《零信任數據安全白皮書》重磅發布

　　8月25日,中國通信標準化協會、中國信息通信研究院聯合主辦的“2023首屆SecGo云和軟件安全大會”在京舉辦。大會上,零信任產業標準工作組、云計算開源產業聯盟零信任實驗室聯合發布《零信任數據安全白皮書》(以下簡稱《白皮書》)。

　　零信任發展論壇上,零信任產業標準工作組秘書長、騰訊標準副總監黃超對《白皮書》進行了深入解讀,并分享了騰訊零信任iOA在數據安全治理中的實踐經驗。黃超表示,數據安全是零信任理念的深度應用,企業可以從基礎的網絡層面、到接近業務的應用層面、最終再到業務數據層面,實現以數據為最小顆粒度的零信任。

　　《白皮書》指出,當前,數據安全已成為數字經濟時代最緊迫和最基礎的安全問題。由于數字技術促使數據應用的場景和參與主體日益多樣化,數據安全的外延不斷擴展,數據安全治理面臨多重困境。

　　首先是合規挑戰。國家高度重視數據安全的頂層設計,在相繼發布的《促進大數據發展行動綱要》(2015)、《科學數據管理辦法》(2018)、《關于構建更加完善的要素市場化配置體制機制的意見》(2020)以及“十四五”規劃(2021)等政策中,均提出應把保障數據安全放在突出位置的重要思想。同時,《數據安全法》等法律法規不斷出臺落地,對數據安全管理提出了新的要求,企業做好數據安全工作面臨著較大的合規壓力。

　　其次是攻防風險。企業在運營過程中的數據,會面臨黑客竊取和內部泄密的雙重風險。傳統數據安全防護是基于網絡邊界的安全防護模型抵御外部黑客的攻擊,對內部人員攻擊和誤操作缺乏有效的監控手段,經統計發現數據泄露事件中無論是有意泄露還是無意泄露,內部人員占到了 60% 以上。因此,想要建立完善的數據安全防護體系,只依靠傳統安全防護理念是遠遠不夠的。

　　此外,業務發展與安全的平衡性面臨挑戰。數據的訪問分析、流通共享、再加工成為業務和價值創造的新機會,數據成為生產要素,疫情催生辦公云化新場景,企業的業務開展受限于遠程和非企業管控設備的接入等多元化需求,如何平衡保護企業數據的安全訪問和辦公效率將成為新的挑戰。