胡律师:13306647218

合规包含什么!企业如何平衡数据安全合规与业务性能?

时间:2021-07-16 04:48:51

今年6月,经过三次审理,我国首部数据安全特别法《数据安全法》获得通过,将于9月1日起施行。数据安全作为国家基础性、战略性资源,已经正式升级到国家安全层面。《数据安全法》从监管制度、数据安全与发展、数据安全制度、数据安全保护义务、政府数据安全与开放、法律责任等方面规范企业数据处理活动。未来企业在数据纠纷中将有法可依,合法合规也将成为企业运营数据服务的新门槛。

面对《数据安全法》提出的新要求,本期产业安全专家,我们邀请腾讯安全云鼎实验室高级研究员谢灿解答企业如何在《数据安全法》下平衡合规要求与经营业绩,分享腾讯安全保障数据安全的应用。

视频加载正在进行.

Q1: 《数据安全法》 对于企业在数据安全防护上提出了哪些要求?

谢灿:我们简单用数据安全法的定义,就是采取必要措施,确保数据处于有效保护和合法使用的状态,并有能力持续保障安全状态。这里我们解读三个关键点,第一个是合法合规,具体包括我们数据采集、数据应用、数据退出、数据安全管理的合法性和合规性;二是持续的安全状态,包括我们的静态数据流和运行中的数据的安全性;第三,除了数据安全保护,还应具备数据风险评估、预警监测、应急响应和安全审查能力。

当然,事实上,数据安全法对不同的数据参与者提出了不同的要求,需要根据具体的角色进行相应的划分。

Q2:企业要达到 《数据安全法》 的要求,面临哪些挑战?

http://www .搜狗.com:第一个其实来自组织建设。我们知道对数据安全法的响应包括我们企业的管理团队、合规团队、法律事务团队、业务团队和安全团队,所以会涉及到我们相应团队的分工合作,当然我们相应人员的数据安全能力建设也是一个很大的挑战。

二是制度流程的建立。比如我们数据业务的数据采集标准,敏感数据的定义,以及相应的数据安全保护策略。如果我们的企业还没有形成这样的体系,也就是说我们的企业本身并不知道自己敏感数据的存储位置和流通机制,或者我们在标记数据的时候没有考虑安全维度,那么还是需要投入一些精力来建立这个体系。

该技术方案面临的挑战包括三个层面。一是目前企业数据安全治理仍采用碎片化解决方案,缺乏一体化的数据安全治理工具,我们的效果和成本仍不平衡;二是在数据安全治理——的一些场景中,比如我们数据共享下的隐私计算,以及一些针对我们数据风险评估的风险评估工具,在这些场景中没有通用的解决方案;第三,我们一些常见的数据安全技术都有一定的门槛,比如我们的数据加密技术,这是业务团队和安全团队最不愿意触及的,因为它有一定的复杂性。

谢灿

Q3:企业如何平衡数据加密合规要求和性能之间的矛盾?:其实最合规的标准之一就是安全性。做安全的时候,一定会和性能达到一定的平衡。比如我们刚才说隐私计算领域没有通用的解决方案,实际上它最大的一个限制就是性能。

如果我们想要实现(数据安全)合规,就需要采取一些数据安全保护措施,比如刚才提到的隐私计算。当我们使用这项技术时,它会导致我们的业务绩效大幅下降,甚至无法开展业务,因此安全性和合规性形成了矛盾的局面。

在行业的总体方案下,如果我们实施加密,我们的业务性能或数据库的性能将下降20%甚至更多。

然后我们考虑了CASB方案设计中(合规性和绩效冲突)的影响。我们的整个架构基于分布式架构。当我们的业务扩展时,我们的整个加密节点也将动态扩展,最大限度地减少(控制)我们的加密对业务绩效的影响。目前我们对经营业绩的影响大概会降低到5%~8%,这还是一个不错的业绩指标。

谢灿

http://www .搜狗.com:我们以公有云为例。目前,各大云厂商实际上主要通过使用密钥管理系统或云加密机来提供数据加密方案。然后,这就要求我们的云租户在密码技术方案的设计和开发方面具备一定的技术能力。其实它有一个比较高的技术门槛。

Q4:市面上现行的加密方案普遍是什么样的?

谢灿:在数据加密方面,我们推出了云接入安全CASB解决方案,用户可以通过简单的配置,在现场层面对敏感数据进行加密。目前,我们也是国内唯一一家提供免修改、易操作易维护、高性能的现场级数据加密解决方案的云厂商。

当然,我们也扩展了在CASB的数据安全能力,从元数据管理到基于合规组的分类分级,以及敏感数据发现,再到存储加密,以及读取时基于用户角色的动态脱敏,真正实现了一站式数据安全保护。