6月,歷經(jīng)三審��,我國第一部有關(guān)數(shù)據(jù)安全的專門法律《數(shù)據(jù)安全法》通過�,并將于9月1日起施行。作為國家基礎(chǔ)性和戰(zhàn)略性資源��,數(shù)據(jù)安全被正式提升到國家安全層面�。《數(shù)據(jù)安全法》從監(jiān)管體系�����、數(shù)據(jù)安全與發(fā)展、數(shù)據(jù)安全制度��、數(shù)據(jù)安全保護(hù)義務(wù)���、政務(wù)數(shù)據(jù)安全與開放����、法律責(zé)任等方面����,對企業(yè)數(shù)據(jù)處理活動進(jìn)行規(guī)制����。未來,企業(yè)在數(shù)據(jù)方面的糾紛將有法可依�,同時合法合規(guī)也將成為企業(yè)運營數(shù)據(jù)業(yè)務(wù)的新門檻。
面對《數(shù)據(jù)安全法》提出的新要求�,本期產(chǎn)業(yè)安全專家談,我們邀請到騰訊安全云鼎實驗室高級研究員謝燦���,就數(shù)據(jù)安全法下����,企業(yè)如何平衡合規(guī)要求與業(yè)務(wù)性能進(jìn)行解答,并分享騰訊安全保障數(shù)據(jù)安全的落地應(yīng)用�。
Q1:《數(shù)據(jù)安全法》對于企業(yè)在數(shù)據(jù)安全防護(hù)上提出了哪些要求?
謝燦:我們簡單以數(shù)據(jù)安全法的定義來講���,它是指采取必要的措施確保數(shù)據(jù)處于有效防護(hù)和合法利用的狀態(tài)�����,并且具備持續(xù)保障安全狀態(tài)的能力�����。這里面我們解讀三個關(guān)鍵點����,第一個是合法合規(guī)�����,這里具體包括我們的數(shù)據(jù)采集��、數(shù)據(jù)應(yīng)用��、數(shù)據(jù)出境����、數(shù)據(jù)安全管理的方面的合法性和合規(guī)性���;第二個是持續(xù)安全狀態(tài),包括我們的靜態(tài)的數(shù)據(jù)流動和運營中的數(shù)據(jù)的安全��;第三個是我們在數(shù)據(jù)安全防護(hù)之外還應(yīng)該具備數(shù)據(jù)的風(fēng)險評估�����、預(yù)警監(jiān)測���、應(yīng)急處置以及安全審查的能力����。
當(dāng)然實際上����,數(shù)據(jù)安全法對不同的數(shù)據(jù)參與者提出了不同的要求��,那我們需要根據(jù)具體的角色去做相應(yīng)的劃分����。
Q2:企業(yè)要達(dá)到《數(shù)據(jù)安全法》的要求����,面臨哪些挑戰(zhàn)�?
謝燦:第一個實際上是來自于組織建設(shè)。我們知道對數(shù)據(jù)安全法的應(yīng)對囊括我們的企業(yè)的管理團(tuán)隊���、合規(guī)���、法務(wù)、業(yè)務(wù)團(tuán)隊���,還有安全團(tuán)隊���,那么這里面就會涉及到我們相應(yīng)團(tuán)隊的分工協(xié)作,當(dāng)然我們相應(yīng)人員的數(shù)據(jù)安全能力的建設(shè)也是一個不小的挑戰(zhàn)���。
第二個實際上是制度流程的建立�。比如我們數(shù)據(jù)業(yè)務(wù)的數(shù)據(jù)采集的規(guī)范���,敏感數(shù)據(jù)的定義��,還有相應(yīng)數(shù)據(jù)的安全保護(hù)策略��,如果我們企業(yè)還沒有形成這樣一套體系����,也就是說我們企業(yè)自身是不知道自己的敏感數(shù)據(jù)的存儲位置和流轉(zhuǎn)機(jī)制,或者我們在數(shù)據(jù)打標(biāo)的時候沒有考慮安全的維度���,那么這一套體系建立起來還是需要投入一些精力的�����。
在技術(shù)方案面臨的挑戰(zhàn)�����,又包括三個層面�。第一個�����,目前企業(yè)數(shù)據(jù)安全治理還是采用碎片化的方案�,缺乏一體化的數(shù)據(jù)安全治理工具�,在我們的效果和成本上還是沒有達(dá)到平衡的;第二個��,在一些場景的數(shù)據(jù)安全治理——比如我們數(shù)據(jù)共享下的隱私計算,還有我們在數(shù)據(jù)風(fēng)險評估的一些風(fēng)險評估工具�����,那么這些場景下還沒有一些通用化的解決方案���;第三個�,在我們一些通用的數(shù)據(jù)安全技術(shù)上面也具備一定的門檻�����,比如我們數(shù)據(jù)加密技術(shù)�,那這是業(yè)務(wù)團(tuán)隊和安全團(tuán)隊最不想碰的事情,因為具備一定的復(fù)雜性�����。
Q3:企業(yè)如何平衡數(shù)據(jù)加密合規(guī)要求和性能之間的矛盾�����?
謝燦:實際上合規(guī)很大的一個標(biāo)準(zhǔn)是安全��,那么做安全的時候,肯定會跟性能上面需要去達(dá)成一定的平衡�,比如我們剛剛講在隱私計算領(lǐng)域還沒有通用化的方案,實際上它最大的一個制約點就是性能���。
我們?nèi)绻_(dá)成(數(shù)據(jù)安全)合規(guī)�,我們需要去采取一些數(shù)據(jù)安全的防護(hù)手段�,比如剛剛講的這種隱私計算。我們在利用這個技術(shù)的時候��,它會導(dǎo)致我們的業(yè)務(wù)性能巨大的下降甚至業(yè)務(wù)不可用�����,那么安全就跟合規(guī)形成了一個矛盾的局面���。
在行業(yè)通用的方案下���,實施一個加密,我們的業(yè)務(wù)性能或者數(shù)據(jù)庫的一個性能下降會達(dá)到20%甚至20%以上��。
那我們在CASB方案的設(shè)計上面���,考慮的(合規(guī)和性能沖突)這個影響�,我們整個架構(gòu)是基于一個分布式的一個架構(gòu)�����,當(dāng)我們的業(yè)務(wù)擴(kuò)展的時候��,我們整個加密的節(jié)點也會動態(tài)的擴(kuò)展�,最小化的(控制)我們加密對業(yè)務(wù)性能的影響。目前我們對業(yè)務(wù)性能的影響大概會降低到5%~8%�,還是一個比較好的性能指標(biāo)。
Q4:市面上現(xiàn)行的加密方案普遍是什么樣的��?
謝燦:我們以公有云為例�����,目前各大云廠商實際上在數(shù)據(jù)加密方案上面�����,主要是采用密鑰管理系統(tǒng)或者云加密機(jī)的方式提供方案�����,那么����,這要求我們的云租戶對密碼技術(shù)方案設(shè)計和開發(fā)����,具備一定的技術(shù)能力��。實際上是具備比較高的技術(shù)門檻的����。
Q5:針對這種現(xiàn)狀,騰訊安全是否有好的解決方案���?
謝燦:在數(shù)據(jù)加密上面�����,我們推出了云訪問安全CASB解決方案���,用戶可以通過簡單的配置就可以實現(xiàn)對敏感數(shù)據(jù)的字段級的加密。那我們目前也是國內(nèi)唯一一家提供基于原生的字段級免改造�����、易運維����、高性能的數(shù)據(jù)加密解決方法的云廠商����。
當(dāng)然��,我們也在CASB上面擴(kuò)展了數(shù)據(jù)安全的能力��,從我們的元數(shù)據(jù)管理�����,再到基于合規(guī)組的分類分級�,以及敏感數(shù)據(jù)發(fā)現(xiàn)��,再到存儲的加密����,以及我們讀取的時候基于用戶角色的動態(tài)脫敏,真正實現(xiàn)了一站式的數(shù)據(jù)安全防護(hù)��。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報中心
網(wǎng)絡(luò)舉報APP下載
