制度已经成为我国网络安全基本制度体系的通用标准，在传统的等级保护对象的基础上扩大了对云计算、移动互联网、物联网、工业物联网、大数据平台等重要基础设施的要求，而数据安全作为重要要素在等保2.0的各个子项目中被多次强调。总体上，该标准要求参加等保2.0测评的公司需要在用户行为鉴权、数据访问控制、敏感数据脱敏和重要数据治理方面进行规范操作，对于具体的数据安全产品则需要在数据库漏洞扫描、防火墙、审计、数据加密、脱敏、去标识化、水印等产品上投入精力。表1-2汇总了等保2.0对数据安全的要求。

表1-2 等保2.0标准对数据安全的要求汇总

图1-3是一个企业的网络空间以及安全防护体系的总体逻辑架构图，我们将其划分为“五域两层”。“五域”是按照企业的网络空间业务划分的，主要分为互联网接入域、应用域、数据域、终端接入域和运维域。“两层”主要是基础的主机层和容器层。

图1-3 以数据为中心的网络安全体系逻辑架构

互联网接入域负责接入来自外部互联网的网络访问，并通过合适的路由将请求接入各个业务域中。由于互联网接入域面临着比较大的对外信道暴露的风险，因此其对安全风险的防御要求也比较高，其上一般会部署一些基于边界隔离的安全产品（将在1.2.1节介绍）如防火墙、IPS、VPN等。

应用域主要负责部署企业的业务应用，为了持续检测可能的应用安全漏洞或者侵入风险，一般需要建立应用安全扫描工具来持续地检测可能的安全漏洞，以及部署Web应用防火墙来预防一些常见的Web注入风险，部署API检测工具来预防API的风险。此外应用域需要提供CA服务来实现用户认证，并且部署应用审计系统来及时发现违规应用访问行为等。

随着智能硬件设备的增加以及办公设备的多样化，能够连入企业内部的终端设备也越来越多，因此需要有专门的终端接入域，主要负责管理和连接需要接入企业网络的各种终端。为了保证安全，终端接入域一般需要部署防病毒软件、终端数据防泄露软件、邮件安全软件等。

运维人员一般权限比较高，如果存在安全风险，运维人员操作又不够规范，那么危害也会被放大，因此对其操作的规范性要求比较高，企业一般需要规划单独的运维域来接入相应的管理操作，一般会通过堡垒机隔离、细粒度审计等方式来尽可能地保障其安全。

数据域主要负责为各个业务域提供数据支撑，由于数据相关的安全风险存在于数据全生命周期的各个阶段，因此企业需要为数据各个阶段都提供相应的安全防护能力，包括数据收集安全、存储安全、流通安全以及应用安全，同时提供数据安全治理和生命周期管理等相应的方法和工具。我们将在后续章节详细讨论这些手段。

主机层安全防护相对比较成熟，一般包括病毒防范、漏洞检测、访问控制、入侵检测等常规服务。容器层安全防护则是在近3年才迅速发展起来的，随着容器技术被广泛采用，容器隔离、运行时安全、漏洞扫描、容器防逃逸等技术也快速落地。

网络安全本身的技术架构也在快速演进，目前企业落地最早的是比较传统并且成熟的基于边界的安全防护架构。由于数据本身没有边界，甚至创造数据价值的关键就是数据在不停地流通，因此基于传统的边界防护技术就不太适合，企业需要针对数据的生命周期特性来针对性地做安全防护，以及专门为数据流通研究相应的密态计算技术（即隐私计算）。近几年来，一些大型互联网企业开始采用安全可靠性更高的零信任安全架构，在工业控制领域我国邬江兴院士提出的拟态防御技术架构能够让系统具备内生安全能力，已经成为《“十四五”数字经济发展规划》提出的重点发展的技术之一，我们将在后续的章节展开介绍。