新环境下,数据安全首先要合规。
作者 | 李溪
编辑 | 余快
2021年12月11日,由雷峰网 & AI 掘金志主办的第四届中国人工智能安防峰会,在深圳正式召开。
本届峰会以「数字城市的时代突围」为主题,会上代表城市AIoT的14家标杆企业,为现场和线上观众,分享迎接数字城市的经营理念与技术应用方法论。
会上,腾讯安全云鼎实验室高级研究员谢灿发表了精彩演讲。
谢灿提到,从2019年的《密码法》到今年的《个人信息保护法》、《数据安全法》,在法律法规层面,我国加大了数据安全合规管控。全球各国广泛推出数据安全管制法规,标志着数据安全合规时代的到来。
数字经济时代数据安全合规背景下,企业数据安全需求发生变化,主要在数据安全和隐私保护两个方面。
之前行业更多地谈网络攻击、数据防泄露,现在行业必须把隐私保护,比如数据的过度收集、数据滥用、数据泄露纳入安全规划。也就是说,行业需要在数据安全得到保护以及合规性指导下释放数字经济生产力,以数据安全治理为中心的数据安全建设新理念。
行业从主要谈网络安全,比如静态数据安全防护,到后续更多地谈数据全生命周期、数字化业务发展,兼顾安全、合规与成本。
数据安全新挑战以及数据安全技术落地重点,同时也是数据安全的难点在于以下几个方面:
- 一是数据资产化,迫使安全管理机制优化;
- 二是IT架构快速变化,导致安全防御体系失效;
- 三是算力持续增长,使得传统安全算法滞后;
- 四是攻防节奏加快,让行业快速部署及应急响应能力亟待提升。
例如,传统数据安全方案上线动辄数月,往往也需要业务系统进行改造适配,且在海量数据量场景下,甚至给业务带来20%-30%的业务损耗,已经无法匹配数字经济时代下,数据合规与新IT架构下的数据安全战略诉求。
这就需要行业形成一体化、自动化、高性能、快部署、免改造的实现方式。目前已经有成熟方案,例如在腾讯工业云平台Wemake的数据加密中,通过应用腾讯云安全访问代理CASB的加密方案,一天就完成了上线,业务性能损耗在5%之内。
以下是谢灿演讲全文,雷峰网AI掘金志作了不改变原意的整理与编辑:
谢灿:大家好,我是腾讯云鼎安全实验室的谢灿。很高兴与大家分享我们在数据安全方面的研究成果。
首先,看数据安全的研究之前,我们看一下环境变化。在数据经济时代,数据安全新环境发生了新的需求,从而衍生出数据安全保护以及合规的问题。
新环境和新需求体现以下几个方面:
从数据安全行业,或者从整个数字化建设阶段来看,比较重大的事件是,2018年GDPR(《通用数据保护条例》)生效后,当时的Facebook因为数据安全问题,被处以4%年度营业额的罚款,其股价大跌15%。因此数据安全实际上成为企业经营风险管控的重要一环,但这件事主要涉及海外领域,国内感觉不深。
到了今年,我们国家开始施行《个人信息保护法》、《数据安全法》,再联系到2019年的《密码法》,相信大家已经感受到,在法律法规层面,我国加大了数据安全合规管控。
这些法律法规总结起来有几个特点。
- 一是适用范围非常广,包括国内、跨境以及不同行业,都有相应法律合规性的要求,并且合规要求很高,尤其是涉及个人信息层面;举个例子,以前企业可以采集个人数据,用人脸识别做业务创新,但现在不得不考虑合规性要求
- 二是处罚力度大。我国的《个人信息保护法》,对违法违规企业的罚款,实际是全年营业额的5%,非常高的金额。
以前行业主要谈网络攻击、数据防泄露,现在必须把隐私保护涉及数据的过度收集、数据滥用、数据泄露纳入安全规划。也就是说,行业需要在数据安全得到保护以及合规性指导下释放数字经济生产力。
从安全从业者的角度来看,十几年前,我们谈安全,主要谈网络安全,可能是做一些静态数据的防护,这件事干完,指标就可以达成。
后来几年我们谈数据,在数据的全生命周期当中,每一个周期做安全防护措施就可以了。我们做的更多是消耗性部门的工作,没有在企业整体的发展中发挥作用。
到了现在这个阶段,数据安全成为了企业的战略,我们从“网络——数据——数据安全治理”,需要更多考虑数字化业务发展的规划。
比如明年要通过数字化做什么样的业务,以及在这个业务中,安全需要做什么样的规划配套,以及在合规性、安全性上如何进行平衡,更好地推动数字化业务的发展。
所以说,在法律法规逐渐完善、行业发生数字化转型的大背景下,数据安全保护也出现新的要求,对企业而言,也要出现新的改变。
在数据安全治理方面,有很多研究框架可以参考,包括Gartner的DSG框架,微软的DGPC框架以及国标委DSMM模型。
我们应用更广泛的,以及我自己参考最多的,主要是Gartner的框架。数据安全不只是上加密、做DLP、做身份管控就行,更重要的是,从业务化战略、合规战略以及IT战略层面,规划未来几年到底需要怎么发展,然后再看怎样在安全领域做优先级规划,再落地到安全建设的流程里。
今年以来,数据安全迎来春天,重要性提升到企业的战略级别。同时,也面临着许多困难,这也是为什么数据安全安全发展了很多年,但实际上走的很慢的原因。
- 一是数据资产化,数据安全管理已经发生变化,相比传统的数据安全,需要换一个层次思考安全管理的需求;
- 二是IT架构快速变化,现在行业讲的是容器和微服务的IT架构变化,然而当IT产品没有发生变化时,就很难适应数字化发展的路径;
- 三是算力持续增长,数据量的增长,对算力的要求更高,安全行业需要与之匹配;
- 四是攻防节奏加快,关注网络安全行业的人可能会知道,中午出现漏洞,所有人都要加班加点堵漏洞,包括捕获针对该漏洞的攻击行为,与黑客拼时间。
在这种情况下,数据安全以及数据安全从业者,需要新型方案,做新型、快捷、轻量的方式。
前几天,我们跟一位德勤的合作伙伴聊天,他说他非常苦恼,经常给一些企业做数据安全咨询,画了一个大图,告诉企业,数据要怎样分析,要做什么样的管控。做完之后发现,没有产品可以落地,结果就变成德勤的方案规划很好,但没有技术,落不了地。
传统数据安全产品大多数比较分散,在不同的数据流阶段部署不同的技术手段,比如审计的时候,在数据库装一个插件;做脱敏的时候,要做分类分级扫描库。
在用不同的技术手段去做的时候,工期特别长,可能业务只有两个月的上线周期,安全要花半年、一年的时间,远远达不到要求。如果达不到数据安全的合规标准,业务是不能上线的。
另一方面,从业态本身的发展来看,传统的数据安全对现在的数字经济时代来说是远远不够的,需要有企业提供专门的服务。
这就是云鼎实验室的定位:负责腾讯公有云平台安全的同时,将研发的技术及产品对外输出。
当我们看到内部需求,以及用户侧需求的时候,我们持续在数据安全进行投入。整个方案首先还是集中治理,我们需要在用户这一侧把敏感数据管理起来。
但这些敏感数据在哪?我们还不知道。
因此首先需要发现敏感数据的资产,发现后,根据行业合规标准或内部安全管控的标准做相应的分类分级;然后再进行相应的管控,包括访问的控制,访问权限,以及DBA是不是能访问全部的数据;并且敏感字段需要进行加密,访问的时候也要进行脱敏。
在CASB应用实践中,包括腾讯的工业云、财务管理,以及在线教育、保险、健康码、小程序等等,我们在这个过程中形成了快捷的数据安全解决方案。
其次,在发现敏感数据之后,要做分类分级。
怎么分?
目前在国内,一些行业,如金融、汽车等,已经有相应数据安全分类分级的标准了,比如个人金融信息保护,比如哪些数据属于敏感数据,必须进行相应的管控。
但整体而言,数据分类分级的成熟度并不是特别高。
所以,我们可以基于相应的合规模板做分类分级的A/B/C,哪类数据是敏感数据,需要做加密,哪类数据共享时需要做脱敏,都可以做策略控制。
最后,数据存储必须要加密,即便遇到黑客攻击,它也是密文技术,即便泄露出去,不会给企业的业务带来风险,也可以规避合规和处罚的风险。另外,在业务使用时,当合作方读取敏感信息时,需要做脱敏管控,包括对被授权应用进行相应管控。
大家可以看一下上面这张图。在这个方案里,如果我们保护个人金融信息,保护规范,整个数据存储里,包括数据库和存储,有哪些的敏感数据、多少个表、多少个数据库、存储对象,属于中风险还是高风险,这些风险数据是否采用了加密或脱敏,如果没采用可以点击进行脱敏,这些都可以扫描出来,整个过程非常流畅。
最后讲一下我们的案例。
目前我们CASB应用更多的是腾讯内部的业务系统。
最典型的场景,是腾讯的工业云WeMake平台。当时在做一个五星级平台认证的时候,突然发现云平台在数据隐私保护上,缺乏管控措施,这时候离测评只剩下一周的时间,他们自己肯定搞不定,于是直接上我们的CASB方案,性能表现很好。
这体现在两方面:一是时间快,二是性能损耗低。
一方面,按照以前他们在工业云平台上做数据安全治理的逻辑,三个月的时间也做不完,但是用CASB的方式,一天就可以完成相应数据安全治理的上限;
另一方面,数据加密损耗太高(20%-30%)是不可接受的,CASB方案最小化控制了性能损耗,从30%下降到5%甚至2%,目前我们也正在跟数据库做内核层的集成,性能损耗会进一步降低。
所以这才是数字经济时代需要的解决方案,可以支持数据性能、业务上线时间的要求。
腾讯开始做健康码的时候,也遇到过这些问题,但现在所有的健康码、城市码上线时,都可以非常快速实现数据安全保障,并达到相关政务行业合规性的要求。
数据安全一定要匹配业务发展的节奏,或业务数字化转变的节奏,这是我们做云化数据安全带来的优势,其特点是一站式、轻量化、精准化、免改造、可迭代等等。
云鼎实验室负责整个公有云平台的安全,包括安全运营以及数据安全,其核心就是云数据安全中台,主要输出网络加密、密钥管理、应用加密,以及马上推出的精密计算等能力。
在此基础之上,我们把这个产品跟云产品进行集成。
未来,我们希望在腾讯云的基础架构上,从数据获取,到数据的处理、检索、分析以及整个销毁的过程,都可以利用数据安全的技术快速实现业务架构数据安全能力的集成。
这种情况下,业务部门可以专注于自己的业务架构搭建,数据安全能力可以原生集成到业务架构里。
这是我们整体的示意图,从客户端、后台到传输过程,都可以用云数据安全的能力,达到整体的隐私保护。
最后,腾讯安全云鼎实验室云数据安全中台的愿景,就是让云比传统数据中心更为安全可控。
2022年1月,我们会推出机密计算的能力,解决具备核心应用的用户在上云时需要解决的云服务商信任的问题。在传统数据安全的基础之上,必须信任云厂商,数据上云,只能通过商务条款或信任度保障数据是安全的。
我们发布机密计算,其实是把云的信任模型从诚实模型转变为半诚实模型,保证所有的数据上云之后,数据管控依然在用户手中。