^{回看過去二十餘年，政府與企業的資訊化程度不斷加深，IT系統的複雜度與開放度隨之提升；伴隨雲端計算、大資料、人工智慧等新興技術的飛速發展，資料作為支撐這些前沿技術存在與發展的生產資料，已經成為組織的核心資產，受到前所未有的重視與保護。}

美國安全公司 Carbon Black 2017年釋出的勒索軟體調查報告顯示，和去年相比，暗網經濟中勒索軟體的市場規模猛增了2502%。資料的安全問題，已成為企業資產安全性、個人隱私安全性、國家和社會安全的核心問題。

資料洩露路徑多元化

過去的幾年間，大型資料洩露事件層出不窮，幾乎涵蓋了所有行業，這其中不免存在媒體聚焦度提升帶來的輿論轉移，但究其根本是社會各界對於資料資產安全的關注度與日俱增。這一系列資料洩露事件的不斷髮生，正在倒逼政府主管機構和企業對

從不斷髮生的資料洩露事件來看，洩露途徑既有***的***，更有內部工作人員的資訊販賣、離職員工的資訊洩露、第三方外包人員的交易行為、資料共享第三方的資料洩露、開發測試人員的違規等；究其原因既有安全意識的薄弱，也有由於安全體系的老舊或安全策略的過時而導致的資料洩露。

這些複雜的洩露途徑無一不在證明：傳統網路安全中以抵禦***為中心、以***為防禦物件的策略和安全體系構建存在重大的安全缺陷，傳統網路安全為中心需要向以資料為中心的安全策略轉變。

資料安全相關法規和標準大爆發

安全事件層出不窮，企業資產和國家安全面臨挑戰，個人隱私大範圍洩露，在資料高度發展的時代，這些都為社會的安定、個體自由與安全帶來了巨大挑戰。因此各國都相繼出臺了大量的法規，對個人、企業和國家重要資料進行保護。這裡列出一些重要的法規包括：

我國在2016年出臺，2017年6月1日正式生效的網路安全法，全稱《×××網路安全法》。

歐盟在2015年出臺，2018年5月正式生效的一般資料保護條例，全稱為《General Data Protection Regulation》（簡稱GDPR）。

我國在2018年正式出臺，5月1日正式生效，個人資訊保安規範，GB/T 35273《資訊保安技術 個人資訊保安規範》。

我國已經在制定即將頒佈的《資料出境管理辦法》、《重要資料管理辦法》、《×××密碼法》等。

這些法律法規都將對企業和政府單位的IT安全策略制定和安全體系的架構產生重要影響；在這些法規中都將資料作為了最為重要的防護物件，提出了重要的安全要求；對於這些法規的遵守將影響企業的聲譽、合規甚至存亡。

資料安全建設需要有系統化思維和建設框架

隨著資料安全的重要度提升，使用者在這個方向的投資也在增大，據KVB Research2017年大資料安全報告預測顯示，大資料安全上2017年全球投資達到102億美金，並且以17%的年複合增長率在擴大，到2023年將達到309億美金，也就是2000億人民幣。

KVB Research在big data security上的市場預測

而在我國隨著網路安全法的出臺，資料資產價值得到確認，政府機構和企業在這個方向的投資也在加大，以資料審計、脫敏和加密為目標的資料安全投資正在成為採購的熱點。

當前這些採購大多以單獨產品採購為主，這些採購的發起部門也各不相同。大型的IT組織正在陷入疑問，資料安全的建設是否有系統化的方法？是否要沿用傳統的網路安全的處理策略，通過邊界防護和防止***的方式來進行資料保護？資料安全的責任主體，是由資料儲存所在的部門、資料處理的業務部門還是負責對資料進行運維的部門負責？這些不同的產品之間彼此割裂還是具有聯動性質？這些產品的應用上應該採用什麼樣的安全措施等等，疑問叢生。

這些疑慮非常正常，因為資料與業務系統的高度融入，資料如何被使用、資料的價值更被業務部門所識別；但是安全法規，又通常由單位或企業的安全或保密部門所負責；資料安全產品的採購和使用，需要系統化的方法，需要與資料處理的業務場景整合，既能保證資料使用行為不受影響，又能保證必要的安全措施能夠得到保障。

資料安全治理的思路，正是這種將資料安全技術與資料安全管理融合在一起，綜合業務、安全、網路等多部門多角色的訴求，總結歸納為系統化的思路和方法。