数据安全，企业必须重视的问题

阅读本文大约需要5分钟

数据安全的主要挑战

企业在数字化转型中面临的数据安全的挑战是什么呢？总共大的是从两个方面来看，一方面是企业在最大化竞争优势的业务需求和采用适当的数据安全策略与降低风险之间进行平衡，这块其实就是非常典型的业务和安全怎么平衡的问题，就是我到底是发展业务牺牲安全，还是我要保安全牺牲业务，这个对企业来说是一个比较大的挑战。

第二个方面，本身企业有复杂的IT环境，包括企业还有一些跨云或者云迁移的一些项目跟第三方去共享，这种数据可能会被泄露。还有一些合规的问题，也是为企业数字化转型带来严重的挑战。

数据安全建设的痛点

有挑战以后，就要做这个数据安全建设的。我们映射到数据安全建设里面的痛点，第一个，还是合规性的风险，国家层面的，行业层面的，还有外国的一些监管要求，比如说长臂管辖的一些，特别是美国比较喜欢进行长臂管辖，它所有的条款可能加起来有几千条，如何对几千条这些数据安全的要求进行一个合规呢？这块其实是一个企业建设当中的痛点，其实后面也会介绍，这块是需要通过咨询或者专家服务来进行规避的。

第二，实际上是数据在组织内部流转生命周期的分析。我们可以看到中间这一块蓝色区域，实际上是一个典型的数据在组织内部小范围流转的一个架构图，从数据中心的基础设施到网络的基础设施，到服务器的硬件，这块可能是基础设施层面上的。从容器、虚拟化，这一块其实是中间层，再到数据分析相关，具体学习相关的，这些中间的应用层，这块其实形成了一个数据企业内部流转的小环境。在这个环境里面，我们其实也面临数据治理的风险，包括其中的运维人员操作的一些风险，还有研发人员在开发的时候，或者生长环境里面数据的一些使用的风险，也包括一些合作伙伴，比如有时候我们的数据分析可能要拿给专业的数据分析公司去分析，这些合作伙伴会拿到我们的数据，它有外发的或者泄露的风险。在内部使用的这块，其实也包括我们权限账号的一些风险特权账号，比如入台这些审计账号的一些使用的风险，也包括从内网我把数据下载导出，甚至也包括一些底层系统的漏洞，中间建层一些软件的漏洞，导致的一些风险。这块其实是在组织建设数据安全当中的一个内部数据流转的痛点。

第三块是第三方风险。第三方风险这块，包括给第三方共享信息时候的风险，包括外包人员去操作数据的风险，还有包括合作伙伴的一些风险。这些风险或者痛点，其实我们后面可以通过比如说像脱敏、水印，还有一些管理层面的方式，包括其实跟第三方去签订一些数据安全协议去规避和防护。

第四块建设痛点就是，其实面临外部攻击的风险，包括黑客的攻击，还有一些勒索软件，他把你里面数据库加密以后，然后管你要钱。还有一些DDoS，拒绝服务攻击，还有通过一些网络爬虫，通过公开的网上去爬取数据。

第五块实际上是云服务商的风险。有些小型的云服务商，他可能内部管理机制比较简单，他可能会有一些跨租户攻击的漏洞，包括运维人员操作的失误，包括对云平台的一些攻击，也可能是我们企业在数据安全建设里面的一个痛点，当然这块是选择云服务商的一个重点。

数据安全建设思路

了解了整个这个数据安全建设的痛点，我们看看数据安全建设的思路。基本上是需要基于咱们企业的关键业务，去识别数据流的生命周期，然后再进行治理和安全防控。

比如说底下这张图，是比较典型的一个数据流转的示图，从外部数据源发起数据的需求，然后到内部数据区域。比如说通过一些应用，再连到云端，最后再把这个数据可能共享给第三方，其实这个每一个环节都有我们数据保护的需求。不同的保护监管和管控的需求，我们可以通过整套的流程的梳理，把环节识别出来，每一个环节我们应该做哪些防控，进行一个量化，最后再把数据安全管控的技术手段覆盖到我们不同的数据的类型上面。比如说结构化数据，或者比如说大数据，或者文件类的非结构化数据，还有一些应用的SaaS服务的这些数据上面，这是整体数据安全的建设思路。

温馨提示：本期直播课中还分享了数据安全体系介绍以及数据安全云原生的探索，建议感兴趣的同学观看完整课程视频进行学习，点击文末“阅读原文”即可跳转观看噢~

腾讯云大学公众号

长按识别二维码关注  

“腾讯云大学”   

了解更多免费、专业  

行业最新技术动态分享  

戳“阅读原文”即可观看课程视频！