數據安全是一個老生常談的問題。在過去的防護策略中，企業往往以網絡安全為抵御攻擊為中心、以黑客為防御對象構建安全防護體系，常見的是圍繞一個數據庫、一個產品、一個網站、一個服務器等等。從2002年起，國內就出現了以防止敏感信息泄露為目的的防水墻系統，數據防泄密領域先后發展了主機監控與審計、桌面管理、終端安全、補丁管理、移動存儲介質管理、終端準入等安全管理手段。目前這類手段就如同IDS、防火墻、殺毒軟件一樣，從網絡邊界、系統安全、設備管控的角度來保證內部信息不受外部的入侵、更多的是用堵的方式來堆砌高墻，把需要保護的信息給圍起來。

但在數字化時代，企業數據一旦生產出來后就會進入傳輸、存儲、處理、分析、訪問與服務應用等各環節，且周而復始如同流淌的血液，而這些環節涉及研發運維人員、最終用戶、生態伙伴、服務器、辦公終端、內外網絡、大數據分析平臺、云平臺等，任意一個環節都面臨著數據安全挑戰，造成企業數據失血。

這意味著企業不能只在關鍵節點構筑防御堡壘。梳理近年來層出不窮的數據泄露事件不難發現，背后原因紛繁復雜：黑客的攻擊、內部工作人員的信息販賣、離職員工的信息泄露、第三方外包人員的交易行為、數據共享第三方的數據泄露、開發測試人員違規等。多種原因導致的數據泄露事件折射出的是，僅僅依靠單點防護難以達到真正的安全防護效果。

企業保護數據安全應該轉向以數據為中心構建防護策略，并遵循數據流動的方向，構建基于全生命周期的安全防護。值得一提的是，企業上云大潮的趨勢下，討論數據安全絕大部分都要從云環境出發，云原生的數據保護技術和策略也將成為當下及未來的主要手段。

從數據流動的角度出發，自然而然地就引出了數據全生命周期的概念，這一策略目前也被大量安全廠商和企業認可，但實現數據全生命周期的安全防護卻并非易事。騰訊云從保護云上租戶數據安全的經驗中總結了四大挑戰。

1.數據的分類、治理和策略的管理

萬事開頭難。數據全生命周期的防護從數據生產之時就已經啟動，此時的防護重點是需要對數據進行分級，明確哪些是機密數據、敏感數據、普通數據，進而根據數據的不同等級，設置不同的安全策略。這一步對于企業而言的價值還在于摸底企業自身數據資產，在數據儼然成為信息能源的時代，企業只有在掌握自己數據資產的基礎下，才能基于大數據、人工智能等數字化技術抓住轉型升級的浪潮。

2.數據保護技術

數據在存儲、傳輸、使用過程中如何應用加密技術以及脫敏技術進行數據的保護是第二大重點，這也是整個數據生命周期中攻防對抗的重頭戲。對于機密數據而言，需要持續性的保護，因為它們在企業內部和組織內共享，企業必須確保其數據庫、文檔管理系統、文件服務器和實踐在整個生命周期內正確分類；敏感數據的處理方面，如何保證自動化發現、豐富的脫敏算法，以及對于不便于脫敏的數據如何進行通過水印技術進行溯源追責同樣是技術應用難點。

3.密鑰管理

前不久《密碼法》頒布，對于不少行業而言，應用加密技術保護數據已然成為剛需。在應用加密技術之后，數據安全問題也就轉化成了密鑰的安全問題，如何保護密鑰的安全也因此成了一大難點。但是密碼技術卻存在老三難——“難做、難用、難管”，密碼算法、密碼產品、密碼應用三者明顯脫節，國密密碼算法涉及的應用改造工作量巨大更是不可忽視的挑戰。如何保證密鑰的保密性、完整性和可用性，滿足企業多應用、多業務的密鑰管理需求，并符合監管和合規要求是密鑰管理的重中之重。

4.事件監測分析

數據安全不僅是技術問題，更是管理問題，大量企業遭遇“內鬼”泄密的案例折射出安全管理在數據安全上的重要價值。企業需要同時在運維審計和數據庫審計方面發力，及時發現異常行為，排除安全風險。是否能有效應用AI在審計場景中，是時下討論事件監測分析的熱點，基于AI將員工每一次行為都記錄并抽象成行為模型，了解其與敏感資產的交互規律。這樣一旦當員工開始訪問正常工作中用不到的敏感信息時，系統就會進行直觀展現與預警，那么即使像“螞蟻搬家”這樣隱秘的數據竊取操作方式也能被及時發現和預警。

作為國內頭部的云平臺之一，騰訊云的數據安全保護實踐是重要的參考樣本，尤其是騰訊去年9月30日戰略升級之后，在安全方面拉通了騰訊安全的能力，進一步保障云上租戶的數據安全性。目前在數據安全方面，騰訊云綜合運用數據安全管理經驗和數據保護技術打造了數據安全治理中心、數據加密服務、密鑰管理系統、憑據管理系統、數據安全審計、堡壘機、敏感數據處理等七大產品體系，針對性地在數據全生命周期每個階段提供保護，助力企業快速構建云上數據安全防線。

其中， 基于數據流的理念，騰訊云通過數據安全治理中心對數據資產感知與風險識別，為企業云上敏感數據進行定位與分類分級，并幫助企業針對風險問題來設置數據安全策略，提高防護措施有效性。有別于其他的數據資產感知產品，數據安全治理中心以數據安全治理為核心，重點強化數據資產感知、數據安全治理、聯防聯控。同時，結合騰訊和生態的優勢為企業提供安全管理咨詢、安全技術咨詢、安全專家服務，實現服務能力的整合。

密碼服務更是騰訊云的特色安全服務之一?；隍v訊安全數據保護能力打造的 “云數據安全中臺”，騰訊云可以為企業用戶提供端到端的數據全生命周期安全體系，將密碼運算、密碼技術及密碼產品以服務化、組件化的方式輸出，并無縫集成至騰訊云產品中?！霸茢祿踩信_”還通過標準化的API接口/SDK服務，讓密碼技術“開箱即用”，實現從數據獲取、事務處理及檢索、數據分析與服務，數據訪問與消費過程中的安全防護，企業可以據此極簡構建全生命周期的數據加密能力。

在具體的安全產品上，騰訊云還應用了諸多前沿的安全技術。為了對抗量子計算對加密的威脅，開發了量子計算機也無法破解的抗量子加密算法；使用AI引擎的數據庫審計，可以更精準的識別如SQL注入等惡意語句，并實現了20萬SQL每秒的業內領先吞吐速度；在大數據融合計算中，提供K匿名脫敏算法，保證個人隱私數據無法被還原竊取，同時將誤差控制在2%以下，極大地保留了數據的可用性；另外還獲得了密文求交集的研發專利，針對性解決聯合營銷推廣、征信查詢、聯合建模等場景下的數據泄露風險。