数据安全平台（DSP）如何促进数据驱动决策（翻译稿）-优快云博客

2024年1月，Gartner发布了首份《数据安全平台(DSP)市场指南》，承认将数据安全控制、业务逻辑和细粒度授权相结合的重要性日益增加。这些基本的特征，有利于企业释放其数据潜能，并利用数据来推动决策。

数据安全不是一个新名词，而是一个众所周知的势在必行的业务活动。过去，数据安全控制措施多数是事后控制（TrustZ翻译组注释：事后措施往往简单，安全团队从不麻烦，不出事儿的角度，也会优先考虑事后方式），同时单点建设，事后方式事实上阻碍了对数据的及时和安全访问。然而，现在的组织正在优先考虑数据安全，并以体系化的方式实施。Gartner的报告显示，2021年至2022年间，与数据安全相关的投诉数量增长了70%。

ChatGPT释放了AI改变我们组织的潜力，个性化AI技术栈将带来更大的机会。该技术栈采用通用的大型语言模型，并将其与公司数据聚合，以便产生的成果是基于真实的业务数据。有了这种能力，企业可以真正发掘大量结构化和非结构化数据的潜力。通过将结果建立在精心准备的企业数据之上，可以减少幻觉，增加对生成式AI工作成果的信任。

然而，要达成这种宗教式启蒙的状态，只有利用类似TrustZ DSP这样的数据安全平台（TrustZ翻译组注释：原来是作者的广告，被我们替换成了我们的Logo，但是文章有可取的点），确保首先满足公司安全准则，以及相关的监管合规要求。这需要一个成熟的数据安全平台（DSP）。

数据安全平台（DSP）基本组件：

像汽车的刹车片一样，数据安全并不意味着仅仅是让车慢下来，而是让车带来更多的信任和信心，使业务加速。DSP有助于建立安全屏障，防止有意或无意地滥用数据基础设施。数据安全平台的目标是确保合适的人在需要时能够访问合适的数据，以推动业务决策并获得竞争优势。

一个可靠的数据安全平台（DSP）由三部分组成，如图1所示。

数据发现和可观测性

在由Hadoop开始的大数据的第一次轮回中，由于对数据缺乏了解，终将数据湖变成了数据沼泽。在急于进行数据分析的过程中，跳过了理解数据的关键步骤。其中包括对敏感数据的理解。

现代DSP应该能够连接到源并确定数据的特征。数据是否敏感有时隐藏在数据上下文中的。一旦发现敏感数据，必须根据公司安全准则和相关的监管合规要求对其进行标注。这些数据可能是个人身份信息（PII）、个人健康信息（PHI）、财务数据、知识产权或商业机密。

DSP应该能够连接到所有相关数据源，并使用多种方法检测敏感数据：

探查源数据：数据扫描和探查通常采用抽样的方式，但它必须能够支持扫描完整的数据集。然而，全量扫描可能会给系统带来巨大负担。探查数据源需要访问源数据的权限。
探查结果：为了克服上述一些障碍，需要对结果进行总结或者分类。例如，它可以标记为电子邮件、身份证和其他个人身份信息。

数据的标记可以是手动的，但最常见的是使用复杂的机器学习推理算法（Trust Z翻译组注释：作者这块像软文，其实敏感数据识别实践中还是采用综合的方法，机器学习或者LLM不一定适合所有场景或者最准确）。此外，随着数据的实时变化，这一过程应该是持续的。因此，DSP中可观察性能力是一个基础的数据能力。

策略定义

下一步是能够为数据定义细粒度的访问控制策略和规则，如：授权和加密。数据管家应该能够以直观和自助的方式设置数据治理策略，而不是使用老旧的身份和访问管理系统中流行的一些旧方法（这里适合插播广告，欢迎介绍新方法或者联系我）。最常见的方法是使用带有下拉选项的用户界面。例如，可能有加密或脱敏数据或标签的选项。

新一代系统允许使用推断和自动化方式制定策略。当员工离职并且必须删除所有相关策略时，策略创建的自动化也非常有用。为了实现这些能力，数据安全平台（DSP）与数据目录等其他数据治理基础设施集成就非常重要。例如，与数据目录的集成允许用户查看可用的数据、购买数据、申请授权、说明使用原因和同意访问协议，并最终授权访问。DSP产品还必须能够管理访问历史和审计日志。

策略执行

DSP终极能力是能够以最小的开销和延迟执行数据安全策略。基于角色的访问控制（RBAC）应用于根据用户在项目中的角色分配访问权限。基于属性的访问控制（ABAC）应用于根据用户属性、数据属性和环境属性的组合授予访问权限，提供更精细的控制。

策略执行需考虑因素包括：

一致性：无论数据存放在何处，如：云数据仓库、ODS、对象存储或数据湖中，都应实施相同的安全策略。
低延迟和可扩展性：数据安全开销应该尽量最小化。还应该能够随着工作负载的增长而扩展。
动态：ABAC是首选，因为它是动态的，会随着用户环境的变化而调整（Trust Z翻译组注释：其实我们团队不太懂这一部分，请各位读者帮忙加场景，写评论）。
敏捷：数据安全产品应该对最终用户透明。理想情况下，用户应该关注最终的使用方式或API，该API自动执行安全策略，并且不需要修改Schema或查询语句。
部署：现代数据安全产品要么作为SaaS工具部署，要么部署在与Kubernetes兼容的私有云中。

无缝的策略执行有助于建立对数据的信任并提高数据效用。它允许组织扩展与数据消费者共享数据的能力。

--------------------------------------------------------------------