腾讯安全：腾讯云数据安全治理体系和实践（2023）（29页）.pdf

1、腾讯云数据安全治理方法探索与实践李滨 腾讯云安全总经理2022.04.24新时代数据安全命题新环境新技术新产业国内外政治经济形势发展后疫情时代的经济新常态国内外法规监管日趋完善“数字中国”伟大愿景云计算大数据人工智能5G万物互联数实融合AIGC数据要素新时代下，“数据”成为生产力核心要素网络空间安全是“红线”“底线”，数据安全是组织发展关键命脉数据安全面临的挑战（1）：企业经营模式与IT生命周期变化传统IT架构敏捷开发DevSecOps设计开发测试交付运营月 年2 4周？云主机容器服务传统IT架构Serverless1-3个月3-10年分钟级n日-n年秒级n秒-n年3毫秒3-百毫秒资源交付时间

2、与生命周期数据安全面临的挑战（2）：新技术与架构的演进所有权控制权成本模型动态可变生命周期持续性对抗环境极致算力海量数据抽象服务扁平化分布式异构计算管理机制架构与技术计算内容计算环境BICVMAPIMYSQLCBSRedisMongoDBCOSFaaSVPN数据安全面临的挑战（3）：外部攻击威胁日益严峻威胁主体利用技术趋势National Governments“国家级”攻击力量Terrorists/Hacktivists恐怖分子/无政府主义黑客Industrial Spies and Organized Crime Groups商业间谍和有组织犯罪（黑灰产）Hackers一般黑客Inside

3、rs内部无意识/恶意用户Foreign intelligence servicesBot-network operatorsSpyware/malware controllerPhishers/SpammersBotnet控制者0Day研究/APT供应链攻击硬件/固件攻击物理设施/设备攻击BotnetDDOS勒索软件挖矿软件邮件/钓鱼/恶意软件0Day利用/APT针对AI的攻击AI辅助攻击受攻击目标National critical infrastructure 国家关键基础设施：能源、交通、金融、通信等关键领域的机密性和可用性Controlled Unclassified Informati

4、on 受控未分类信息：政府和重要企事业单位的非涉密信息Commercial data 一般商业数据：一般企业的商业和业务经营数据Personally identifiable information(PII)个人敏感信息：个人身份、隐私相关的敏感数据Classified information 分类(涉密)信息：政府及军事领域的涉密信息和系统邮件/钓鱼/恶意软件0Day利用/扫描弱口令Web漏洞邮件/钓鱼/恶意软件弱口令/无意识信息泄露越权访问关基网络安全法个人信息保护法数据安全法第二十七条开展数据处理活动应当依照法律、法规的规定，建立健全全流程数据安全管理制度，组织开展数据安全教育培训，采取

5、相应的技术措施和其他必要措施，保障数据安全。利用互联网等信息网络开展数据处理活动，应当在密码法第二十一条 国家实行网络安全等级保护制度。其安全保护义务第4条明确采取数据分类、重要数据备份和加密等措施。第五十一条第三款：采取相应的加密、去标识化等安全技术措施；第六十六条：情节严重的，由省级以上履行个人信息保护职责的部门责令改正，没收违法所得，并处五千万元以下或者上一年度营业额百分之五以下罚款二十七条 法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施，其运营者应当使用商用密码进行保护。关键信息基础设施运营者，应当自行或者委托商用密码检测机构开展商用密码应用安全性评估。密评/数

6、评等保着力在构建自主可控信息技术体系中推进密码优先发展，构建以密码技术为核心、多种技术相互融合的新网络安全体系，建设以密码基础设施为支撑的新网络安全环境。国密既是信创的重要组成部分，又为信创提供安全保障商用密码管理条例（修订草案征求意见稿）提出非涉密的关键信息基础设施、网络安全等级保护第三级以上网络、国家政务信息系统等网络与信息系统，其运营者应当使用商用密码进行保护。关键信息基础设施安全保护条例商用密码管理条例（修订草案征求意见稿，列入2021年国务院立法计划）数据安全管理条例（列入2021年国务院立法计划）2021年5月27日，数据安全管理条例纳入国务院2021年度立法工作计划。关键信息基础