数据访问安全域 能力白皮书 © 北京数字世界咨询有限公司 © 北京数字世界咨询有限公司数据访问安全域 能力白皮书　　2020 年，数世咨询首创网络安全三元论，今年进化为“数字安全三元论”，该理论由信息 技术、网络攻防、业务应用三个支点与数据安全这个核心构成，其中： 　　• 信息技术是 IT 基础，没有保护对象，何谈保护； 　　• 网络安全的伴生、服务和对抗本质，决定了它将永远的场景化、碎片化和动态化； 　　• 业务应用既是信息技术与网络攻防的成本来源，也是这两者最终的价值所在。 　　数字世界 　以网络连接为基础，以数据流动释放价值，以人工智能塑造未来。 　　数字安全 　以网络安全为基本手段，以数据安全为核心目的，支撑数字经济的健康发展和　　　　 　　　　　　　国家社会的和谐稳定。 　　数字世界，安全共生！ 　　基于此， 数世咨询作为国内独立的第三方调研咨询机构， 为监管机构、 地方政府、 投资机构、 网安企业等合伙伙伴提供网络安全产业现状调研，细分技术领域调研、投融资对接、技术尽职 调查、市场品牌活动等调研咨询服务。 报告编委 　　主笔分析师： 刘宸宇 综合高级分析师 　　分 析 团 队： 数世智库 数字安全能力研究院 　　报 告 审 核： 李少鹏 首席分析师 版权声明 　　本报告版权属于北京数字世界咨询有限公司（以下简称数世咨询）。 　　任何转载、摘编或利用其他方式使用本报告文字或者观点的，应注明来源。 　　违反上述声明者，数世咨询将保留依法追究其相关责任的权利。 目　录 前　 言 ………………………………………………………………………………1 团队角色及需求 ……………………………………………………………………3 主要场景与痛点 ……………………………………………………………………4 　　BYOD 设备数据管控难 ………………………………………………………4 　　组织分支机构协同场景复杂 …………………………………………………4 　　数据泄露审计与溯源难 ………………………………………………………5 技术现状 ……………………………………………………………………………6 　　数据安全 ………………………………………………………………………6 　　访问安全 ……………………………………………………………………8 　 　终端安全 ……………………………………………………………………9 数据访问安全域 …………………………………………………………………11 　　定义 …………………………………………………………………………11 　　数据访问安全域方法论 ……………………………………………………12 关键能力 …………………………………………………………………………13 　　安全的数据使用终端环境 …………………………………………………13 　　安全的数据传输通路 ………………………………………………………14目　录 　　有机的数据治理 ……………………………………………………………15 技术要点 …………………………………………………………………………16 　　虚拟化技术 …………………………………………………………………16 　　终端侧攻防对抗技术 ………………………………………………………16 　　零信任访问技术 ……………………………………………………………17 　　数据标签技术 ………………………………………………………………17 数据访问安全域代表企业 ………………………………………………………19 　　Citrix …………………………………………………………………………19 　　Vmware ……………………………………………………………………20 　　Hysolate ……………………………………………………………………20 　　一知安全 ……………………………………………………………………21 数据访问安全域的价值 …………………………………………………………23前　言 　　数字安全时代，数据安全成为继信息安全、网络安全之后新的安全产业轴 心。《数据安全法》的颁布实施纲举目张，数据安全各个细分领域开始全面落 地。 2021年12月世界信息安全大会， 数世咨询发布 《中国数字安全能力图谱》 ， 涵盖了数据资产安全，数据访问安全，数据共享安全与数据安全综合治理四大 数据安全分类，这其中传统的文档安全、数据库安全，数据防泄漏以及新兴的 数据应用安全与隐私计算等多个细分领域都收录在内，但仍然存在一些薄弱环 节。例如，在机构用户向机构内部发起某个敏感数据（本报告中“数据”一般 指用户或机构拥有的核心业务数据、商业敏感信息、知识产权信息、客户隐私 信息等高价值业务数据资产）的访问请求后，数据从机构内部数据中心，通过 安全的数据通路，落盘到用户终端侧，在这个过程中，机构如何落实整个访问 过程的安全管控，特别是数据在用户终端侧落盘后的更进一步安全管控，目前 并没有一个与之适配较强且行之有效的较好的解决方案。 　　据数世咨询近两年发布的“大事记”中数据泄露事件粗略统计可以看到， 数据的采集、传输、存储、使用、交换、销毁等几个阶段中，发生在使用和交 换阶段的数据泄漏占比呈递增趋势，发生在存储阶段的数据泄露占比呈下降趋 势。此外，在众多数据泄漏事件中，内部人员、合作伙伴导致的数据泄漏事件 占据了事件的多数，这其中既包括员工主动的泄密、由于失误造成的泄密，也 有合作伙伴提供运维服务、业务外包和供应链等过程中发生的数据泄密。 　　因此，数世咨询认为，目前的数据安全正在由数据资产安全迈入数据访问 和使用安全的时代——针对存储阶段的数据安全防护固然重要，其他阶段的数 据安全也需要给予更多的重视；数据泄漏要面对的也不再仅仅是外部的黑客攻 击，还包括内部员工、合作伙伴使用和交换数据时的数据失泄密行为。 　　鉴于此，数世咨询提出一个全新的细分领域——“数据访问安全域”，主 • 数据访问安全域能力白皮书 • 1要关注的是数据访问过程中如何实现对数据的安全管控这一需求。本白皮书从 场景与痛点、角色需求、技术现状、关键能力、技术要点等方面对其进行梳理 与总结。本报告的内容来自于公开资料的收集、整理与调研，且主要探讨全新 的数据安全细分领域，必然会有错误或纰漏，欢迎各位读者批评与指正。 2