文章总结： 本文分析数据安全工作落地困难的核心原因，指出业务部门因担心暴露运营问题而排斥安全管控，导致数据安全被刻意规避；同时数据全生命周期涉及多部门协调困难、存量业务改造复杂、新技术加剧风险、安全认知不足等也是主要障碍。文章建议建立强力协调机构、提升社会数据价值认知、融合合规与业务需求、培养复合型人才并实施团队化协同作战。 综合评分： 78 文章分类： 数据安全,安全建设,合规,应用安全,云安全

为什么数据安全工作举步维艰

原创

草根老烦 草根老烦

老烦的草根安全观

2026年5月21日 16:26 上海

在小说阅读器读本章

去阅读

2016年《网络安全法》正式通过审议并在2017年6月1日正式执行，至今已快9年。2025年《网络安全法》重新修订，增大了执法强大和应对数字化迅速发展以及新技术领域应用的网络安全要求。紧接着，2021年，我国接连发布《数据安全法》《个人信息保护法》，2024年针对数据安全工作的开展由国务院制定并发布《网络安全数据安全管理条例》。随后，由中央网信办主导开展了常态化的个人信息合规性保护审计工作。这一系列的工作都展示出国家对数据安全工作的重视和关注。但是，数据安全工作在具体落实执行过程中却是举步维艰，究其根源，笔者对其进行了分析。本文章仅代表个人意见，非官方不专业，供读者参考。

数据安全不同于传统网络安全，由于其与业务的相关性，使得数据安全工作不仅仅是一个简单的技术工作，更多的时候，数据安全工作需要从多维度去考虑和分析。

首先，随着数字化的应用，数据成为支撑整个业务的血液。没有了数据的支撑可能会直接导致现代社会的崩溃。更多的时候，我们会面临着通过数据能够准确的分析并识别到一个组织的真正运行状态和业务合规性问题-也可以说，我们可以通过数据揭示组织的业务黑幕，这对于组织运营而言，才是最大的风险。在这种压力下，很多机构的业务部门不愿意或者不敢真正将数据作为一种风险资产进行管理。水至清则无鱼，数据至查则无徒。同时，业务部门需要数据来精细、快速的制定营销策略，这就使得在某种程度上会触发合规性的红线，严格的合规审批增大了数据的时效性，同时在缺乏对数据模型知识的前提下，数据的使用被严格的限制，导致业务部门刻意绕开审批流程甚至通过特权账号或隐蔽信道提高数据的流转效率。这使得数据安全从本质上被业务部门排斥在议事日程之上，甚至通过多种手段对抗数据安全相关工作。

其次，数据在组织整个业务环节中，从采集、传输、存储、使用、加工/流转及销毁各个环节中会贯穿整个组织，这使得数据安全工作不是某个技术部门或者安全部门的工作，而是组织所有部门以及合作伙伴、供应商、渠道等需要触及组织业务的所有成员都应纳入数据安全相关工作。这也就意味着，要想真正使得数据安全工作落地，需要一个强有力的协调机制，为数据安全工作提供必要的支撑。这种协调包括内部协调和外部协调，这种部门壁垒是历来各种管理的瓶颈。

第三，数据安全工作不是一个简单的基于数据的工作，而是围绕谁（who）需要（need）什么（what）样的数据，在哪里（where）、什么时间（when）开展什么样（how）的工作，为组织提供可信业务连续性活动。这也就意味着数据安全工作的起点不仅仅是从如何获取数据开始，而是从业务策划开始。实际上，组织目前最大的困局不是新业务的数据安全问题，而是海量的存量业务带来的数据安全风险。早期，传统业务系统的规划设计中，并不需要更多的考虑用户信息保护，因此，个人信息保护工作几乎为0，即使立法规定数据存储加密，但是在业务前端不做改造的情况下，数据存储加密相当于自断双臂，因为，业务前端在没有恰当的改造下，无法读取后端加密数据，因此，加壳式安全保护在牺牲效率的前提下被放在了业务之中。

虽然立法中明确要求采集信息需要满足“合法、正当、必要和诚信原则”，同时，针对整个数据生命周期需符合“收集个人信息，应当限于实现处理目的的最小范围，不得过度收集个人信息。遵循公开、透明原则，公开个人信息处理规则，明示处理的目的、方式和范围。”等。但现实中，我们却面临着业务需求对数据的无节制索取，甚至更多的业务部门还存在采集种类越多对业务的优势越明显的错误认知；从开发角度而言，开发组织有意或无意的超量采集，违规存储，越权使用的问题层出不穷。同时过度使用第三方组件带来的恶意获取用户智能终端设备的硬件授权和功能（比如：GPS、摄像头、麦克风、文件/目录读取权限以及复制粘贴板），同时智能终端设备的云服务功能也在不断地获取用户设备的相关数据。种种因素，使得我们的数据安全工作依旧停留在依托传统网络安全工作的表面，并没有真正触及到数据安全深层的问题。

第四，新技术为数据安全带来的挑战。从云技术到大数据、人工智能，技术在不断的迭代升级。云技术在数据安全工作中增加了数据确权的复杂性，CDN的大量使用使得数据在不同云平台之间相互同步和流转过程中造成数据黑洞。近年来，很多数据泄露本身并不是从数据持有主体中窃取而是从第三方平台或API接口处被打穿，而这种泄露还产生一个泄露主体不明确的问题；大数据技术提升了数据的分析能力和分析效率，这使得数据情报化成为一种现实，加剧了数据泄露后带来的危害；人工智能带来的数据风险将整个数据安全问题推到了风口浪尖；

第五，对于数据安全保障技术而言，我们依旧停留在传统的网络安全技术基础之上。通常我们会从TCP/IP的四层来构建网络安全体系，但是数据安全更强调OSI七层体系。数据安全需要从会话层、表示层和应用层更精细化的分析数据处理活动中的流量、流向、接口关系，深度解析用户行为及授权关系，综合考虑如何将零信任、隐私计算融合在产品实现中。物联网技术和OT技术使得物理层成为新的焦点。在这种压迫下，数据安全产品的供需关系依旧不均衡，不是因为需求不足，而是适用性需求难以满足市场的供给。用户对数据安全产品的要求会越来越高，也会越来越精细，这使得数据安全产品的研发会更加艰巨和困难。同时，为了数据安全产品要求产品经理、开发者必须走进客户，而不是停留在PPT和办公室中。定制开发将成为数据安全产品的主流，定制化产品的开发逐渐被平台化开发所替代。而云环境下的开发工作必须克服容器和租户的兼容性问题。

第六，数据安全认识不足是整个数据安全工作最大的阻碍。实至今日，针对数据情报化，隐私保护以及数据合规性要求等一系列常识化问题依旧很难被普遍接受。正是这种不接受使得推进数据安全工作过程中举步维艰。如何将数据安全工作从认知层面获得全社会的认同，而不是仅仅为了合规。理解数据对国家、社会、组织、个人所形成的影响，需要不断去深化和推动。

做个小小的总结，数字化时代，数据成为核心生产资源。数据面临的不仅仅是基于合规的机密性保护，更多的情况下，我们必须关注数据完整性和数据可用性对业务带来的致命影响。针对数据的勒索、拒绝服务攻击、人为/非人为的数据损坏和删除等问题将成为未来数据安全的重点。人工智能的广泛使用，把数据安全带入新的混沌，海量的数据被作为语料投喂给模型后，针对于语料的筛选不是一个简单敏感性问题，而是模型产生的数据深度分析后带来的基于模型自主的数据碰撞产生的结果，这不是从简单的技术产品可以规避的，而是如何构建提示词，使得模型从深度学习中带来的结果。这也就意味着针对人工智能所构成的数据安全问题不仅仅是数据，还必须关注提示词产生的隐性输出。

数据安全工作真正需要落地应该满足：

1. 具有强有力的协调机构，对内协调内部各个部门；对外协调组织与供应商，组织与数据共享和流通机构；

2. 从全社会推广数据价值认知，其不仅仅是个人隐私保护的问题，还需要更深度的了解数据在国家安全、社会稳定、企业发展等诸多层面的价值和意义；

3. 适用性技术与合规性要求必须融合，二者缺一不可，数据安全产品不仅要满足合规，还必须基于业务形成促进；

4. 需要既懂业务又懂数据安全和合规的数据架构师；需要数据安全工程师能够从通信技术、软件流转技术、数据库技术等多层面考虑数据安全技术工作的开展；

5. 数据安全工作必须是团队化工作而不是一个人的战斗。组织的数据安全团队应充分集合业务、多技术领域（通信技术、主机技术、软件开发技术、云相关技术、安全专家、人工智能技术以及数据库技术）和合规专家共同构建完善的数据安全团队；

6. 以“三同步”为主线，从业务需求开始，将数据安全工作贯穿整个生命周期；

7. 未来数据安全必然围绕数据流通开展，数据安全不是简单的基础设施建设，而是如何从数据流通角度全面考虑融入数据安全，而不是将数据安全作为一个外套穿在数据业务身上，一旦扣子掉了，衣服一定会漏风。

仅以此文致敬《数据安全法》

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：老烦的草根安全观 草根老烦 草根老烦《为什么数据安全工作举步维艰》