AI数据暴露新挑战：企业如何借助DSPM精准防护内部过度共享

在生成式AI快速渗透企业业务流程的当下，数据的使用边界正以前所未有的速度被重塑。数据驱动的AI模型带来了巨大的创新动力，敏感数据因权限配置错误而被快速访问的风险显著增加，同时也放大了数据内部过度共享（Internal Oversharing）的风险。传统的数据保护方式已难以满足当下复杂多变的数据流转场景。此时，一种新兴的数据安全方法——数据安全态势管理（DSPM, Data Security Posture Management），成为了解决AI时代数据安全挑战的关键抓手。

微软推出的 Purview Data Security Posture Management for AI（简称 DSPM for AI），凭借其强大的 AI 数据风险评估能力，为企业提供了一套全流程的解决方案，可实现从风险识别、分析到修复以及监控的闭环管理。本文将结合实际操作步骤，详细介绍如何借助 DSPM for AI 应对内部数据过度共享问题。

什么是内部过度共享？为何在AI场景下更危险？

内部过度共享，指的是企业内部员工对数据访问权限的超范围分配或滥用。这种现象在日常工作中可能并不起眼，例如将敏感数据存储在团队共享的云盘上，或在协作中将数据误传给不相关部门。

但在AI应用兴起后，这一问题被显著放大：

• 员工将敏感数据输入到生成式AI工具中（如Copilot或ChatGPT）；
• 数据无意中成为训练集的一部分；
• API交互中缺乏细粒度的访问控制……

最终可能导致数据外泄、合规违规、品牌声誉受损等一系列严重后果。

 

DSPM：AI时代的数据“安全哨兵”

Data Security for Posture Management （DSPM）是一种聚焦云数据资产可视化、数据分类分级、访问权限分析与风险识别的安全管理机制，旨在实时识别和缓解数据风险，尤其适合云原生和AI驱动的环境。

除了传统的数据状态感知，Microsoft Purview Data Security for Posture Management （DSPM） for AI 的数据风险评估允许安全团队扫描包含敏感数据的文件并识别数据存储库（例如用户访问权限过于宽松的 SharePoint 站点），从而帮助解决过度共享问题。它提供对过度共享内容、风险评估、补救措施和详细报告的可见性。

微软提出的AI数据风险评估模型包含以下几个关键步骤：

 发现AI使用位置与方式

使用Microsoft Defender for Cloud Apps或Microsoft Purview等工具，识别员工正在使用的生成式AI工具及其交互行为。例如：

• 哪些数据被上传至AI平台？

• 是否含有敏感信息（PII、财务数据、客户数据等）？

2. 运用评估功能识别过度共享风险

（一）前期准备工作

1. 登录 Purview 门户
   • 使用管理员账号进入Microsoft Purview 门户。
   • 在 “解决方案” 中找到 “DSPM for AI”，然后进入 “数据评估” 模块。

1. 了解评估类型
   • 默认评估：每周自动运行，针对使用频率最高的前 100 个 SharePoint 站点进行扫描。
   • 自定义评估：由用户手动触发，可根据特定需求定制扫描范围。

在 Reports 选项卡中，单击每个报告图表的 “View details” 以查看 Activity Explorer 中的详细活动。使用可用的筛选器，根据不同的活动类型、AI 应用类别和应用类型、范围（支持适用于 AI 的 DSPM 的管理单元）等筛选结果以查看 Microsoft Copilot 体验中或其他AI的活动。然后向下钻取到每个活动以查看详细信息，包括使用适当权限查看提示和响应的功能。

（二）解读评估报告

可视化报告栏提供了以下各项的一般概述：

1. 评估详细信息，其中包括：
   • 描述。按使用情况访问量排名前 100 的 SharePoint 网站。
   • 上次更新时间、下次更新时间和频率。默认评估的更新频率。
2. 项目总数 – 扫描和/或未扫描敏感信息类型 （SCT） 的项目数的可视化图表。
3. 数据上的敏感度标签 – 一个可视化图表，其中包括：
   • 检测到和未检测到的标记 SIT 的数量。
   • 检测到和未检测到的未标记 SCT 的数量。
   • 未扫描的数据数。
4. Items shared with （共享给） – 包含链接数量的可视化图表，
   • 与任何人共享。
   • 共享组织范围。
   • 与特定人员共享。
   • 在组织外部共享。

以下数据点可能指示租户中发生了过度共享：

• 未扫描大量数据。
• 大量包含 SCT 但未标记的数据。
• 在外部共享了大量数据。

风险修复与长期治理策略

（一）针对单个站点的修复措施

1. Overview （概述） – 提供站点详细信息的概述。
   • 数据源详细信息 – 提供有关数据来源（即 SharePoint）及其相应 URL 的详细信息
   • 数据覆盖率 – 显示在站点中扫描的项目总数，这些项目是：
     • 检测到标记和 SCIT，或未检测到 SCT
     • 未标记且检测到 SCIT，或未检测到
       SCT*可能指示租户中发生了过度共享的数据点：
       1。大量未扫描的文档。
       2. 大量包含 SIT 但未标记的文档。

1. 识别 – 扫描您的数据以查找敏感信息。
   • 使用 Microsoft Purview 按需分类数据扫描来扫描此站点中所有内容的敏感信息。Microsoft Purview 按需分类数据扫描是一项功能，可帮助发现 Microsoft 365 中历史数据中的敏感内容并对其进行分类。

1. Protect – 提供您可以采取的补救措施来解决内部过度共享问题：
   • 限制 Microsoft 365 Copilot 对此站点的访问 – 限制访问或阻止处理 SharePoint 中的某些内容 – 您可以选择两种方法来判断 Copilot 如何访问 SharePoint 中的数据：
     • 按标签限制访问 – 使用 Copilot 的 Purview 数据丢失防护 （DLP） 策略阻止处理具有特定敏感度标签的内容
     • 限制所有项目 – 使用 SharePoint Advanced Management （SAM） 受限内容发现 （RCD） 限制对网站的访问
   • 其他标签策略 – 创建敏感度标签分类并通过以下方式将标签发布到 SharePoint：
     • SharePoint 文档库的默认敏感度标签
     • 默认标签 – 设置默认标签，以默认使用敏感度标签标记所有新项。
     • 敏感信息自动标记策略 – 使用基于敏感内容或关键字的自动标记策略。您可以单击 View items （查看项目） 以查看包含 SIT 的文件。
   • SharePoint 站点敏感度标签，用于将敏感度容器标签应用于站点。

• • 查看未使用的文件 – 通过使用 Purview 数据生命周期管理 （DLM） 保留策略删除未使用的文件，防止敏感数据过度共享。

1. Monitor – 持续的访问监控
   • 运行网站访问评审
     • 此部分显示站点数：
       • 与任何人共享。
       • 共享组织范围。
       • 与特定人员共享。
       • 对外共享。
     • 然后，您可以使用 SAM 运行 SharePoint 站点访问评审
   • 通过 Microsoft Entra 运行访问评审，以确保授予的访问权限是最新的。

• 利用 DSPM 生成的报告，满足 GDPR、ISO 等合规审计要求。

实践建议：如何快速落地DSPM for AI策略？

• 启动数据分类与标记工程：没有数据分级，DSPM无从谈起；
• 整合数据安全工具链：利用Microsoft Purview、Defender for Cloud Apps等平台实现统一监控与策略协同；
• 设定AI工具使用准则：通过DLP政策限制敏感信息传入AI模型，辅以员工培训增强安全意识；
• 建立安全文化：将“数据最小共享”原则纳入员工日常操作习惯。

 

DSPM for AI 为企业在 AI 时代的数据安全管理提供了科学的方法论，通过 “扫描 – 分析 – 修复 – 监控” 的闭环流程，能够有效降低因过度共享导致的数据泄露风险。无论是已部署 Microsoft 365 Copilot 或者其他AI 的企业，还是正在规划部署的组织，均可借助该工具构建主动防御体系。

在 AI 驱动的数字化转型进程中，数据安全不再是单一的技术问题，而是需要结合流程、工具和策略的系统性工程。DSPM for AI 通过将 AI 技术与数据安全管理深度融合，为企业提供了可落地的风险管控路径，助力在保障数据流通效率的同时，筑牢安全防护屏障。