8月25日,中國通信標準化協(xié)會、中國信息通信研究院聯(lián)合主辦的“2023首屆SecGo云和軟件安全大會”在京舉辦。大會上,零信任產(chǎn)業(yè)標準工作組、云計算開源產(chǎn)業(yè)聯(lián)盟零信任實驗室聯(lián)合發(fā)布《零信任數(shù)據(jù)安全白皮書》(以下簡稱《白皮書》)。

　　零信任發(fā)展論壇上,零信任產(chǎn)業(yè)標準工作組秘書長、騰訊標準副總監(jiān)黃超對《白皮書》進行了深入解讀,并分享了騰訊零信任iOA在數(shù)據(jù)安全治理中的實踐經(jīng)驗。黃超表示,數(shù)據(jù)安全是零信任理念的深度應用,企業(yè)可以從基礎的網(wǎng)絡層面、到接近業(yè)務的應用層面、最終再到業(yè)務數(shù)據(jù)層面,實現(xiàn)以數(shù)據(jù)為最小顆粒度的零信任。

　　《白皮書》指出,當前,數(shù)據(jù)安全已成為數(shù)字經(jīng)濟時代最緊迫和最基礎的安全問題。由于數(shù)字技術促使數(shù)據(jù)應用的場景和參與主體日益多樣化,數(shù)據(jù)安全的外延不斷擴展,數(shù)據(jù)安全治理面臨多重困境。

　　首先是合規(guī)挑戰(zhàn)。國家高度重視數(shù)據(jù)安全的頂層設計,在相繼發(fā)布的《促進大數(shù)據(jù)發(fā)展行動綱要》(2015)、《科學數(shù)據(jù)管理辦法》(2018)、《關于構建更加完善的要素市場化配置體制機制的意見》(2020)以及“十四五”規(guī)劃(2021)等政策中,均提出應把保障數(shù)據(jù)安全放在突出位置的重要思想。同時,《數(shù)據(jù)安全法》等法律法規(guī)不斷出臺落地,對數(shù)據(jù)安全管理提出了新的要求,企業(yè)做好數(shù)據(jù)安全工作面臨著較大的合規(guī)壓力。

　　其次是攻防風險。企業(yè)在運營過程中的數(shù)據(jù),會面臨黑客竊取和內部泄密的雙重風險。傳統(tǒng)數(shù)據(jù)安全防護是基于網(wǎng)絡邊界的安全防護模型抵御外部黑客的攻擊,對內部人員攻擊和誤操作缺乏有效的監(jiān)控手段,經(jīng)統(tǒng)計發(fā)現(xiàn)數(shù)據(jù)泄露事件中無論是有意泄露還是無意泄露,內部人員占到了 60% 以上。因此,想要建立完善的數(shù)據(jù)安全防護體系,只依靠傳統(tǒng)安全防護理念是遠遠不夠的。

　　此外,業(yè)務發(fā)展與安全的平衡性面臨挑戰(zhàn)。數(shù)據(jù)的訪問分析、流通共享、再加工成為業(yè)務和價值創(chuàng)造的新機會,數(shù)據(jù)成為生產(chǎn)要素,疫情催生辦公云化新場景,企業(yè)的業(yè)務開展受限于遠程和非企業(yè)管控設備的接入等多元化需求,如何平衡保護企業(yè)數(shù)據(jù)的安全訪問和辦公效率將成為新的挑戰(zhàn)。