为什么说数据安全从认识数据开始呢？数据安全有个很明显的特征，其保护的对象是非常明确的，即数据。所以势必需要清晰的认识到数据，或者更确切的说是认识到数据的价值。

1、什么是数据？

回到我们最本质的问题，什么是数据？数据是用来记录客观事物或事件的符号，具体来说，是对客观事物或事件的性质、状态以及相互关系等信息进行记录的物理符号。这个解释过与学术化，反而数据安全法中对数据的定义更清晰一些，即包含任何以电子或者非电子形式对信息的记录。这个定义的范围就比较大了，在《民法典》和《网络安全法》中，更多的是强调电子数据/网络数据，如数据库中存储的数据或电子文档等，而非电子数据（如纸质数据等）同样具备较高的数据价值，这部分数据的泄露同样可能造成较大影响，在数据安全法中，将非电子数据统一纳入规制，有利于法律执行的统一性，也符合数字化时代的信息安全要求。这也就要求，开展数据安全工作既需要同时关注电子和非电子形式的数据，而不能像以往关注点仅局限于电子数据的维度。

2、数据的分类

这里所说的数据分类还并非我们现在说的数据分级分类的概念，而是更基础的维度，即根据数据的形式、状态和结构进行分类。旨在清楚的了解不同分类的数据所面临的安全风险和需要的安全防护措施的侧重点是不一样的。

按照数据形式分类

（1）结构化数据：能够用数据或统一的结构加以表示，通常使用关系型数据库表示和存储，以行为单位，存储和排列很有规律。

（2）非结构化数据：没有固定结构的数据，如文档、图片、音视频等。通常使用非结构化数据库处理，字段长度可变，如mongoDB等。

（3）半结构化数据：自描述结构，数据的结构和内容混合在一起，如XML、JSON文件。

按照数据状态分类

（1）静态数据：长时间不变化，少有输入输出，如归档/备份数据。

（2）动态数据：随系统运行变化、流动，数据的主要形态。

按照数据结构分类

（1）逻辑数据：逻辑结构数据，数据库的表格、行、列以及其它数据库对象

（2）物理数据：物理结构数据，磁盘上的文件

3、数据处理的主要载体

数据处理的主要载体便是数据库，包括关系型、非关系型以及大数据平台，不同的数据载体对应的数据安全保护的侧重点也是不一样的。随着XC工程的推进，这块我们暂且分为两大阵营，如下图：

4、认识数据的价值

数据已成为企业最重要的资产之一，甚至可以说是企业的命脉，数据的泄露或者丢失对企业而言几乎是致命的，比如微盟删库事件，导致当天公司市值损失近10亿，影响超过300万商户。诸如此类事件，在近几年频频发生，某种程度上讲，这也是数据价值的体现，价值越高造成的损失越大。所以，各类攻击者都盯着数据下手，包括勒索病毒事件，最开始是加密勒索，随着法律法规合规要求，通过泄露数据实施勒索成为主流。那么，数据量越大数据价值就越高吗？显然不是，数据的价值取决于数据重要程度以及敏感程度，事实上，数据安全保护的核心正是数据中的重要/敏感数据。这也就是可以理解在数据安全法中特别强调国家要制定国家核心数据目录，对数据施行分级分类保护的基本准则了。

通常，重要/核心/敏感数据包括但不限于如下几方面：

5、从数据到数据安全

在数据安全法出台之前，数据安全的概念往往是指保证数据CIA、数据防泄漏、数据加密等维度，相对比较传统。在讲到数据安全之前，不得不要提一下DSMM，应该是在2018-19年期间，大家广泛在提的数据全生命周期安全防护相关话题，几乎是拜它所赐，DSMM首次提出数据全生命周期，一时间给数据安全提供了一套“高大上”的建设思路，引得各大厂家趋之若鹜，凡是说数据安全的都绕不开这个点。当然，后来也发现DSMM当中的全生命周期的思路也存在一定不足，不适合用于指导开展数据安全建设（这个可以后面在另外说）。

但是，在数据安全法中，还是充分借鉴了DSMM中对数据生命周期的定义：数据安全是指通过采取必要措施，确保数据在数据全生命周期中处于有效保护和合法利用的状态，以及保障持续安全状态的能力。而这个能力我认为至少是要包括以下四个方面的内容：一是组织建设，即数据安全组织机构的架构建立、职责分配和沟通协作；二是制度流程，即组织机构关键数据安全领域的制度规范和流程落地建设；三是技术工具，即通过技术手段和产品工具固化安全要求或自动化实现安全工作；四是人员能力，即执行数据安全工作的人员的意识及专业能力。这也是数据安全3.0阶段开展数据安全治理工作必备的基础能力。

除了从数据安全法定义之外，从风险视角看数据安全也是业内比较主流的思路之一，即数据安全本质上是控制数据在各阶段、各业务场景下的安全风险。这个也是对数据安全比较通俗的一个解释。

【下一篇：数据安全那些事：（2）为什么传统边界安全在数据安全时代.开始失效】