本文主要谈谈个人对以数据为中心构建数据安全的理解，目前多数的安全厂商谈数据安全，言必称以数据为中心构建数据安全体系，但是其对于以数据为中心还是停留在传统的网络安全的视角，下图就是目前多数厂商强调的以数据为中心的拓扑图：

其核心是强调数据位于整个防御体系的中心，从数据的视角往外看，有数据库、操作系统、应用、硬件等等，想表达的外部的攻击突破的重重边界之后才能触达数据，本质上还是传统网络安全纵深防御的理念。

笔者认为的以数据为中心是站在数据的维度来看，主要包含两个维度；

一、第一个维度，是站在数据的视角往外看，数据访问的过程，当一个数据被访问时，其由内之外分别是载体、方法、逻辑、资产访问拓扑、身份。

1、载体:数据不可能虚空存在，那么他必然有一个载体，这个载体有可能是数据库、文档、PDF、大数据平台；

2、方法：访问某个数据命令，比如针对数据库中数据SQL语句，比如Select /Update等等，  Windows操作系统操作命令，比如：copy/dir/ del等

3、上下文逻辑：访问某个数据的命令上下文逻辑关系，是否符合访问这个数据正常的逻辑，比如我们SQL注入攻击，就是不允许的运行逻辑

4、资产访问拓扑：身份访问业务系统数据，业务系统之间数据访问整体复杂的拓扑关系；

5、身份：具体访问资产的身份，身份包含了多个要素，入：人、终端、账号、应用等等，共同构成了身体体系；

     上述是站在数据的视角来看数据本身，强调的数据本身，而不是操作系统、软硬件等等，于此对应的就是针对这些行为的数据安全管控手段，下面以产品维度来具象化谈载体、方法等安全，如：

1、载体安全：文档加密 本质上就是在载体维度保护数据内容安全

2、方法安全：数据库准入  本质上是控制一些高危风险的数据操作来保护数据，如：Drop语句；

3、逻辑安全：WAF、数据库防火墙、API网关  这些产品都会针对一些SQL注入行为、API的注入行为进行监测和管控，是实现对数据的保护

4、资产访问拓扑安全：这里主要是系统之间的访问管控、人员对于系统数据访问管控；

5、身份安全：传统网络安全的范畴，主要是针对身份的管控，实现身份的全生命周期管理；

那么我们在构建数据安全体系的时候，可以围绕前文说的载体、方法、逻辑、资产拓扑、身份进行构建。

二、第二个维度：以资产为中心的第二维度是从数据流动的视角来看，前文提及数据在安全的维度有流动性的特征，那么以数据为中心就要求，当数据流动到任何位置，安全防护就应该覆盖到该位置，但是从落地的视角来看，其困难重重，数据本身是为业务服务的，基于业务的需求我们需要看到数据、互相调用数据，最终数据流动至各个业务系统，每个业务系统又有不同的访问人员，前文提及的数据安全的另一个特性：易获得性，因此相比较网络安全，数据安全风险的暴露面是无限大，任何数据会从有序、无序最终到失控，这个是数据最终的宿命。从建设的角度来看，很难做到当数据流动到任何位置，安全防护就应该覆盖到该位置，那么回归本质看问题，我们需要做到的优先解决数据访问量最多的场景优先治理，比如现在API安全产品是数据安全防护的重点之一，核心是通过API接口访问数据是目前数据访问量最多的场景。

以上简单阐述的什么是以数据为中心，这和目前业界强调的以数据为中心存在较大的差异性，也是笔者的一些个人思考，后一篇文章会谈谈分类分级。