数据安全法下,企业如何平衡数据安全合规与业务性能?
6 月,历经三审,我国第一部有关数据安全的专门法律《数据安全法》通过,并将于 9 月 1 日起施行。作为国家基础性和战略性资源,数据安全被正式提升到国家安全层面。《数据安全法》从监管体系、数据安全与发展、数据安全制度、数据安全保护义务、政务数据安全与开放、法律责任等方面,对企业数据处理活动进行规制。未来,企业在数据方面的纠纷将有法可依,同时合法合规也将成为企业运营数据业务的新门槛。
面对《数据安全法》提出的新要求,本期产业安全专家谈,我们邀请到腾讯安全云鼎实验室高级研究员谢灿,就数据安全法下,企业如何平衡合规要求与业务性能进行解答,并分享腾讯安全保障数据安全的落地应用。
Q1:《数据安全法》对于企业在数据安全防护上提出了哪些要求?
谢灿:我们简单以数据安全法的定义来讲,它是指采取必要的措施确保数据处于有效防护和合法利用的状态,并且具备持续保障安全状态的能力。这里面我们解读三个关键点,第一个是合法合规,这里具体包括我们的数据采集、数据应用、数据出境、数据安全管理的方面的合法性和合规性;第二个是持续安全状态,包括我们的静态的数据流动和运营中的数据的安全;第三个是我们在数据安全防护之外还应该具备数据的风险评估、预警监测、应急处置以及安全审查的能力。
当然实际上,数据安全法对不同的数据参与者提出了不同的要求,那我们需要根据具体的角色去做相应的划分。
Q2:企业要达到《数据安全法》的要求,面临哪些挑战?
谢灿:第一个实际上是来自于组织建设。我们知道对数据安全法的应对囊括我们的企业的管理团队、合规、法务、业务团队,还有安全团队,那么这里面就会涉及到我们相应团队的分工协作,当然我们相应人员的数据安全能力的建设也是一个不小的挑战。
第二个实际上是制度流程的建立。比如我们数据业务的数据采集的规范,敏感数据的定义,还有相应数据的安全保护策略,如果我们企业还没有形成这样一套体系,也就是说我们企业自身是不知道自己的敏感数据的存储位置和流转机制,或者我们在数据打标的时候没有考虑安全的维度,那么这一套体系建立起来还是需要投入一些精力的。
在技术方案面临的挑战,又包括三个层面。第一个,目前企业数据安全治理还是采用碎片化的方案,缺乏一体化的数据安全治理工具,在我们的效果和成本上还是没有达到平衡的;第二个,在一些场景的数据安全治理——比如我们数据共享下的隐私计算,还有我们在数据风险评估的一些风险评估工具,那么这些场景下还没有一些通用化的解决方案;第三个,在我们一些通用的数据安全技术上面也具备一定的门槛,比如我们数据加密技术,那这是业务团队和安全团队最不想碰的事情,因为具备一定的复杂性。
Q3:企业如何平衡数据加密合规要求和性能之间的矛盾?
谢灿:实际上合规很大的一个标准是安全,那么做安全的时候,肯定会跟性能上面需要去达成一定的平衡,比如我们刚刚讲在隐私计算领域还没有通用化的方案,实际上它最大的一个制约点就是性能。
我们如果要达成(数据安全)合规,我们需要去采取一些数据安全的防护手段,比如刚刚讲的这种隐私计算。我们在利用这个技术的时候,它会导致我们的业务性能巨大的下降甚至业务不可用,那么安全就跟合规形成了一个矛盾的局面。
在行业通用的方案下,实施一个加密,我们的业务性能或者数据库的一个性能下降会达到 20%甚至 20%以上。
那我们在 CASB 方案的设计上面,考虑的(合规和性能冲突)这个影响,我们整个架构是基于一个分布式的一个架构,当我们的业务扩展的时候,我们整个加密的节点也会动态的扩展,最小化的(控制)我们加密对业务性能的影响。目前我们对业务性能的影响大概会降低到 5%~8%,还是一个比较好的性能指标。
Q4:市面上现行的加密方案普遍是什么样的?
谢灿:我们以公有云为例,目前各大云厂商实际上在数据加密方案上面,主要是采用密钥管理系统或者云加密机的方式提供方案,那么,这要求我们的云租户对密码技术方案设计和开发,具备一定的技术能力。实际上是具备比较高的技术门槛的。
Q5:针对这种现状,腾讯安全是否有好的解决方案?
谢灿:在数据加密上面,我们推出了云访问安全 CASB 解决方案,用户可以通过简单的配置就可以实现对敏感数据的字段级的加密。那我们目前也是国内唯一一家提供基于原生的字段级免改造、易运维、高性能的数据加密解决方法的云厂商。
当然,我们也在 CASB 上面扩展了数据安全的能力,从我们的元数据管理,再到基于合规组的分类分级,以及敏感数据发现,再到存储的加密,以及我们读取的时候基于用户角色的动态脱敏,真正实现了一站式的数据安全防护。
评论