2021年9月2日,"WISE2021企业服务生态峰会"在上海JW万豪酒店举行,数十位商务服务业和投资机构的代表将齐心协力,为中国企业的成长寻找新的动力,以及中国企业服务市场的未来趋势和挑战。
当前,中国经济已进入转型的关键时期,中国企业固有的发展模式正在发生变化,降低效率正成为几乎所有企业的共同选择。企业服务因此成为中国商业市场的热点新轨道,国际巨头、科技公司和新势力瞄准企业市场,寻找第二条增长曲线。
在WISE2021企业服务生态峰会上,腾讯云安全总经理李斌以"新时代数据安全与隐私保护的挑战与实践"为主题,分享了腾讯在云数据安全与企业数据安全方面的探索、思考与实践。在当今的企业服务中,数据已成为生产力的核心要素,李先生说。在万物互联与数字现实融合的背景下,我们面临着一系列新环境、新技术、新业务带来的新挑战,数据安全已成为企业发展过程中的关键命题。
李斌,腾讯云安全总经理
<h3>以下是由36位编辑编辑的嘉宾演讲稿:</h3>
李斌:各位来宾,大家好!我是腾讯云安全领域的李斌,今天我带大家在云数据安全和企业数据安全方面进行探索、思考和实践。
我今天的主题是"在新时代面对数据安全的挑战",最终没有作为主标题输出。因为新时代的概念在过去十年或二十年中一直在重复,可以说我们每天都在一个新时代。但在过去的五年里,特别是最近两三年,新时代的概念变得更加清晰,特别是随着新浪潮的到来,对我们的影响也越来越明显。近年来,党和国家一直在推广一个概念,用一句耳熟能详的话说——"我们正处在一个前所未有的变革世纪",这句话最早出现在2018年,它的作用不仅仅是一个口号,而是未来一个新时代的开始。
在过去的两年里,我们都对新时代有很多感受,所以我用三句话来总结新时代和我们生活的新环境,以说明我们今天为什么处于新时代:
首先,今天所处的新环境,新环境有几个因素,一方面是由于科技的发展,经济发展带来的国际大局格局的重大变化。国际形势的变化将对我们的经济、科技和日常生活产生非常微妙的影响,其次,由于去年以来的突出事件——全球疫情,我们的生产和生活方式甚至工作生活的方方面面都带来了很多新的变化;这些对我们整个业务的运营,我们的生活和我们的生产产生了一些影响。
其次,较早的新时代是一些功能的出现,是新技术的影响。新时代的早期特征是技术的影响,从五六年前开始,当我们的云计算和大数据开始进入我们的生产生活时,近年来区块链,人工智能,物联网和5G已经慢慢成为我们整个金融活动的一部分。新技术促进了企业生产,同时也带来了新的挑战。
第三,因为新环境,新技术实际上带动了我们在行业内也经历了很多新的变化。综上所述,新的产业变革有两句话:一是万物互联,包括工业互联网,工业互联网都是这一趋势的新产品;这个时代基本上是交替的,未来包括一些新的、更流行的概念,比如元宇宙、数字孪生、数字融合、5G、物联网将对我们的整个生产生活产生重大影响。未来,在整体生产生命周期中,数字化融合将进一步成为主路。
无论是新环境,新技术,新行业,我们都在谈论SaaS,云计算,企业服务,其中一个核心命题是无论如何都不能绕过它,那就是数据。
如今,数据已成为生产力的核心要素,同样保证数据安全也成为制约或刺激企业发展的核心主张。如何做好数据安全,让数据在生活中发挥更大的价值?在当今时代,在技术、环境和业务方面存在一些挑战,今天我们将其中一些挑战总结为三个方面:
首先,企业数据安全面临重大的外部挑战。每年,我们都会跟踪全球信息安全和网络安全领域的攻击,包括哪些威胁对象对我们的公司数据或国家安全构成威胁,分析他们用于攻击的手段或工具,以及攻击的主要目标是什么?针对这些问题,全球范围内有哪些相应的法律法规来指导我们,并制定规范。
语音PPT
如图所示,可以找到两个关键数据,一份是美国报告,将于2020年更新,现在全球约有40个国家级黑客组织。再往下是无政府主义黑客、商业间谍、有组织犯罪等典型的体现,国内"羊毛"、黑灰的产生也是整个商业数据攻击的主流。多年来,在整个利用或定位趋势中,企业数据已逐渐成为其攻击的中心目标。
根据我们收集的信息,2018年全球将有近30亿数据受到损害,2019年约为50亿,到2020年,每年将披露超过100亿数据。在这种趋势下,数据安全今天,以及我们的业务数据、用户隐私等,已经成为企业面临的一个潜在重大风险,是一个非常重要的方面。
其次,作为回应,世界各地区政府等都发现了这方面的严重情况,特别是今年我国,今年又颁布了一系列关于数据安全和用户个人信息的法律法规,以及相关的信息系统安全等发布了一系列法律法规。从前几年的《网络安全法》到2019年的《密码法》的发布,《数据安全法》和《个人信息保护法》在过去两个月中一直存在。基本上在今天整个网络空间领域对网络空间安全的法律法规都基本健全,而且这些法律基本上都是从年底到明年年初全部落实到位,后续对网络空间安全、数据安全监管处于非常严格的状态。除了国内的应对状态外,国外还颁布了《欧洲通用数据保护法》(GDPR),美国也有相应的法律,东南亚去年和今年也颁布了一系列法律,因此数据安全在法律合规领域将成为另一个重要的制约因素和驱动力。
下面简单介绍几部核心法律,近年来颁布的几部法律,今年6月颁布的《数据安全法》主要明确了企业数据安全的责任,数据安全是遵循的,如果企业有数据安全、数据泄露或丢失,企业自身的共享和丢失,还要承担一定程度的法律责任, 这是它的主要定义。本月发布的《个人信息保护法》定义了公司保护用户个人信息、隐私和敏感数据的责任。此外,与企业服务相关的两部重要法律,首先是2018年底颁布的《密码法》,主要界定了国产密码的地位,因为密码技术在整个数据安全保护技术中处于核心技术之中,从去年开始,国内基本在政务和金融这两个领域开始了, 在本地化密码应用的大力推广下,这也将对以后企业的运营产生较大影响。最后,如果它发展到一定规模,大型企业服务或基于SaaS的服务提供商可能会受到关键基础设施保护条例的影响,从而为业务的可用性和安全性定义了某些责任。
最后,新技术、新技术和新架构演变的新时代带来了挑战。正如我们之前所看到的,我们在当今时代提出了许多新技术,例如5G,物联网,物联网,人工智能,核心云计算,大数据。在引入这些新技术的过程中,我们的行业面临着非常大的挑战,比如云计算、大数据带来的几个核心挑战:
1、企业管理机制给企业带来挑战。传统的 IT 体系结构、IT 资产所有权和业务部门是一致的,物理控制和成本模型是一致的。如今,采用这种订阅模式,租户模式(如PaaS,SaaS)会导致权限分离如此模糊。在今天的SaaS和PaaS下,我们所有物理和信息资产的所有权可能由云服务提供商或服务提供商提供,其数据所有权在用户方面,用户拥有更多的访问权限和管理权限,从而在更复杂的管理模型和流程中产生了变化。
2、今天涉及的数据量越来越大,随着计算能力越来越强,计算力的提高本身,数据量的增加,本身对于保护我们的数据安全来说将是一个非常大的挑战。以前,数据量非常少,只有一两个数据库,可能是GB级数据,可以做全文加密,性能不会有太大影响。我们今天面临的诸多挑战可能是数百TB甚至PB级的数据,安全机制管理,我们企业的数据效率、生产力受到较大的约束,保护机制无法应用,如果不加以保护,将对各种内部和外部风险造成非常大的影响。这是在计算功率的增加,数据量的增加本身给企业进行数据安全保护带来的挑战和制约。
3、云计算、物联网、新技术的演进对于边缘计算来说,本身就有了业务的快速提升,新技术会带来新的风险方面,这些风险对于传统技术架构的思考有些挑战。最后,计算环境的变化也会给我们带来新的问题。以下是我们思考和探索这些问题的方式。在当今的新时代,整个企业的数据安全面临五大风险:
来自外部的风险,如黑客攻击,近两年来越来越多的案例,勒索软件病毒,利用企业资源进行挖掘,使潜在的攻击越来越多,给企业造成了非常大的经济损失;
企业本身对数据使用的管理存在合规和治理风险,如果企业今天拥有数据,但管理不当,本身就会带来非常大的合规治理约束和风险;
很多企业,特别是在使用或构建SaaS等服务过程中,都将面临数据交换、共享,这一次当你的数据传输给第三方时,可能是管理规范与基础设施不一致,这个时候将面临第三方的潜在风险。例如,在前几年这样的流行案例中,Facebook因违反欧洲GDPR而面临数十亿美元的罚款,当时他的主要原因是将大量数据交给第三方分析机构进行分析,但没有履行相应的保护责任,当企业与第三方有数据交互时,也应注意这种风险;
企业内部存在风险,包括内部人员欺诈、数据滥用,因权威控制人员的疏忽导致内部风险,大型企业受到勒索软件病毒攻击,导致整个企业生产瘫痪的无数案例;
底层基础设施服务提供商会带来一些潜在的衍生风险。
企业面临着如此大的内外部安全隐患,在管理中实际面临的一些非常大的困难,我们可以看到这里列出的数据在生产过程中整个生命周期的流程环节,从企业数据的生产或获取,到他的中间环节, 包括数据存储、使用、传输、到数据使用后的数据,有数据归档、退役、销毁等六个关键环节。每个环节涉及的数据基础设施都不尽相同,同时面临复杂的保护机制,存储安全内部涉及到访问控制、数据安全、备份安全,这种数据对于业务人员来说是难以理解的,这么长的环节,涉及到这么多复杂的机制,肯定会产生核心困难,企业数据安全处理面对四大核心难点:
1. 我如何知道数据在哪里?我们要去哪?这是数据识别发现分类分类治理策略;
2. 当知道数据位于何处时,如何有效保护数据?一般的数据保护措施,如访问控制、加密、加密是核心问题。但是,由于前面提到的技术限制,加密技术在今天很难使用,而且效率相对较低,所以如何利用这样多的安全机制来管理,这是第二个技术挑战,包括密钥管理和在不同生产业务环节进行适当的加密或数据安全处理;
3. 数据在整个过程中流动,您如何知道在数据的哪些部分发生了哪些问题,以及这些行为是合理的还是非法的?
4. 监控和分析整个过程中的数据访问事件。
针对这些困难,我们将为用户提供一些解决方案,我们也积累了一些经验,这张图关注的是数据流、开发和操作的数据安全问题。2019年底,我们发现整个企业数据安全管理过程中有一个非常重要的泄密一面,就是我们的开发者经常把非常重要的敏感凭证,比如数据库访问账号嵌入代码中,采用云模式开发,随意传输到云端,甚至把数据存取凭证传出去, 这是非常重要的风险方面,我们做了监控工具,自动联动GIthub官方,分钟级泄漏事件,并提醒用户,最后得到一个数据,去年全年,由于开发测试期间开发者对密钥披露的潜在风险,我们只为腾讯云上的用户挽回了4.5亿的潜在损失,结果有近千次泄漏。
除了开发人员的环境,包括与人直接接触,办公网络环境,包括在线黑客攻击的风险方面,以及整个违规的风险,我们在整个企业中开发了一套全面的数据安全控制实践。在最早的阶段,需要建立整个系统的分工,包括我们对安全团队的明确责任,应用程序和开发团队的职责,合规性审计团队的职责,以及共同努力建立组织安全性。我们首先明确数据识别和分类,通过工具和方法明确识别,企业的数据究竟是什么,重要性是什么,存在什么应用,传播的范围应该是什么?通过这种治理策略的发展,包括对相关业务的敏感数据的控制、治理策略,最后是适当的技术控制,在允许传输范围的地方,在哪些地方加密,哪里解密,哪里脱敏,哪里信息识别控制。在积累一定安全机制和基本措施的过程中,通过基础设施的沉淀提供向上的容量覆盖。
在这个过程中,我们也有一些核心积累,包括目前在腾讯云矩阵上积累的此类数据安全能力,包括基于VPC和网络隔离的数据虚拟隔离,以CAM为中心的数据和用户身份的完整性和隔离,核心就是我们的云数据安全平台。
因为前面提到的整个数据安全生命周期都涉及到非常大量的设施,比如在云上做这样一个基于SaaS的业务系统,可能涉及数据采集服务,但也涉及数据分析,涉及大数据服务,最后是存储。在如此多的应用中,我们如何简化安全机制的部署,以发挥最有效、最物有所值的保护作用?我们设置了这样一个腾讯云安全数据平台,这里完整地描绘了整个台湾中部,主要核心底层安全功能,数据加密、密钥托管、数据脱敏、敏感数据识别等核心功能,通过PaaS或基于SaaS的服务能力向上提供,从而保证我们的用户对于数据安全控制一键即可开启, 易于使用的功能。以下是我们的一些个人见解,并分享了我们在新时代对数据安全和隐私保护的探索和实践,谢谢。
———— 36氪商务服务评论文章推荐————
CDP分析的用户数据究竟是什么?》
现代营销必须依靠数据来推动决策。