《零信任数据安全白皮书》重磅发布

　　8月25日,中国通信标准化协会、中国信息通信研究院联合主办的“2023首届SecGo云和软件安全大会”在京举办。大会上,零信任产业标准工作组、云计算开源产业联盟零信任实验室联合发布《零信任数据安全白皮书》(以下简称《白皮书》)。

　　零信任发展论坛上,零信任产业标准工作组秘书长、腾讯标准副总监黄超对《白皮书》进行了深入解读,并分享了腾讯零信任iOA在数据安全治理中的实践经验。黄超表示,数据安全是零信任理念的深度应用,企业可以从基础的网络层面、到接近业务的应用层面、最终再到业务数据层面,实现以数据为最小颗粒度的零信任。

　　《白皮书》指出,当前,数据安全已成为数字经济时代最紧迫和最基础的安全问题。由于数字技术促使数据应用的场景和参与主体日益多样化,数据安全的外延不断扩展,数据安全治理面临多重困境。

　　首先是合规挑战。国家高度重视数据安全的顶层设计,在相继发布的《促进大数据发展行动纲要》(2015)、《科学数据管理办法》(2018)、《关于构建更加完善的要素市场化配置体制机制的意见》(2020)以及“十四五”规划(2021)等政策中,均提出应把保障数据安全放在突出位置的重要思想。同时,《数据安全法》等法律法规不断出台落地,对数据安全管理提出了新的要求,企业做好数据安全工作面临着较大的合规压力。

　　其次是攻防风险。企业在运营过程中的数据,会面临黑客窃取和内部泄密的双重风险。传统数据安全防护是基于网络边界的安全防护模型抵御外部黑客的攻击,对内部人员攻击和误操作缺乏有效的监控手段,经统计发现数据泄露事件中无论是有意泄露还是无意泄露,内部人员占到了 60% 以上。因此,想要建立完善的数据安全防护体系,只依靠传统安全防护理念是远远不够的。

　　此外,业务发展与安全的平衡性面临挑战。数据的访问分析、流通共享、再加工成为业务和价值创造的新机会,数据成为生产要素,疫情催生办公云化新场景,企业的业务开展受限于远程和非企业管控设备的接入等多元化需求,如何平衡保护企业数据的安全访问和办公效率将成为新的挑战。