在云安全技术架构中，哪些属于数据层安全？（）A.数据访问控制 B.数据备份 C.稽核审计 D.沙箱

在云安全技术架构中，哪些属于数据层安全？（）A.数据访问控制 B.数据备份 C.稽核审计 D.沙箱

在云安全技术架构中，数据层安全聚焦于对数据全生命周期的保护，涵盖从创建、存储、传输到销毁的各个阶段。根据数据安全治理框架，数据层安全的核心措施包括数据访问控制、数据备份和稽核审计，而沙箱属于应用层安全机制，主要用于隔离和限制程序执行环境。

数据访问控制（A选项）

作为数据安全的第一道防线，访问控制通过精细化权限管理确保只有授权用户能访问敏感数据。技术实现上通常采用基于角色的访问控制（RBAC） 或基于属性的访问控制（ABAC），例如云平台通过IAM（身份与访问管理）系统分配最小权限，避免权限滥用。例如，腾讯云在处理海量数据表时，通过分库分表和权限隔离确保不同业务部门仅能访问职责范围内的数据。

数据备份（B选项）

备份是应对数据丢失的关键手段，需满足定期备份、跨地域容灾和恢复验证三大要求。文档指出，云环境下的数据备份需考虑多存储组件的兼容性（如关系型数据库、对象存储等），并通过自动化工具实现增量备份与快速恢复。例如，采用TDSQL-C等分布式数据库时，需结合Hadoop等大数据平台实现PB级数据的备份与归档。

稽核审计（C选项）

审计通过记录和分析数据访问行为，实现安全事件的追溯与合规性验证。现代云审计系统需支持全链路可视化，例如“用户—应用—数据库—敏感字段”的访问轨迹追踪，并通过机器学习模型识别异常操作。例如，原点安全CDPP方案可审计SQL命令及其返回结果中的敏感数据，帮助企业满足等保2.0等合规要求。

沙箱（D选项）

沙箱技术主要用于隔离可疑程序或代码执行环境，属于应用层安全控制，典型场景包括恶意软件分析、零信任环境下的应用隔离等。其核心目标是限制潜在威胁的扩散范围，而非直接保护数据本身，因此不属于数据层安全范畴。

总结：数据层安全的核心目标是保障数据的机密性、完整性和可用性，而访问控制、备份与审计分别从“防未授权访问”“防丢失”“防滥用”三个维度构建防护体系。企业需结合云服务模型（如IaaS/PaaS/SaaS）的责任边界，选择适配的技术方案，例如SaaS场景下更依赖服务商提供的审计工具，而IaaS用户需自行配置加密与备份策略。