6月10日,《中华人民共和国数据安全法》正式颁发,自2021年9月1日起施行。
《数据安全法》主要从数据安全与发展并重、数据安全制度、数据安全保护义务、政务数据的安全与开放、法律责任等方面做了权责规定。我们划出了与企业、组织机构数据安全工作紧密相关的8个核心关键词,并整理阿里云数据保护能力、政企单位数据安全成熟度模型和9个典型的云上数据安全建设场景,一起探讨最佳数据安全实践。
企业应关心的8个关键词
数据分类分级
国家会建立数据分类分级制度,各地区、各部门对列入重要数据具体目录的数据要进行重点保护。
风险监测
组织机构要加强风险检测,发现数据安全缺陷、漏洞等风险时,立即补救;发生数据安全事件时,立即采取处置措施,及时告知用户并向有关主管部门报告。
风险评估
重要数据的处理者应当定期开展数据风险评估,并向有关主管部门报送风险评估报告。
数据出境
关键信息基础设施运营者的重要数据出境遵循《中华人民共和国网络安全法》规定;其他数据处理者的数据出境管理办法由国家网信部门会同国务院有关部门制定。
数据调取
数据调取需按照国家规定,经过严格批准手续,依法进行;境外机构调取数据非经批准,不得提供。
数据交易中介服务
在提供交易中介服务时,应当要求数据提供方说明数据来源,审核交易双方的身份,并留存审核、交易记录。
安全与发展并重
坚持保障数据安全与促进数据开发利用并重,鼓励和支持数据在各行业、各领域的创新应用,鼓励数据开发利用和安全技术的发展等。
政务数据安全与开放
大力推进电子政务建设,同时要建立健全数据安全管理制度。
阿里云原生数据保护:5大场景+17个核心能力
阿里云为客户提供覆盖高等级硬件安全、数据加密、数据治理、数据合理合法的安全处理、数据防泄漏5大场景17个核心能力项,帮助企业构建全链路数据安全防护力,致力于通过将安全能力融入基础设施,让安全化繁为简(具体内容可点击《阿里云数据安全能力全景图发布:云让数据安全化繁为简》)
政企单位数据安全成熟度模型
在政务数据安全方面,阿里云基于法律法规及实际业务生产关系,提供数据安全咨询、DSMM标准评估等一系列服务,帮助用户厘清自身数据安全现状,从组织架构、流程制度、人员能力、技术工具等方面多管齐下,建立健全数据安全管理制度。
9个典型场景与实践
基于阿里云服务诸多客户实践,我们梳理了数据安全工作的典型场景和实践,为企业组织在做好自身数据安全工作时提供参考。
场景一:数据安全治理
某国内大型航空公司
该客户云上面临的问题是数据分布复杂,数据资产不明确,潜在风险不透明,业务与安全割裂,因此希望对数据进行长期可持续的数据安全治理。
基于数据安全中心,客户通过一个平台实现了对云上全域数据治理覆盖,做到安全无盲区,治理工作效果提升5倍;同时,治理结果通过API方式与业务系统集成(DataSecOps),降低业务侧引发数据安全泄漏的风险。
场景二:敏感数据使用与防泄漏
某全球知名零售商
该客户有大量数据,脱敏任务量大,需要支持csv文件类的脱敏能力,而且可以根据字段进行自适应的脱敏任务。借助数据安全中心,客户通过一次定义脱敏模板,实现针对csv文件中敏感数据的自动适配,通过与数据中台整合,在ETL过程中自动化完成脱敏。
场景三:数据安全态势感知
某国内TOP金融支付公司
该客户云上数据种类多,传统方式无法覆盖存储类、数据库类产品,无法及时发现潜在的数据安全风险。利用数据安全中心,客户实现通过一个平台统一监控全域数据风险,并与数据治理结果联动,重点关注企业敏感数据的使用情况,全年共发现并排查50次以上的高危数据操作,追溯并处置10次以内的高风险行为,0数据泄露事件发生。
场景四:数据安全防护可持续改进
某国内政务客户,为公民提供公共类服务
该客户缺乏数据安全风险评估手段,无法对文件和大数据平台做统一管控,审计系统无法应对动态风险。借助数据安全中心,配合二次分析,实现按季度输出数据安全风险报告,全域敏感数据资产分布、安全风险项一目了然,大大提升了数据治理效果,为做好数据安全工作提供过了依据。
场景五:金融卡密加密合规需求
某城市银行
该行手机银行app业务中需要存储和处理用户密码,根据金融行业合规要求,用户密码需加密传输和存储,且必须基于国密局认证的金融数据加密机。借助阿里云提供的支持国密算法的加密服务,该客户手机银行实现对卡密的安全处理,同时满足行业合规要求。
场景六:数据可用不可见
国内某Top数据服务商
该服务商在为客户进行广告投放时,需要客户给到用户数据,但是部分客户不希望自己的数据出域。借助阿里云隐私增强计算平台DataTrust提供的多方安全建模和分析服务,该服务商可以让所有客户数据在不出域的情况下实现计算,让客户享受广告精准投放服务。
场景七:数据访问安全
某国内知名物流企业
该客户在全国各地有诸多分部、网点、分拨中心,所有人员和部门需要与不同的业务数据资源进行权限关联,借助IDaaS权限管理系统,客户实现不同人对不同数据的精细化权限管理和鉴权,并且可以根据业务需求进行灵活调整,满足业务动态发展需求。
场景八:数据防勒索
勒索攻击对数据进行加密会导致数据不可用,致使业务中断。从近期频发的勒索事件来看,勒索赎金也在不断上涨,最高达上亿元。
阿里云的防勒索解决方案从数据备份/恢复、安全云原生一体化的访问控制、基线及弱点扫描、云查专杀等不同维度构建纵深防御体系,最大限度保障客户的数据高可用。
场景九:APP隐私安全
APP权限不透明,导致频频出现APP越权过度搜集用户信息等事件。基于此,阿里云推出的APP隐私合规服务可以针对移动APP隐私安全、个人数据收集和使用进行合规分析,从多个维度帮助企业及开发者识别安全风险,并提供对应的整改建议,助力应用顺利通过审核上架。
数据安全是一个复杂的系统工程,阿里云将持续通过引领先进技术探索,持续为用户提供更加有效的最高安全等级数据保护措施。
本文不代表任何法律效力,仅供参考