6月,歷經三審,我國第一部有關資料安全的專門法律《資料安全法》透過,並將於9月1日起施行。作為國家基礎性和戰略性資源,資料安全被正式提升到國家安全層面。《資料安全法》從監管體系、資料安全與發展、資料安全制度、資料安全保護義務、政務資料安全與開放、法律責任等方面,對企業資料處理活動進行規制。未來,企業在資料方面的糾紛將有法可依,同時合法合規也將成為企業運營資料業務的新門檻。
面對《資料安全法》提出的新要求,本期產業安全專家談,我們邀請到騰訊安全雲鼎實驗室高階研究員謝燦,就資料安全法下,企業如何平衡合規要求與業務效能進行解答,並分享騰訊安全保障資料安全的落地應用。
Q1:《資料安全法》對於企業在資料安全防護上提出了哪些要求?
謝燦:我們簡單以資料安全法的定義來講,它是指採取必要的措施確保資料處於有效防護和合法利用的狀態,並且具備持續保障安全狀態的能力。這裡面我們解讀三個關鍵點,第一個是合法合規,這裡具體包括我們的資料採集、資料應用、資料出境、資料安全管理的方面的合法性和合規性;第二個是持續安全狀態,包括我們的靜態的資料流動和運營中的資料的安全;第三個是我們在資料安全防護之外還應該具備資料的風險評估、預警監測、應急處置以及安全審查的能力。
當然實際上,資料安全法對不同的資料參與者提出了不同的要求,那我們需要根據具體的角色去做相應的劃分。
Q2:企業要達到《資料安全法》的要求,面臨哪些挑戰?
謝燦:第一個實際上是來自於組織建設。我們知道對資料安全法的應對囊括我們的企業的管理團隊、合規、法務、業務團隊,還有安全團隊,那麼這裡面就會涉及到我們相應團隊的分工協作,當然我們相應人員的資料安全能力的建設也是一個不小的挑戰。
第二個實際上是制度流程的建立。比如我們資料業務的資料採集的規範,敏感資料的定義,還有相應資料的安全保護策略,如果我們企業還沒有形成這樣一套體系,也就是說我們企業自身是不知道自己的敏感資料的儲存位置和流轉機制,或者我們在資料打標的時候沒有考慮安全的維度,那麼這一套體系建立起來還是需要投入一些精力的。
在技術方案面臨的挑戰,又包括三個層面。第一個,目前企業資料安全治理還是採用碎片化的方案,缺乏一體化的資料安全治理工具,在我們的效果和成本上還是沒有達到平衡的;第二個,在一些場景的資料安全治理——比如我們資料共享下的隱私計算,還有我們在資料風險評估的一些風險評估工具,那麼這些場景下還沒有一些通用化的解決方案;第三個,在我們一些通用的資料安全技術上面也具備一定的門檻,比如我們資料加密技術,那這是業務團隊和安全團隊最不想碰的事情,因為具備一定的複雜性。
Q3:企業如何平衡資料加密合規要求和效能之間的矛盾?
謝燦:實際上合規很大的一個標準是安全,那麼做安全的時候,肯定會跟效能上面需要去達成一定的平衡,比如我們剛剛講在隱私計算領域還沒有通用化的方案,實際上它最大的一個制約點就是效能。
我們如果要達成(資料安全)合規,我們需要去採取一些資料安全的防護手段,比如剛剛講的這種隱私計算。我們在利用這個技術的時候,它會導致我們的業務效能巨大的下降甚至業務不可用,那麼安全就跟合規形成了一個矛盾的局面。
在行業通用的方案下,實施一個加密,我們的業務效能或者資料庫的一個效能下降會達到20%甚至20%以上。
那我們在CASB方案的設計上面,考慮的(合規和效能衝突)這個影響,我們整個架構是基於一個分散式的一個架構,當我們的業務擴充套件的時候,我們整個加密的節點也會動態的擴充套件,最小化的(控制)我們加密對業務效能的影響。目前我們對業務效能的影響大概會降低到5%~8%,還是一個比較好的效能指標。
Q4:市面上現行的加密方案普遍是什麼樣的?
謝燦:我們以公有云為例,目前各大雲廠商實際上在資料加密方案上面,主要是採用金鑰管理系統或者雲加密機的方式提供方案,那麼,這要求我們的雲租戶對密碼技術方案設計和開發,具備一定的技術能力。實際上是具備比較高的技術門檻的。
Q5:針對這種現狀,騰訊安全是否有好的解決方案?
謝燦:在資料加密上面,我們推出了雲訪問安全CASB解決方案,使用者可以透過簡單的配置就可以實現對敏感資料的欄位級的加密。那我們目前也是國內唯一一家提供基於原生的欄位級免改造、易運維、高效能的資料加密解決方法的雲廠商。
當然,我們也在CASB上面擴充套件了資料安全的能力,從我們的後設資料管理,再到基於合規組的分類分級,以及敏感資料發現,再到儲存的加密,以及我們讀取的時候基於使用者角色的動態脫敏,真正實現了一站式的資料安全防護。