数据|腾讯云安全总经理李滨：新时代数据安全和隐私保护的挑战与实践丨WISE2021企业服务生态峰会( 四 )_e20

1. 怎么知道数据在哪里？往哪里去？这是数据识别发现分类分级治理策略；
2. 知道数据在哪里以后，怎么进行有效保护？一般数据有效保护措施，像访问控制，加密，加密是核心的问题。但是又由于前面说的技术制约，加密技术在今天非常难用，而且效率比较低下，所以如何用好这样一些安全机制进行管理，这是第二个技术的挑战，包括像密钥的管理以及在不同的生产业务环节进行合适的加密或者数据安全的处理；
3. 在过程中数据一直在流动，怎么知道数据哪些环节发生哪些问题，这些行为是合理还是违规的？
4. 对于全流程过程中的数据访问事件的监控和分析。
针对这样一些难点，我们会给用户提供一些解决方案，我们也积累了一些经验，这张图是关注在数据流动，开发运营过程中会带来数据安全问题。我们在2019年底的时候发现整个企业数据安全管理过程中有非常重要的泄露面，就是我们的开发人员往往把非常重要的敏感凭据，像数据库访问帐号嵌入到代码里面，采用云模式开发，随手传到云上，连数据访问的凭据传出去，这是非常重要的风险面，我们做了监控工具，自动的联动GIthub官方，分钟级发生泄露事件，并且向用户告警，最后得出一个数据，在去年全年我们仅仅在开发测试过程中由于开发人员对密钥的泄露这一个行为导致的在腾讯云上的用户潜在的风险，我们最终为用户挽回潜在损失4.5个亿，因为这个发生的泄露近千起。
在整个企业全流程数据安全管控中，除了开发者的环境，包括人员的直接接触，办公网络的环境，包括网上黑客攻击的风险面，整个泄露的风险更大，我们制定一整套的数据安全管控的实践。最早期需要建立整个体系内各个组织的分工，包括我们有明确安全团队的责任，应用和开发团队的责任，合规审计团队的责任，大家协力共建组织安全。我们首先明确数据的识别和分类分级，清晰的通过工具和方法识别，企业到底有哪些数据，重要等级怎么样，存在哪些应用系统，应该扩散的范围是什么？通过这个制定治理策略，包括针对相关业务相应敏感数据的管控，进行治理策略，最后进行相应技术管控，在什么地方允许传播的范围在哪些，哪里加密，哪里解密，哪里脱敏，对信息识别进行控制。在过程中积累一定的安全机制和基础措施，通过基础设施的沉淀提供向上能力的覆盖。
在过程中我们也有一些核心的积累，包括在腾讯云上目前积累了这样数据安全能力的矩阵，包括像以VPC以及网络隔离为基础的数据虚拟隔离，以CAM为核心的数据和用户身份的健全和隔离，还有最核心的就是我们的云数据安全中台。
因为前面提到在整个数据安全全生命周期过程中涉及到非常多的设施，比如，在云上做这样一个SaaS化的业务系统，可能涉及到数据获取一类的服务，也会涉及到数据分析，涉及大数据的服务，最后涉及到存储。在这么多应用过程中，怎么简化部署我们的安全机制起到最有效，最好性价比的保护？我们建立这样一个腾讯云安全数据中台，这里是整个中台的一个完整的示图，主要核心把各项底层安全能力，数据的加密、密钥的托管、数据的脱敏、敏感数据的识别等等这样一些核心能力，通过PaaS化或者SaaS化的服务能力向上提供，这样保证我们用户对于数据安全的管控一键可以开启，随取随用的能力。以上是我们对于新时代数据安全和隐私保护的探索和实践的一些个人见解和分享，谢谢大家。