数据安全法下,企业如何平衡数据安全合规与业务性能?| 产业安全专家谈
6月,历经三审,我国第一部有关数据安全的专门法律《数据安全法》通过,并将于9月1日起施行。作为国家基础性和战略性资源,数据安全被正式提升到国家安全层面。《数据安全法》从监管体系、数据安全与发展、数据安全制度、数据安全保护义务、政务数据安全与开放、法律责任等方面,对企业数据处理活动进行规制。未来,企业在数据方面的纠纷将有法可依,同时合法合规也将成为企业运营数据业务的新门槛。
面对《数据安全法》提出的新要求,本期产业安全专家谈,我们邀请到腾讯安全云鼎实验室高级研究员谢灿,就数据安全法下,企业如何平衡合规要求与业务性能进行解答,并分享腾讯安全保障数据安全的落地应用。
Q1:《数据安全法》对于企业在数据安全防护上提出了哪些要求?
谢灿:我们简单以数据安全法的定义来讲,它是指采取必要的措施确保数据处于有效防护和合法利用的状态,并且具备持续保障安全状态的能力。这里面我们解读三个关键点,第一个是合法合规,这里具体包括我们的数据采集、数据应用、数据出境、数据安全管理的方面的合法性和合规性;第二个是持续安全状态,包括我们的静态的数据流动和运营中的数据的安全;第三个是我们在数据安全防护之外还应该具备数据的风险评估、预警监测、应急处置以及安全审查的能力。
当然实际上,数据安全法对不同的数据参与者提出了不同的要求,那我们需要根据具体的角色去做相应的划分。
Q2:企业要达到《数据安全法》的要求,面临哪些挑战?
谢灿:第一个实际上是来自于组织建设。我们知道对数据安全法的应对囊括我们的企业的管理团队、合规、法务、业务团队,还有安全团队,那么这里面就会涉及到我们相应团队的分工协作,当然我们相应人员的数据安全能力的建设也是一个不小的挑战。
第二个实际上是制度流程的建立。比如我们数据业务的数据采集的规范,敏感数据的定义,还有相应数据的安全保护策略,如果我们企业还没有形成这样一套体系,也就是说我们企业自身是不知道自己的敏感数据的存储位置和流转机制,或者我们在数据打标的时候没有考虑安全的维度,那么这一套体系建立起来还是需要投入一些精力的。
在技术方案面临的挑战,又包括三个层面。第一个,目前企业数据安全治理还是采用碎片化的方案,缺乏一体化的数据安全治理工具,在我们的效果和成本上还是没有达到平衡的;第二个,在一些场景的数据安全治理——比如我们数据共享下的隐私计算,还有我们在数据风险评估的一些风险评估工具,那么这些场景下还没有一些通用化的解决方案;第三个,在我们一些通用的数据安全技术上面也具备一定的门槛,比如我们数据加密技术,那这是业务团队和安全团队最不想碰的事情,因为具备一定的复杂性。
Q3:企业如何平衡数据加密合规要求和性能之间的矛盾?
谢灿:实际上合规很大的一个标准是安全,那么做安全的时候,肯定会跟性能上面需要去达成一定的平衡,比如我们刚刚讲在隐私计算领域还没有通用化的方案,实际上它最大的一个制约点就是性能。
我们如果要达成(数据安全)合规,我们需要去采取一些数据安全的防护手段,比如刚刚讲的这种隐私计算。我们在利用这个技术的时候,它会导致我们的业务性能巨大的下降甚至业务不可用,那么安全就跟合规形成了一个矛盾的局面。
在行业通用的方案下,实施一个加密,我们的业务性能或者数据库的一个性能下降会达到20%甚至20%以上。
那我们在CASB方案的设计上面,考虑的(合规和性能冲突)这个影响,我们整个架构是基于一个分布式的一个架构,当我们的业务扩展的时候,我们整个加密的节点也会动态的扩展,最小化的(控制)我们加密对业务性能的影响。目前我们对业务性能的影响大概会降低到5%~8%,还是一个比较好的性能指标。
Q4:市面上现行的加密方案普遍是什么样的?
谢灿:我们以公有云为例,目前各大云厂商实际上在数据加密方案上面,主要是采用密钥管理系统或者云加密机的方式提供方案,那么,这要求我们的云租户对密码技术方案设计和开发,具备一定的技术能力。实际上是具备比较高的技术门槛的。
Q5:针对这种现状,腾讯安全是否有好的解决方案?
谢灿:在数据加密上面,我们推出了云访问安全CASB解决方案,用户可以通过简单的配置就可以实现对敏感数据的字段级的加密。那我们目前也是国内唯一一家提供基于原生的字段级免改造、易运维、高性能的数据加密解决方法的云厂商。
当然,我们也在CASB上面扩展了数据安全的能力,从我们的元数据管理,再到基于合规组的分类分级,以及敏感数据发现,再到存储的加密,以及我们读取的时候基于用户角色的动态脱敏,真正实现了一站式的数据安全防护。
数据安全法下,企业如何平衡数据安全合规与业务性能?| 产业安全专家谈相关推荐
- 数据安全法下,企业如何平衡数据安全合规与业务性能?
6月,历经三审,我国第一部有关数据安全的专门法律<数据安全法>通过,并将于9月1日起施行.作为国家基础性和战略性资源,数据安全被正式提升到国家安全层面.<数据安全法>从监管体系 ...
- 【财务管理论文】大数据背景下企业财务管理的挑战与机遇(节选)
[摘 要]随着大数据时代的到来,数据开始影响人们的生活,小到吃穿住行,大到城市建设都在利用大数据相关技术.而对于企业发展来说,大数据时代的到来,为企业迎来了新的机遇和挑战,传统的财务管理模式已然无法满 ...
- 世平信息数据安全合规检测实践论文入选中文核心期刊
近日,由世平信息CEO助理张翠博士与高级副总裁张亮联合撰写的<数据安全法与数据安全合规检测最佳实践>通过行业资深专家评审和推荐,作为优秀论文在中文核心期刊.中国科技核心期刊--<计算 ...
- 撑起个人信息的“保护伞”:数据安全合规检测与防护
对于个人信息保护,大众都会有一个"刻板印象",我们默认网络运营者会保护他们收集到的个人信息不被泄露. 虽然,网络安全法规定网络运营者有责任和义务保护客户的个人信息. 但是,法律归法 ...
- 《数据安全合规评估方法》发布
1月20日,<数据安全合规评估方法>(以下简称<方法>)正式发布. 安全合规是数据开放共享的前提和基础,<方法>的实施,有利于规范数据安全合规评估工作,促进数据合规 ...
- 医疗健康数据安全合规论坛召开 落实合规提升数据安全水平
9月17日,"针对当前网络安全.数据安全的严峻形势和潜在威胁,正在研究对医疗卫生机构网络安全情况进行系统的评估.考核和检查制度."近日,在2022(第八届)中国互联网法治大会--医 ...
- 华为云灾备解决方案,助力企业高效构建安全合规云灾备系统
随着云计算技术的高速发展,各种云服务层出不穷,企业对云服务的依赖程度也越来越高,对云端数据容量的需求也呈海量式增长,给云服务数据的安全性和可靠性带来新的挑战. 业务数据作为企业业务正常运行的基石,业务 ...
- 产业安全专家谈丨数字经济高速发展,数据要素安全该如何保障?
今年"两会"期间,"数字经济"成为高频热词.数字经济之下,数据已成为推动产业转型升级.加快数字社会建设的重要的生产要素. 不过,在数字经济带来发展新机遇的同时, ...
- 产业安全专家谈丨如何为政务大数据平台构筑安全防护能力?
践行十四五规划"加快数字化发展 建设数字中国"的重要篇章,各级政府也在加快推进政务服务数字化转型."数字政府"是建设"数字中国"的有机组成部 ...
最新文章
- 如何利用Gephi可视化浏览的网站关系
- ASP.NET AJAX环境的简单构建(ZT)
- 奥卡姆剃刀是什么?机器学习实践中那些学习模型或者那些评估指标践行了这一理论?
- AS插件-Android Layout ID Converter
- AI:Algorithmia《2021 enterprise trends in machine learning 2021年机器学习的企业趋势》翻译与解读
- 黑苹果不能imessage_如何修复iMessage在iOS 10中不显示消息效果
- 前端小结(5)---- iframe
- linux内核数据结构实现--链表、队列和哈希
- boot入门思想 spring_SpringBoot基础入门
- mysql同步 触发器_MySQL触发器运用于迁移和同步数据的实例教程
- ShuffleNet神经网络
- Kubernetes 在知乎上的应用
- linux c 获取usb vid,Linux如何使用libudev获取USB设备VID及PID
- matlab emd功率谱密度,【脑电信号分类】脑电信号提取PSD功率谱密度特征
- c语言存储器模式,单片机C51存储器类型及存储模式
- 一次哔哩哔哩面试经历,吐血整理
- 最适合家用的洗地机哪个牌子好?家用洗地机品牌排行榜
- oracle数据库课程描述,《ORACLE数据库简介》课件.ppt
- 计算机色彩再现原理,清华大学出版社-图书详情-《计算机色彩原理及应用》
- 程序员辞职的一万个理由