产业安全专家谈丨数字经济高速发展,数据要素安全该如何保障?
今年“两会”期间,“数字经济”成为高频热词。数字经济之下,数据已成为推动产业转型升级、加快数字社会建设的重要的生产要素。
不过,在数字经济带来发展新机遇的同时,数据安全的形势亦不容乐观。公开资料显示,2020年全球数据泄露的平均经济损失为1145万美元。
面对数据泄露带来的风险,国内相关法律法规不断完善。针对国家法律法规及相关标准对企业提出的数据安全防护合规要求,企业该如何应对?如何高效通过密码合规的新难题?由腾讯安全联合云+社区打造的「产业安全专家谈」第二十八期就邀请到了腾讯安全云鼎实验室高级研究员谢灿,全面透析企业数据加密的策略和规划,并分享腾讯安全保障数据要素安全的落地应用。
Q1:在前不久结束的“两会”上,“数字经济”成为一个被频繁提及的热词。那么数据在数字经济发展过程中承担了什么样的角色?
谢灿:从广泛意义上讲,凡是直接或间接利用数据来引导资源发挥作用,推动生产力发展的经济形态都可以纳入数字经济的范畴。
2020年,全球经受了新冠疫情的重大考验。在这样的考验下,数字政务、新零售、新文旅等在中国得到了进一步发展,也充分展现了数字经济的巨大潜力。我们说,资本、技术是工业经济的关键生产要素,那么数据则是数字经济时代关键生产要素。企事业单位利用好,发挥好数据价值,是数字经济时代业务创新、提升生产力的最主要动力。
Q2:数据的重要性不断提升,近年来企业数据安全事故也屡见不鲜,那么数据安全面临的风险主要有哪些?
谢灿:数字经济的核心是数据与产业的融合,其前提是数据的应用。数据在采集、共享、分析、流动与使用等环节都将面临不同层面的风险,这包括数据产权、数据流通、跨境传输和安全保护等层面的风险问题。
从单一数据安全层面上讲,在数据的生产录入与上传过程中,可能会遇到身份冒用的风险;在传输过程中,未妥善加密的数据面临着被黑客挟持等外部威胁;海量数据上传归集到大数据平台后,可能会面对拖库、撞库、误操作等大数据平台风险;处理完的数据,会流向各类办公人员,该环节也可能发生人员泄密,敏感数据失控外传等内部泄密问题。可以说,数据安全的风险实际是贯穿在数据全生命周期,需要基于信息安全技术,实现数据端到端的机密性、完整性、真实性、不可否认性的保护。
Q3:目前,国家法律法规以及相关标准对企业的数据安全防护有哪些硬性的合规要求?企业应该如何应对?
谢灿:从合规性要求上,国际在发展数据隐私的合规性标准规范方面更为成熟,如GDPR 、PCI DSS或者是ISO27001等。不过近年来,国内在数据安全这一领域也不断推出了一些法律法规,从最初的《网络安全法》到《密码法》,以及正在制定的《数据安全法》、《个人信息保护法》等,都在对数据安全和个人信息方面做出比较体系的规范。
其中,《密码法》以及GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》针对基于密码技术的数据安全防护提出规范性的要求。同时,针对关键基础设施以及等保三级系统,推出了《商用密码应用安全性评估》要求,确保在发展数字经济的前提下,数据安全防护行之有效。
政务、泛金融、交通、教育以及央企等行业,会最先面临相应的规范和要求。针对这些行业,我们建议首先对相关的合规要求进行分析,同时对自己的数据进行梳理,再去分析如何运用相应的安全防护方式,从而形成一个体系化的落地方案。
Q4:刚刚提到的基于密码技术实现数据安全防护,用密码技术来保护数据有哪些优势,企业用好密码又有哪些难点?
谢灿:信息安全的本质实际上是保护信息的机密性-不被泄露,完整性-不被篡改,真实性-身份不被冒用,以及不可否认性-抗抵赖,这些都可以通过密码技术得到比较完善的保障。比如现在大家已经比较熟悉的比特币、数字人民币等,它们还有个名字叫做“加密货币”,也是利用密码技术实现信息的高度安全保障。可以说,密码技术是构建网络安全和信任体系的核心技术和基础支撑。
其实,密码技术看似离我们很远,但在日常生活中却经常会用到它。但是从一个数学学科的角度来看密码技术的话,它用起来还是比较复杂的。
从国内密码市场现状来看,密码技术主要面临三大难点——难做,难用,难管。难做是开发门槛高,需要技术人员对密码技术进行一定的掌握;难用是密码算法、密码产品、密码应用三者脱节,需要大量的开发工作;难管是密码应用分散,行业缺乏统一的标准,我们在运维管理工作上面会存在一定的难度。
谢灿:金融、政务、交通、能源、制造等关键行业、以及相应的政务云、金融云、大数据平台等系统平台都是数据安全防护的重点要求对象。
针对用户的数据安全挑战以及密码应用合规的难点,我们推出合规密码应用解决方案,核心目标是帮助用户以最小的成本来满足数据安全防护以及密码合规的一些要求;基础思想是将密码技术以服务化、组件化的方式,对外提供数据安全服务,提供从终端身份认证、传输安全、存储安全以及运维管理等等方向的能力,实现数据从获取到传输、分析、使用、消费整个过程的数据安全防护,帮助企业应对数字经济时代的一些数据安全挑战。
Q6:能否结合相关实践案例,谈一谈合规密码应用解决方案的优势?
谢灿:第一,安全融合。数字经济的基础是网络基础设施与智能信息技术,我们这套数据安全体系可以无缝融合到基础设施架构里,实现基础架构自带安全;
第二,密码即服务。我们前面提到密码技术应用的一些难点,基于腾讯云合规密码应用解决方案,我们将复杂的密码运算以及密码设计转换成数据安全服务,大大降低密码应用难度;存储安全上,我们提供的云访问安全代理CASB服务,只需要通过简单的配置就可以完成数据存储的机密性和完整性保护,而且可以满足国家密码管理局的相关合规性要求;
