数据被列为生产要素后,如何让数据“流得动”又“管得住”?
2026年3月,国家数据局党组书记、局长刘烈宏在《求是》发表文章《以高水平数据基础设施助力数字中国建设》,明确提出要"构建横向联通、纵向贯通、协调有力的国家数据基础设施,打造安全可信的数据流通环境"。
此前,国家数据局发布《2025 年可信数据空间创新发展试点名单》,城市、行业、企业三个方向的63个项目入选,可信数据空间进入国家试点阶段,政务、医疗、金融等领域的数据共享需求从“能不能”转向“怎么守好安全底线”。
过去的安全建设,大多聚焦于组织内部——数据在自家系统里流转,边界清晰、策略可控。但可信数据空间的本质是跨组织、跨域、跨云的数据流转,这让安全防护面临三个新挑战:
▶ 跨域和跨组织数据流转。可信空间涉及跨云、跨域、跨组织机构的数据流转,这带来安全策略统一的问题。比如敏感数据从A组织流向B组织后,B组织应该继承或秉承A组织的安全保护策略,这是传统单品无法满足的。
▶ 场景结合度:可信数据空间不仅涉及数据在当前区域的发布,还涉及数据流动后不同应用场景下的安全保护机制和策略。传统单品方案难以与业务场景相结合。
▶ AI结合场景:可信数据空间应用过程中可能涉及与AI结合的场景。数据在空间中流转、训练模型、生成结果,安全边界在哪里?
目前,我国数据空间还处于内部试点阶段,真实的业务场景投产受控,因而攻击相对受限,主要体现在三方面:
数据暴露面攻击:由于数据流动共享加速,暴露面越来越大。主要攻击形式包括SQL注入、漏洞攻击、越权访问。
传输链路攻击:数据在空间之间流动时,传输链路可能被攻击。通常通过HTTPS通道加密防护,但如果中间节点出现劫持,仍存在数据泄露风险。
目前普遍采用统一API网关作为防护能力,但存在局限性:传统API网关更多关注网络攻击层面,如是否被攻击、接口是否越权等,但数据内容本身的防护是缺失的,包括身份验证方面身份是否被冒用、细粒度的身份认证,以及对被访问数据内容的数据脱敏、访问控制等防护……
针对可信数据空间场景下传统数据安全方案存在的明显短板,美创科技提出“平台+Agent”的架构思路,核心逻辑很简单——让安全策略跟着数据走。具体而言,结合一体化平台和Agent,在原有API网关部署插件,补齐以下能力:
-
多因子身份验证:结合OTP动态口令等方式,确认身份唯一性、真实性和权限配置。
-
数据内容防护:对访问的数据内容和数据量进行控制,流转过程中根据需要进行脱敏、加注无痕水印,便于后续溯源。
-
数据来源可信验证:通过AI分类分级,确认申报的数据分类与实际交换的数据分类一致。
-
敏感等级结合:结合数据分类与敏感等级,确认流转过程中的安全保护策略。
-
存储安全:在A点到B点的存储过程中,通过加密等防护机制,确保数据完整性和可用性。
这套架构的本质,是把安全能力从“产品堆叠”转向“能力编排”,让数据在可信网络中流动时,全程“有人护送”。
在可信数据空间的实际运营中,数据流转场景多样、实时性要求高,完全依赖安全人员手动调整策略,几乎不可能。因此,美创科技引入了AI智能体。
AI分类分级
在数据流动场景中,美创智能数据安全分类分级平台结合AI推理能力,完善数据分类分级的识别能力和复核能力。
风险识别智能体
美创数据安全风险监测智能体基于访问上下文路径,结合AI推理能力,智能识别当前网络过程是否存在安全风险,实现精准风险识别。
同时,美创正在推进AI自动化处理响应功能,未来将结合AI推理判断能力,根据风险危害度和数据访问敏感度,决定是自动化处置还是流转人工确认。
可信数据空间的建设,不会一蹴而就。从安全视角看,未来有两个趋势值得关注:
🔹 从平台建设到生态共建:原有安全防护是传统单品加SOC或SOAR平台实现统一风险监测防护。未来是生态共建方式——通过统一Agent或连接器,将组织间的安全能力进行适配,实现安全能力生态搭建,确保数据流动在可信空间网络闭环中。
🔹 从策略驱动到智能防护:现有防护基于厂商和安全人员的认知来做初始化策略和配置调整,“人写规则”。但在数据流动空间,场景不同、实时性要求趋高。随着AI能力的成熟,将通过AI自我推理和知识库搭建,结合场景自动化完成安全策略调整和安全处置闭环。
数据要成为真正的生产要素,“流得动”是前提,“管得住”是底线。
可信数据空间的安全建设,核心不是“堆产品”,而是搭建一个能跟着数据流动的安全能力网络。美创科技正在这条路上持续探索,致力于将数据安全防护这道“护城河”修得更宽、更深。
浙公网安备 33010502006954号 
