数据使用安全的关键在于数据使用环境的安全。仅仅以加密等“保险柜”方式进行保护是不够的，应当以“安全域”的形式建立终端数据使用的可控环境，即数据的存储、访问、应用、管理等行为都限制在安全域内。用户针对这部分能力可以重点考察供应商对终端各主流操作系统的底层技术实力。基本原则是，无论是虚拟化技术，还是操作系统的底层驱动技术，能够用相对较少的底层技术实现更多的“安全域”安全管控维度，这样对操作系统的影响最小，而相对覆盖的潜在攻击维度更多。

其次是加强数据通路本身的安全。除了目前较为成熟的加解密外，还可以在条件允许的情况下，通过网络协议的定制化，将通用协议修改为潜在攻击者难以识别的自定义协议。需要注意的是，具体的定制化改造，特别是对用户已有的业务 API 数据接口、VPN 身份认证接口等，要综合评估改造成本与改造收益之间的平衡。

基于以上两点，数据的治理要以有机为目标，做到可更新、可持续。从数据的采集、创建开始，数据的元信息（各类标签、管控策略等）要在数据流动过程中，一直跟随着数据一起流动、更新，并进一步实现对数据的复制、修改、删减等操作能追溯到数据的起始来源和流转路径，以此作为数据访问控制策略、交换策略、审计策略的重要参数与决策依据。

《数据访问安全域能力白皮书》PDF

“内核半虚拟化”隔离工作空间，使安全域、非安全域独立安全工作。既保留了非安全域中用户自由使用的灵活度，同时也复用了物理机的硬件性能，而且内核级半虚拟化技术具备极低的资源消耗，避免了VDI 模式下的性能瓶颈影响安全域中的工作。

一知安全通过“以技术为先导，辅以管理制度”的思路，帮助用户建立安全工作空间，实现“数据防泄密，业务防攻击”。