資料安全法下，企業如何平衡資料安全合規與業務性能？| 産業安全專家談

6月，曆經三審，我國第一部有關資料安全的專門法律《資料安全法》通過，并将于9月1日起施行。作為國家基礎性和戰略性資源，資料安全被正式提升到國家安全層面。《資料安全法》從監管體系、資料安全與發展、資料安全制度、資料安全保護義務、政務資料安全與開放、法律責任等方面，對企業資料處理活動進行規制。未來，企業在資料方面的糾紛将有法可依，同時合法合規也将成為企業營運資料業務的新門檻。

面對《資料安全法》提出的新要求，本期産業安全專家談，我們邀請到騰訊安全雲鼎實驗室進階研究員謝燦，就資料安全法下，企業如何平衡合規要求與業務性能進行解答，并分享騰訊安全保障資料安全的落地應用。

Q1：《資料安全法》對于企業在資料安全防護上提出了哪些要求？

謝燦：我們簡單以資料安全法的定義來講，它是指采取必要的措施確定資料處于有效防護和合法利用的狀态，并且具備持續保障安全狀态的能力。這裡面我們解讀三個關鍵點，第一個是合法合規，這裡具體包括我們的資料采集、資料應用、資料出境、資料安全管理的方面的合法性和合規性；第二個是持續安全狀态，包括我們的靜态的資料流動和營運中的資料的安全；第三個是我們在資料安全防護之外還應該具備資料的風險評估、預警監測、應急處置以及安全審查的能力。

當然實際上，資料安全法對不同的資料參與者提出了不同的要求，那我們需要根據具體的角色去做相應的劃分。

Q2：企業要達到《資料安全法》的要求，面臨哪些挑戰？

謝燦：第一個實際上是來自于組織建設。我們知道對資料安全法的應對囊括我們的企業的管理團隊、合規、法務、業務團隊，還有安全團隊，那麼這裡面就會涉及到我們相應團隊的分工協作，當然我們相應人員的資料安全能力的建設也是一個不小的挑戰。

第二個實際上是制度流程的建立。比如我們資料業務的資料采集的規範，敏感資料的定義，還有相應資料的安全保護政策，如果我們企業還沒有形成這樣一套體系，也就是說我們企業自身是不知道自己的敏感資料的存儲位置和流轉機制，或者我們在資料打标的時候沒有考慮安全的次元，那麼這一套體系建立起來還是需要投入一些精力的。

在技術方案面臨的挑戰，又包括三個層面。第一個，目前企業資料安全治理還是采用碎片化的方案，缺乏一體化的資料安全治理工具，在我們的效果和成本上還是沒有達到平衡的；第二個，在一些場景的資料安全治理——比如我們資料共享下的隐私計算，還有我們在資料風險評估的一些風險評估工具，那麼這些場景下還沒有一些通用化的解決方案；第三個，在我們一些通用的資料安全技術上面也具備一定的門檻，比如我們資料加密技術，那這是業務團隊和安全團隊最不想碰的事情，因為具備一定的複雜性。

Q3：企業如何平衡資料加密合規要求和性能之間的沖突？

謝燦：實際上合規很大的一個标準是安全，那麼做安全的時候，肯定會跟性能上面需要去達成一定的平衡，比如我們剛剛講在隐私計算領域還沒有通用化的方案，實際上它最大的一個制約點就是性能。

我們如果要達成（資料安全）合規，我們需要去采取一些資料安全的防護手段，比如剛剛講的這種隐私計算。我們在利用這個技術的時候，它會導緻我們的業務性能巨大的下降甚至業務不可用，那麼安全就跟合規形成了一個沖突的局面。

在行業通用的方案下，實施一個加密，我們的業務性能或者資料庫的一個性能下降會達到20%甚至20%以上。

那我們在CASB方案的設計上面，考慮的（合規和性能沖突）這個影響，我們整個架構是基于一個分布式的一個架構，當我們的業務擴充的時候，我們整個加密的節點也會動态的擴充，最小化的（控制）我們加密對業務性能的影響。目前我們對業務性能的影響大概會降低到5%~8%，還是一個比較好的性能名額。

Q4：市面上現行的加密方案普遍是什麼樣的？

謝燦：我們以公有雲為例，目前各大雲廠商實際上在資料加密方案上面，主要是采用密鑰管理系統或者雲加密機的方式提供方案，那麼，這要求我們的雲租戶對密碼技術方案設計和開發，具備一定的技術能力。實際上是具備比較高的技術門檻的。

Q5：針對這種現狀，騰訊安全是否有好的解決方案？

謝燦：在資料加密上面，我們推出了雲通路安全CASB解決方案，使用者可以通過簡單的配置就可以實作對敏感資料的字段級的加密。那我們目前也是國内唯一一家提供基于原生的字段級免改造、易運維、高性能的資料加密解決方法的雲廠商。

當然，我們也在CASB上面擴充了資料安全的能力，從我們的中繼資料管理，再到基于合規組的分類分級，以及敏感資料發現，再到存儲的加密，以及我們讀取的時候基于使用者角色的動态脫敏，真正實作了一站式的資料安全防護。