文章总结： 本文分析了云时代数据安全面临的严峻挑战，指出加密未普及及责任模型下的防护盲区。文中重点对比了云安全态势管理CSPM与数据安全态势管理DSPM的属性差异，明确前者聚焦基础设施配置，后者专注数据资产保护。建议组织同时部署两者以实现全面防护，若需二选一则优先DSPM以保障核心数据安全。 综合评分： 76 文章分类： 数据安全,云安全,安全建设,解决方案,安全运营

数据安全态势管理与云安全态势管理

何威风 何威风

河南等级保护测评

2026年2月19日 00:00 河南

“数据泄露刚刚发生”，这是任何安全专业人士都不愿意听到的一句话。从CISO到SOC分析师，数据泄露就是非常糟糕的一天的定义。它可能会给企业造成严重的品牌损害和财务损失，导致安全专业人员突然职业变动，并给企业和消费者灌输对财务或隐私损失的恐惧。

根据ESG报告，目前55% 的数据和工作负载在云中运行或操作，并且 43%的当前本地应用程序可能会在未来5年内迁移到云端。这意味着云中的数据生成和移动正在以更加惊人的速度增长。这已经并将继续增加针对云资产（尤其是敏感数据）的攻击面。如果云数据不够安全，那么对任何组织来说都是巨大的责任。

云中的数据安全真的存在问题吗？

是的。这是一个大问题。Gartner, Inc.表示，“到 2025 年，90% 无法控制公共云使用的组织将不恰当地共享敏感数据。云战略通常落后于云使用。这使得大多数组织大量使用未经批准、甚至未经认可的公共云，从而造成不必要的风险。首席信息官必须在实施云之前制定全面的企业战略，否则将面临不受控制的公共云带来的后果。”

然后您可能会问：“那么加密呢？” 它保护数据。不是吗？

是的，当它被积极而彻底地应用于所有数据资产时，确实如此。但据 Statista.com 称，“2021年，大约55%遇到过数据加密问题的受访者表示，未加密的云服务是一个问题。”

加密也是有成本的，而且它通常很容易实现，尤其是在云中。许多公司未能将加密构建到内部安全流程中，也未能采用数字版权管理来帮助控制文件访问。如果没有这种保护，被泄露的数据可能会被用来窃取身份和金钱、盗用秘密以及其他负面影响。

公共云提供商又如何——他们不提供保护吗？

是又不是。公共云提供商提供的服务的最佳定义是Amazon Web Services (AWS) 的共享责任模型。它指定“虽然 AWS 管理云的安全性，但云中的安全性是客户的责任。

这意味着对于云数据安全，您有责任保护您的数据以及应用程序、网络、访问和其他安全。

为了满足其中一些安全要求，云安全态势管理（CSPM）应运而生，以解决公共云基础设施产生的安全问题。

根据 Gartner, Inc. 的说法，云安全态势管理包括通过预防、检测和响应云基础设施风险来持续管理IaaS和PaaS安全态势的产品。CSPM的核心应用通用框架、监管要求和企业策略来主动和被动地发现和评估云服务配置和安全设置的风险/信任。如果发现问题，则会提供修复选项（自动或人工驱动）。

您可能已经注意到，该定义中缺少对数据的任何考虑。这可能是因为一般假设是数据受到加密保护，不需要进一步保护。但数据保护的现实更为复杂。

根据上述分析师信息，并非所有穿越公有云、多云和混合云环境的信息都是未加密的。这本身就是一个严重的安全缺陷。但是，其他行为，例如泄露加密数据并扣押其勒索赎金，也可能同样存在问题。在云中，由于基于微服务的应用程序的短暂性，数据拦截可能更难以跟踪。

为了解决这些问题，这些问题不是由CSPM平台处理的。这就是数据安全态势管理 (DSPM) 成为企业安全焦点中快速增长的组成部分的原因。为什么？因为它专注于确保数据安全。尽管其他安全态势平台（例如CSPM）在检测和提供缓解安全漏洞的方法方面做得很好，但网络窃贼仍然找到了规避这些漏洞措施以煽动数据泄露的方法。

有什么区别？

| CSPM属性 | DSPM属性 | | — | — | | 检测并自动修复云错误配置。 | 通过数据安全和合规状况的单一视图提供统一的数据安全。 | | 维护不同云配置和服务的最佳实践清单。 | 在几秒钟内生成数据安全和审计报告，并自定义报告以满足特定需求。 | | 将当前配置状态映射到安全控制框架或监管标准。 | 通过提供风险评分来了解风险，以显示高风险活动发生的位置，并首先将调查重点放在高风险区域。 | | 在容器化、混合云和多云环境中使用 IaaS、SaaS 和 PaaS。 | 通过使用风险评分引擎对异常进行评级来了解威胁，并为每个异常提供高、中或低风险评分。显示数据源和风险信息并显示高风险异常。 | | 监控存储桶、加密和账户权限是否存在错误配置和合规风险。 | 提供分析以调查问题、检测威胁、查找异常情况以及每个问题的具体情况。 | | 与合规团队分享有关跨多云基础设施异常的见解 | | 阻止可疑用户，阻止访问本地或云中数据源并自动触发事件修复。 |

DSPM 已发展为为结构化和非结构化数据（无论是否加密）提供额外的安全保护。DSPM可以跟踪位于公共云、多云或混合云环境中的数据。上表总结了CSPM与DSPM的比较。

DSPM 和 CSPM 是云安全的两个独立但重要的组件。它们为云环境提供不同类型的安全性，这些安全性是互补的功能。

如果可能的话，组织不应选择其中之一。同时部署CSPM和DSPM对于保护云和混合云环境的整体方法至关重要。毕竟，最好覆盖所有基础，以帮助确保敏感数据的安全。但如果您必须选择，DSPM是保护最重要的资源（数据）的平台。

—END—

精彩回顾：祺印说信安2024之前

90个网络和数据安全相关法律法规打包下载

2023年收集标准合集下载

网络安全等级保护<<<

网络安全等级保护：等级保护工作、分级保护工作、密码管理工作三者之间的关系

等级保护网络架构安全要求与网络分段的7个安全优点

网络安全等级保护相关知识汇总

数据安全系列<<<

数据安全管理从哪里开始

数据安全知识：数据安全策略规划

数据安全知识：数据库安全重要性

错与罚<<<

北京多家公司因不履行网络安全保护义务被处罚！“两高一弱”仍然是安全隐患重点

严厉打击网络谣言！商丘警方公布4起典型案例

侮辱南阳火灾遇难学生的“谯城芳芳姐”获十日行政拘留

宁夏网警公布5起打击谣言典型案例

吉林警方公布3起、湖北公安公布5起打击谣言典型案例

安徽警方依法打击整治网络谣言10起典型案例

2023年度国家网络与信息安全信息通报工作总结会议在京召开

焦点访谈丨拒绝“按键”伤人 避免网络戾气变成伤人利器

全国公安厅局长会议召开 忠实履行神圣职责 为扎实稳健推进中国式现代化贡献公安力量

公安部：纵深推进全面从严管党治警 着力锻造忠诚干净担当的新时代公安铁军

山西公布10、辽宁网警公布6起打击谣言典型案例

重庆璧山出现比缅甸还恐怖的新型背债人？警方：系某房产中介为博眼球造谣

上海、四川、浙江、福建警方宣传和打击整治网络谣言

四川德阳网警开展打击整治网络谣言宣传活动

广安警方公布4起打击整治网络谣言典型案例

四川查处两起利用AI编造、传播网络谣言案件

西安网警依法处置一起网络暴力案件

中信银行被罚400万，涉信息安全风险隐患未得到整改、虚假演练等

中行被罚430万，涉迟报重要信息系统重大突发事件等

新疆警方公布5起打击整治网络谣言典型案件

山西忻州一网民因编造地震谣言被依法查处

公安部召开新闻发布会通报打击黑客类违法犯罪举措成效并答记者问

有坏人！快藏好您的个人信息

在西藏架设“GOIP”设备给骗子提供帮助，10人落网！

网上买卖传播淫秽物品，触犯法律！

“温州帮”竟然是缅北电诈后台？警方通报来了

借甘肃积石山地震造谣博流量，行拘！

陕西警方公布6起打谣典型案例

“再来一次12级地震”，行拘！

江西警方公布7起“打谣”典型案例

江苏警方公布8起打谣典型案例

越想越生气，酒后干出糊涂事……

邯郸刘某某因编造网络谣言被依法查处！

其他<<<

2023年10佳免费网络威胁情报来源和工具

2023年网络安全资金下降40%

为什么攻击模拟是避免 KO 的关键

持续安全监控对于稳健的网络安全策略的重要性

网络安全策略：远程访问策略

网络安全策略：账户管理策略

保护企业的19项网络安全最佳实践

网络安全团队友情如何增强安全性

实现混合网络时代的“无摩擦防御”

物联网不是一份持续接受的礼物

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：河南等级保护测评 何威风 何威风《数据安全态势管理与云安全态势管理》