数据安全法新规下-阿里云构建数据安全的变革（内附解决方案）

近几年来，随着国家对于网络安全领域的法律法规不断的完善，从早期的《网络安全法》到如今的《数据安全法》的落实实施，无一不是说明国家对于信息安全的建设与重视程度达到了前所未有的高度。

本次我们就重点来说说在2021年9月份落地实施的《数据安全法》对企业构建数据安全的影响有什么。

《数据安全法》第二十九条

开展数据处理活动应当加强风险监测，发现数据安全缺陷、漏洞等风险时，应当立即采取补救措施；发生数据安全事件时，应当立即采取处置措施，按照规定及时告知用户并向有关主管部门报告。

《数据安全法》第三十条

重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估，并向有关主管部门报送风险评估报告。

风险评估报告应当包括处理的重要数据的种类、数量，开展数据处理活动的情况，面临的数据安全风险及其应对措施等。

当我们对《数据安全法》有了一个初步的认识，再看一下近段时间，企业所面临的数据泄漏的事件。

1、2020年3月，万豪集团披露了其于1月份发生的一起数据泄露事件，这是继2018年后，万豪第二次发生大规模数据泄露。上一次事件中，多达3.83亿用户受到影响，涉及客户联系方式，会员信息等个人隐私信息。

最终英国信息监管局（ICO）根据GDPR的规定，对万豪集团处以1840万英镑的罚款。

2、2020年2月，SaaS厂商微盟集团发布旗下某SaaS业务生产环境和数据遭到破坏的公告，称其SaaS业务数据遭到员工人为破坏，核心数据被删除，服务出现大面积故障，暂时无法向客户提供服务。最终对其用户拟赔1.5亿元，当日股价下跌超22%，累计市值蒸发超30亿港元。

如今又有了《数据安全法》的立法，以后对于数据的保护措施将有法可依，对于企来说更是“伤不起”。

通过以上事件，可以看出当数据遭遇泄漏、被勒索或者因权限管理不当导致的数据被删除等都不是企事业单位所愿意看到的，且出现这样的事件对于企业本身的损失是巨大的。

如今又有了《数据安全法》的立法，以后对于数据的保护措施将有法可依，对于企来说更是“伤不起”。

那么通过我们在实际与客户的接触过程当中，进行复盘后发现，大多数客户只对于自已云上的资产或业务的某个点进行了必要的安全建设，对于数据安全并没有形成体系化的建设思路。

那么接下来云管家就与大家分享下，对于数据安全的建设思路及相关的解决方案

数据安全与个人隐私是部分重叠的两个概念。

通过上图可以发现数据的种类，大概可以分为个人隐私数据、重要企业数据及其它数据

其中我们通常说的个人隐私数据与数据安全是部分重叠的两个概念。

数据安全

说起数据安全，就要从企业的数据安全建设谈起，而是企数据安全建设目前主要依据的模型是DSMM模型：

我国于2019年9月正式发布DSMM模型，即：《GB/T 37988-2019 数据安全能力成熟度模型》首次提出数据安全的管理需要基于以数据为中心的管理思路，从组织机构业务范围内数据生命周期的角度出发，结合组织机构各类数据业务发展后所体现出来的安全需求，开展数据安全保障。

依据DSMM的建设模型，具体建设是以“数据生命周期“为抓手落实建设，那数据生命周期分为六大环节，分别为”采集“、”传输“、”存储“、”处理“、”交换“、”销毁“。换句话说，抓住了这六个环节的安全也就是可以说说基本保障了数据的安全。

个人隐私安全

说起个人隐私安全，就是指的企业在业务的生产过程中，所产生涉及个人的一些隐私信息的存储、传输、计算、交换等行为及相应的安全处理措施，《个人信息保护法》中有提到对于个人的隐私信息，有知情权和决定权。同时对于数据跨境的场景是需要通过国际网信部门组织的安全评估，或经专业机构进行个人信息保护认证。

那么当前企业个人隐私保护所面临的核心挑点主要在于如下几点

1，终端隐私采集的要遵循《常见类型移动互联网应用程序（App）必要个人信息范围》要求 。

2，终端准入与防泄漏的能力。

3，数据传输通道的安全。

4，数服务端对于数据的识别与加密存储的能力，与数据透明度的建设要求。

阿里云数据安全能力

阿里云对应于数据安全的能力可以覆盖到五个层面的能力。

1.不可被篡的硬件级安全。

2.不可被被解的加密能力

3.全域数据可视

4.安全的使用/分享/计算

5.泄露防御更精准

实际案例

该案例是国内某航空业客户，业务方向主要是航空运输类业务，该客户是在实际运营过程中有如下几个痛点：

1，云上数据分布比较复杂：难统一治理有大量的RDS，还有数据中台和对象存储等。

2，业务与安全的割裂：治理结果缺乏与烽务系统对接的先例。

3，长期可持续的数据安全治理能力：需要该能力不强依赖人工的介入。

基于以上痛点，客户提出了如下几点的诉求。

1，统一的云上数据安全治理平台。

2，需要与内部系统集成。

3，重点关注乘机人的隐私数据，不被泄露。

解决方案

通过利用数据安全中心，单平台上实现云上全域数据治理的覆盖。

治理结果通过API方式与烽务系统集成（DATA SecOps）

自动化“识别-分类“，可持续的数据安全治理

业务价值

加固：业务与安全融合，降低业务侧引发数据安全泄漏的风险。

提效：自动化数据安全治理，5倍以上的日常治理工作效果提升。

全面：全域数据覆盖，安全治理无盲区。

想了解更多方案详询云管家哦。