企业|腾讯云安全总经理李滨：新时代数据安全和隐私保护的挑战与实践丨WISE2021企业服务生态峰会( 三 ) e20

来自外部的风险，如黑客攻击等，这两年来越来越多的案例，勒索病毒，利用企业资源进行挖矿，这样潜在攻击行为越来越多，对企业造成非常大的经济损失；
企业本身对于数据的使用管理面临合规以及治理风险，如果企业今天拥有这些数据，但是没有管好，本身就会带来非常大的合规治理方面的约束和风险；
很多企业尤其像运用或者建立建设SaaS化这样服务过程中，会面临数据的交换、共享，这个时候当你的数据传输到第三方的时候，它可能是管理规范和基础设施和你不一致，这个时候会面临潜在的一个第三方的风险。比如说像前几年比较热门的案例，脸书由于违反了欧洲的GDPR面临几十亿美金的罚款，当时他的主要的原因就是把大量的数据交由第三方分析机构进行分析处理，但是没有尽到相应保护责任，当企业和第三方发生数据交互的时候也要关注这方面的风险；
企业内部的风险，包括内部人员进行数据的舞弊、滥用，因为权限控制人员意识疏忽导致内部的风险，大型企业受到勒索病毒的攻击，导致整个企业的生产瘫痪的案例不胜枚举；
底层的基础设施服务商带来潜在的这样一些衍生风险。

企业面临这么大的内外部安全风险，在管理上其实又面临非常大的一些困难，我们可以看到在这里列出了数据在企业生产过程中产生流动的全生命周期的环节，从企业数据的产生或者获取，到他的中间环节，包括数据的存储、使用、传输，到数据不用以后，还有数据的归档、退役、销毁，包括六个关键的环节。每个环节里面涉及到的数据的基础设施又不一样，同时面临复杂保护机制，存储安全里面涉及到访问控制，数据安全、备份安全，这些数据对于业务人员比较难理解，这么长环节里面，涉及到这么多复杂的机制，一定会产生核心的困难点，企业数据安全处理的时候中面临的四个核心难点：
1. 怎么知道数据在哪里？往哪里去？这是数据识别发现分类分级治理策略；
2. 知道数据在哪里以后，怎么进行有效保护？一般数据有效保护措施，像访问控制，加密，加密是核心的问题。但是又由于前面说的技术制约，加密技术在今天非常难用，而且效率比较低下，所以如何用好这样一些安全机制进行管理，这是第二个技术的挑战，包括像密钥的管理以及在不同的生产业务环节进行合适的加密或者数据安全的处理；
3. 在过程中数据一直在流动，怎么知道数据哪些环节发生哪些问题，这些行为是合理还是违规的？
4. 对于全流程过程中的数据访问事件的监控和分析。
针对这样一些难点，我们会给用户提供一些解决方案，我们也积累了一些经验，这张图是关注在数据流动，开发运营过程中会带来数据安全问题。我们在2019年底的时候发现整个企业数据安全管理过程中有非常重要的泄露面，就是我们的开发人员往往把非常重要的敏感凭据，像数据库访问帐号嵌入到代码里面，采用云模式开发，随手传到云上，连数据访问的凭据传出去，这是非常重要的风险面，我们做了监控工具，自动的联动GIthub官方，分钟级发生泄露事件，并且向用户告警，最后得出一个数据，在去年全年我们仅仅在开发测试过程中由于开发人员对密钥的泄露这一个行为导致的在腾讯云上的用户潜在的风险，我们最终为用户挽回潜在损失4.5个亿，因为这个发生的泄露近千起。
在整个企业全流程数据安全管控中，除了开发者的环境，包括人员的直接接触，办公网络的环境，包括网上黑客攻击的风险面，整个泄露的风险更大，我们制定一整套的数据安全管控的实践。最早期需要建立整个体系内各个组织的分工，包括我们有明确安全团队的责任，应用和开发团队的责任，合规审计团队的责任，大家协力共建组织安全。我们首先明确数据的识别和分类分级，清晰的通过工具和方法识别，企业到底有哪些数据，重要等级怎么样，存在哪些应用系统，应该扩散的范围是什么？通过这个制定治理策略，包括针对相关业务相应敏感数据的管控，进行治理策略，最后进行相应技术管控，在什么地方允许传播的范围在哪些，哪里加密，哪里解密，哪里脱敏，对信息识别进行控制。在过程中积累一定的安全机制和基础措施，通过基础设施的沉淀提供向上能力的覆盖。
在过程中我们也有一些核心的积累，包括在腾讯云上目前积累了这样数据安全能力的矩阵，包括像以VPC以及网络隔离为基础的数据虚拟隔离，以CAM为核心的数据和用户身份的健全和隔离，还有最核心的就是我们的云数据安全中台。