随着全球相关法规的密集发布，包括欧盟 GDPR，美国 CCPA，国内的《网络安全法》,以及今年发 布的《数据安全法（草案）》、《个人信息保护法（草案）》，合规性成为了企业数据安全建设与治理 的重要驱动力。法规对企业数字化、信息化转型出了更高更严的数据安全要求⸺既要满足自身业务 的数据安全需求，同时又要遵守合规性要求。不断强化的法规给新技术带来新的机遇与需求，近年来， 数据安全领域新技术不断涌现，比

需要强调的是，法规定义的个人数据 / 个人信 息不是传统意义上的身份证号、手机号、地址等个人基本信息，还包括设备的 IP 地址、MAC 地址、Cookie 信息，范围非常宽广（可参考国标《个人信息安全规范》的个人信息举例），这 给企业的敏感数据识别和保护构成巨大的挑战。而在 2.0 时代，法规监管的基本单位是 数据，而不仅是数据库和文档的数据，还包括大数据平台、文档、云、终端，甚至发展中的 5G、

通过数据处理平台进行统一管理，采取严格的访问控制、监控审计和职责分离来确保数据处理安全。Ø网络访 问控制1.

随着欧盟 GDPR、美国 CCPA，以及我国的《网络安全法》，《数据安全法（草案）》和《个人信 息保护法（草案）》的制定与实施，合规性已经成为企业数据安全治理与建设重要驱动力。在合规视角 下，本章将阐述数据安全需求、内涵的发展与演变，并将从宏观上总结企业数据安全合规性建设三类场 景，以及超越合规性的前沿技术图谱。

参考案例 ：某行业 案例 1： 规章文档平台 在办公系统中，建立了规章文档平台，供员工查询和学习。

GB/T 25069—2010中界定的以及下列术语和定义适用于本文件。数据安全data security： 保护数据的机密性、完整性和可用性。数据安全能力data securitycapability： 组织机构在组织建设、制度流程、技术工具以及 人员能力等方面对数据的安全保障能力。成熟度maturity： 对一个组织的有条理的持续改进能力以及实现特定过程的连续性、可持续性、 有效性和可信度的度量

数据传输加密、数据传输端点安全、数据传输访问控制等合规要点逐步明 确 ，相 关 主 体 积 极 响 应 国 家 政 策 ，主 动 应 对 ，探 索 实 践 。数据传输过程的数据加密，是确保数据传输安全最有效的技术之一。数据传输加密包括网络通道加密和信源加密，其中网络通道加密包括基于SSL和IPSEC协议的VPN技术，依托协议中的加密和认证技术，实现对网络数据包的机密性和完整性保护，满足移动办公接入

好地为人民服务，并且符合社会原有的道德认知。◆ 《网络安全法》相关条款为第十八条 国家鼓励开发网络数据安全保护和利用技术，促进公共数据资源开放，推动技术创新和经济社会发展。国家支持创新网络安全管理方式，运用 网络新技术，提升网络安全保护水平。我发现的能力，安全厂商、服务商及软件开发商在提供产品、服务中能够及时对自己产品中所产生有关危害数据安全行为的漏洞及时进行通告，并采取补救措施。工信部在《网络安

我国在积极推动大数据产业发展的过程中，非常关注大数据安全问题，近几年发布了一系列大数据产业发展和安全保护相关的法律法规和政 策。2012 年 12 月，针对数据应用过程中的个人信息保护问题，第十一届全国人民代表大会常务委员会通过了《全国人大常委会关于加强网络信息保护的决定》，该决定要求，国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息，网络服务提供者和其它企事业单位应当采取技术措施和其它必

云原生关注快速开发和部署，这种特性要求进行防护模式的转变， 从基于边界的防护模式迁移到更接近基于资源属性和元数据的动态 工作负载的防护模式，从而有效识别并保护工作负载，以满足云原生 技术架构的独特属性和应用程序的规模需求，同时适应不断变化的新 型安全风险。原生中 API的安全需求，云原生关注快速开发和部署，这种特性要求 进行防护模式的转变，从基于边界的防护模式迁移到更接近基于资源 属性和元数据的动