什么是“以数据为中心的安全”： 大家眼中的DCS（一）

似乎在IT行业里，大家都有过类似的感觉，那就是总有新名词冒出来，大家讨论的热火朝天的同时，彼此对这个词的含义理解并不相同。好多年后，大家才逐渐清晰的总结出了这个词的具体含义。比如，大数据(Big Data)早在1983年就被提出来，在2011年进入行业视野，又过了好多年，人们才统一了认识，明确了大数据几个“V”的特点。

在安全行业，这个现象同样很常见。近几年，数据安全领域经常出现的一个热词是 “以数据为中心的安全”，很多报告都用“以数据为中心的安全”区别“传统的数据安全”，但却很少有人具体讲清楚“以数据为中心的安全”到底是什么。因此，我们梳理了近十年国内外对“以数据为中心的安全”这一概念的介绍和理解写出这篇文章，希望能对大家理解“什么是以数据为中心的安全”有所帮助。

DCS是Data-centric Security的简称，即以数据为中心的安全。为便于阅读，本文以下内容将统一使用DCS表示“以数据为中心的安全”。值得注意的是，有些文章提到的“以信息为中心的安全”(Information-centricSecurity)在本文中也一并以DCS代替。本文的目的是探讨DCS的具体含义，Data和Information的区别不在本文讨论范围内。

一、什么是DCS

维基百科上对DCS的解释是：相比系统安全、网络安全、应用安全等更聚焦在数据自身安全的安全方法,并指出一个DCS模型具有4个关键组件，分别是：发现、管理、保护和监测。这4个关键组件的具体能力是：发现是指发现敏感数据等数据存储在什么位置的能力;管理是指定义数据在不同情况下可访问、修改、阻断等策略的能力;保护是指阻止敏感数据泄露或非授权使用的能力;监测是指持续对数据使用异常行为监测发现的能力。

MarketsandMarkets在《DATA-CENTRICSECURITY MARKET》报告中称DCS市场规模将从2017年的20.6亿美元增长到2022年的58.3亿美元，其增长的主要动力来自于强劲的合规需求，其中亚太地区将成为增长最快的地区。

然而，目前行业内似乎还没有对DCS形成统一的认识。于是我们参考了数十份资料，包括学术论文、产业研究报告、技术白皮书等资料，系统梳理并结合我们自己的实践经验形成本文，目的是与大家一同讨论DCS的概念并统一对DCS的认识。

二、大家眼中的DCS

1. IBM：DCS的核心是数据分类

IBM是一家伟大的公司，很早就在很多技术领域发表过深刻的思考。2006年，IBM的研究人员Sreedhar就已经提出了基于角色分析的DCS方法，用于处理对象被不同方法访问时的安全问题。这个方法把角色作为重点考擦对象，并以角色一致为主要判别准则。2009年，IBM又提出一个基于数据的安全模型，名为DCSM(Data-centric Security Model)。DCSM把数据、策略和角色区分开，通过自定义一套策略描述语言，通过策略把数据和角色关联起来。DCSM是基于数据的商业价值进行制定策略，而不是基于传统的IT安全规则。更重要的时，DCSM强调了DCS的核心就是数据分类，而且必须是自动化的数据分类。这一判断非常准确，一直沿用至今。

IBM的观点是，传统的数据安全分类标签如机密、专有、限制传播、商业秘密等是不能满足业务需求的，如果数据分类和业务流程不匹配，则分类越多，来带的负面影响越多。所以IBM提出了新的数据分类方法，这个分类方法遵循三条原则：1)数据分类一次完成;2)策略直接体现在分类标签上;3)业务主管直接推进分类并直接看到执行结果。

IBM最后还是强调DCS最核心的内容就是结构化数据的分类方法，同时也指出，数据如何有效分类是个大学问，需要对行业规范、公司标准、业务操作、各类文档、部门交互都非常熟悉的核心人员来主导分类。

2. Symantec：数据打标和数据加密是重中之重

Symantec提出了一个以信息为中心的安全模型(Symantec Information Centric Security Module ，简称ICSM)。这个模型包括两个核心组件：数据打标(Symantec Information Centric Tagging，简称ICT)和数据加密(Symantec Information Centric Encryption ，简称ICE)。ICT和ICE都已在Symantec形成产品或解决方案。

ICT是针对邮件和文件进行打标签和加水印的分类器。ICE是基于云的一整套加密方案，包括加密算法、秘钥管理、身份认证、用户和文件监测以及终端用户加密工具。如果从Symantec的产品设计来看，还有Data Loss Prevention(DLP)和CloudSOC等产品。整套的数据安全产品在数据防护的准备、保护、监测和响应四个环节进行保护，具体下图所示。

图1. SynmantecDCS框架

3. IDC：DLP是DCS的神经系统

IDC指出DCS是解决数据安全的最佳方案。数据具有三种主要的保护方式：定义和分类、监测和强化治理策略、加密和混淆。数据防护的最佳方式就是将这三种方式有效的结合起来，而结合起来就是DLP、加密和访问控制。其中，DLP是在DCS策略中像神经系统一样重要。

4. Sirius：完整的DCS策略具有10个核心要素

Sirius Edge的一篇文章列出了一个完整的DCS必须具备的10个核心要素，分别是：1)数据发现;2)数据分类;3)数据打标和数据水印;4)DLP;5)数据可视化;6)加密策略;7)增强的网关控制;8)身份管理;9)云访问管理;10)持续教育。值得一提的是，这10个要素中强调了持续教育这一非技术要素，提醒我们做数据安全防护的时候一定不能只盯着技术、盯着功能性能，而忽略了教育、培训等非技术要素。

三、DCS离不开数据生命周期

DCS强调数据处于中心位置，如何体现中心位置呢?这就需要站在数据的视角，把数据的完整生命周期(Data Life Circle)梳理出来，然后从数据生命周期的每个关键环节重新审视安全问题和解法。通过数据生命周期来看待DCS并不是某一家独有的观点，而是很多机构共同支持的观点。只不过，大家对数据生命周期的划分数量和阶段类型都不同。一些文章用DLCM(Data Life Circle Model的简称，数据生命周期模型)来表述数据的生命周期。为便于阅读，本文统一使用DLCM表示数据生命周期，并用DLCM-X来区分不同的数据生命周期模型，其中X表示划分的阶段数量。

针对DLCM的讨论和划分有很多种，有些机构将数据生命周期分为5个阶段，形成DLCM-5，有些则划分成更多的阶段，例如DLCM-6、DLCM-7、DLCM-10等。本文，我们仅介绍几个代表性的DLCM。

1. DLCM-6

（编辑：威海站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!