数据安全

背景R1CS 的背景源于零常识证实和可验证计算畛域的钻研，它是一种用于示意计算束缚的形式化模型，能够形容计算中的输出、输入和约束条件之间的关系。R1CS 的设计旨在使计算过程的束缚可能以一种无效和紧凑的形式进行示意，并且可能利用于零常识证实的构建。 在 Bulletproofs 算法中，R1CS（Rank-1 Constraint System）是一种用于构建束缚的模型，用于形容计算过程中的束缚关系。R1CS 提供了一种形式来表白计算中的束缚，为构建零常识证实和爱护隐衷提供了根底。Bulletproofs 利用 R1CS 模型来构建零常识证实，从而实现在不泄露任何无关输出和计算过程的信息的状况下验证计算的正确性。 Bulletproofs 须要相熟其根底概念能力更好的把握和应用，请移步：https://www.yuque.com/tsdoc/ts/bulletproofs 命令行公共参数（-ppgen/-pp）生成公共参数$ tongsuo bulletproofs -ppgen -out ./pp.pem -curve_name sm2 -gens_capacity 64 -party_capacity 1参数阐明，其中 bulletproofs 是 tongsuo 的子命令：bulletproofs 性能。不再赘述。 -ppgen：是 bulletproofs 的子命令，指公共参数的生成，pp 是 pub_param 的缩写，gen 是 generate 的缩写；-out：输入文件门路；-curve_name：椭圆曲线名称；-gens_capacity：椭圆曲线点生成器的容量，对于 r1cs 来说，该数须大于约束条件表达式中乘法变量的数量；-party_capacity：能够生成聚合证实的最大参与方数量，仅对 range proof 无效，r1cs proof 设置为1即可。<!----> 文本显示公共参数-pp 是用来显示公共参数的子命令。 $ tongsuo bulletproofs -pp -in ./pp.pem -text -nooutBulletproofs Public Parameter:curve: SM2 (1172)gens_capacity: 64party_capacity: 1G[n]: [0]: 02:a3:df:fe:3f:b6:88:0e:34:79:be:25:71:b2:03:97:0f:86:58:78:57:32:4d:b4:fa:70:0e:2f:0c:3b:d0:ea:85 [1]: 03:42:ee:45:da:e7:ee:84:78:8f:18:03:42:c4:0f:9e:0e:93:d8:82:54:08:a4:1a:30:38:bc:94:57:e7:9e:8b:61 [2]: 03:8a:7c:c7:fb:87:07:b0:a9:fe:65:1e:2a:b7:6a:98:02:0e:3d:1a:43:7d:7c:1a:d4:62:60:ce:00:87:e3:ec:04 [3]: 03:85:1b:e5:2f:be:1a:91:9c:6a:42:db:22:e0:35:7e:b8:61:67:56:f6:f4:04:51:2d:8d:13:82:58:ec:5a:2d:ec # 太长了，两头省略了 # [60]: 02:21:70:bc:20:33:2e:0b:b3:27:8d:c2:f3:38:f3:a6:8c:8b:05:5d:0a:15:df:ed:5f:ec:2a:3b:bf:d1:4c:fe:eb [61]: 03:53:89:6e:6e:8a:9e:1f:b6:54:63:50:c5:59:14:c5:1f:c2:c4:32:35:d4:8f:43:22:25:cd:3d:52:25:ee:ea:d1 [62]: 03:e4:f5:ff:b3:25:f6:ff:d7:ed:01:db:17:fa:8b:9c:c6:79:84:e3:6a:bf:42:17:b6:7b:9e:f7:d1:3e:7d:41:54 [63]: 02:e8:de:7e:27:21:0d:95:03:5b:f1:0e:1d:04:cb:f0:cd:1d:96:25:e7:4f:8b:49:0c:fb:08:cb:e6:a9:af:7f:0aH[n]: [0]: 03:e5:df:a2:8d:50:4e:d5:7f:64:a6:e5:88:a9:17:de:ff:d8:92:2b:57:1c:25:90:2e:8e:5d:ae:b2:21:f1:68:b4 [1]: 02:30:95:72:37:7c:9f:4c:ec:24:0d:fc:ff:08:38:77:73:49:e8:19:a8:84:cb:6f:0a:24:9e:39:31:01:a0:19:91 [2]: 03:a3:d1:84:c0:6d:c8:fa:1f:35:6c:65:75:e5:ff:63:45:16:29:bc:ee:5e:71:51:97:44:dd:03:15:bd:4f:bf:c3 [3]: 03:c3:06:44:b3:34:5c:ac:d7:ed:91:aa:24:e1:0a:cb:f7:04:61:12:d9:3d:bf:65:98:8b:f4:87:8d:9e:7f:b7:6e # 太长了，两头省略了 # [60]: 03:5f:30:c3:c7:29:02:38:18:5e:d2:ae:34:44:7f:44:52:fb:d1:97:24:7e:a6:7c:9e:f8:16:3f:f9:18:f3:7b:69 [61]: 02:ff:55:39:f5:be:2e:fb:29:b4:36:e6:f5:ce:d4:55:67:e9:59:3b:53:8a:af:ea:5b:6c:c6:db:45:de:5b:8b:71 [62]: 03:e2:2f:0c:fa:30:d2:ec:33:5e:aa:d0:c4:ba:7e:4e:6c:03:50:0f:26:27:72:ae:f0:d5:d8:ad:09:24:d0:94:de [63]: 02:64:af:b1:25:f4:85:c4:6c:da:fe:e3:b6:24:2a:0d:ad:f9:8b:56:96:6c:6b:3e:f1:f5:ef:92:9d:b2:52:8c:40U: 03:85:44:28:a8:55:f4:db:cd:1b:60:42:d0:21:5b:31:ea:0e:fb:b2:2e:46:3d:a3:f0:40:48:50:05:0a:a3:a9:ecH: 02:e5:21:75:20:47:fb:c2:76:c2:86:3c:10:e0:4c:1e:72:66:26:7b:3d:5d:ac:5b:a0:de:ab:11:d3:56:bd:fc:f1如上后果所示，G[n] 和 H[n] 就是随机生成椭圆曲线 SM2 上的点，n = gens_capacity * party_capacity，上图是 64，两头一些随机点因为太长太点篇幅省略掉了。 ...

“应用亿格云枢后几个场景我感觉还不错，特地是业务后盾通过零信赖网络拜访之后的操作行为、拜访记录等都可对立同步导入数据后盾便于剖析治理，省时省力。加上咱们是全球化企业，对合规跨境拜访有需要，而亿格云枢让咱们的员工无论身处何地，都可实现疾速便捷、合规的进行跨境拜访，大大提高了应用体验；同时，相较于之前粗放的访问控制，当初细粒度的拜访权限上更精细化了，安全策略上也更集中。因为你们有DLP（数据防透露）性能，所以咱们替换了原有的DLP产品。一体化部署让咱们每年可节约约十几万的平安运维老本！后续也心愿更好打磨产品细节，欠缺更多产品能力~”———老虎国内平安总监 张老师 「 客户价值 」 遐想上个年代的股民，背着现金，去证券公司营业部门口排起长队。买标的比比皆是的股票，还得通过电话、传真委托，两三天能力买上。现在，只有一部智能手机，无论身处在哪、无论是否相熟英语，只需动动手指就能够实时进行美股、港股、新加坡股、期权期货、基金等各类交易。 老虎国内，就是这一批互联网科技券商的新兴代表。从内而外散发着浓烈的互联网气味：除了操作接地气外，APP界面、操作流程简化；设计版面清新，合乎当代炒股人的口味，也大幅升高了华人在寰球投资的门槛。 2019 年，老虎登陆纳斯达克，股票代码为TIGR。其自主研发的交易平台Tiger Trade广受寰球投资者青睐。平台在美国、新加坡、澳大利亚、新西兰等国家和地区用户超过900万，开户客户超过200万，全年交易规模超过4,000亿美元。近期，他们还在海内上线行业首个AI投资助手TigerGPT，为寰球用户提供智能的投资决策反对。 近十年的高速倒退，也让老虎在寰球领有了近1000名员工。数百位研发人员。并在中国、新加坡、美国、新西兰、澳大利亚、中国香港等10多个国家或地区布局。 当然，全球化的布局也给公司信息安全体系建设带来了挑战，扩散的办公地点、数据的跨境传输、合规的跨境拜访、用户权限的精细化管制等要求随之而来。传统基于数据中心（IDC）建设的信息安全体系现在在老虎平安团队的眼中已日趋齐备，现在面临着诸多APT（高级可继续威逼攻打）、钓鱼攻打等潜在威逼，外部决定用先进的工具将IT与平安都器重的（办公）office 平安治理起来。 联合老虎的根底平安建设以及建设想法，老虎国内平安总监 张老师 给到了几点明确想法与需要： 01 合规带来的性能累赘为满足各国家地区的（相似欧洲GDPR）平安合规要求，实现终端桌面治理、终端防病毒、近程拜访治理、数据防透露等性能。在电脑上装有VPN、防病毒软件、DLO软件以及桌面管理软件，但多种平安产品的重叠不仅减少治理老本，且对终端电脑性能方面有较高要求，给终端造成很大累赘。 02 全场景统一的办公体验基于老虎寰球都有员工在办公，公司互联网气氛比拟重，相对来说比拟open跟free，所以十分重视员工的办公体验，在不影响整体员工拜访体验的前提下，寻求更轻量、更疾速、更畅通平安的办公拜访与协同形式。 03 对立集中管理的需要无论是出于IT侧的终端对立治理，还是平安侧的数据分类分级、数据防透露、拜访权限精细化，平安状态对立观测跟治理等需要，老虎外部都须要一个集中统一的策略，对人员、数据、软件、外设、拜访权限进行梳理与治理。张老师率领的老虎平安团队在零信赖产品“测试调研”过程中整整花破费2年多工夫，最终，他们在安全性、稳定性与员工体验性上寻求了一个平衡点，抉择了三者兼顾的亿格云枢。在他们看来，亿格云枢最大劣势是模块化多，功能齐全；稳固的根底上，通过All in One，一个Agent能满足更多需要的同时还无效升高了经营老本。 在理解了老虎的需要后，亿格云借助零信赖SASE架构为老虎部署了焕新的office（办公）平安体系，笼罩了终端桌面治理、防病毒和终端DLP，软件治理，并牵引流量到平安云，进行全面的平安防护。 零信赖网络拜访替换原有VPN，收敛办公利用的互联网裸露面；联合身份认证、设施信息、终端平安危险、数据安全危险、合规危险等维度实现动静访问控制；通过亿格云四七层平安网关，实现准确到API级别的细粒度访问控制；通过以上几方面的建设，晋升办公网接入平安水位，保障内网利用拜访的安全性。 扩大数据防透露（XDLP）替换原有DLP产品，亿格云枢提供更好的业务拜访体验、更小的终端性能耗费。同时可能提供寰球一体化数据防透露策略管理能力，海内数据合乎当地合规要求，对数据流转全链路进行追溯、审计、拦挡。 终端软件治理通过亿格云枢盗版软件检测及软件剖析能力，帮忙企业疾速定位违规软件的散布状况，同时通过近程卸载能力和软件禁用能力，疾速对违规装置软件行为进行闭环处理。 跨境减速通过亿格云SASE的平安架构，构建寰球办公减速网络，优化跨境拜访利用体验。 由此，老虎的Office（办公）平安体系链路已全副搭建，从合规监测——内网拜访——平安防护——数据安全等多维度解决多个平安痛点，数据也在佐证这套建设体系的合理性，在日常80%的在线状况下，违反合规策略人数也从34.8%现在降到0.1%！无效保障了企业办公平安的全面防护。 平安与投入之间往往是相辅相成的。从0开始，在明天数字化全面凋谢改革转型的时代，一体化的平安趋势亦同步崛起；将来，在全球化倒退的根底上，老虎国内亦会更精细化经营办公平安的“马拉松”之路。 Q&A彩蛋： 亿：面对市场上多家厂商的零信赖计划，这两头有哪些必要因素决定了你们的购买决策？张：在这么多年部署了数据中心（IDC）平安之后，咱们就有打算去做office（办公）平安，与时俱进的去面对当下各类危险，包含钓鱼、黑客攻击等，零信赖我的项目咱们筹备了2年工夫，第一年在调研各种厂商产品，花了很多精力。发现很多产品很多是包装概念，最初咱们在产品功能性、安全性、稳定性以及员工体验中取了平衡点。最终还是需要决定购买决策，比方亿格云枢解决咱们三个需要，IT对立治理解决IT难题，盗版软件检测躲避了后续公司软件合规非法问题，零信赖平安拜访满足了平安需要。 亿：老虎是怎么对待企业外部办公平安的？公司信息安全建设是怎么布局的？张：随着网络安全整体倒退，数据中心（IDC）防护做越来越好了，平安工具也变得十分欠缺，现在黑客想要硬闯会比拟难，但仍有不少（黑客）剑走偏锋通过钓鱼等伎俩攻打员工电脑，拿到拜访权限，因为这样的成功率更高。如此一来，office（办公安全网）会成为短板，而短板效应则会成为很大的平安缺失隐患。在公司0~1平安建设上是靠要害平安工具跟平安机制，包含数据安全，归拢外围数据（数据分类），汇聚集中到某个数据库中，对使用者账号，权限进行审批，缩小线上权限的利用。再通过洽购或自研外部行为跟踪零碎，进行外围零碎/数据拜访查问的行为剖析。而现在是打算在原有根底上，公司配置对立终端的状况下，将IT与平安一起布局进来去做office（办公)平安！ 亿：是否会举荐同行一起应用亿格云产品，对咱们有什么倡议？有哪些性能心愿减少或欠缺？张：已举荐好几个同行去（应用）了。倡议的话，零信赖因为落地实际倒退在整个平安史上并没有很长时间，因而产品细节也须要被更好打磨与降级，另外一点，比照其余平安IT公司，亿格云服务反对曾经算是很好了，心愿精益求精~！

亿格云自主研发的零信赖SASE产品——「亿格云枢」平台，以一体化的模式提供包含零信赖网络拜访(ZTNA)、数据防透露(XDLP)、威逼检测响应(XDR)、防病毒(EPP)、上网行为治理(SWG)和对立端点治理(UEM)等性能。 亿格云枢突破了企业须要部署10多个平安产品且平安产品间烟囱化的现状，从身份认证、访问控制、终端管控、网络连接到数据安全防护，为数字时代的企业办公平安提供一体化、弹性、平安的新架构。 目前，亿格云已服务超100家上市公司和独角兽企业等在内的行业客户，涵盖智能制作、金融、游戏、泛互联网、企业服务、生产批发等畛域的头部客户。 明天，咱们又牵手了更多来自各行各业的当先客户：中国移动互联网畛域的开拓者，国内三大运营商之一的挪动公司—新疆挪动；领有顶尖音频内容生产教训和制作团队的国内首家音频综合平台—蜻蜓FM；2022年寰球涂料100强榜单第24位贝格团体下的企业—贝科工业；全国1000多家大中型企业提供人力资源服务的—君润人力；中国资本市场上充斥锐气和灵性的业余跨媒体财经内容提供商—顶点财经。 咱们也继续致力于“让先进的平安能力触手可及，让每个人都能在更平安的数字世界中受害”的愿景，在企业数字化转型的过程中，减速建设与之匹配的平安数字化体系。更简略、更高效地帮忙企业晋升平安水位，让企业平安不再是“奢侈品”。 01新疆挪动中国移动通信集团新疆有限公司（简称“中国移动新疆公司”），于1999年8月成立，是中国移动通信集团公司的全资子公司。公司主营挪动话音、数据、IP电话、多媒体业务、互联网接入服务及与挪动通信业务相干的系统集成、漫游结算、技术开发服务等其余业务，综合能力处于行业领先水平。中国移动是中国最大的电信运营商，同时也是寰球网络和客户规模最大、盈利能力当先、市值排名位居前列的世界级电信运营商。 02蜻蜓FM蜻蜓FM是一款网络音频利用，自2011年9月公布以来，已成长为中国当先的音频内容聚合平台之一。 蜻蜓FM保持以「听得见的，美好生活」为口号，以翻新科技打造具备影响力、备受用户青睐的音频媒体品牌。目前，蜻蜓FM的总用户规模超过4.5亿，生态流量月沉闷用户量1亿。平台收录全国1500家广播电台，认证主播数超35万名，内容笼罩文化、财经、科技、音乐、有声书等多种类型。 03贝科工业贝科工业涂料（上海）有限公司隶属于瑞典贝格团体。贝格团体成立于1865年，总部设于瑞典。通过百多年的一直倒退，当初的贝格曾经成为欧洲乃至寰球最大的私营涂料团体之一，在寰球设有二十多家涂料生产工厂，销售网络遍布寰球。 04君润人力君润人力是一家以科技驱动的综合人力资源解决方案服务商，秉承 “客户为本、耿直本分、凋谢共赢” 的服务理念，依靠行业当先的科技程度和服务能力，专一于为服务业提供一站式人力资源服务，助力其人力资源管理效力晋升，同时进步劳动者幸福指数，促成社会待业。君润人力凭借在企业服务畛域的硬核实力，荣登“「Spark 领航者」HRoot 2022年度最佳人力资源服务机构榜单”。 05顶点财经顶点财经是一家业余跨媒体财经内容提供商，致力于通过电视、播送、报纸、网站、资讯终端等媒体向投资者实时传递寰球金融市场信息。于2007年创建、总部设于杭州，公司旗下多家分公司。为中国证券投资者提供实时财经信息、业余钻研报告、实战交易策略以及上市公司数据库等内容，帮忙投资者主观、审慎、明确地做出失当的交易决策。 （企业信息均来自官方网站公开材料整顿） 每一位客户的信赖是咱们每天都致力取得的，也是咱们致力放弃的。 感激新疆挪动、蜻蜓FM、贝科工业、君润人力、顶点财经信赖亿格云。 一体化交融、轻量便捷、无感体验、快捷部署、弹性灵便、减速网络...每一个来自客户的实在反馈都是对咱们最大的激励。

在数字化时代，企业数据安全成为了至关重要的议题。随着企业在数字化转型过程中越来越依赖数据，数据的爱护和安全性也随之变得尤为重要。企业存储的数据蕴含着客户信息、商业秘密、财务数据、知识产权和秘密业务信息等敏感信息，这些数据是企业胜利经营和竞争力的要害资产，一旦泄露或受到歹意利用，将给企业造成微小的损失和名誉危险。 企业面临的数据安全危险是简单多样的，包含： ●数据泄露：敏感数据包含客户数据、员工数据、财务数据等，被非受权人员拜访、获取或泄露；●内部攻打：包含恶意软件、网络攻击、勒索软件等，可能导致企业数据失落、零碎瘫痪或被勒索等；●外部威逼：企业外部员工可能滥用权限、成心或无心地泄露敏感数据，或者通过社会工程等形式成为安全漏洞的入口；●违反法律法规：许多行业有特定的法律和法规要求企业爱护敏感数据，违反这些法律法规可能会面临罚款和法律诉讼危险；●云平安挑战：随着企业日益采纳云计算和软件即服务（SaaS）等技术，数据存储和解决曾经从传统的本地环境转移到云平台。因而，确保云环境的安全性成为一项重要工作；●社交工程：黑客或骗子可能通过社交工程技术坑骗企业员工，获取敏感信息或毁坏网络安全。 以上所列举的仅为局部状况，企业的数据安全危险遍布企业经营倒退的方方面面。 处于日益增长的数据安全威逼和挑战中，企业数据安全常识的储备以及与时俱进是至关重要的，为此，亿格云整顿了一系列数据安全、数据防透露相干的报告与白皮书（不定时更新），冀望为企业的数据安全防护起到无益反对。如需下载汇总资料关注“亿格云科技”公众号发送关键词“DLP”获取合集

直播电商、私域经营、国货衰亡，近年来生产批发行业进入了“卷中卷”的状态，随同着生产流量的崛起，生产批发品牌们也逐渐在对消费者进行数字化治理和经营，以便在互联网下半场竞争里，能提供更“硬”的产品与更好的服务。而在这千万家生产批发品牌的背地，是一家名叫"数云“的公司。 数云就是这样一家坚持不懈地为生产批发品牌专一提供消费者数字化经营的企业服务公司。截止目前，数云已服务了7000+国内国内批发品牌、以及数千家头部电商，在年GMV过亿的电商中市占率超过35%，在过来十年工夫，从电商CRM开创者到全渠道消费者数字化经营软件探索者、践行者，当初数云曾经成为消费者数字化经营科技领域的相对领先者。 在高速业务倒退的背地，离不开的是数云本身以及对客户的平安建设与保障。在之前的流动中，数云信息化与平安资深总监 罗兴峰 发表了对于数云平安建设的主题演讲，他提到，在服务诸多客户过程中，数云会深度与客户的高平安数据畛域进行交融。能够说，平安是企业业务倒退的基石。（视频详情请见亿格云科技视频号） // 初探平安，数云的摸索与挑战在初期布局企业平安部署时，简直是 0 教训，0 开始，起步很难，最大的困惑是如何成长足够无效的平安体系，如果采纳传统计划，一直叠加平安产品、经营各项平安计划，就能够保障业务的数据安全吗？答案是否定的，甚至有可能积重难返。于是在没有设计出清晰无效计划的状况下，数云在做好外围生产防护的根本原点后，开始通过以ISO27001为根底， ISO27701业务数据安全爱护方向为次要思路思考什么是合乎数云本身业务特点的平安保障体系，这给了数云团队极大的启发——业务平安是至关重要的，于是，围绕“业务平安”为核心的数据安全管理体系建设就此拉开帷幕。 罗兴峰提到，所有企业都从最后的简略业务，小体量开始，逐步拓宽与倒退。而晚期的平安建设是单点且容易的，但随着企业业务一直壮大，就必须具备多点位的平安部署，否则将对业务平安带来极大的考验。同时，疫情、业务稳定等突发因素也会导致企业平安面临弹性变动。无论是各类生产子系统的业务成长，还是各类业务倒退中相干人员的入到职及我的项目调动，身份与权限的边界，对于平安团队来说，都是不小的难度。 基于多年平安摸索教训，罗兴峰总结了目前数云面临的三大挑战： 1、日益增长的业务量和新的业务模式：使得网络接入时要保障灵活性的同时实现接入平安。2、业务发展须要团队资源的弹性能力：保障我的项目顺利接入同时，实现团队成员拜访权限最小化。3、身份源须要治理多方资源：身份源需联合企业人力治理流程和办公流程，使得平安环节平滑融入到治理流程中。 数云迫切的须要全面接入一种以身份为核心，具备危险辨认与控制能力的，在尽可能不烦扰日常的工作和流程的交融式办公平安体系。 // 零信赖SASE，平安交融为“上计”在进行平安评估，罗兴峰发现最大的挑战来自于身份源的辨认，弄清楚进入公司外部作业平台任何一个账号或者任何一个接入端到底是谁是平安建设的最根底，来到了身份和接入这两个根底因素，其余下层的平安部署都是“空谈”。 而摆在眼前的一个很大窘境是数云作为倒退中企业，整体平安投入以及平安基线无奈跟大型企业靠齐。在无限的平安团队配置下，数云花了将近2-3年工夫始终在找寻多端交融平安计划，即交融 VPN 、杀毒，以及数据防透露等性能为一体的计划。 直到零信赖SASE的呈现。 罗兴峰发现：建设第一阶段，零信赖对于数云多外出办公的场景十分匹配，能精准实现身份的辨认与治理。在第二阶段，随着零碎的零信赖革新，角色权限等粗疏化模型也在一直交融跑通。第三阶段，新的业务流程和权限模型经营下，会暴露出更多新的问题，便要跟踪平安流程并进行细化改良。成长型的零信赖计划与成长型的企业倒退流程一起优化，在一直发现问题后改良，就有可能“跑”得比攻击者快，这种继续化的平安优化会让企业的平安能力越来越强。数云构建了零信赖SASE的办公平安经营体系， 以身份为核心，员工设施别离去接入就近PoP 点，连贯各个 IDC 云资源与机房，这给企业的平安治理与连贯提供了极大的便当，并且，就近的PoP点接入，相较于传统的 VPN 连贯形式更稳固，不仅如此，数云零信赖SASE平台落地接入后还实现多项安全控制能力： 身份精确辨认与权限治理：依据亿格云枢连贯状态+身份角色辨别可拜访利用及数据；不论是公司内部人员还是合作伙伴，对立执行最小化拜访权限管制，非受权人员无法访问高敏感利用及数据；全流程数据防泄露：可精准实现敏感数据下载可见&可拦挡，通过数字水印帮助进步安全意识。从利用拜访、利用数据下载、本地文件外发实现全流程数据防透露。 外设与敏感数据管控：区别于单点的桌管软件，SASE交融平安基线对USB、蓝牙等外设进行对立管控，实现敏感文件数字水印，敏感数据本地扫描。 敏感数据可管可控：敏感数据辨认和外发审计；对高风险通道（网盘，邮箱，FTP，IM，代码仓）检测和外发拦挡 此外，零信赖SASE无效交融数云现有SSO零碎，实现了身份和安全策略的联动。实现企业组织身份跟与零信赖SASE架构身份的连接，无需再进行额定的定制化开发，为经营管理者提供了十分便捷与愉悦的操作体验。 SASE与SSO的贯通，以身份为核心串联了数云外部平安经营全链路。通过接入组织人员 、业务零碎 、业务数据，使得业务与平安不再出现割裂状态，让获取敏感数据的权限与企业组织配置齐全同步，随时随地实现平安抓手的对立治理。高灵活性与0入侵性的平安框架，交融接入办公OA零碎、CRM零碎、费控系统、KM零碎、PM零碎等等，大大降低了自研工夫周期与开发成本，还无效减少了平安能力。罗兴峰示意，持续性平安经营并不是天天只去干苦活，更要去关注和发现企业实在运行跟安全策略配置是否有差别，是否能落地？零信赖SASE用实力让“现实”落地：针对不同的平安危险环节（如内部合作、外部入到职、部门调岗，内部单干审批、特定业务数据防透露），常态化高频执行流程整合身份辨认与鉴权，实现高频率发展日常平安巡检。公司器重人力、内部合作、数据防透露这三大板块，用绝对正当的人力投入通过高效的经营数据审计审核形式，无效进行日常的平安经营。 // 平安价值，事实谈话谈及零信赖SASE落地带给数云的变动与价值，罗兴峰用了五个点来概括：“全笼罩的平安落地体系”、“平安体系与业务流程整合”、“交融型的经营形式”、“拓展生态业务单干”、“人力和单干资源的弹性能力”。 这五个点清晰阐明了零信赖SASE带来的扭转： 01全笼罩的平安落地体系平安体系全笼罩所有端点。任何一个端点的接入与拜访合乎安全策略，零信赖SASE架构疾速弹性交融所有平安配置，保障全场景统一的平安水位。 02平安体系与业务流程整合平安体系与办公业务流程交融，零信赖SASE架构灵便交融所有平安配置，立刻失效，在日常体系中植入控制点，配合效率大大晋升。 03交融型的经营形式把经营剖析和流程改良联合起来，在经营剖析中发现的问题点，通过优化流程来实现改良。 04拓展生态业务单干让公司的业务能够合作更多的内部生态资源，晋升生态搭档平安水位，实现共享共赢。 05人力和单干资源的弹性能力因为平安可控，带来人力和单干资源能够做到疾速的弹性扩容和开释。 平安能力少数是“隐形”的，可能并不被大部分人所感知，但一个领有齐备平安能力的框架是能无效推动企业业务又快又稳向前，这是企业业务倒退的基石之一，也是数云平安团队继续谋求的。

一、为什么要做一款这样的小插件数据，始终在思考如何让数据更平安的流转和服务于客户，围绕这样的想法，咱们做过许多方面的扩大。咱们落地了服务端的数据切片反对场景化的设计，实现了基于JDBC协定对SQL的拦挡与切片，实现了在应用层的全链路数据库审计计划和实现，实现了WEB端明暗水印和文档水印等等，但这些都是在应用服务端的革新；那么围绕以上服务端的思维产生了在端上做一些事件，剖析了团体外部服务，多以WEB服务端对客户和用户提供便当的性能和数据应用场景。WEB服务多以依赖浏览器的存在进行拜访，所以就试图把数据安全防护的计划前置到浏览器上，在浏览器上做辅助性的数据探测，能够在研发阶段和测试阶段发现数据应用的平安问题，比方某个接口的返回了明文手机号，某个页面未应用身份信息然而调用的接口返回了等等场景... 所以咱们要做一个浏览插件把数据安全防护能力前置到端上实现，它不会影响开发者和测试人员... 二、解决的思路和想法第一步阐明了咱们为什么要做一款这样的小工具，这个章节就是如何去解决下面的问题和想法。 1、浏览器占比剖析市场上的浏览器chrome/firefox/safri....从市场上数据分析目前chrome浏览器占比份额为66.93%，根本主导了浏览器市场，排名第二的是MicrosoftEdge浏览器。依据这样的一个后果咱们优先从chrome插件去着手。 2、知识面的延长咱们团队侧重于后端的方向研发，在前端侧的能力相对来说比拟弱势特地是在浏览器插件又波及到一些底层的运行机制等；首先官网文档去理解chrome插件开发，明确了目前chrome反对的插件版本为v2和v3，其中不好的音讯就是v2在2023年的时候会被后续的版本放弃，意味着v2和v3要同时进行，所以又去理解了一下版本的差别，两个版本在网络拦挡方面有了比拟大的改变，后者变成了规定的模式，对拦挡方面不是太敌对。 3、想法和功能设计要把数据安全局部防护能力前置到浏览器端，意味着要对以后的性能做剖析和实现，首先插件能力不能对研发和测试人员产生影响，其次应用要不便。就有了以下的四个点的想法： 第一是WEB水印能力 通过对插件机制的理解，能够在装置插件之后，对失效的站点批改dom的构造，把水印主动的减少到页面中。 第二个想到的是敏感的数据 利用的敏感数据起源分为三个局部：页面渲染的资源，接口申请的数据，接口返回的数据，围绕这一层的构思，最终定义要实现对页面和申请的拦挡。 第三想法是对页面的操作的事件监听 这个的来源于某些站点会提供大量的数据，用户在应用的时候能够间接应用把数据复制到其它数据，这样的操作属于用户个人行为也不是文件的模式，用户在复制的过程中无奈第一工夫感知是否为敏感，没有方法做到第一工夫的追踪和防护。 第四个..其实是额定的延长 咱们目前同时也做数据流动链相干的我的项目，在我的项目进行的过程中发现会在前端路由与后端路由的链条缺失，想到浏览器插件的运行机制是能够通过dom的对象拿到前端页面的路由，这样的思路就能够填补了这块数据链关系的缺失。 三、落地的路上很多坑1、繁难逻辑图 2、devtool的坑在chrome插件的生命周期中，在background能监听申请收回、返回等事件，个别能获取的事件如下： // web申请监听，最初一个参数示意阻塞式，需独自申明权限：webRequestBlockingchrome.webRequest.onBeforeRequest.addListener(details => { // cancel 示意勾销本次申请 if(details.type == 'image' || details.type === 'medis') return {cancel: false};}, {urls: ["<all_urls>"]});//ajax生命周期开始chrome.webRequest.onBeforeRequest.addListener(details => {console.log('onBeforeRequest', details);}, { urls: ["*://*.jd.com/**"] });chrome.webRequest.onBeforeSendHeaders.addListener(details => { console.log('onBeforeSendHeaders', details) }, { urls: ["*://*.jd.com/**"] }, ['blocking', 'requestHeaders', 'extraHeaders']);// 能够拦挡ajaxchrome.webRequest.onResponseStarted.addListener(details => {console.log('onResponseStarted', details);}, {urls: ["*://*.jd.com/**"]});// 申请实现，然而取不到response后果chrome.webRequest.onCompleted.addListener(details => { console.log('onCompleted', details);}, {urls: ["*://*.jd.com/**"]该形式无奈拿到response内容，从网上常见的解决方案，是给浏览器插件增加devtools_page模块，而后在devtools的页面增加request完结事件，如下： chrome.devtools.network.onRequestFinished.addListener( function(request) { //request 蕴含申请响应数据，如：url,响应内容等 //request.request.url 接口 的url //request.getContent 接口返回的内容 });然而该形式有个问题，就是想要触发devtools的页面内容，须要在页面按F12呼出浏览器的控制台，这个体验就很个别，所以devtools这种模式更像是为开发人员提供debug工具时引入的。 ...

近日，2022（第二届）超级CSO年度评比颁奖盛典在上海古井假日酒店隆重举行，亿格云联结创始人 叶敏应邀参加并作演讲亮相，与近200位来宾、业界专家、企业代表、合作伙伴以及泛滥CSO/CISO们独特分享《基于零信赖的数据防透露计划》，共庆这一属于国内甲方平安从业者的盛会。 安在新媒体一直致力于CSO文化建设，举办超级CSO年度评比颁奖盛典的初衷，就是打造一个沟通交流、合作互助的平台，凝聚“人”的力量，让国内网络安全从业者的声音和价值失去传递，为中国网络安全产业的倒退贡献力量。 评选活动旨在站在用户立场，凭借 CSO视角，聚焦企业人员意识、团队能力、我的项目建设、技术创新、平安经营、生态单干等方面，做年度盘点，树标杆榜样，同时流传CSO理念，培养CSO文化，逐步疏导业界造成器重用户、场景针对、供需协同、成果为重的网络安全发展观。 会议现场，亿格云的零信赖SASE一体化办公平安解决方案吸引了泛滥行业专家前来交换探讨，作为自主研发的零信赖SASE一体化平安平台「亿格云枢」以“建、管、用轻量化”、“平安能力一体化”、“云网端交融架构”等翻新特点帮忙客户案例更好落地实现。该解决方案已服务了近百家上市或独角兽企业，累计解决了智能制作、泛互联网、金融科技、企业服务等十多个行业的办公平安难题。 本次盛典流动，组委会通过认真审慎的资格认定和专家评审，选出了18位优良CSO，作为2022（第二届）超级CSO年度评比的提名奖获得者，即TOP18。亿格云联结创始人 叶敏在现场也为易车以及上汽团体的嘉宾代表颁发了“治理奖”。 大会中，亿格云联结创始人 叶敏为各行业甲方嘉宾以及与会嘉宾发表了题为《基于零信赖的数据防泄露计划》的主题演讲。叶敏在演讲中指出业务数字化转型，办公场景多元化的背景下，企业的办公数据安全面临复杂化挑战：办公网边界含糊，数安危险敞口大；内网利用中数据难管控；敏感数据散布和流转过程不可视； 多种泄露路径难防备；单点DLP成果差等诸多难题。 针对以上数据安全的常见问题，叶敏提到，受限于网络环境、防护面繁多的传统DLP，需演进到撑持所有网络环境、平面防护的XDLP，XDLP联合了零信赖、网关层防泄密能力和终端DLP技术，是一种新的、古代的数据保护办法。而亿格云枢SASE平安云正是基于零信赖XDLP解决方案。 在利用数据防泄露方面，亿格云枢具备零信赖内网数据访问控制、通明利用网关实现数据拜访行为全面可视、API数据安全、主动嵌入页面及文件水印、文件下载管制；在终端数据防泄露方面，亿格云枢还具备外部设备管控、终端数据分类分级规定、敏感数据资产地图；网络数据防泄露方面，具备互联网外发数据审计、内容和通道进行告警与拦挡、SaaS利用数据防透露。 最初，叶敏总结了亿格云枢零信赖XDLP计划几大劣势： 1、以零信赖为根底，确保DLP客户端笼罩全副办公终端。2、防加密、改名等绕过伎俩。3、Web类SaaS利用DLP。4、全域UEBA辨认危险。5、寰球疾速一网统管。6、全场景统一的高平安水位。7、无奈笼罩客户端的BYOD设施轻量级网关层防泄密能力，且反对集成于工作台。本届超级CSO评选活动为行业同仁们提供了一次良好的交换与实际机会，再次向荣膺各个奖项的CSO们示意衷心恭喜。将来，亿格云将继续加强在零信赖、数据安全为主的办公平安畛域继续精进技术，深耕客户实际，与行业同仁与搭档独特推动网络安全事业新倒退。 如果你也对数据安全感兴趣欢送关注“亿格云科技”公众号发送关键词“CSO”支付完整版分享PPT

数据安全是在数字化时代中极其重要的方面之一。在明天的数字化环境中，企业的竞争力和商业胜利往往取决于他们如何爱护和治理数据。因为大多数业务都离不开数字信息的存储、传输和解决，因而爱护数据不受损失、泄露、被篡改或被黑客攻击是至关重要的。 数据泄露带来的结果是不可估量的，它可能会导致企业的商业秘密泄露、知识产权被窃取、品牌名誉受损，同时还可能造成重大的法律和合规问题。对企业的经营和生产带来负面影响。 对于企业而言，爱护数据安全是至关重要的。除了采取安全措施，如加密、身份验证、访问控制等来爱护企业数据。也须要一直地更新和降级安全措施以放弃数据安全。 在此背景下，亿格云整顿了海内外以及各中央区域、行业部门数据安全超200部政策法规与规章方法等，心愿对此畛域感兴趣的同学可能起到肯定借鉴作用。 如需下载汇总资料关注“亿格云科技”公众号发送关键词“数据安全汇总”获取文件

“作为一家生物科技公司，咱们的业务散布全国，且异地、挪动办公频繁，无论是安全监管层面要求端的防护还是避免黑客攻击、员工平安晦涩办公的角度，咱们都非常重视企业整体的办公平安，亿格云作为一家技术专业化，兼具服务精力和冲劲的平安公司，在技术计划落地上更符合咱们的网络架构，跟传统平安产品（日常经营）相比起来也更轻便与便捷，期待后续更多新性能上线。” ——欧易生物 CIO Eric案例亮点：● 国家器重网络安全，网安部门对生物科技公司平安防护高度关注，满足合规要求● 避免安全事件呈现，防止公司遭逢危险及损失，为公司后续策略倒退奠定根底● 比照单点购买平安产品重叠，购买一体化平安产品整体大大降低平安经营老本● 一体化集成平安性能，一次装置搞定，平安易运维，服务极高效 01了不起的生物技术“看不见”的平安危险欧易生物成立于2009年，是国家高新技术企业，作为国内驰名的翻新多组学检测服务提供商。致力于减速客户钻研及开发过程，晋升客户钻研及开发价值。公司业务覆盖全国生命科学、医疗钻研机构及制药等研发企业，为客户提供优质多组学检测服务与产品，近几年，欧易生物在单细胞测序技术、空间多组学技术（空间代谢组、空间转录组）、单细胞蛋白组技术、简化宏基因组测序技术、酵母文库技术、多组学联结剖析等服务方向逐步获得行业当先劣势。 听起来并不是很“接地气”的生物科技公司，很少进入公众的眼帘。据理解，欧易生物与出名高校院所，以及科研机构等都有严密的沟通与单干。不同于制药公司，欧易生物当先的生物科研技术是企业倒退的外围。然而，秘密的技术数据、扩散的业务布局、高频的人员出差办公、虎视眈眈的不法分子....这使得欧易生物Eric率领的信息安全建设团队面临着不少挑战。 “初入欧易生物，埋头聚焦科研与技术的领导团队并没有在公司的信息安全建设投入过多关注，大略只停留在“有防火墙”等初步阶段”。欧易生物 CIO Eric提到。然而，就是这样的“乖学生”却被境外不法份子盯上，好在黑客攻击入侵后被网安部门及时发现，并没有造成公司重要损失与负面影响。但通过此次事件，团队意识到，无论是监管层面还是公司平安防护层面，新的办公平安体系建设火烧眉毛！ “近乎裸奔的平安防护下，应尽早确认并搭建好信息安全体系，合乎平安合规要求，并在公司业务疾速倒退阶段保障效率和办公平安”。Eric疾速判断。凭借在多终端、多零碎，多人员等场景下的平安建设教训，Eric团队调研评估后，指标指向了“零信赖”。 02为什么是亿格云零信赖SASE？谈及为什么抉择建设零信赖，Eric示意，“其实零信赖只是咱们建设的一个环节，后续的防病毒、终端准入、DLP等都是咱们要建设的局部！” 在Eric及团队看来：”平安建设是具备前置性的，不是说等产生了安全事故再来估计损失跟长期补救，能力体现平安建设的重要性，而是前置部署去升高安全事故产生危险，防止造成公司损失！” 联合公司的整体业务策略节奏与倒退现状，Eric团队对欧易生物的办公平安建设需要进行了分析： 需要 1：公司业务全国布局，销售人员外出、居家、近程等混合办公场景频繁，应用向日葵等软件拜访公司内网及利用存在危险隐患。 需要 2：公司有将来策略倒退打算，盗版软件规范化与信息安全体系须高度合规，防止黑客攻击、病毒入侵等状况。 需要 3：零信赖网络拜访、桌面治理、网络准入、防病毒、数据防透露等性能一体化需要，单点投入一次性买断式的购买会导致公司IT运维人员老本与洽购老本居高不下。 需要 4：重视员工体验，无论在哪，心愿员工工作体验跟在公司内一样是简略高效、无打搅的。 需要 5：钻研人员从海内医学网站查问生物论文等资讯，须要平安合规跨境拜访。 除了关注厂商的技术能力之外，业余服务也成为了Eric跟团队非常重视的点。综合以上总结的建设思路，团队粗疏甄别了国内各大厂商，并且深度测试了3-4家的厂商产品后，亿格云零信赖SASE一体化的办公平安解决方案怀才不遇！ 030硬件！高效开启All in One业余办公平安解决方案测试过市面上出名的平安产品后，亿格云枢也正式进入了Eric及团队的视线。亿格云枢通过云网端交融的云原生平安体系，用SASE的平安架构，以身份为核心，交融了本来不平安的广域网和碎片化的平安能力，以一体化的服务提供零信赖平安拜访 (ZTNA) 、数据防透露 (XDLP) 、威逼检测响应 (XDR) 、防病毒、桌面治理等平安能力。 欧易云枢一体化平安平台登录界面“随同着将来挪动办公等场景会越来越多，传统集中式的平安部署必定会遇到瓶颈，本来对SASE理解的很少，但从团队评估过后认为这个（SASE）架构还是比拟先进的，也更适宜咱们的网络架构！”负责欧易生物IT运维的邸老师说到。“SASE能够随时随地平安拜访云内网利用，升高企业带宽及云专线老本，这点其余厂商很难做到。” 同时，一体化的平安性能交融也让Eric及团队眼前一亮，全面的自主翻新研发，打消了产品集成的顾虑，亿格云枢的平安性能满足了欧易生物的平安需要场景。在收入老本上，亿格云枢采纳订阅式服务，折算下来比单点一次性购买多个平安产品成本节约了近42%，最大水平升高了公司的老本危险。在IT治理上，无需打搅员工进行操作，IT工程师就能够从后盾查问到用户终端的信息或异常情况，大大增加了运维的便利性！ 欧易云枢内网连贯界面满足根底场景与性能外，被问及亿格云枢感动Eric团队最大的亮点时，他们示意“次要是你们（产品）落地比较简单，不须要对网络（架构）的大量调整，也无需部署一些繁冗的硬件.”思考了一下，Eric补充道，“你们利用拜访减速也挺有亮点的。” 为保障公司办公平安的笼罩全面化，Eric团队也于外部公布了对于亿格云枢的应用场景与教程等文档。并在新员工入职进行业余的平安培训宣传。截止目前，欧易团体近千终端的规模下，亿格云枢根本实现了100%的终端铺设，从数据看员工投诉率反馈良好！ 欧易外部推广办公平安平台——欧易云枢下一阶段随着工夫推动，欧易生物的信息安全团队也会在原有部署上退出更多平安性能。至此，既做到了平安全面、又满足了简略高效，亿格云也将助力欧易生物一直进行零信赖SASE最佳平安体系的建设打磨。 客户面对面Q1请您简略评估一下亿格云或者谈谈您为什么抉择亿格云？ 欧易生物 CIO Eric： 首先，在整体印象上，亿格云（技术）比拟专业化，是兼具服务精力和冲劲的平安公司，跟局部厂商比照起来，服务精力更好，技术计划落地更简便，也符合咱们的网络架构。零信赖SASE架构绝对也比拟先进，与传统（平安）产品起来，会更轻便便捷。基于目前当地出差、挪动办公场景越来越频繁，更须要对立管控。咱们也期待你们的新的性能上线！ Q2您对咱们产品或服务有什么倡议想法？ 欧易生物 CIO Eric： 心愿你们在远程桌面操作的性能上能深刻摸索一下，相似向日葵的远程桌面软件，因为局部终端零碎自带的远程桌面性能不好用，如果亿格云枢能登陆到另一个电脑进行技术支持的话会更好。

俗语说“网安想做好，压力可不小”。要说当下企业平安或IT负责人最头疼的问题之一，莫过于企业数据泄露的平安问题，而这些数据泄露的背地，通常都跟人无关，“员工到职带走敏感数据，员工高频外发敏感数据，员工终端应用的网络环境有造成敏感信息外泄的危险....”危机四伏，防不胜防。 亿格云本着让企业办公平安建设极致简略而全面的平安思路，让每个企业的平安团队更不便把握敏感数据信息的动向，更平安地保护信息资产。借助零信赖SASE一体化办公平台（亿格云枢），集零信赖平安拜访（ZTNA）、数据防透露 (XDLP) 、威逼检测响应 (XDR) 、防病毒、上网行为管控、桌面治理等性能于一体。 针对员工到职数据梳理、员工高频外发敏感数据等场景，提供了员工集体全面的「数据危险剖析报告」，企业的平安/IT运维团队在后盾从终端设备、数据囤积、数据外发三个维度清晰理解员工的数据危险行为，并作出相应决策。 01场景一：员工到职Proofpoint公布了2023年的网络钓鱼剖析报告。报告中揭示了过来两年内换工作的员工中，近一半抵赖在到职时随身携带数据。这对企业而言是个重大的平安危险，员工到职携带走敏感数据，可能给企业带来不可估量的经济或名誉损失。员工办理到职前，可借助数据危险剖析报告，清晰通晓到职员工近一个月来的终端设备应用、网络接入状况、不同敏感级别的数据积攒囤积状况及趋势、数据类型散布、是否下载留存敏感数据。 02场景二：高危员工当然，平安的尺度对于每个人来说是不同的，企业中也存在高频下载并外发敏感数据的“居心叵测”之人，这类员工对企业倒退带来了严重威胁，数据一旦被泄露给未受权的第三方，如黑客、竞争对手或其余歹意人员，会给企业带来严重后果与危险。甚至因为泄露客户信息而失去信用，最终承当法律结果和财务损失。因而，企业对于危险员工的把控是必不可少的。通过危险剖析报告可间接统计高危员工近一个月来的下载的敏感数据、拜访最多的利用、源代码下载趋势、搬运最多的源代码仓库地址，以及数据外发数量与趋势剖析，外发的敏感大文件，外发通道，通过这些剖析，可能清晰理解高危员工的数据行为，十分便于管理。 富丽分割线 如果你感觉光是只有图文报告来评估，那就大错特错了！为了便于平安与IT运维团队的日常治理，亿格云枢的数据危险剖析报告引入了最近风靡寰球的「智能 AI」最近朋友圈霸屏的产品ChatGPT像颗火苗一样热度一直攀升，急速蔓延并引起了海内外各界人士对AI的设想，它能像人类一样"了解文字、写出文字"。 独一无二，亿格云枢率先用 智能AI 在「数据危险剖析报告」畛域实现布局，开启 AI 帮助平安运维剖析的新潮流！ 输出问题，只需短短30秒，亿格云枢「智能 AI」就能依据报告具体解读出员工的危险行为与解决倡议。上文提到的所有展现模块都能轻松解读，不仅解决不了解、费时间等安全检查难题，还在综合剖析后间接给出危险指数，另外，操作者也无需领取费用，只需登录亿格云枢治理后盾即可疾速体验！除了能多维度从员工到职、高风险行为的状况剖析之外，亿格云枢「智能AI」对企业网络安全危险评估还大有裨益，包含辨认潜在平安危险、优化企业安全策略、进步员工安全意识、缩小安全事件产生、升高安全事件影响等。 直观的降本增效，解决企业平安办公治理的实在痛点，打造“企业平安与IT运维团队都受用的平安产品”。才真正实现1+1>2的效用！

2023年3月28日，2023年中国网络安全产业联盟（CCIA）技术利用专题研讨会暨中国网络安全产业联盟（CCIA）2022年年底大会在北京歌华开元酒店正式召开。会议以“共筑网络安全 共谋科技倒退”为题，以聚焦数字经济倒退平安需要，促成技术创新为宗旨，开设数据安全和个人信息爱护、网络安全产品互联互通以及汽车网络安全等三个专题分论坛。北京百度网讯科技有限公司作为国内具备弱小互联网根底的当先的AI公司，多年来踊跃躬身专一于数据安全和用户个人信息爱护工作，受邀参加由CCIA数据安全工作委员会（以下简称：CCIA数安委）主办的《数据安全和个人信息爱护专题会（CCIA数安委年度会议）》，并荣获CCIA数安委《数据安全和个人信息爱护社会责任》试点评估二星级（零碎级）示范单位名称。     为落实《数据安全法》、《个人信息保护法》等法律法规中所提出对于数据安全和个人信息爱护社会责任的要求，放大数据处理和个人信息应用的社会价值，2022年12月30日CCIA数安委正式公布《数据安全和个人信息爱护社会责任指南》（T/CCIA 002—2022）。该规范由中国网络安全产业联盟归口，CCIA数据安全委员会组织委员单位编制了联盟技术规范，施行日期为2023年2月1日。规范为组织了解数据安全和个人信息爱护社会责任和施行相干流动提供指南，旨在帮忙组织在恪守法律法规和根本道德规范的根底上实现更高的组织社会价值，最大限度地致力于可继续倒退。本规范实用于解决数据的组织，还实用于第三方机构评估组织在履行数据安全和个人信息爱护社会责任的程度。在规范编制过程中，百度凭借百度平安平台23年在数据安全及个人信息爱护技术的积淀和建树，踊跃承当规范第二章节组长的身份，全程参加了规范的编制工作，踊跃推动百度数据安全及个保理念从企业实际到在国内标准化建设的转化，推动百度ESG报告作为规范通用的数据安全和个人信息爱护社会责任报告模板，成为行业关注或行将公布数据安全及个保ESG报告单位提供模板参考。《数据安全和个人信息爱护社会责任指南》规范封面图片为进一步促成《数据安全和个人信息爱护社会责任指南》的宽泛施行利用，推动CCIA数安委生态单位更好履行数据安全和个人信息爱护社会责任，疏导全社会独特保护数据安全和个人信息爱护，促成造成数字经济倒退的良好环境，CCIA数安委在2022年12月至2023年1月启动“联盟技术规范《社会责任指南》试点暨社会责任试评估流动”。在试点示范自评估期间，百度基于《数据安全法》《个人信息保护法》等法律法规，CCIA技术规范《数据安全和个人信息爱护社会责任指南》五大自评估主题、24项自评估细分议题为根据，依据《社会责任指南》附录A给出的社会责任评估办法，对应梳理并顺次枚举2021-2022年间百度相干动作及成绩，最终整顿了本身在数据安全和用户个人信息爱护近200条证据资料，整顿了90页的申报材料。通过自评估初审、专家综合评审等系列流程，百度凭借其欠缺先进的数据安全和个人信息爱护组织治理及外部治理流程、本身及相干方的强监管合规性、数据安全及个人信息爱护技术及理念的市场创新性、赋予的消费者及集体的价值体现度及权利爱护、公益参与度和社会倒退推动力等方面的卓越体现，一举拿下CCIA数安委《数据安全和个人信息爱护企业社会责任》首批试点示范的最高级别二星级（零碎级）单位名称。ESG的环境、社会和公司治理三大外围指标是百度外部推动可继续倒退的重要规范，数据安全和个人信息爱护，是百度公司治理的重要组成部分。百度从制度、流程、人员、技术等方面实现多维生态构建和技术迭代翻新，促成数据安全与用户个人信息爱护在企业的翻新落地，建设国内市场生态，疏导相干方企业一直深入开展数据安全和个人信息爱护社会责任相干流动，推动数据合规、无效、翻新利用，为数字经济倒退削减新动能。

2023年3月28日，由中国网络安全产业联盟（CCIA）数据安全工作委员会（以下简称：CCIA数安委）主办的数据安全和个人信息爱护专题会暨CCIA数据安全工作委员会年度会议在北京胜利闭幕。会上，CCIA数安委颁布了2022年工作委员会年度优良先进个人和企业名单，表彰在2022年度对CCIA数安委在联结流动、规范研究及宣贯、规范落地等方向做出踊跃奉献的相干单位及集体。经数安委提名、常务理事会审议批准，CCIA数安委授予百度“2022年中国网络安全产业联盟数据安全工作委员会突出贡献奖”。2021年7月，百度积极响应CCIA数安委号召成为其首批会员单位，并勇担生态建设责任，受任数安委副主任委员单位。至此，百度已实现间断两年负责CCIA数安委副主任委员单位。任职期间，踊跃施展本身在数据安全、集体信息安全方面积攒的深厚的技术栈，在委员会的率领下，充分发挥行业带头作用，一直深入与CCIA数安委在政策解读、规范宣贯、联结流动等方面的单干。2022年，在规范方面，百度作为规范前三参编单位的身份全程参加了CCIA数安委牵头的《数据安全与个人信息爱护社会责任指南》规范制订过程，并帮助推动规范在2022年12月30日正式公布；在流动参加方面，百度依靠百度平安平台在数据安全和个人信息爱护等方面的翻新技术及前沿理念，联结CCIA数安委生态成员单位主办或联结主办了包含《CCIA数安委-DCS规范宣贯流动》第三期—挪动应用程序个人信息爱护规范专题线上宣贯流动、《CCIA数安委-如何履行数据安全和个人信息爱护社会责任》线上直播流动等在内的多项会议流动，对应输入了百度在数据安全及个人信息爱护的企业实践经验及翻新观点。                  此外，在2022年国家网络安全宣传周期间，百度平安平台还联结其余副主任委员单位发动了CCIA数安委首个《迎接“个保法”施行，大家筹备好了吗？》直播流动，取得了行业和企业的高度关注与统一好评。         此次百度取得“2022年CCIA数安委突出贡献奖”殊荣，再次体现了CCIA数安委乃至CCIA对于百度在联盟流动参与度、企业本身能力等方面的充分肯定。将来，百度将以此为激励，判若两人保持在CCIA数安委的领导下，踊跃履行副主任委员单位的责任。对内，不断加强本身的技术创新，踊跃推动数据安全和个人信息爱护在企业外部的翻新落地与合规体系建设。对外，继续输入企业实践经验，输入业余的技术实力、翻新的产品理念、敢为人先的开拓精神，为CCIA数安委开辟数据安全和个人信息爱护新生态奉献本人的企业力量。

近几年，删库跑路事件在国内频频产生。前有“某公司程序员删库跑路被判刑六年”，后有某公司几百家客户数据遭重大删除。这不仅为公司自身带来间接的财产损失，更为严重的是，公司的公信力、品牌形象也随之毁于一旦。 值得注意的是，这并非是“鲜少产生”的新闻事件。以我自己为例，犹记得之前在某家公司服务时，技术支持人员在客户现场疾速写了一个脚本，本认为无懈可击，突然发现把用户积攒多年的数据一扫而光。好在该客户有数据备份，通过几天的致力，终于使得数据恢复如初。预先，该公司在客户处的信任度重大下滑，而涉事技术人员、直属领导以及 CTO 都被打出了当年最低绩效。 回到近期的“几百家客户数据遭重大删除”事件，其在云数据库畛域激发千层浪，起因在于，无论哪家公司，数据安全都是最根本的红线。从业人士震惊之余，也纷纷对相干话题开展探讨。作为信息安全业余出身的从业人员，对于数据安全也有一些本人的思考。明天，我将从信息安全的三要素谈起，探讨数据安全体系建设以及 Zilliz Cloud 的数据安全之路。 01.平安三要素 提到安全事件很多人的第一反馈是 token 泄露、数据库被脱之类的事变，但平安的领域远不止如此。信息安全包含保密性、完整性和可用性三个子畛域。其中，保密性是指爱护数据不被未受权的人拜访或泄露，这也是最被公众所熟知的安全事件；完整性是指爱护数据不被篡改或毁坏，很多时候完整性的事变并不是由内部攻击者造成的，而是由外部的不当运维、脚本bug等问题导致；可用性是指确保数据在须要时可用。这三个因素是形成信息安全体系的根底。 02.数据安全体系建设 在明确了信息安全的基本要素之后，下一步要从架构和技术角度构建一套数据安全体系，满足不同阶段、不同级别的平安要求。尤其是在云原生数据库畛域，数据安全体系建设能力就是产品的外围竞争劣势。 平安体系大抵能够如上图所示分为四个级别。没有客户会忍耐本人的数据处在一个中高风险的环境。现实情况是，在 IaaS、PaaS 层的云厂商如 AWS、阿里云等公司有足够的平安工程师和绝对成熟的治理标准，能保障本身的服务处于极低危险中；而作为终端用户，在上云的过程中会大量应用各类 SaaS 服务，例如 HR、CRM、DB、IM 等，如何保障上述 SaaS 服务在危险的公网环境中保护用户数据安全，是值得沉思的问题。SaaS 行业的从业者们能够从最近的事变中稍作反思：本身的平安体系建设处于何种阶段？是否存在下图中的问题？ 03.Zilliz Cloud 的数据安全之路 作为一家云数据库公司，Zilliz Cloud 把数据安全放在首位，从商业化的 Day1 开始便致力于建设数据安全体系。 为此，Zilliz Cloud 进行了以下操作： 平安合规：以最快的速度实现了 SOC2 认证，踊跃实现其余认证中；平安标准：严禁操作用户生产数据，外围链路审计日志，保障操作留痕；访问控制：RBAC 权限体系；故障隔离：资源组、多租户能力，将用户数据、服务做好隔离；数据备份：定期快照、备份用户数据，呈现故障后及时复原；数据回收站：误删除后数据可复原；多可用区：异地容灾；加密：全链路 SSL 加密……当然，以上只是 Zilliz Cloud 作为云数据库在平安畛域摸索的一小部分，后续咱们也会继续增强平安建设，为用户提供平安、牢靠、稳固的数据服务。数据安全是云原生时代的重要问题，任何一个数据安全事件都会给企业和集体带来微小的损失。在数据安全体系建设和技术保障方面，从业者须要一直地晋升本人，能力更好地为用户数据保驾护航。 而 Zilliz Cloud 也将判若两人地在数据安全畛域深耕，为用户提供更加平安、牢靠的云数据库服务。往年晚些时候，Zilliz Cloud 也会基于阿里云为国内用户提供开箱即用的向量数据库服务，敬请期待！ （作者系 Zilliz 首席工程师 焦恩伟）

01The Problem of Private Set IntersectionPSI 全称为 Private Set Intersection，直观的翻译名字为“隐衷求交”。从场景来看，隐衷求交：有许多个参与方，每个参与方持有各自的隐衷数据心愿通过协定求到所有数据的交加然而不透露除交加外的任何信息目前罕用的 PSI 算法有：ECDH [1]KKRT [2]PSTY [3]1.1. ECDH如果咱们假如哈希函数这里是计算平安参数，通常咱们能够取 128，基于 DH 的 PSI 协定如下所示。1.2. KKRT联合 Cuckoo hash 以及 batched OPRF，能够结构出一个比拟高效的基于 OT 的 PSI 协定（因为 batched OPRF 的构建基于 OT，因而咱们能够认为 KKRT16 的 PSI 协定是基于 OT 构建的）。协定具体内容如下图所示，咱们将右边参与方叫做 Alice，左边参与方叫做 Bob。 02PSI的利用场景咱们能够看到，（如果咱们只思考两方的场景下）PSI 场景中参与方咱们记为 P0 以及 P1P0 持有数据：data0 = (X, A1, A2, A3, ....)P1 持有：data1 = (Y, B1, B2, B3, ....)这里 X、Y 示意想要“撞库”应用的匹配字段（相似于 UID），而 Ai、Bi 指的是可能存在的其余数据信息。咱们假如在所有两方 PSI 场景下想要比对的数据用下图形式示意。咱们假如 data0 和 data 1 中只有一条数据是匹配的，即 y1 和 x2。留神在 PSI 中咱们肯定须要保障平安的是：X 与 Y 的非交加元素Case 1: 指定参与方获取交加 UID通常来说，在 PSI 中咱们指定能够指定某个参与方（例如 P0）获取到 UID 的 PSI 后果。在上面这种场景下，P0 得悉了交加的 UIDP1 什么都没有失去（简直）所有的已知 PSI 协定都能够实现上述性能。例如 KKRT、ECDH PSI 等等。Case 2: 指定参与方获取交加 UID 以及 Payload通常来说，在 PSI 中咱们指定能够指定某个参与方（例如 P0）获取到 UID 以及 Payload 的 PSI 后果。在上面这种场景下，P0 得悉了交加的 UID + 交加元素在 P1 处的 PayloadP1 什么都没有失去这种状况咱们须要一些 tricky 的形式来计算，通过 case1 首先使 P0 获取到 “x2” 这条交加的 UID 数据；运行一个 Symmetric PIR 协定，或者 1-out-of-n OT 协定获取到 payload 的交加信息。当然，也有一些更加高效的算法，这里不再赘述。Case 3: 交加 UID 公开在这个 case 中，单方均获取到最终交加的 UID 信息。所有的已知 PSI 协定都能够实现上述性能。Case 4: 交加 UID 公开，指定方获取到 Payload所有的已知 PSI 协定都能够实现上述性能。只须要在 case3 的根底上让 P1 将 payload 发送给 P0 即可。Case 5: 单方数量级差距大（性能晋升）传统的 PSI 协定个别假如了单方数据集大小相似的状况，因而在 unbalanced 场景中咱们须要特定设计的 PSI 协定来实现协定减速。须要留神的是在 unbalanced 的场景下其实并不影响咱们解决 case 1 - case 4 的所有利用场景，这里咱们只以 case 3 的场景作为例子。Case 6: 获取到交加 UID 或者 Payload 的统计值在法律法规、用户隐衷要求较高的场景中，咱们须要对交加信息进行爱护。因而在上面这种场景下，P0 得悉了 单方交加 UID 的某个统计值P1 得悉了 单方交加 UID 的某个统计值如果咱们想要同时对 Payload 进行计算，会就义较大的性能，能够达到的成果是：P0 得悉了单方 交加 UID 的某个统计值 或者 Payload 的某个统计值P1 得悉了单方 交加 UID 的某个统计值 或者 Payload 的某个统计值===注：本文探讨的计划仅限于半诚恳平安模型，歹意平安须要另行探讨。参考文献[1] Agrawal, Rakesh et al. “Information sharing across private databases.” SIGMOD '03 (2003).[2] Kolesnikov, Vladimir et al. “Efficient Batched Oblivious PRF with Applications to Private Set Intersection.” Proceedings of the 2016 ACM SIGSAC Conference on Computer and Communications Security (2016): n. pag.[3] Pinkas, Benny et al. “Efficient Circuit-based PSI with Linear Communication.” IACR Cryptol. ePrint Arch. 2019 (2019): 241. ...

作者 | 魔王赵二狗 导读 隐衷计算（Privacy-preserving computation）是指在保证数据提供方不泄露原始数据的前提下，对数据进行剖析计算的一系列信息技术，保障数据在流通与交融过程中的可用不可见。而Diffie–Hellman密钥协商是一种平安协定。它能够让单方在齐全没有对方任何事后信息的条件下通过不平安信道创立起一个密钥。这个密钥能够在后续的通信中作为对称秘钥讯内容。 全文6088字，预计浏览工夫16分钟。 01 什么是DH密钥协商算法1.1 DH由来DH密钥协商是Whitefield与Martin Hellman在1976年提出了一个的密钥替换协定。 1.2 解决什么问题首先咱们先看一个场景： 小明要在网络上给小红发一篇情书，小明呢，比拟害羞，不想让其他人晓得情书的内容。 那么不言而喻，小明必须要对内容进行加密，这个时候就须要抉择加密的形式，咱们晓得对于非对称加密对内容的长度是有限度的，而小明写的情书内容又十分多，那只好选用AES对称加密。 咱们晓得，AES对称加密和解密是须要密钥key的，那么咱们假设小明和小红之间须要传递密钥，那么如何保障密钥key的安全性？这时候你可能会说，把密钥key用RSA非对称加密不就好了（数字信封的概念），但咱们是否有其余更好的形式解决问题？ 这时候，DH密钥协商算法就应运而生，他解决的就是对称加密的密钥无需进行传输，并使小明、小红应用的AES密钥是统一的，那么这是如何实现的呢。 1.3 实现原理DH算法解决了密钥在单方不间接传递密钥的状况下实现密钥替换，这个神奇的替换原理齐全由数学实践反对。 咱们来看DH算法替换密钥的步骤。假如小明、小红单方须要传递密钥，他们之间能够这么做： 小明首选抉择一个素数$p$，例如：97，底数$g$是$p$的一个原根，例如：5，随机数，例如：123，而后计算$A=g^a$ ，而后，小红发送$p=97$，$g=5$，$A=34$给小红；小红收到后，也抉择一个随机数$b$，例如：456，而后计算$B=g^a mod p=75$ ，小红再同时计算$s2=A^b mod p=22$；小红把计算的$B=75$发给小明，小明计算$s1=B^a mod p=22$，计算结果与乙算出的后果一样，都是22。所以最终单方协商出的密钥$s=22$。留神到这个密钥$s$并没有在网络上传输。而通过网络传输的$p$,$g$，$A$和$B$是无奈推算出$s$的，因为理论算法抉择的素数是十分大的。 所以，更确切地说，DH算法是一个密钥协商算法，单方最终协商出一个独特的密钥，而这个密钥不会通过网络传输，来保障了密钥的安全性。此时，小明和小红都露出了开心的笑容。 02 公式推导本着谨严的态度，当初咱们对$s1$与$s2$是否恒等做公式推导。一般来说，书上是如下解释： 这里是使用了求余的运算规定，也就是说以下等式默认是成立的： 其实当成定理记住也就OK的，然而想要证实这个公式也很简略：将求余运算转换为加减乘除运算，而后利用二项式开展公式便能够失去答案。 推导过程： 令 依据①②可得 则 将③带入上式，可得 应用二项式开展公式将开展，则 从这个表达式能够看出，前项每一项都是的整数倍，因而 运算必然为0，因而： 所以 成立。 03 利用实现注：本示例以Java服务端作为小明，Android客户端作为小红，下图为执行程序。 1.客户端发动申请获取服务端的p，g，serverNum // 获取服务器的p，g，serverNumRequest request = new Request.Builder() .get() .url("https://xxxxx/dh/getdhbasedata") .build();Call call = mHttpClient.newCall(request);Response res = call.execute();2. 服务端创立信息创立DHServer类 ...

导语 | 本文推选自腾讯云开发者社区-【技思广益 · 腾讯技术人原创集】专栏。该专栏是腾讯云开发者社区为腾讯技术人与宽泛开发者打造的分享交换窗口。栏目邀约腾讯技术人分享原创的技术积淀，与宽泛开发者互启迪共成长。本文作者是腾讯高级开发工程师杨波。 本文次要总结集体在数据安全分类落地过程遇到问题的教训，心愿本文能对此方面感兴趣的开发者们提供一些教训和帮忙。 背景随着《数据安全法》、《个人信息保护法》等相继出台，数据安全回升到国家平安层面和国家策略层面，数据分类分级曾经成为了企业数据安全治理的必选题。然而数据分类分级的实现在行业内有很多痛点，次要体现在如下几点： 规定制订简单：数据进行分类有多种维度，不同维度各有价值。在不同行业及畛域，甚至具体到每个企业和部门，针对不同级别数据也各有定义。维度、级别的不清晰会导致后续基于分类分级的很多合规管控存在问题。协调沟通老本高：企业规模一直宏大，组织架构也随之变得复杂臃肿。数据的扫描上报关联到多个部门和事业群，甚至子公司。这波及到多人之间的协调沟通，还需思考网络隔离，拜访权限和审批等诸多问题。数据容量大：互联网时代到来，企业信息化建设始终高速倒退中，业务零碎也越来越简单。随之产生的海量数据，给企业带来微小的价值。相应一旦海量数据透露，也会给企业造成重大的结果。如何实时，高效，全面笼罩海量数据分类分级，这对技术架构是一种考验。存储组件多：互联网尤其是云计算时代，企业为了应答大流量高并发业务场景，诞生关系型，非关系型，对象存储等多种存储组件。这既有开源实现，也有企业外部自研。不同的实现，有着不同的传输协定和数据结构。要笼罩多种存储组件数据分类分级，须要大量的工作量。然而查阅公司内外很多材料，往往只着重解说数据分类分级概念与规范。目前并未有可借鉴，可落地的分类分级技术实现参考。因而本文重点不在于探讨数据分类分级的规范制订，而是从技术层面来讲述一种通用能力形象封装，海量数据辨认，跨部门和平台数据接入的分类分级架构实现。将数据分类分级技术进行赋能，防止反复造轮子。并以此为根底来从理论角度满足数据安全合规工作的落地和推展。 注：数据分类分级介绍参考数据安全治理：数据分类分级指南。 数据安全业务流程（一）业务层面 从业务层面看，以数据分类分级作为数据安全的基石，来对数据进行平安管控，比方数据加密，数据脱敏，数据水印，权限治理，平安审计等。可见数据分类分级对数据安全的重要性。 （二）技术层面 从技术层面看，将数据扫描上报，通过数据辨认引擎进行辨认。然而在理论落地过程中，却发现很多问题。比方存储组件品种多，上报数据流量大，以及时效性，准确率，覆盖率等等问题。 整体架构 通过一直对数据分类分级业务剖析，设计如上数据分类分级架构。架构外围由五大块组成： 多种存储组件数据扫描上报工具。数据辨认服务集群，对立接管上报数据，并进行数据辨认。辨认规定引擎，对立保护辨认规定的治理，在线热更新等性能。数据中台，依靠分类分级后果，进行数据安全管控。依靠公司的根底框架能力，保障引擎服务的高可用，比方监控，告警，日志，弹性扩缩容等。其中重点要解决前三点。 海量数据实时辨认企业规模一直宏大，海量用户，必然产生海量数据。如何满足高性能，时效性同时，又能达到高正确率和覆盖率要求，对于零碎架构是一个微小考验。 （一）数据存储PCG目前笼罩近二十种存储组件类型和平台，三千万张表，以mdb，cdb，tredis，苍穹为例： 存储选型从表格可见，仅mdb已超过五百万张MySQL表，而cdb甚至超过一千万张MySQL表。而一张MySQL表即对应要保留一条分类分级辨认后果。MySQL单表数据倡议在五百万左右，超过这个数据量倡议通过分库或分表处理，这在电商我的项目一些场景是可行，比方交易订单数据。但这也会带来经典的分布式事务等问题。 因而须要抉择一种满足大容量，高并发，高可用和事务acid的数据库。 大数据hadoophadoop作为经典大数据存储架构，可存储pb级别以上数据，但时效性不高，通常用作T+1离线工作olap场景。且hadoop对事务acid反对无限，无奈满oltp场景。 tidbtidb是一款分布式海量容量云原生newsql。tidb底层应用raft算法，实现数据分布式存储和保证数据一致性。同时兼容MySQL协定，反对事务。因而tidb满足要求，然而公司目前没有专门团队保护tidb。 云原生tdsql-ctdsql-c是TEG自研的一款的数据库。tdsql-c对MySQL架构做了改良，将计算和存储拆散，从而实现存储和计算资源的疾速扩容。因而tdsql-c反对MySQL协定和事务，同时具备高性能等个性。且公司目前有专门团队保护tdsql-c。 存储比照 从表格可见tidb和tdsql-c满足需要，但tdsql-c有公司外部专人保护。因而抉择tdsql-c来存储数据分类分级辨认后果。 （二）数据接入服务端须要对接多种存储组件平台的数据上报，不必平台对资源，性能，时效性有不同要求。因而实现http，trpc，kafka多种接入形式，以满足不同场景。 kafka传输大数据kafka能够实现生产端失败重试，且能够对流量进行削峰，举荐应用kafka进行数据上报。 为了保障辨认后果正确，对关系型数据库单表取200条数据上传。大数据存在一些宽表或者大字段，导致上传的数据超过1M，这超过了kafka默认配置。除了限度上传数据包大小以外，也须要对kafka配置进行优化。 kafka producermax.request.size=1048576 （1M） batch.size=262144 （0.25M） linger.ms=0 request.timeout.ms=30000 因为音讯数据包比拟大，因而不心愿音讯常驻producer内存，造成producer内存压力，因而让音讯尽可能疾速发送到broker端。 kafka consumerfetch.max.bytes=1048576（1M） fetch.max.wait.ms=1000 max.partition.fetch.bytes=262144（0.25M） max.poll.records=5 topic partion>=20 retention.ms=2 因为音讯数据包比拟大，且consumer生产音讯须要几百秒提早，缩小批量拉取音讯数量同时进步拉取音讯等待时间，防止consumer频繁去broker端拉取音讯，导致consumer cpu被打爆。\ 优化成果 数据辨认在解决数据上报，数据存储，数据接入当前，便是数据辨认。这是整个数据分类分级架构最外围也是最简单局部。对数据辨认过程次要分为数据映射，规定治理，权重计算，数据校验四大块。 数据映射 服务端对单表取200条数据进行辨认，按每张表20个字段，每个字段需进行20种正则辨认。每天假如跑1千万张表，一共大略要跑8千亿次正则计算。如此微小的计算量，在流量冲击下，立马将服务端的cpu飙升到100%，从而导致服务不可用！！！ 绝对于io密集型，cpu密集型无奈简略应用常见的缓存，异步等形式去加重服务端压力。因而须要思考点如下： 通过云上k8s弹性扩缩容，将流量扩散到多个容器节点，升高单节点负载压力。单节点利用多核并行，将计算压力分担到多个cpu核处理器上。并且应用信号量限流，防止cpu始终处于100%。正则表达式优化。藏在正则表达式里的陷阱，竟让CPU飙升到100%！多核并行多核并行借鉴MapReduce编程模型，实质是一种“分而治之”的思维。 优化成果 规定治理 数据的分类分级，需更精细化的规定治理，能力对后续数据安全做到更正当的管控。规定包含不限于正则，nlp，机器学习，算法，全文匹配，含糊匹配，黑名单等。对应每种具体分类分级定义，又包含多个规定的组合应用。通过理论的经营和梳理当前，目前有近四百种分类分级定义和八百种辨认规定。 因而需思考正当的形式，将规定治理和辨认逻辑解耦，以便后续的保护和降级。同时需思考规定热更新和敞开，做到对线上服务无感知。 权重计算 数据分类分级，在不同行业和业务有不同的维度和定义。且源数据因为开发和运维人员定义不清晰，导致最终辨认后果存在含糊的边界。在理论经营过程中，常会因为辨认后果不精确，被业务方反馈。 假如有字段叫xid，有可能是qqid，也可能是wechatid，而qdid和wechatid对应不同的分类分级，这会影响后续的合规流程。在理论场景，xid有可能同时被qqid和wechatid辨认规定命中，那么该取哪个呢？ 因而引入权重的概念，权重不在于将辨认后果做简略的0和1取舍，而是通过多个组合规定辨认后，计算出一个权重值，并对多个辨认后果的权重值进行排序，取权重最大的辨认后果作为以后字段的分类分级。 ...

近日，在2022中国互联网法治大会个人信息爱护论坛上，全国SDK治理服务平台正式公布并上线试运行。作为国内第一批接入该平台的服务商，MobTech袤博科技（上海游昆信息技术有限公司）旗下SDK产品均已胜利入驻，并全副通过审核。全国SDK治理服务平台全国SDK治理服务平台(sdk.caict.ac.cn）是由工业和信息化部领导，中国信通院技术与规范研究所牵头搭建，旨在为SDK和APP开发运营者提供SDK政策规范公布、产品信息公示、监管问题处理、用户应用反馈等服务，晋升SDK合规程度和服务能力。APP开发者可通过平台高效筛选出服务能力、平安程度更优的SDK服务商，保障APP合规经营，推动业务更好倒退。MobTech袤博科技继续深耕开发者服务十年，一直推动技术创新，并继续深入利用场景，丰盛产品矩阵。先后推出ShareSDK、秒验SDK、MobPush、SMSSDK、MobLink等行业当先的产品服务，为App提供精细化经营、用户增长、商业变现的全场景解决方案，博得了近百万开发者和客户的信赖，服务了京东、小红书、得物等行业头部企业。始终以来，MobTech袤博科技踊跃践行坚守平安合规规范，引领行业衰弱、继续倒退。2022年5月，MobTech袤博科技作为寰球当先的数据智能科技平台，受邀退出中国信息通信研究院发动的“绿色SDK产业生态共建口头”并签订《倡议书》。作为深耕开发者服务的领军企业，MobTech十分重视数据安全、数据合规与个人信息的隐衷爱护。公司曾多次取得国家与行业在数字平安方面的认可，率先通过国家网络安全等级爱护三级测评、ISO27001信息安全管理体系认证、中国信通院“平安专项评测”等多项权威认证，并积极参与编制数据安全与治理指南2.0、数据安全经营治理平台技术标准等多个中国信通院我的项目。2022年，恰逢企业成立十周年，MobTech不仅会持续晋升欠缺产品和服务水平，助力企业和社会数智化降级，还将在信息安全爱护、数据合规等问题上继续发力，共建数智化生态。

随着互联网、物联网、5G 等通信技术的一直倒退，寰球数据量呈爆发式增长态势，数据安全问题也随之而来，仅 2022 年上半年，寰球范畴内就产生若干起大型组织数据泄露事件。美国领取巨头 Block 2022 年 4 月 披露了一项与投资利用 Cash App 无关的数据泄露事件，恐将影响 820 万美国用户；宜家（IKEA）加拿大公司于当地工夫 5 月 6 日示意，曾经将该公司大概 9.5 万名客户的个人信息数据泄露事件通报给加拿大的隐衷监管机构；而出名社交平台 Facebook 母公司 Meta 近一年来，也因为数据处理和隐衷平安等问题所蒙受到的来自各国的罚款已超过 10 亿美元 。数据安全问题正一直席卷寰球，解决数据安全问题曾经迫不及待，各国也在出台相干政策法规促使数据安全减速落地。截至 2021 年，全国人大、工信部、最高法等国家机关共推出《对于增强网络信息爱护的决定》《电信和互联网用户个人信息爱护规定》《民法典》《中华人民共和国电子商务法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《互联网信息服务算法举荐治理规定》等法律独特编织成一张数据“保护网”。在法律环境发生变化，对数据安全的监管越来越严格的明天，任何企业都须要尽早建设数据安全防护体系，被动做数据分类分级、权限管控、数据流向审计等，守护数据安全。星环科技自主研发的数据安全治理平台 Transwarp Defensor ，基于 Defensor 的五大外围能力和星环科技全局数据安全策略，能够帮忙企业建设以数据为核心的数据安全防护。Defensor 可能帮忙企业理解外部数据敏感信息的资产地图，发现潜在危险，并监控企业重要数据的合规应用；同时，也能对企业敏感数据进行分类分级，通过数据脱敏、水印等形式对数据进行事前事后的爱护，避免数据泄露或可能在数据泄露后做到能够溯源追踪。五大外围能力：分类分级、数据脱敏、操作监测、操作审计、个人信息去标识第一，敏感数据辨认与分类分级，帮忙企业全面梳理敏感资产，并绘制分类分级资产地图。Defensor 内置的分类分级规范参照，涵盖了多个行业法律法规，并与律师深度单干探讨，独特落实了大量规定；基于正则表达式、关键字内容、算法匹配、字典匹配等形式，主动扫描全局敏感数据，提供定时敏感辨认扫描工作。第二，提供数据脱敏和水印等能力，让敏感数据能够脱敏后服务业务，并在产生泄露后能够追踪溯源。平台预置多种脱敏算法，开箱即用，满足不同场景，不同安全等级的脱敏要求。当敏感数据须要对外流通时，反对在数据集中嵌入水印，当数据产生透露后，能够通过水印解析进行溯源。第三，能辨认敏感数据操作并进行监测，可能辨认流动中的敏感数据并触发对应的管理策略。根据GB/T 35273—2020《信息安全技术集体信息安全标准》等标准定义敏感信息，配置规定实用的审计对象与数据字段，后盾生成数据泄露类的告警规定，审计到敏感数据泄露，及时告警告诉相干人员进行阻断。第四，大数据平台和数据库的操作审计，防止违规操作带来的数据安全危险。平台能够通过镜像网关实现旁路审计，也能够收集大数据组件审计日志进行剖析。平台反对对大数据平台的登陆、权限、数据库操作事件进行审计溯源，并预置多种审计告警规定，能对高权限操作、数据库高危操作、违规SQL、异样行为等场景实现审计告警。第五，基于GB/T 37964-2019《信息安全技术个人信息去标识化指南》《信息安全技术个人信息去标识化成果分级评估标准》实现自动化个人信息辨认、去标识化以及去标识化评级，实现企业个人信息资产爱护。一套全局数据安全防护策略星环科技基于 Defensor 分类分级后果，星环科技造成一套全局的数据安全防护策略，可能反对业务层灵便的数据合规需要。对于数据安全防护的策略，星环科技提出了防护规定、防护策略和防护操作的概念，让策略落地更高效、更灵便、更全面。在数据防护规定方面，星环科技定义了所有数据类型，其中包含数据的级别、识别方法、默认的平安防护操作等，开箱即用。比方手机号数据限度拜访、IP 等数据须要脱敏等不同策略。还能够通过分类分级间接关联到相应的字段。比方 db1.table1.col1 的分类是 G1 等级，安全级别较低，对应的数据防护操作就是 Passthrough 间接拜访，而 db1.table1.col2，分类是 G2 等级，可能是比拟敏感的手机号数据，那对应的操作是 Mask ，须要脱敏拜访。Defensor 设有平安防护策略核心，在策略核心会默认一个基于安全等级的防护规定，比方G1 间接拜访，G2 -G4 则须要脱敏拜访、G5 是回绝拜访等，同时也能针对字段或者用户自定义平安防护策略，满足不同状况下的数据安全需要。比方某个类型的数据在不同场景下有不同的安全等级，那数据防护策略就须要灵便变动；比方高权限用户有查看明文的需要，就能够给出 Passthrough间接拜访的平安防护策略，并设置一些时效；如果对一些访客用户，那么即便是安全等级比拟低的数据也须要脱敏解决。能够看出，Defensor 提供的是比拟灵便的平安防护策略，能够满足企业个性化数据安全防护的需要。星环科技全局数据安全防护策略的落地实战 如上图所示，企业在进行数据安全合规革新前，数据从生产侧通过数据库直连、API网关、数据整合等形式进入到数据利用，齐全不具备数据安全合规所须要的个人信息辨认、敏感数据去标识化、脱敏、数据分类分级、监测数据链路上的不合规拜访等能力，面临极大地数据安全合规应用的危险。基于星环科技全局的数据安全策略。造成了左边的满足数据安全合规的企业应用数据架构。生产侧数据平台或数据库通过 Defesnor 对数据进行分类分级，并盘点出企业敏感资产，生成分类分级清单、集体资产清单、行业重要数据清单等，基于分类分级清单，生成必要的数据安全防护策略；在数据传输过程中，基于星环科技 Quark 数据库网关，提供 SQL 查问的动静脱敏，基于 Midgard API 网关，为 API 拜访提供动静脱敏，基于星环科技关系型剖析引擎 Inceptor 分布式脱敏引擎，提供动态脱敏能力；同时，将相干链路日志进入大数据平台平安审计软件 Audit 监测，从而做到泄敏事件的监控与告警。基于星环科技全局数据安全防护策略革新的企业应用数据架构，为全域、全生命周期的平安防护建设最根底最牢靠的安全策略核心，并能为星环科技及第三方数据平台、数据库、中间件等相干产品提供对立的数据安全策略，从而造成整体的数据防护和敏感监测等能力。明天，Defensor 正式公布 3.1 版本， 新版本也迎来了令人期待的三大外围能力：分类分级工作中退出了个人信息辨认的反对。不仅如此，针对辨认进去的集体资产，新增了个人信息去标识化这个一级菜单，确保集体资产在共享替换场景下的平安合规。减少了数据动态脱敏的一级菜单，反对脱敏算法治理、脱敏工作治理与运维等性能，撑持企业对敏感资产脱敏的需要。减少了数据安全策略一级菜单，反对基于分类分级后果的平安防护策略管理，能够指定不同用户针对不同级别的数据的拜访策略，比方某个表的字段类型是身份证，等级是 G3。对于该字段，admin用户能够明文查问，dev用户须要脱敏。目前 Defensor 在交通、医疗、金融、高校等多个畛域有落地案例。在车联网畛域，随着智能化倒退，云端产生了大量个人隐私数据，为了防止个人隐私泄露，避免不合规的数据应用，某车企通过 Defensor 盘点企业集体敏感数据，对数据分类分级，依照国家数据安全规范制订企业数据应用标准，保障了企业的平安合规经营。在银行业，某银行基于 Defensor 实现数据分类分级。行内的生产数据须要定期导入到测试环境，依附 Defensor 的动态脱敏能力，实现大批量数据高性能脱敏到测试环境。针对数据摸索与剖析场景，平安人员基于 Defensor 的数据安全拜访策略，配合 SQL 网关与利用 API 网关，实现数据动静脱敏，确保企业应用敏感数据平安合规。 ...

随着企业数字化转型的深刻，数据未然成为了企业运行的重要资产。尤其是随着互联网+、云计算、大数据等信息技术与通信技术的迅猛发展，社会已进入了数据时代，随之而来的数据安全治理需要也出现指数级回升的态势。 数据安全管控体系的构建，是波及组织构建、制度设立、流程管控等多环节的、宏大的简单管理体系，而数据脱敏则是数据安全管控体系的外围关键环节。本期极客星球，以国内当先的数据脱敏前沿实际为例，为大家分享如何筑造数据安全边界。 近年来，随着国家多项法律法规和国家标准、中央规范逐渐建设和欠缺，对数据生命周期的平安治理提出了具体要求： 《个人信息保护法》第五十一条：采取相应的加密、去标识化等平安技术措施；《网络安全法》第二十一条：采取数据分类、重要数据备份和加密等措施；《数据安全法》：公共数据非凋谢类公共数据依法进行脱密、脱敏解决；自然人、法人和其余组织在数据收集、汇聚等过程中，该当对数据存储环境进行分域分级管理，抉择平安性能、防护级别与其安全等级相匹配的存储载体，并对重要数据进行加密存储；其次，为确保企业失常运行，踊跃应答数据安全攻打、非法拜访、违规操作、数据泄露、安全控制有余等危险，实现平安稳固的数智赋能和企业外部数据管控已成为大势所趋。 独家前沿摸索 数据脱敏案例实际全过程脱敏第一步：明确指标建组织 数据脱敏我的项目组织架构参考图敏感数据辨认分类需找对最高优先级基于数据脱敏指标，以“对全库敏感数据进行分类”这一指标举例。首先，咱们须要辨认库中有哪些敏感数据，以及敏感数据的分类分级都是如何实现的。下图，将列举一些通用的数据分类形式。通用的数据分类形式 开掘敏感信息并分类贮存个别须要用到正则，这里咱们将利用数据库扫描工具。例如，基于配置好的正则，对全库每个表的数据进行数据抽样、匹配，并保留扫描后果造成报表。目前，市场常见的数据匹配规定如下：市场常见的数据匹配规定 值得注意的是，在大数据相干业务中，设施的识别码是串联业务的要害数据，同时也是辨认到集体的要害数据。通常，咱们将这部分数据列为脱敏的最高优先级。视场景灵便利用脱敏规定和算法当然，明确脱敏的数据后，下一步就要确定脱敏的规定和算法。常见的数据脱敏规定有去标识化、匿名化，《集体信息安全标准 GB/T 35273》对这两种规定均有详细描述。上面，咱们将从更直观的维度比照“去标识”和“匿名化”两种脱敏规定的异同，在理论业务场景中，企业可依据本身需要抉择不同的数据脱敏规定。 去标识化VS匿名化 比照表相对而言，数据脱敏算法则更具多样化，常见的脱敏算法有随机映射、固定映射等十几种。常见的数据脱敏算法 数据脱敏贯通数据全生命周期数据脱敏波及数据全生命周期的各个环节，不同环节能够独自设计脱敏计划并进行连接。例如采集端脱敏计划、大数据梳理端数仓脱敏计划、业务数据脱敏接入计划、合规部门脱敏数据流程管控计划等。制订各个设计方案之前，咱们须要具体绘制各环节的数据流向图表，以此与其余环节的计划互相验证。一般而言，数据采集和数据处理计划优先进行，并通过业务部门屡次确认之后，方可施行。 总之，数据脱敏是一项继续而繁冗的工作流程，并非欲速不达。将来，各行各业的数据量将进一步汇聚，规模将出现指数级增长，数据脱敏技术的利用场景将扩大到各个领域，随着需要的增长和多样化，数据脱敏技术还将失去更长足的倒退。 作为深耕开发者服务多年的领军企业，MobTech十分重视数据安全、数据合规与个人信息的隐衷爱护。公司数据脱敏技术的利用实际，更是处于当先行业程度。公司曾多次取得国家与行业在数字平安方面的认可，率先通过国家网络安全等级爱护三级测评、ISO27001信息安全管理体系认证、中国信通院“平安专项评测”等多项权威认证，并积极参与编制数据安全与治理指南2.0、数据安全经营治理平台技术标准等多个中国信通院我的项目。MobTech将来也将持续晋升、欠缺产品和服务水平，助力企业和社会数智化降级，还将在信息安全爱护、数据合规等问题上继续发力，共建数智化生态。

近日，作为寰球当先的数据智能科技平台，MobTech 袤博科技与中国信通院、大数据技术标准推动委员会、数据安全推动打算等行业权威机构联结主办了数安Talks“数据安全技术体系探讨”主题沙龙，MobTech袤博科技信息安全总监卢华就“基于大数据的平安防护技术体系建设”话题进行了精彩分享，解码数据安全组织、治理、技术建设，全面构建数据安全“护城河”，助力企业数智化降级。 破解数据安全治理三大痛点全面构建数据安全“护城河”随着大数据技术的飞速发展与广泛应用，基于边界的传统平安防护体系逐步露出不足之处，在享受数据资源带来利好的同时，企业侧也在应答监管及联合本身业务落地建设等方面面临新的挑战。卢华指出，大数据行业数据安全治理出现三大特色：一、数据量极大、且继续生产。信息系统在运行过程中一直产生海量数据，数据分类分级难度大。二、数据类型多、存储扩散、数据流向简单、拜访渠道繁多。数据的复杂性增大了对立治理的难度，导致辨认数据资产成为一项艰巨的工作。同时，一旦产生数据安全事件，溯源难度加大。三、数据以客户为核心，隐衷信息多。隐衷数据多导致合规危险与数据泄露危险指数减少。针对以上数据安全治理痛点，建设迷信的、零碎的平安防护体系，是泛滥数据企业的事不宜迟。 构建数据安全能力框架制作全局数据安全“作战地图”启动数据安全治理的第一步是搭建数据安全能力框架，制作全局数据安全“作战地图”。数据安全治理是一项长期工作，依据数据采集到数据应用的全数据生命周期的状态，可将数据安全治理拆分为基础设施平安，访问控制，数据保护，检测与响应，审计与定责，备份与复原六个我的项目模块。因为各个数据安全模块之间相互影响，环环相扣，通过体系化的框架正当设置数据安全治理的优先级，可能无效晋升工作效率。复盘时，全局视角能更疾速地找到数据安全治理的薄弱环节。在构建数据安全管理体系的过程中，可能面临资源有余、跨部门合作效率不高、平安与业务之间的利弊均衡等各种挑战，单纯依附数据安全部门难以达到现实的治理功效。《集体信息安全标准》和《数据安全法》相干政策法规明确要求，企业应建设数据安全治理委员会，并制订一系列数据安全合规管理制度，实现数据从“人治”到“制治”的转型。 迷信评估数据安全能力厘清问题本源，一一击破剖析次要从三个方面动手，即业务需要调研、用户需要调研和技术计划调研。迷信评估以后企业的平安现状，并对存在的问题进行溯源拆解，是发展数据安全治理最要害的步骤。评估是一项周期性的工作，倡议每年固定做一次，从打算到施行、从查看评估到整改、从应急响应到复盘布局，往返循环，查缺补漏，以此优化平安能力框架体系。评估根据国标GB/T37988-2019《信息安全技术 数据安全能力成熟度模型》中DSMM数据安全能力成熟度模型来进行。能力等级分为5级：非正式执行、打算跟踪、充沛定义、量化管制、继续优化。在评估过程中，需从上往下与不同层级、不同部门的人员进行大量的访谈沟通，查看相干文档、日志、配置和理论应用的数据安全技术工具，梳理相干问题，做好危险分级和溯源剖析，并构建进攻措施。 在理论经营过程中，企业将会采纳多种类型的数据安全经营工具，波及数据审计、流程治理、分类分级等泛滥场景，这些工具次要来自于内部洽购、外部自研及开源三个渠道。一般来说，外采工具开发难度低，但无奈实现数据交融。在资金或人力资源满足的状况下，倡议企业自建平安经营平台，数据安全经营的效率和准确性都能失去无效保障。 夯实数据安全经营能力自研数据安全经营平台当然，大数据行业数据安全体系建设不是繁多的数据安全经营工具的应用，而是蕴含数据安全治理和数据安全防护在内的一套残缺的数据安全体系。通过治理与技术的交融、多方合作的交融、业务与平安的交融，建设起合乎数据安全监管要求的保障体系。从数据安全治理登程，建设治理组织和制度，为数据安全防护技术落地提供根据，通过一直的数据安全经营，继续对数据安全建设进行审计、剖析，实现PDCA闭环化的数据安全建设，最终构建合规、无效的数据安全防护体系。作为深耕开发者服务的领军企业，MobTech十分重视数据安全、数据合规与个人信息的隐衷爱护。公司曾多次取得国家与行业在数字平安方面的认可，率先通过国家网络安全等级爱护三级测评、ISO27001信息安全管理体系认证、中国信通院“平安专项评测”等多项权威认证，并积极参与编制数据安全与治理指南2.0、数据安全经营治理平台技术标准等多个中国信通院我的项目。MobTech也将在将来持续晋升、欠缺产品和服务水平，助力企业和社会数智化降级，还将在信息安全爱护、数据合规等问题上继续发力，共建数智化生态。

编者按：2021年9月1日，《中华人民共和国数据安全法》（以下简称《数据安全法》）正式施行。一年来，数据安全畛域产生了哪些变动？各行各业数据安全工作面临着怎么的挑战？公众、企业对数据安全的认知又有了哪些水平的晋升？ 本文将围绕《数据安全法》施行一周年政策、市场、行业、企业在数据安全方面的粗浅改革，全景出现“数安法”一周年的变动，以期为行业实际带来参考。 本文目录：（一）执法案例汇总（二）国家政策法规强调数据安全（三）2022年上半年寰球事件（四）数据安全人才队伍建设（五）“数安法”一周年：对不同行业影响（六）腾讯平安专家解读 （一）执法案例汇总2021年9月1日，《中华人民共和国数据安全法》正式实施，数据安全步入法治化轨道。 依据《数据安全步入法治化轨道》，公安部部署“净网2021”专项口头以来，全国公安机关网安部门全链条打击非法采集、提供、倒卖个人信息违法犯罪，侦办案件5400余起，抓获立功嫌疑人6400余名；严打毁坏计算机信息零碎数据、非法获取计算机信息零碎数据类立功，侦办相干案件230余起，抓获立功嫌疑人420余人。 2021年，全国网信零碎进一步加大执法力度，依法查处各类守法违规案件，获得显著功效。据统计，全国网信零碎全年共依法约谈网站平台5654家，正告4445家，罚款处罚401家，暂停性能或更新3008家，下架挪动应用程序1007款，会同电信主管部门勾销网站许可或备案、敞开守法网站17456家，移送相干案件线索4728件。 2022年上半年，全国网信零碎继续加大网络执法力度、标准网络执法行为，坚定依法查处各类守法违规案件，获得显著功效。据统计，全国网信零碎上半年累计依法约谈网站平台3491家，正告3052家，罚款处罚283家，暂停性能或更新419家，下架挪动应用程序177款，会同电信主管部门勾销守法网站许可或备案、敞开守法网站12292家，移送相干案件线索4246件。 典型案例1.“民生宝”“疾速问医生”等7款App守法违规收集应用个人信息2021年11月，针对人民群众反映强烈的App非法获取、超范围收集、适度索取权限等侵害公民个人信息的守法违规景象，海南省互联网信息办公室组织对省内用户量大、与民众生存密切相关的7款App收集应用个人信息状况进行了技术检测，检测结果显示这7款App均存在不同水平守法违规收集应用个人信息的行为。要求各App经营单位应将增强公民个人信息爱护作为履行全面依法治国的实际要求，切实保障人民大众集体信息安全和合法权益不受进犯，定期组织经营人员学习《中华人民共和国网络安全法》《中华人民共和国数据安全法》等法律法规。针对检测发现的问题，各平台经营主体应于本通报公布之日起15个工作日内实现整改。 执法机构：海南网信办处罚行为：App非法获取、超范围收集、适度索取权限等侵害公民个人信息的守法违规景象处罚措施：责令整改法律依据：《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律和无关规定。 2.闪修侠等87款App守法违规手机个人信息2021年12月，针对人民群众反映强烈的App非法获取、超范围收集、适度索权等侵害个人信息的景象，浙江省App守法违规收集应用个人信息专项治理工作组，组织对实用工具类、网络社区类、网上购物类等常见类型且公众大量应用的局部App的个人信息收集应用状况进行检测，并对存在问题的App进行点对点通报，责令违规App限期整改。现经复测核查，闪修侠87款App未能按要求整改，仍存在守法违规收集应用个人信息行为。 执法机构：浙江网信办处罚行为：守法违规收集应用个人信息处罚措施：责令整改法律依据：《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《App守法违规收集应用个人信息行为认定办法》《常见类型挪动互联网应用程序必要个人信息范畴规定》等法律和无关规定。 3.山东省首起｜公司违反《数据安全法》被行政处罚2022年5月，枣庄网警在执法检查中发现，某公司自建免费零碎，通过公众号采集公民个人信息，存储在第三方云平台上，但对采集的数据未采取平安防护技术措施，未依法履行网络安全爱护任务。 执法机构：枣庄网警处罚行为：某公司自建免费零碎，通过公众号采集公民个人信息，存储在第三方云平台上，但对采集的数据未采取平安防护技术措施，未依法履行网络安全爱护任务。处罚措施：予以行政正告处罚，并责令改过法律依据：《中华人民共和国数据安全法》第27条第一款、第45条第一款 4.广州一公司未履行数据安全爱护任务被警方处罚5万元2022年7月26日，广州市公安局新闻办公室召开新闻发布会，通报2022年广州民生实事“个人信息超范围采集整治治理”专项工作和“净网2022”专项口头中，全链条打击进犯公民个人信息等突出网络违法犯罪的相干状况和典型案例。其中，广州警方颁布了广东省公安机关首例实用《中华人民共和国数据安全法》的案件：广州一公司未履行数据安全爱护任务被警方处罚5万元。 执法机构：广东省公安机关处罚行为：公司开发的“驾培平台”存储了驾校培训学员的姓名、身份证号、手机号、集体照片等信息1070万余条，但该公司没有建设数据安全管理制度和操作规程，对于日常经营流动采集到的驾校学员个人信息未采取去标识化和加密措施，零碎存在未受权拜访破绽等重大数据安全隐患。处罚措施：处罚5万元法律依据：《中华人民共和国数据安全法》 （二）国家政策法规强调数据安全1.《汽车数据安全治理若干规定（试行）》2021年10月，《汽车数据安全治理若干规定（试行）》实施，指出利用互联网等信息网络发展汽车数据处理流动，该当落实网络安全等级爱护等制度，增强汽车数据保护，依法履行数据安全任务。 2.《网络数据安全管理条例（征求意见稿）》2021年11月14日，网信办公布《条例》意见稿，指出数据处理者该当采取备份、加密、访问控制等必要措施，保障数据免遭泄露、窃取、篡改、毁损、失落、非法应用，应答数据安全事件，防备针对和利用数据的违法犯罪流动，保护数据的完整性、保密性、可用性。 3.《“十四五”大数据产业倒退布局》2021年11月30日，工信部公布《“十四五”大数据产业倒退布局》，强调保持平安与倒退并重。《布局》打造了清晰的大数据及数据安全产业倒退图谱，提出要增强数据安全治理，加大对重要数据、跨境数据安全的爱护力度，晋升数据安全危险防备和处理能力，做大做强数据安全产业。 4.《“十四五”国家信息化布局》2021年12月，地方网信委公布《“十四五”国家信息化布局》，对我国“十四五”（2021-2025）期间信息化倒退作出部署安顿，指出要增强数据治理、强化数据安全保障。聚焦数据管理、共享凋谢、数据利用、受权许可、平安和隐衷爱护、危险管控等方面，摸索多主体协同治理机制。增强数据收集、汇聚、存储、流通、利用等全生命周期的平安治理。 5.《“十四五”数字经济倒退布局》2022年1月，国务院颁布《“十四五”数字经济倒退布局》，明确了“十四五”期间推动数字经济衰弱倒退的指导思想、根本准则、倒退指标、重点工作和保障措施。《布局》在着力强化数字经济平安体系，蕴含加强网络安全防护能力，晋升数据安全保障程度，无效防备各类危险。 6.《金融标准化“十四五”倒退布局》2022年1月23日，央行会同市场监管总局、银保监会、证监会联结印发《金融标准化“十四五”倒退布局》。提出健全金融业网络安全与数据安全规范体系，增强金融网络安全能力，助力晋升网络安全威逼发现、监测预警、应急处理、攻打溯源能力。 7.《工业和信息化畛域数据安全治理方法（试行）》2022年2月10日，工信部再次公开征求对《工业和信息化畛域数据安全治理方法（试行）》的意见，指出工业和信息化畛域数据处理者该当对数据处理流动负平安主体责任，对各类数据履行分级防护。 8.《2022年政府工作报告》2022年3月5日，《2022年政府工作报告》公布。报告在2022年重点工作中提到，要“强化网络安全、数据安全和个人信息爱护”，推动国家平安体系和能力建设。 9.《车联网网络安全和数据安全规范体系建设指南》2022年3月7日，工信部印发《车联网网络安全和数据安全规范体系建设指南》，提出到2025年，实现100项以上规范的研制，造成较为齐备的车联网网络安全和数据安全规范体系。 10.“东数西算”工程2022年“东数西算”工程正式全面启动，其将东部密集的算力需要有序疏导到西部，使数据因素跨域流动，买通“数”动脉，织就全国算力一张网，“东数西算”对数据安全流通提出了更高要求。 （三）2022年上半年寰球事件1.美国营销巨头RRD抵赖在Conti勒索软件攻打中数据被盗RRD是一家头部的综合服务公司，为企业客户提供通信、商业印刷和营销服务。公司在寰球200多个地点领有超33undefined000名员工，其2021年的支出为49.3亿美元。RRD公司示意，最后他们不晓得在攻打期间有客户端数据被盗。直到2022年1月15日，Conti勒索软件团伙开始泄露从RRD公司窃取的用户数据，总计为2.5GB。 2.国内机场公司Swissport蒙受BlackCat勒索攻打，TB级用户数据泄露Swissport是一家支出30亿欧元、且在50个国家的310个机场开展业务的公司，2022年2月。BleepingComputer发现BlackCat组织泄露了在最近勒索软件攻打中取得的TB级数据。这些被泄露的数据蕴含护照图像、外部业务备忘录以及求职者的详细信息，例如：姓名、护照号码、国籍、宗教、电子邮件、电话号码、职位等隐衷信息。 3.1TB机密文件遭窃，7万员工信息泄露！英伟达遭黑客威逼据南美黑客组织LAPSU$2022年2月示意，他们在对正式攻打英伟达之前曾经在外部零碎埋伏了一周之久，也曾经获取了1TB的秘密数据，包含未公布的40系列显卡的设计蓝图、驱动、固件、各类秘密文档、SDK开发包，并对所有数据进行了备份。 4.寰球最大轮胎制造商之一普利司通遭数据泄露2022年2月，LockBit 勒索软件团伙宣称曾经毁坏了最大的轮胎制造商之一普利司通美洲公司的网络，并窃取了该公司的数据。普利司通美洲企业家族在美洲领有 50 多个生产设施和 55undefined000 名员工。如果公司不领取赎金，Lockbit 打算在2022年3月15日23:59之前开释被盗数据。 5.三星被公开了源代码和190GB秘密数据2022年3月，继NVIDIA外围源代码75GB的秘密数据和外围源代码被泄露后，Lapsus$勒索组织在2022年3月4日再次公开了韩国生产电子巨头三星电子150GB的秘密数据和外围源代码。 6.因数据泄露或隐衷平安问题，Meta近一年已累计被罚10亿美元2022年2月，美国加州地方法院何塞分庭发表了结了一起Meta与4名Facebook用户长达十年数据隐衷诉讼，这4名用户指控Facebook在他们退出社交媒体网站后，仍会追踪他们的网络流动，对用户隐私权形成进犯。依据庭外和解协定，Meta最终批准领取9000万美元的赔偿金，并批准删除在用户不知情的状况下收集到的所有数据。 2022年3月，爱尔兰数据保护委员会再度对Meta开刀，认为Meta在屡次大规模集体数据泄露事件中，未能证实其采取了适当的平安应答措施，保障欧盟用户的数据安全，因此违反欧盟《通用数据保护条例》(GDPR)，被处以1700万欧元(约1840万美元)罚款。 最近一年以来，出名社交平台Facebook母公司Meta堪称罚单一直，其中因为数据处理和隐衷平安等问题所蒙受到的来自各国的罚款就已超过10亿美元。 7.世界最大管道公司俄罗斯管道巨头Transneft遭攻打79GB数据泄露2022年3月，由俄罗斯国家管制的石油管道巨头Transneft成为了重点攻打对象。泄密托管网站 Distributed Denial of Secrets公布了一个 79GB 的电子邮件链接，这些电子邮件来自 Transneft 的研发部门 Omega 公司。 8.世界电子邮件营销巨头MailChimp遭黑客攻击，102个客户账户“受众数据”被导出2022年4月，MailChimp披露其受到黑客攻击，黑客利用外部客户反对和账户管理工具窃取用户数据，并进行网络钓鱼攻打，102个客户帐户中“受众数据”被导出。 9.美国领取巨头BLOCK披露其Cash App数据泄露恐将影响820万美国用户2022年4月，美国领取巨头Block披露了一项与投资利用Cash App无关的数据泄露事件，并将此事件告知了其820万美国用户。Cash App是一款容许用户自在转账、花钱、存钱和购买加密货币的应用程序。此次数据泄露事件中，一名Block的前员工被卷入其中。有证据显示，他下载了一些对于Cash App Investing应用程序的报告。 10.宜家（IKEA）加拿大公司9.5万名客户个人信息数据泄露5月6日，宜家（IKEA）加拿大公司示意曾经将该公司大概9.5万名客户的个人信息数据泄露事件通报给加拿大的隐衷监管机构。 （四）数据安全人才队伍建设1.强基打算2022年05月16日，为贯彻落实《数据安全法》提出的反对发展数据安全相干教育和培训、造就数据安全专业人才等的要求，放慢壮大电信和互联网行业数据安全人才队伍，培养数据安全紧缺人才，为数据安全爱护工作夯实人才保障根底，中国互联网协会联结中国信息通信研究院牵头发展“电信和互联网行业数据安全人才强基打算”，并于7月份召开第一次工作会。 2.数据安全产业人才培养沙龙在京召开2022年8月5日，在工业和信息化部网络安全管理局领导下，由中国电子信息产业倒退研究院、工业和信息化部教育与考试核心、中国信息通信研究院独特主办，北京亿赛通科技倒退有限责任公司、中国计算机行业协会数据安全业余委员会、路云天网络安全研究院联结承办的“数据安全人才培养”主题沙龙在京胜利举办。主题沙龙采取线上线下相结合的形式。 3.清华公共治理学院联结软件学院 聚焦数据安全人才培养清华大学公共治理学院联结清华大学软件学院，响应国家号召，联结打造“数据安全治理人才培养打算”我的项目。我的项目依靠清华大学大数据系统软件国家工程钻研核心、清华大学计算社会科学与国家治理实验室、清华大学互联网治理钻研核心等智库平台，旨在进步学员数字趋势的把控能力、数据标准的治理能力、数据安全的治理能力、数据因素的利用能力，助力政府、企业、与社会联结构建数据安全技术体系建设，赋能数字治理翻新倒退。 （五）“数安法”一周年：对不同行业的影响1.政企 《数安法》中针对政务数据开发利用特设专章，强调国家制订政务数据凋谢目录，构建对立标准、互联互通、平安可控的政务数据开放平台，要求省级以上人民政府该当将数字经济倒退纳入本级国民经济和社会倒退布局，增强数据凋谢共享的平安保障措施，建设对立标准、互联互通、平安可控的机制，利用数据安全经营，晋升数据服务对经济社会稳固倒退的成果。 据复旦大学数字与挪动治理实验室的中国凋谢数林指数网站显示，截至2021年10月，我国已有193个省级和城市的中央政府上线了数据开放平台，其中省级平台有20个（含省和自治区，不包含直辖市和港澳台），城市平台 173 个（含直辖市、副省级与地级行政区），凋谢数据集笼罩市场监督、资源能源、财税金融、气象服务、生态环境、信用服务、交通运输、教育文化、城建住房、医疗卫生、科技翻新、公共安全等20多个场景畛域，并且根本都提供数据查问、数据下载和接口调用服务。政府数据开放平台俨然已成为各地数字政府建设的“标配”。 《数据安全法》在对数字城市、数字经营、数字治理起到束缚作用的同时，也起到了肯定促进作用。将来随着智慧城市的进一步倒退，包含数字社会、数字政府的倒退，数据将是自动化流通。 ——孙轩 南开大学周恩来政府治理学院副教授数字城市治理实验室主任 ...

往年9月1日是《数据安全法》正式施行一周年，它是我国第一部针对数据安全的上位法律，首次将数据作为“要害生产因素”写进法律，并带动各行各业陆续出台规范细则。自《数据安全法》施行以来，数据安全逐步成为社会各主体器重的议题，不仅推动企业加大平安建设，还带动个人用户一直晋升数据安全保护意识。《数据安全法》在推动数据安全产业的倒退的同时，也给企业带来了新的挑战。腾讯平安数据安全专家谢灿在承受北方+记者采访时提到，企业面对的问题不再是繁多技术层面，还包含法律标准的解读、数据安全组织、流程制度、技术规范和落地、监测处理、能力评估各个层面的建设和落地。对此，她认为企业在应答这一系列问题时，能够从三大层面“分步走”：在初期，能够引入业余的数据安全和合规的咨询服务，从企业的顶层设计梳理体系化落地的工作内容和节奏，兼顾数据业务价值和数据安全的均衡；其次，放慢数据安全及数据合规方向的人才储备，做好长久化数据安全经营的工作；最初，当体系建设绝对欠缺，能够发展相应数据安全的评估评测工作，比方DSMM、数据安全防护能力评估、数据跨境的防护能力评估等，以评促优。 此外，《数据安全法》的标准下，互联网产品强制过多收集个人信息、未经批准受权第三方应用集体数据的景象也在逐渐缩小，个人用户的信息数据安全也领有了更多法律保障。据谢灿介绍，在一些生存场景中，例如在物业门禁仅反对用户以人脸识别的形式进入场合的状况下，用户能够基于《数据安全法》要求物业提供其它门禁形式，以保障集体数据的权利诉求。在《数据安全法》将来仍将一直纵深推动的过程中，专家建议，企业应踊跃推动数据安全治理体系落地，在保障数据合规非法的根底上，摸索利用先进技术挖掘数据价值，为公众提供更为便捷智能的数字化生存。个人用户在应用APP、小程序等互联网利用中，也该当增强警觉，对于适度、强制收集个人信息，或造成个人信息泄露的利用，能够回绝应用并举报，重大场景下也能够采取法律措施保护本身的正当权益。 「上云那些事」南方日报、北方+联结腾讯平安推出的栏目，打算通过对网络安全问题深入浅出的解说，更好地让公众意识到网络安全的重要性，同时也找到适宜本人的应答计划。记者：叶丹

依据 ForgeRock 的钻研显示，2022年美国数据泄露的均匀老本预计为950万美元，而2021年寰球均匀老本差不多是这个数字的一半。依据 IBM 和 Ponemon Institute 2021年的报告，寰球均匀数据泄露老本约为424万美元，比2019年的386万美元增长了10%，创下历史新高。 随着勒索攻打的数量激增，到2021年底寰球网络立功的老本达到6万亿美元/年的峰值。 Ponemon Institute 和 IBM Security 的报告将数百个老本因素纳入钻研统计，包含法律、监管及技术流动、品牌资产损失、客户散失和员工散失。该钻研范畴蕴含17个国家和17个行业的共计537起数据泄露事件，通过近3500次采访收集数据。该报告的次要目标是激励企业通过解决网络安全危险和改善整体平安情况来升高数据泄露的老本。 本文将会探讨2021年数据泄露老本报告中一些重要后果，并总结经验，通过数据保护、数据安全及数据泄露预防策略来升高数据泄露的危险和老本。 2021年 IBM 数据泄露老本报告次要发现IBM 和 Ponemon Institute 的数据泄露老本报告有 12 个次要发现： 1. 数据泄露老本较往年减少10% 单位：百万美元 数据起源：2021 数据泄露老本报告（IBM & Ponemon） 2021 年均匀数据泄露的老本为 424 万美元，比 2020 年的调查结果增长 10%。这也创下了 IBM 和 Ponemon Institute 报告历史数据泄露老本新高。 2. 近程办公成为数据泄露的起因之一因为近程办公导致数据泄露并造成均匀107万美元的损失。近程办公的员工须要破费更多工夫和精力来防止数据泄露。据调研和拜访结果显示，提供近程办公的企业中，50%的企业须要至多58天的工夫来辨认和控制数据泄露。 3. 医疗行业数据泄露老本最高医疗保健行业的数据泄露老本间断11年放弃最高。均匀老本从2020年的713万美元减少到2021年的923万美元，涨幅29.3%。 4. 业务散失造成的损失占数据泄露老本的38%数据泄露老本占比最大的因素是业务散失损失。这包含客户散失和取得新业务的额定老本，以及在网络攻击期间零碎不可用导致的损失。 5. 客户 PII 失窃是数据泄露中最常见且代价最大损失在 IBM 和 Ponemon Institute 的钻研中，44% 的泄露事件中蕴含了客户个人身份信息（Personal Identifiable Information, PII）。每条客户 PII 记录的均匀老本为 180 美元。 6. 凭据泄露成为最常被利用的初始攻打媒介4种次要初始攻打媒介别离造成的损失为： ...

现实生活中，其实很多人都与爬虫“打过交道”。 比方，逢年过节之时，为确保能买到回家火车票，有人会抉择应用“抢票软件”，这个软件就是利用网络爬虫来登录铁路售票网络，并爬取票务信息，而后辅以批量化、自动化和高速化的购票流程解决，从而能以毫秒级的刷新来获取人工购票难以企及的信息和速度劣势。显然，这种“充钱加塞”的形式显然对失常渠道的购票者有失偏心。 就连最高人民法院旗下的“中国裁判文书网”也难逃爬虫侵扰，以至于用户口碑载道。 2019年，最高人民法院公布的《对于“中国裁判文书网”网站建设倡议的回答》提到，“大量技术公司通过爬虫零碎无限度地拜访非法获取裁判文书数据，造成网站负荷过大，大量失常用户申请梗塞，拜访呈现速度慢或局部页面无奈显示等景象。” 再比方，2019年，国内外不少网站经营者埋怨遭逢了一些搜索引擎爬虫的拜访，因拜访频率过高，一度令一些网站瘫痪。“短短一上午工夫就收到了 46 万次申请，消耗掉服务器 7.42GB 流量。这对均匀日活可能都没有过千的小网站来说，曾经算得上一次小型的DDoS攻打。”一位遭逢搜索引擎爬虫的网站经营者对此感叹道。网络爬虫不光耗费“被爬取方”网站的流量，同时可能“抓走”网站页面的数据，因而常引发纷争。 因此，爬虫与反爬技术是一场无休止之战，发动攻打的一方须要思考如何“尖锐其矛”，而防守一方则须要思考如何“牢固其盾”。 爬虫与反爬虫，一场无休止和平事实上，最早的爬虫起源于搜索引擎。搜索引擎是善意的爬虫，能够检索你的所有信息，并提供给其余用户拜访。为此他们还专门定义了robots.txt文件，作为君子协定，这是一个双赢的场面。 然而事件很快被一些人毁坏了。爬虫很快就变的不再“小人”了。 当小人协定生效，咱们开始改用技术手段拦截爬虫的入侵。比方从拜访数量上发现爬虫，当咱们在某一网站浏览过快时，零碎往往会要求输出验证码，就是因为这种疾速浏览的行为很靠近爬虫。或者是不定期扭转HTML标签，使之无奈与Web排序匹配来限度爬虫。 当初比拟常见的反爬虫技术手段次要有，检测 Header 信息；设置 IP 拜访频率，剖析同一 IP 或同一设施在短时间内屡次拜访同一页面或进行雷同操作；辨认 UA、通过动静页面减少爬取难度、验证码反爬等形式。 明天咱们要说的就是顶象无感验证的反爬虫技术。 下药要对症，反爬要治根一般来说，通过验证码来反爬，其外围原理是爬虫通过网页抓取数据，当某一用户拜访次数过多后，零碎就会狐疑你是否是实在用户，也就是说会让申请跳转到验证码页面，只有输出正确的验证码能力持续拜访网站，而验证码诞生之初的目标就是为了辨别人和机器的区别，天然也就能拦挡爬虫。 但随着AI 技术的深刻，这样的反爬技术也很容易被破解，这个时候就须要咱们比对方更智能、更聪慧。 在顶象看来，要想防住爬虫，就要从本源动手。首先咱们要晓得爬虫平台间的数据如何传输，能力在此基础建设平安可信的通信链路，其次，在保障平安可信的通信链路根底上，须要思考是否反对多种危险的疾速判断，是否能够进行回溯及服务监控；最初，在与爬虫的反抗层面，须要思考是否可能进行疾速的反抗调整，并将相应的人机验证工具作为撑持。 基于此，顶象在继续一直的攻防反抗间也研发出了一套反爬体系建设计划。 首先，反爬技术计划要针对爬虫体系做基础设施的建设筹备，保障后续的反爬危险判断有得力的数据或者产品工作作为撑持，比方决策引擎、设施指纹、人机验证码等，以决策引擎为例。 决策引擎基于流计算技术，具备毫秒级输入决策后果的能力。实时决策通过可视化形式能够让策略专家或客户业务人员配置出场景的反爬策略。在反爬策略里反对应用名单库（如IP黑名单、手机号黑名单）、模型，可按工夫序列的疾速计算（如某IP近一天注册次数），同时具备丰盛的模块。同时，在通信链路层面，须要进行强加密，Web端的JS、挪动端的SDK均须要通过加固爱护，进步攻击者逆向的难度。 其次，在策略层面，须要建设基于场景的反爬策略，比方同设施关联的IP数异样、爬虫IP黑名单封禁、爬虫危险设施辨认等等。 在处理层，须要进行危险分层，并下发不同的处理指令，比方零碎断定为无风险/低危险时，则放行；零碎断定为中危险是，则需进行人机验证；零碎判断为高风险时，则立刻阻断。 最初，在数据的剖析总结层面，可依据数据报表进行监控回溯，查看历史触发状况，进而对反爬策略进行优化降级。综上，反爬虫不再是一个繁难工具，而是具备智能交互，数据采集，实时计算，模型剖析，决策判断等能力综合性平安零碎。 顶象反爬解决方案基于设施指纹对实现对各类危险和模拟器、真机的辨认，以及Dinsight危险决策引擎毫秒级实时决策对行为剖析（鼠标的滑动轨迹、键盘的敲击速率、滑动验证码的滑动轨迹、速率、按钮点击等行为轨迹等），实现对歹意“爬虫”行为的无效辨认；通过智能无感验证的人机交互防护，间接拦挡“爬虫”对敏感数据的爬取；利用Xintell智能模型平台建设基于业务场景的策略模型，从而对反爬成果进行实时优化，良好防备歹意爬取的危险。 此外，顶象反爬解决方案依靠多年攻防反抗实战经验，提供了动静策略的精准防护；全链路纵深防护，防止“爬虫”的单点绕过；多维度进攻，无效拦挡各种歹意“爬虫”行为；无感的人机交互验证，无效反爬又不影响失常用户体验。 值得注意的是，顶象最新推出的第五代验证码搭载了顶象业务平安进攻云，通过顶象进攻云线上的全链路危险防控产品对互联网、金融等行业的舞弊伎俩进行监控、黑产特征分析、业务危险辨认造成危险情报，通过同行业、跨行业的危险情报信息共享，买通上下游防控链路，链接各行业的“信息孤岛"，从而赋予了新一代验证码依据危险动静实现自我降级迭代的能力。 在防破解方面，第五代验证码更是有本人的“秘密武器”，不仅可能行为轨迹模型检测来进行辨认，并且集成了验证魔方，实现被动反抗。同时，第五代验证码专有的动静加解密混同算法也进一步减少了破解难度。 简言之，顶象第五代验证码不仅能够辨认歹意爬虫，拦挡爬虫，还能够通过顶象进攻云的能力对歹意爬虫做出精准画像，不仅要用户晓得知其为，更知其所以为。 反爬是一场全行业的集体行动有一种说法是，爬虫奉献了互联网 50% 的流量，它对于互联网的凋敝功不可没。但该技术同时也因“用处”而充斥争议。爬虫是一项见不得“阳光”的技术，它宽泛使用，却少有人违心抵赖在应用它。因为它经常被用作非法收集信息的工具，站上数据隐衷、数据安全的对立面。 不难看出，爬虫技术本无罪，有罪的是那些拿爬虫来作恶的人。 因而，要禁止反爬须要全行业的共同努力。 近几年，国家在监管层面也开始器重反爬技术。 2019 年 5 月，被称为“中国版 GDPR”的《数据安全治理方法》征求意见稿公布，第 16 条规定，网络运营者采取自动化伎俩拜访收集网站数据，不得障碍网站失常运行；如自动化拜访收集流量超过网站日均流量三分之一，网站要求进行自动化拜访收集时，该当进行。 2021年又相继颁布了一系列网络安全法律法规，包含《数据安全法》、《要害信息基础设施平安爱护条例》、《网络产品安全漏洞治理规 定》、《个人信息保护法》等，将数据安全回升至国家平安层面，也使企业与组织在数据处 理与网络安全方面，进入了有法可依、有法必依的新时代。不难想象，随着监管越来越严格，爬虫技术的应用边界也将更加清晰。企业也该当要时时留神不要触碰边界，毕竟，爬虫只是技术，灰色的是“助恶者”。———————————— 体验最新反爬技术：点我收费试用

随着互联网的日益倒退，对于用户共享的要害数据的威逼曾经产生了重大的结果，人们在网络上替换地址、电话号码、信用卡号、企业秘密等各种信息，网络上的歹意破坏者始终都在伺机窥探，希图窃取这些重要的信息。随着国家一直地宣传和普法，越来越多的人对于数据安全意识也在成倍的增长，如果您是网站所有者，那么爱护您的用户的隐衷信息和敏感数据防止受到网络犯罪分子的歹意攻打就成为您不可推卸的责任了。那么，此时就体现了SSL证书的重要性，接下来请跟我一起由浅入深、抽丝剥茧，缓缓地揭开SSl的神秘面纱，理解一下SSL是什么？又是如何爱护数据安全的？什么是SSL？SSL（Secure Socket Layer，安全套阶层）是一种爱护传输数据不受网络不法侵害的协定，SSL证书是证书颁发机构颁发给网站的数字证书，确保用户的网络浏览器和网络服务器之间替换的所有信息都是加密的。当您提交任何敏感信息时，SSL会对您的数据进行加密，爱护您的数据免遭歹意窃取或毁坏数据的希图，例如窃听、中间人攻打等。SSL如何爱护用户数据和隐衷？SSL是为了爱护数据不受歹意破坏者侵害而呈现的。人们用SSL将客户端和服务器之间的数据加密并进行认证，以此来爱护重要的数据。大家在上网时都能够看到，Web浏览器的网址显示为“https:”的模式，后面有一把上锁的标记。这示意该网页已被SSL加密，数据是十分平安的，不会外泄。HTTPS是HTTP over SSL的简称，是指对HTTP做了SSL解决。 在未装置SSL证书时，用户和服务器之间的信息传输是明文的，容易被外界截取，而且对最终用户来说，他们在浏览服务器时，并不知道这个服务器、网页是否真的存在，且如果存在，信息是否真实可信。部署SSL证书后，能够通过验证HTTPS中的SSL证书信息，确认网站的实在身份，加强用户辨认正确网站信息，防止用户点击了混充网站而上当受骗、通过SSL加密层，也能够对传输的数据进行加密和解密，确保数据在传输过程中的平安，保障数据的机密性和完整性。目前，对网站进行HTTPS加密部署SSL证书是最无效的网络安全爱护，相较于传统的HTTP明文协定，HTTPS协定能够确保传输数据的完整性和机密性，建设一条从用户端到网站服务器端的加密传输通道，通过三次握手协定，确保用户的传输信息不被第三方窃取或篡改。SSL在爱护数据免受侵害的过程中使用了哪些技术？互联网在给咱们的生存带来不便的同时，也无形中造成了一个充斥危险的虚拟世界，其中的三大危害就是窃听、篡改和假冒。此时，SSL就可能爱护数据免受侵害，接下来，咱们就来看看，它别离都使用了哪些技术去抵挡这些侵害。（1）用加密技术避免窃听窃听应该是最容易了解的一种侵害。重要数据如果不加任何解决就公开交互，那么即便不是歹意破坏者的普通人也会对其中的内容产生好奇吧。SSL将客户端和服务器之间的通信加密，这样，即便外人窃听到这些信息，也无从获悉其中的具体内容。（2）用音讯摘要技术检测数据是否被篡改过篡改是指数据在传输途中被擅自改写的一种侵害。假如咱们在网上订购了商品，然而如果送货地址被歹意破坏者改成了他本人的地址，咱们就无奈收到该商品了。SSL将依据数据计算出的信息摘要（MD值）和数据自身一起发送，以此来检查数据是否被篡改过。节点收到它们之后，将依据数据计算出的信息摘要和增加的信息摘要进行比拟，看二者是否统一。因为是对同一数据进行同样的计算，如果哈希值一样就阐明数据并未被篡改。（3）用数字证书技术识破假冒假冒是假扮成通信对象的一种侵害。数据发送方并不知道对方是否真的是本人想要发送数据的对象，通信可能在人不知;鬼不觉中就被歹意破坏者劫持，而且这些歹意破坏者还可能假冒本应收到数据的一方。所以，如果不采取任何防范措施，就相当于把重要的数据亲自交到好人手上。因而SSL会利用数字证书去确认对方的身份，其工作原理是，在发送数据之前要求对方提供本身的信息，而后依据对方发过来的数字证书验明正身。SSL证书有三种类型：DV SSL证书：指只验证网站域名所有权的简易型SSL证书，此类证书仅能起到网站机密信息加密的作用，无奈向用户证实网站的实在身份。OV SSL证书是Organization Validation SSL的缩写，指须要验证网站所有单位的实在身份的标准型SSL证书，不仅能起到网站机密信息加密的作用，而且能向用户证实网站的实在身份。EV SSL是Extended Validation SSL的缩写，指遵循寰球对立的严格身份验证规范颁发的SSL证书，是目前业界最高安全级别的SSL证书。咱们个别罕用的正式是DV SSL证书和OV SSL证书，因为这两种申请起来绝对比较简单快捷。然而这也是他们的弊病，DV SSL证书仅适宜于集体网站或非电子商务网站，因为此类只验证域名所有权的低端SSL证书不须要验证曾经被国外各种欺诈网站滥用。如果你放心证书不够平安或者滥用在欺诈上，在SSL证书中有一种非凡的操作，是能够绑定给SSL证书绑定IP地址。这样在SSL证书可溯源的状况下，便可预防欺诈。如何给DVSSL证书和OVSSL证书绑定IP地址？DVSSL证书：这种证书只须要验证IP地址的管理权限。同时反对多个IP绑定在一起，颁发只须要30分钟左右。OVSSL证书：这种证书企业等单位性质的证书，除了验证IP的管理权限之外，还须要验证企业的身份。当然失去的证书和下面的DVSSL也是不一样的，颁发须要1-3工作日。同时公网IP地址作为互联网入口，应用场景十分地多。只有有互联网，就须要IP地址。那么IP地址的平安又要如何爱护？例如WEB网站建设，IP地址通常采取的是明文HTTP传输协定，这十分不平安，会导致传输协定过程中的数据泄露或者劫持。如果咱们的IP地址绑定了SSL证书，此IP地址就会被加密。所以给证书绑定IP地址能够遏制SSL证书的滥用，同时也相当于给IP地址装上了一层保护伞。不晓得大家在应用的时候SSL证书是，是否遇到过此SSL信息不受网站信赖的提醒，这时须要咱们进行信赖受权。而绑定了IP地址的SSL证书就不会呈现不受信赖的状况。 SSL证书绑定IP地址，是一个双赢的场面。既能够保障IP地址的平安，也能够增强SSL证书的可溯源性，无效避免SSL证书的滥用与欺诈。因为咱们能够通过此SSL的IP地址精确找到是谁在应用，对于非法SSL证书的溯源更精准无效。论断：SSL简略的三个英文字母缩写，却蕴含着十分多的工作原理和技术，要想彻底看清其庐山真面目，还须要一直地钻研、冲破，能力将它施展到其应有的价值，利用好SSL，能力不让您的用户信息“裸奔”。

近日，由MobTech袤博科技主办的【CoderPark】第二季数智有为第2期——数据治理技术体系建设与实际顺利举办。大数据架构专家陈远光在直播中具体分享了构建数据治理体系的思路与实际成绩，助力中小企业实现降本增效。以下为注释内容： 本次分享聚焦中小型数据公司的数据治理体系构建，从四个维度开展，包含数据治理背景与挑战、数据治理体系与方法论、数据治理在MobTech袤博科技的实际，以及对于数据治理将来倒退的瞻望。通过这四大主题的剖析，中小型数据公司将在如何取舍数据，如何构建适宜本人，属于本人的数据治理体系等问题上取得一些启发。 数据治理的背景与挑战目前数据治理曾经成为大数据公司的惯例操作伎俩，但因为公司的数据规模、业务场景、老本计量、技术能力等差别，各公司的数据治理力度有所不同。一般而言，公司数据规模越大，业务场景越简单，资产老本越高，数据治理的颗粒度也就越细，产生的价值也就越直观。对于领有海量数据的公司而言，数据治理是必要的。然而，局部企业对数据治理的概念了解还是比拟含糊，往往只关注数据治理的局部环节，没有造成零碎闭环，造成公司数据治理老本高，成果差。 数据治理的终级目标次要波及两个方面，即老本问题和数据品质问题。就升高经营老本而言，数据存储规模达到百PB的企业，数据治理每升高计算存储1%，就能够节俭上百万的资金投入（包含如服务器硬件、网络、机房、人力老本等）。国内很多大型互联网公司的数据存储曾经达到EB级别，数据治理的成绩十分乐观，能够节俭千万级别老本。因而，数据治理对升高大型互联网公司的经营老本有着不凡的意义。 另一方面，进步数据品质对企业也有着现实意义，它能解决企业中零碎林立、数据孤岛、数据无奈买通共享、缩小数据冗余等问题。但要实现这一目标，要着手重点解决数据治理短少对立利用规范、数据不残缺、指标设计口径不统一、指标难以共享等现状窘境和问题。同时，应建立健全数据管理机制，防止因不足布局造成数据复用率低和数据不平安等问题。 数据治理体系构建方法论数据治理不可欲速不达实现，是一项繁冗而长期的工作。企业数据治理须要在撑持以后业务的状况下循序渐进，逐渐迭代。具体而言，企业数据治理能够分为前中后三个阶段。数据治理后期，须要先对企业数据资产进行盘点，解决资产负责人对数据不可知的问题，并梳理企业数据资产的现状，如老本一直增大，但不晓得哪个业务域消耗老本高、数据流程凌乱、数据信息碎片化、资产不全等问题。而后再梳理资产，比方整顿业务规定、业务流程、对立数据定义、对立数据标准等。总而言之，数据治理后期阶段，须要让数据资产变得洁净。 中期阶段开始，须要联合企业理论布局指标体系，对立数据利用规范和数据开发标准等。本阶段须要从新组织数据，欠缺数仓体系，同时从多个维度进行数据治理，逐渐进行数据治理体系的建设与欠缺。前期阶段，更多的是将后期的工作固化、机制化、长久化。本阶段包含通过组织架构的建设、规章制度的欠缺等，保障数据治理常态化，进步团队合作能力，并通过培训等晋升团队成员数据治理意识。数据治理动作随同着整个数据的生命周期，理论数据治理能够从数据的链路动手，实现数据的层层规整化解决，比方从数据采集，数据存储，数据分析，到最初的数据服务，构建全链路全域的数据资产体系，也能够从数据安全，数据标准，数据管理，数据品质四大维度进行每一链路的数据治理与治理。 大数据企业数据治理体系建设1.数据组织架构治理模块很多人认为数据治理就是信息化部门的事件，如大数据数仓部门，和业务部门无关。其实不然，无效进行数据治理须要从整个组织思考，并建设业余的数据治理组织体系，再进行数据资产确实权。企业数据资产的生产与应用应该有明确的责任部门，明确相应的治理制度和规范。数据治理并不是一个部门的事件，不能在企业的繁多部门失去解决，应该造就整个企业组织的数据治理意识，能力达到成果最大化。在MobTech袤博科技外部，数据治理委员会由各个事业部、大数据集群运维架构部、数仓部门、PAAS平台等外围人员独特组成。各部门明确相应数据治理职责，数据治理考核机制，独特反对合作，从而为数据治理的机制化奠定了根基。 2.数据规范治理模块数据标准化是数据治理过程中的外围环节。过来各业务零碎的数据规范都不雷同，导致计量口径不统一、数据规范认知偏差、跨部门沟通老本较大、效率低下等问题。数据治理的规范体系是多层次的，蕴含国家标准、行业标准、企业规范等。这些规范的建设与施行，须要企业在后期投入大量的人力进行布局、迭代、落地、监督利用治理。而数据治理的功效，很大水平上取决于数据规范的合理性和对立施行的水平。MobTech袤博科技的数据规范治理涵盖了元数据规范、主数据规范、模型规范，数据指标规范，数据安全规范、数据利用规范等。目前公司已退出中国信通院大数据技术标准推动委员会，积极参与数据安全与治理实际等多个重要我的项目，心愿能够为推动数据智能行业的继续倒退奉献本人的力量。 3.数据品质治理模块高质量的数据是企业进行剖析决策和业务倒退布局的重要根底。只有建设残缺的数据质量体系，能力晋升企业整体的数据品质。在技术层面上，企业应该残缺全面地定义数据品质的评估维度，包含完整性、时效性，一致性等，依照已定义的维度，在零碎建设的各个阶段，依据规范进行数据品质检测和标准监测，并对数据进行及时治理，防止预先的数据荡涤工作。MobTech袤博科技外部建设的QC管理系统，能够定义数据质量检验规定、执行数据品质检核、生产数据品质报告。同时布局了一整套独立的数据品质解决、治理流程与相干标准制度。通过数据品质解决流程能够实现从发现问题到解决问题的闭环治理，从而促成数据品质的一直晋升。 4.主数据管理主数据就是企业的外围数据，主数据的治理是数据治理的外围。企业能够通过使用相干的流程、技术和解决方案，对企业外围数据进行无效治理。MobTech袤博科技外部通过一系列标准规范、平台工具和治理流程实现主数据管理，如严格标准主数据的新增、变更、审核等流程，实现对各类主数据的全生命周期治理；可通过手工新增、导入、接口传输等多种形式会集主数据，并提供全方位质量检查，保障主数据品质；同时提供可视化的资产治理界面，全链路、多维度监控主数据整体建设、应用、品质状况等，清晰地展示了主数据的运作轨迹，让主数据管理尽在掌控中。 5.元数据管理元数据管理包含业务元数据、技术元数据、治理元数据等，次要是通过系列的标准规范，如缩小业务术语歧义，进步元数据的高可用性和安全性。公司外部对于元数据的治理，次要从元数据的采集、元数据的存储以及元数据的剖析三大模块构建。元数据的采集，依照元数据的分类分为主动采集和手动采集。主动采集次要通过定时工作，为元数据的采集提供自动化的、周期性的，或指定某个工夫触发的机制。手动采集次要针对特定业务场景的元数据，以手工形式实时采集保留。 元数据采集实现后，按照元数据管理制度及要求，依据规定进行元数据分类，后续再依据每类元数据定义，实现元数据的分类管理存储。如存储在数据库或者数据仓库中，以撑持后续元数据统计、查问、血统剖析、影响性剖析、数据资产地图、元数据备份等元数据利用。公司在该模块建设了图形化的元数据根底剖析以及高级利用剖析web零碎。 6.数据生命周期治理大数据的生命周期针对大数据范畴，确定大数据采集、存储、整合、出现与应用、剖析与利用、归档与销毁的流程，并依据数据和利用的情况，对该流程进行继续优化。MobTech袤博科技外部的生命周期管理系统联合血统剖析、调用剖析、数据的价值剖析等维度，对所有数据进行了生命周期全链路管理，并反对事业部和技术部的小伙伴对所属资产进行资产生命周期配置、变更、删除治理等操作。数据生命周期治理能够大幅升高企业低价值密度数据的老本，包含数据冷热离开存储等，进而晋升高价值数据的查问效率等。 7.数据利用与服务治理模块数据利用与服务治理模块是数据中台的最初一公里。正当的数据服务体系有助于企业进步数据共享水平和数据流转时效，同时保障数据安全。公司外部对于数据交换服务制订了一系列规定，比方对接口的应用标准、文件的内容审批、替换规定，以及对立的数据交换零碎，履行分级审批。 8.数据安全治理数据安全治理包含建立健全企业数据安全管理制度、设定数据安全规范（如存储，传输，利用等维度）、造就企业员工的数据安全意识等。当然平安与效率始终是一个矛盾体，数据安全管控越严格，数据的利用就可能越受限，企业须要在平安、效率之间找到平衡点。数据治理既须要组建架构、规章制度，也须要工具平台、施行流程、考核治理。前者提供了实践根底，后者提供了技术撑持，两者独特促成数据治理体系的建设。 就地取材实现数据治理随着数字化时代的到来，企业积淀的数据越来越丰盛，为升高经营老本并晋升数据品质，泛滥企业开始尝试数据治理建设。尽管欠缺的数据治理体系内容全面、功能丰富，然而这种全面的数据治理体系并不一定适宜每一家企业。因而，企业不能生吞活剥大厂教训，而是要择其善者而从之，抉择适宜本人的办法体系，去建设适宜本人的数据治理体系，能力真正帮忙企业实现降本增效。

课程简介Certified Data Security professional （简称“CDSP”）数据安全认证专家是针对云数据安全、ICT数据安全和新兴热点业务的数据安全（如AI / IoT）开展，并联合各类新兴技术的不同场景，给出数据安全架构、平安设计、隐衷爱护的个别准则和业界最佳实际，旨在确保信息安全、数据安全、云计算、隐衷爱护的从业人员对数据安全威逼和数据安全框架和最佳实际有系统性地认知并把握基本技能，并具备平安设计、审计、评估和爱护数据与隐衷所需的要害常识、技能和能力，能够将相干常识和技能落实到日常工作中，帮忙企业满足相干法律法规和监管要求。这是贯彻落实《数据安全法》与《个人信息保护法》的一项重要口头。 课程内容依照CDSP认证的6大外围畛域进行了划分，次要内容包含：数据安全导论、数据安全危险挑战应答、数据安全架构设计、密码学与加密、隐衷爱护与数据安全合规、新兴技术与数据安全。 学员和企业收益领有CDSP认证对于集体的益处：* 常识迭代：零碎理解数字平安畛域的专业知识* 技术多样：全面把握多种数字平安能力，倒退为全能型人才* 名誉良好：在行业中领有更高的名誉和影响力* 薪水递增：据寰球信息安全人力钻研表明，信息安全认证从业人员的薪水比非认证人员均匀高出25%* 职业广大：目前一些政府机构和企事业单位已推出了数据官职位，领有认证能够后人一步，在竞争中怀才不遇，进入更多职业畛域。领有CDSP认证人才对企业的益处：* 晋升合规能力：领有《数据安全法》与《个人信息保护法》在企业落地必不可少的数据安全技术人才* 证实能力程度：企业领有的持证人员显示企业在数据安全畛域的能力储备和教训积攒* 突出竞争劣势：数字平安能力与时俱进，在市场竞争中放弃当先* 满足客户要求：满足客户对于资格认证的特定要求* 进步企业信用：让供应商和客户更释怀单干* 发明社会价值：为行业、社会发明技术和经济价值，体现企业的社会责任* 实现合规治理：在银发[2016]314号《金融消费者权利爱护实施办法》、《集体金融信息爱护技术规范》（JR/T 0171—2020）、《信息安全技术集体信息安全标准》（GB/T 35273-2020）等法规和规范的根底上，补充《数据安全法》与《个人信息保护法》，进一步欠缺集体金融信息爱护框架、增强挪动端个人信息爱护。* 更好服务客户：在集体金融信息生命周期各阶段实现合规，并能解答客户对于集体金融信息爱护的各类问题，从金融业务导向实现客户和企业的价值。学习对象次要面向平安畛域有相干教训的管理者和专业人士、相干钻研人员、开发技术人员，以及其它有志于从事数据安全畛域征询、治理和架构设计的人士。特地是： * 首席数字官/首席数据官* 首席平安官/首席信息安全官* 首席隐衷官* 首席信息官* 信息技术总监/信息安全总监/经理* 平安参谋/分析师/审计师* 平安架构师/设计师* 平安零碎工程师* 产品架构师/畛域架构师/零碎设计师* 对数字平安和隐衷爱护有趣味的人士* 有间接面向集体客户的线下和线上业务的金融行业企业课程纲要本课程分为6个模块，涵盖数据安全的基础知识、平安架构、要害设计和最佳实际等多个不同的方面。 模块1：数据安全导论数据安全的纲领数据分类的准则与施行数据安全体系 模块2：数据安全危险挑战与应答数据安全的危险和挑战数据安全应答机制 模块3：数据安全架构与设计数据安全架构的设计、施行和案例数据安全治理框架和架构模型访问控制关键技术数据安全业务场景 模块4：数据安全的基石：密码学与加密各类密码学技术密钥管理体系和平安协定量子时代的密码学与密钥治理密码学技术实际 模块5：隐衷爱护与数据安全合规隐衷的概念及监管隐衷爱护准则和技术海内垂直行业数据与隐衷合规需要中国数据安全与隐衷爱护监管的演进 模块6：新兴技术的数据安全挑战AI与数据安全以区块链为代表的新兴利用物联网数据安全5G与数据安全隐衷爱护技术 模块7：金融行业案例分享 规范课时：16-18小时，2天认证考试：限时考试，题型为单选题和多选题，共60道题，必须在90分钟内实现。考生取得70%以上的问题通过考试。考试通过后，系统生成考试证书。考试入口：https://exam.c-csa.cn考试认证费用：培训及考试费：7480元（其中：培训费5000元/人；考试认证费2480元/人） 公众号：云平安联盟CSA官网：https://c-csa.cn/

明天你扫码了吗？进商场，扫！火车站，扫！高频次的扫码也引发了公众的思考到哪都要扫码，个人信息的平安如何保障？ 随着《数据安全法》和《个人信息保护法》相继施行，数据安全监管趋严，平安合规要求继续加强，无关数据安全、数据治理的解决方案不断涌现。天翼云也积极行动，助力企业及政府部门多方位实时防护数据安全。天翼云自研的数据安全治理平台，具备敏感数据辨认、数据分类分级、数据脱敏、进口数据异样检测、审计监测预警等数据安全能力，能够实现对平台外围数据的监控和进攻。该平台撑持日均350T规模数据加密和脱敏，经营期间180PB级数据未产生业务违规事变，保障云公司大数据能力的合规凋谢、粗放经营和衰弱倒退；纳管API服务接口1000+个，监控每一帧进口数据，无效升高了数据泄露危险；关联剖析10+类日志全面监控用户操作数据行为，可实现异样数据操作实时告警，发现外部数据泄密的威逼。 基于数据安全治理平台，天翼云打造了云平台平安解决方案，以国家法律法规、行业标准为主线，通过“治理+技术+经营”的闭环运行形式构建了齐备的管理体系，并通过对立的经营指标落实常态化经营工作，实现了平安治理能力的螺旋式晋升。依据安全事件的紧急及重大水平，天翼云制订了Critical（7x24）、Serious（7x8）、Important（5x8）三种差异化应急响应等级服务，并装备业余的平安服务团队以应答各种突发状况。目前，天翼云数据安全解决方案已波及网站平安、等级爱护、危险评估、应急响应等多个畛域，全面守护数据安全。 凭借突出的数据全生命周期平安治理能力，天翼云成为首批5家通过18个能力项评估，取得信通院数据安全治理能力（DSG）优良级证书的企业之一。 数字化转型的大浪潮曾经涌来，数据安全作为数字时代的“基石”，是企业数字化转型的“必选题”。天翼云高度重视企业和集体数据安全，为“码上数据”添保障只是数据守护的一个缩影，将来天翼云也将持续摸索，不断完善数据安全解决方案，筑牢数据安全保护网。

在数据治理与数据安全越来越被国家器重，泛滥企业在建设数据中台时，除了数据内容建设，逐步关注到数据的继续优化和治理，以确保数据是“衰弱”的。本次线上直播邀请到来自中国信通院、火山引擎以及MobTech袤博科技的一线行业专家，聚焦数据治理技术体系建设与实际话题，既包含数据安全治理能力的评估框架与察看、又有来自头部大厂的数据治理利用实际分享，专家星散，精彩不容错过！ ▌本期议程⏰工夫：4月14日（周四）18:00 —20:00报名形式：扫描上方海报蓝色二维码或点击浏览原文直接参与报名 **18:00—18:30《数据安全治理能力评估框架与评估察看》 刘雪花| 中国信息通信研究院工程师**介绍信通院提出的数据安全治理能力评估框架2.0，新的评估框架在三方面进行了改良，包含对标监管要求，细化评估等级和优化规范条款。并基于3批33家企业的数据安全治理能力评估（DSG评估）工作进行剖析总结，为企业的数据安全治理建设提供参考。 **18:30—19:00《一站式数据治理解决方案及平台架构》 王慧祥| 字节跳动数据平台团队-数据治理平台研发负责人**介绍字节跳动的数据治理理念以及基于业务实际与治理教训积淀而研发出的一站式数据治理平台产品。包含存储治理、计算工作治理、数据SLA治理、报警治理等几个典型的大数据治理场景的系统化解决方案，以及面对上述治理场景挑战的技术实现思路。 **19:00—19:30《解码数据治理助力企业降本增效2.0》 陈远光| MobTech 袤博科技 大数据架构专家**解码数据治理在大规模数据存储对企业的价值，分享数据智能企业数据治理一体化的、架构计划的构建，集中展现数据治理助力企业降本增效的落地实际成绩。 19:30—20:00 迷你Talk&抽奖 ▌直播福利1、举荐礼：报名胜利后，将本人的报名页面转发给好友，期待5位好友通过你转发的链接预约胜利，即有机会获取技术书籍一本，举荐10位预约胜利则有机会获取极客背包一个。兑奖请关注本公众号后盾回复【姓名+支付举荐礼】，期待分割即可；2、现场抽奖：退出下方流动现场群，参加现场福利抽奖，礼品笼罩极客背包、超大鼠标垫、智能蓝牙音箱、技术书籍等；3、发问有礼：现场被讲师挑中问题并进行解答的小伙伴有机会取得超大鼠标垫一个。 ▌流动Tips：1、扫码填写根本信息提交报名表单，主办方将在24小时内进行审核；2、审核胜利后，您会在流动前通过短信、邮件、公众号等渠道收取报名胜利告诉及直播链接；3、增加小助手入大数据开发技术交换群，学习抽奖两不误；4、所有礼品均在流动完结后对立发放，有任何兑奖及流动问题，可入群征询Mob小姐姐 流动现场群 ▌Coder Park直播为加强开发者间的技术交换，促成企业间的技术和业务单干，MobTech袤博科技联动各知名企业、社区平台、技术协会、优良技术专家等，独特打造一档线上技术直播分享栏目【Coder Park】。 第一季联动华为、中国信通院、阿里等出名平台10位+讲师，围绕大数据平台架构、数据安全、挪动开发等方向开展精彩分享，播种近50000+参会者关注，踊跃推动业内交换和技术布道。 ▌第二季介绍【Coder Park】第二季将聚焦数据智能畛域，联动中国信通院、亚马逊、字节跳动等一线企业，以及谷歌开发者社区、掘金、开源中国、火山引擎开发者社区、TechParty等社区组织单干，围绕数据迷信算法、数据治理、数据平台架构等技术畛域开展主题分享，帮忙更多企业疾速推动数字化转型过程。第二季嘉宾阵容与合作伙伴全新降级，更多精彩内容和礼品惊喜等你来摸索。

一、数据交互咱们本人的零碎须要和第三方零碎进行对接，实现业务的齐全系统化、自动化操作等，零碎对接其实就是数据的对接，有数据的传输那么就得思考数据的平安交互，个别须要咱们做到两点：数据加密和数据签名。数据加密是为了解决明文裸露的问题，数据签名是为了确保数据完整性和防篡改。 二、非对称加密非对称加密算法存在两个密钥，一个称之为公钥，一个称之为私钥，这两个密钥齐全不同但又齐全匹配。只有应用匹配的一对公钥和私钥，能力实现对明文的加密和解密过程。常见的非对称加密有RSA、SM2等 三、公钥与私钥由服务端生成公钥与私钥，而后把公钥发送给客户端，客户端通过公钥对数据加密，而后把加密的数据发送给服务端，服务端通过私钥对数据解密。 理论我的项目中，客户端和服务端是相对而言的，客户端也有可能是服务端来接收数据，所以个别两端都会生成一对公钥和私钥，而后把公钥发送给对方，接口交互过程中，通过公钥加密，私钥解密进行数据传输。 公钥和私钥都能够用于加解密操作，用公钥加密的数据只能由对应的私钥解密，反之亦然。虽说两者都可用于加密，然而不同场景应用不同的密钥来加密，规定如下：1、私钥用于签名、公钥用于验签（私钥加密，公钥解密）签名和加密作用不同，签名并不是为了窃密，而是为了保障这个签名是由特定的某个人签名的，而不是被其它人伪造的签名，所以私钥的公有性就适宜用在签名用处上。 2、公钥用于加密、私钥用于解密公钥加密，只能由私钥解密，而私钥是公有不公开的，只能由特定的私钥持有人解密，保证数据的安全性（即便截获数据也不晓得是什么内容） 四、RSA加解密代码/** * RSA非对称加密 */public class RSAUtils { /** * 非对称密钥算法 */ public static final String KEY_ALGORITHM = "RSA"; /** * 密钥长度，DH算法的默认密钥长度是1024 * 密钥长度必须是64的倍数，在512到65536位之间 */ private static final int KEY_SIZE = 1024; /** * 公钥 */ private static final String PUBLIC_KEY = "RSAPublicKey"; /** * 私钥 */ private static final String PRIVATE_KEY = "RSAPrivateKey"; /** * 初始化密钥对 * * @return Map 甲方密钥的Map */ public static Map<String, Object> initKey() throws Exception { //实例化密钥生成器 KeyPairGenerator keyPairGenerator = KeyPairGenerator.getInstance(KEY_ALGORITHM); //初始化密钥生成器 keyPairGenerator.initialize(KEY_SIZE); //生成密钥对 KeyPair keyPair = keyPairGenerator.generateKeyPair(); //甲方公钥 RSAPublicKey publicKey = (RSAPublicKey) keyPair.getPublic(); //甲方私钥 RSAPrivateKey privateKey = (RSAPrivateKey) keyPair.getPrivate(); //将密钥存储在map中 Map<String, Object> keyMap = new HashMap<String, Object>(); keyMap.put(PUBLIC_KEY, publicKey); keyMap.put(PRIVATE_KEY, privateKey); return keyMap; } /** * 私钥加密 * * @param data 待加密数据 * @param key 密钥 * @return byte[] 加密数据 */ public static byte[] encryptByPrivateKey(byte[] data, byte[] key) throws Exception { //获得私钥 PKCS8EncodedKeySpec pkcs8KeySpec = new PKCS8EncodedKeySpec(key); KeyFactory keyFactory = KeyFactory.getInstance(KEY_ALGORITHM); //生成私钥 PrivateKey privateKey = keyFactory.generatePrivate(pkcs8KeySpec); //数据加密 Cipher cipher = Cipher.getInstance(keyFactory.getAlgorithm()); cipher.init(Cipher.ENCRYPT_MODE, privateKey); return cipher.doFinal(data); } /** * 公钥加密 * * @param data 待加密数据 * @param key 密钥 * @return byte[] 加密数据 */ public static byte[] encryptByPublicKey(byte[] data, byte[] key) throws Exception { //实例化密钥工厂 KeyFactory keyFactory = KeyFactory.getInstance(KEY_ALGORITHM); //初始化公钥 //密钥资料转换 X509EncodedKeySpec x509KeySpec = new X509EncodedKeySpec(key); //产生公钥 PublicKey pubKey = keyFactory.generatePublic(x509KeySpec); //数据加密 Cipher cipher = Cipher.getInstance(keyFactory.getAlgorithm()); cipher.init(Cipher.ENCRYPT_MODE, pubKey); return cipher.doFinal(data); } /** * 私钥解密 * * @param data 待解密数据 * @param key 密钥 * @return byte[] 解密数据 */ public static byte[] decryptByPrivateKey(byte[] data, byte[] key) throws Exception { //获得私钥 PKCS8EncodedKeySpec pkcs8KeySpec = new PKCS8EncodedKeySpec(key); KeyFactory keyFactory = KeyFactory.getInstance(KEY_ALGORITHM); //生成私钥 PrivateKey privateKey = keyFactory.generatePrivate(pkcs8KeySpec); //数据解密 Cipher cipher = Cipher.getInstance(keyFactory.getAlgorithm()); cipher.init(Cipher.DECRYPT_MODE, privateKey); return cipher.doFinal(data); } /** * 公钥解密 * * @param data 待解密数据 * @param key 密钥 * @return byte[] 解密数据 */ public static byte[] decryptByPublicKey(byte[] data, byte[] key) throws Exception { //实例化密钥工厂 KeyFactory keyFactory = KeyFactory.getInstance(KEY_ALGORITHM); //初始化公钥 //密钥资料转换 X509EncodedKeySpec x509KeySpec = new X509EncodedKeySpec(key); //产生公钥 PublicKey pubKey = keyFactory.generatePublic(x509KeySpec); //数据解密 Cipher cipher = Cipher.getInstance(keyFactory.getAlgorithm()); cipher.init(Cipher.DECRYPT_MODE, pubKey); return cipher.doFinal(data); } /** * 获得私钥 * * @param keyMap 密钥map * @return byte[] 私钥 */ public static byte[] getPrivateKey(Map<String, Object> keyMap) { Key key = (Key) keyMap.get(PRIVATE_KEY); return key.getEncoded(); } /** * 获得公钥 * * @param keyMap 密钥map * @return byte[] 公钥 */ public static byte[] getPublicKey(Map<String, Object> keyMap) throws Exception { Key key = (Key) keyMap.get(PUBLIC_KEY); return key.getEncoded(); }}五、接口设计申请体类：public class RequestData { /** * 序列号，全局惟一，用来标识一个申请 */ private String seqNo; /** * 工夫戳，毫秒 */ private String timestamp; /** * 交易服务码 */ private String transCode; /** * 数据签名 */ private String signature; /** * 申请数据体，数据JSON串 */ private String plain; public String getSeqNo() { return seqNo; } public void setSeqNo(String seqNo) { this.seqNo = seqNo; } public String getTimestamp() { return timestamp; } public void setTimestamp(String timestamp) { this.timestamp = timestamp; } public String getTransCode() { return transCode; } public void setTransCode(String transCode) { this.transCode = transCode; } public String getSignature() { return signature; } public void setSignature(String signature) { this.signature = signature; } public String getPlain() { return plain; } public void setPlain(String plain) { this.plain = plain; }}响应体类：public class ResponseData { /** * 序列号，全局惟一，用来标识一个申请 */ private String seqNo; /** * 工夫戳，毫秒 */ private Long timestamp; /** * 交易服务码 */ private String transCode; /** * 数据签名 */ private String signature; /** * 申请数据体 */ private String plain; public String getSeqNo() { return seqNo; } public void setSeqNo(String seqNo) { this.seqNo = seqNo; } public Long getTimestamp() { return timestamp; } public void setTimestamp(Long timestamp) { this.timestamp = timestamp; } public String getTransCode() { return transCode; } public void setTransCode(String transCode) { this.transCode = transCode; } public String getSignature() { return signature; } public void setSignature(String signature) { this.signature = signature; } public String getPlain() { return plain; } public void setPlain(String plain) { this.plain = plain; }}

谈及数据,绕不开的一个话题就是数据隐衷与数据安全。随着数字化过程放慢，数据安全事件频发,据Risk Based Security统计，去年国内数据泄露事件近5000起，被泄露数据近41亿条，数据造成的潜在重大危害和巨额损失迫使国家、行业、企业等各层面更加器重数据安全。 数据安全已成为国家社会倒退面临的重要议题之一。2021年7月4日，“某出名出行App”因存在重大守法违规收集应用个人信息问题，被国家互联网信息办公室根据《中华人民共和国网络安全法》相干规定下架。针对数据滥用、盗用、泄露等问题，国家陆续出台相干政策及法律法规，在《网络安全法》《数据安全法》与《个人信息保护法》等上位法的框架下，国家网信办于11月又公布《网络数据安全管理条例(征求意见稿)》，该条例作为行政法规，对前述上位法的规定进行落实、细化、补充，进一步加强数据安全法律体系的齐备性和可操作性，以信息安全为外围，助力数字经济倒退。 数据作为AI企业的外围竞争壁垒,为了确保其安全性，一波又一波的AI企业开始搭建私有化数据系统来治理业务数据的标注工作。作为数据标注行业领头羊的曼孚科技始终将AI数据隐衷平安放在业务发展的首要地位。 在保障AI数据隐衷性、安全性方面,曼孚科技“四管齐下”做到隐衷数据防护的“滴水不漏。 平台层 通过全流程密态保护在流程终点对数据文件进行加密，同时笼罩数据流转全生命周期，无效解决因“拷贝”而造成的数据泄露问题。 利用SEED数据服务平台角色权限自定义搭配专属的拜访权限及资源权限，精密管制其对资源的拜访范畴，无效解决多组用户越权问题与单向数据垂直越权等问题，实现精细化的资源访问控制。 通过全链路监控回放记录会话信息、网络流动、用户操作与状态、错误信息等内容，帮忙用户无需询问屏幕截图或日志即可重现历史操作，实现疾速定位并解决问题。 借助用户风控系统登陆爱护、黑白灰名单、高频高危操作检测、自定义规定引擎等性能。一旦检测到潜在危险，会通过二次验证、人工审核、强制拦挡、黑灰监控等伎俩予以告诉以及疾速处理，此外，借助弱小的AI发现算法，平台可精准定位敏感操作，监控数据的异样拜访，帮助企业预防隐衷数据泄密。 利用私有化部署实现平台与数据本地化，企业按需定制，资源自主调配，数据流转更平安。 严格遵循交付即焚，我的项目审核交付后，曼孚科技会在第一工夫删除我的项目数据，彻底阻断数据滥用以及泄露危险。 依靠隔离操作零碎级的虚拟化技术实现容器平安隔离，容许用户在独立过程之间隔离CPU等资源，为容器镜像提供破绽扫描与修复，并反对整合至容器构建流程中，防止部署存在危险的容器;对于运行时的容器进行威逼检测，晋升整体运行环境的安全性。 技术层 通过专属分布式存储与存储容灾，独享物理存储资源，数据多正本冗余，数据持久性高达99.9999999%，通过HyperMetro复制技术、共享卷复制、网络迁徙等多项技术，确保数据安全与牢靠。 通过Web利用防火墙，对平台业务流量进行多维度检测与防护，联合深度机器学习智能辨认歹意申请与进攻未知威逼，无效防止网站被黑客歹意攻打与入侵等潜在危险。 通过数据加密对云上数据进行加密，密钥和随机数由第三方硬件安全模块(HSM)产生，对密钥的所有操作都会进行访问控制及日志跟踪，合乎国内外法律合规性的要求。 通过态势感知，利用云平台大数据的海量解决能力，AI技术自动化检测超过20类的云上平安危险。预测攻打态势，感知攻打现状，还原攻打历史。 外部层 利用数据安全畛域外部标准及外部权限管制对信息进行爱护，制订和采取数据流入治理、电子文件传递治理、保密制度、数据流出治理、防备计算机病毒、权限治理的管理制度，以防止其蒙受外来的威逼和侵害，避免未经受权地批改、透露和毁坏。 制订欠缺的平安应急响应与解决制度，预防黑客攻击、计算机病毒、网络中断、软件系统遭破坏性攻打等突发状况，保障数据库安全。 内部层 在数据产业基地根本配置方面恪守24小时360度监控工作室、员工签订窃密协定、手机对立治理电脑管控、USB插口管控、网络隔离、独立台式电、独立门禁、集体指纹进入办公区域标准。 在网络安全方面严格保障边界完整性、恶意代码防护、备份与复原、入侵防备、构造平安。 在人员平安方面严格标准人员从录用、考核、培训、内部拜访至离岗细则流程。

随着实时互动广泛应用于在线教育、社交直播、企业合作、在线医疗、金融保险等各行各业，很多利用开发者会抉择实时互动云（RTE PaaS）服务商帮忙其疾速构建功能丰富的利用。然而在抉择RTE PaaS服务商之前，你须要确切理解服务商在数据隐衷、安全性和规范合规方面所提供的保障。 01 为什么平安合规很重要？开发者须要在服务条款中明确阐明如何存储、应用和共享开发利用的集体数据，并严格遵守相干服务条款。另外，当开发面向寰球市场的利用时，开发者须要理解本人是否恪守GDPR、CCPA等数据隐衷法规以及其余当地或区域性的政策法规。为保障应用程序能更加平安地治理用户数据，开发者须要理解PaaS合作伙伴解决其波及的任何数据的具体形式。 平安是业务的一种属性，其作用是通过无效的治理和技术措施来管制内外部危险，在恪守相干法律法规的前提下，为业务服务的机密性、完整性和可用性提供牢靠保障。 02 声网对开发者的倡议对于开发者来说，平安且合规地解决用户个人隐私数据是应用程序的重中之重，声网Agora 在设计、开发和部署SD-RTN™、SDK 以及其余产品和服务时，都会严格执行外部的SDLC（Secure Software Development Lifecycle）管制，并严格遵守相干政策法规，帮忙开发者构建合乎各类隐衷政策与法规的利用场景。 开发者须要明确本人的业务场景，以及相干的平安责任边界。 声网Agora RTE服务与客户的平安责任边界示意如下： Agora致力于为客户提供随时随地、无处不在的实时互动服务，咱们始终将数据安全和用户隐衷爱护作为首要平安准则，并将其作为理念融入平安能力建设当中，咱们负责RTE PaaS平台以及输入给客户SDK的安全性。 在明确平安责任边界的前提下，对于开发者来说，平安且合规的解决用户的隐衷数据是应用程序的首要关注点。开发者应全面浏览开发者手册相干文档，了解其服务在安全性方面的技术规格阐明，并进行开发最佳设置，强化本身音视频互动服务的安全性。 咱们提供了“最佳平安实际指南”（见「浏览原文」）来帮忙开发者在开发配置过程中，晋升音视频互动的安全性。 同时，咱们倡议开发者关注咱们SDK的公布动静，及时更新到最新版本SDK。这样既能够确保开发者的APP能够第一工夫获取最新的性能与服务，还能确保安全相干缺点和破绽被及时修复。 03 开发者须要思考哪些内容？无论开发者是与声网Agora，还是与其余PaaS服务商单干，在签约之前都应征询并明确以下问题： 服务商是否严格落实了数据安全和隐衷爱护规范？ 数据安全的可靠性，取决于服务商是否严格依照行业标准施行对数据的管制和治理。 声网Agora 在信息和隐衷平安方面遵循行业标准 ISO 27001/27017/27018。咱们的网络架构和基础设施合乎SOC2规范，确保所有的物理和虚构拜访都失去无效治理、监控和管制 。 声网Agora不会拜访或存储用户的个人身份信息（PII），只会收集提供服务中必要的经营信息——这些数据包含IP地址（辨认用户的地理位置以合乎区域法规和网络连接）、计量数据（因为声网是按应用时长免费的）和体验品质数据（通过水晶球帮忙客户进行体验品质监测）。声网不接触终端用户数据，更不会解决和存储终端用户数据，如明码和用户身份（如姓名、电子邮件地址、电话号码等）。这些信息由客户自行在应用程序中进行治理。 权威的第三方机构是否能够证实或监控服务商的平安合规性？ 如果PaaS服务商对于平安规范的施行已失去权威机构的验证，则绝对更加可信。 声网与Ernst＆Young LLP单干，后者监督咱们对ISO 27001/27017/27018等规范的执行状况。咱们的ISO审核流程和认证则由欧洲认证机构DNV GL提供。咱们的SOC 2合规性由Deloitte LLP审计实现。此外，咱们与包含Trustwave Holdings在内的寰球平安专家单干，已实现网络浸透、应用程序破绽和合规性评估等工作。 服务商是否可能提供爱护媒体流的能力和选项？ 开发者在抉择是否对媒体流加密时，很重要的一点是要在性能和数据安全之间进行衡量，对数据进行平安爱护将对提早和性能等产生肯定影响，即使影响较小。 作为以开发者为核心的API平台，声网为利用开发者提供了身份验证、数据加密以及网络天文围栏等诸多缺省和可配置的平安选项，以爱护开发者的音视频媒体流数据。您能够针对特定的利用场景进行衡量和抉择。 如果您抉择为媒体内容加密，Agora SDK 提供内置 AES 加密算法供客户间接抉择应用。加密密钥由客户的应用程序治理，并在Agora网络内部的终端用户设施之间进行传输。 服务商是否有疾速响应安全漏洞的记录？ 任何简单的软件都会有破绽存在，因而PaaS服务商必须保持警惕，以避免破绽被利用。开发者须要关注PaaS服务商发现并及时处理破绽的能力。 声网与多家寰球备受信赖的平安组织单干，从而保障及时发现破绽并告知客户，帮忙客户疾速发展必要的修复工作。 服务商是否符合国家或地区的法律？ 任何一家全球化的公司都必须理解业务所在国家和地区的法律及条例。很多人都会呈现一个常识性的误会，认为相干法律和条例仅实用于该国家和地区的外乡企业，实际上这些法律和条例实用于在该国或该地区经营业务的所有公司。无论是欧盟的GDPR或中国的网络安全法律，任何想要在这些区域开展业务的公司，都要受到同样的法律法规束缚。 声网Agora合乎欧洲的GDPR、美国加州的CCPA等国内法规，同时咱们还能够依据BAA向医疗行业的相干客户提供HIPAA合规选项。 服务商是否能提供高级且可配置的天文路由？ 天文路由（有时也被称为天文围栏）容许开发人员定义一个天文区域，开发者的数据将被限度在该天文域内。 声网Agora在六个不同的地区施行了基于地理位置的路由，利用开发人员和平安团队能够依据其具体情况进行抉择。声网的客户能够通过设定区域，限度其终端用户的音视频媒体流的流转和解决在指定区域内。例如，如果开发者决定在其经营区域中限定某个特定的区域，那么媒体内容就只会途经这个区域进行传输。 服务商是否确保提供的音视频流不会造成窃听或泄露？ 开发者利用如果呈现音视频数据泄露，造成的起因可能是利用自身的安全性或者服务商的安全漏洞等多重起因，所以开发者须要留神，第三方服务商如何保障提供的音视频流不会泄露？ 声网Agora通过自研协定AUT进行传输爱护，自研协定蕴含密钥替换、身份认证，并应用SSL/TLS进行加密传输，从而爱护音视频数据不被窃听或泄露。 综上所述 作为寰球实时互动云服务商，面对利用开发者对数据安全性的迫切需要，咱们所施展的作用将十分要害。咱们致力于提供卓越的数据安全性，让开发者能够将精力专一于翻新和打造新利用，在安全性方面没有后顾之忧。 如果您对平安方面还有其余疑难或倡议，可随时通过邮件（security@agora.io）与咱们的平安团队取得联系，也可随时通过邮件（pr@agora.io）与咱们的PR团队取得联系。

什么是数据安全依据《中华人民共和国数据安全法》中第三条，给出了数据安全的定义，是指通过采取必要措施，确保数据处于无效爱护和非法利用的状态，以及具备保障继续平安状态的能力。 为什么企业要做数据安全在互联网流行的明天，不法分子能够通过网络攻击，网络坑骗等伎俩窃取用户的个人信息甚至企业的机密信息。而且在拿到局部用户信息后就能够惟一的锁定具体某一个人，因而数据的窃密显得分外重要。 GrowingIO 数据安全落地为了保障客户数据的安全性， GrowingIO 通过构建一个平安的软件运行时与数据动态存储加密来进步数据生产安全性。上面咱们将具体介绍数据安全落地的过程。 软件运行平安软件运行平安也就是企业的零碎运行平安，这次要蕴含两个方面： 数据逻辑隔离：零碎通过用户的权限与角色，给出专有的数据操作汇合。 KMS秘钥治理：零碎所依赖的数据库，中间件不会因为秘钥的泄露而造成数据泄露。 数据逻辑隔离数据逻辑隔离次要是对平台上操作的用户进行身份，角色，权限的认证。 认证流程： 所有平台的用户通过RBAC 权限模型调配不同的角色和权限。只有领有对应角色权限的用户能力查看或进行对应的操作。 KMS 秘钥治理KMS 即（key manage system）秘钥管理系统。目前亚马逊云和阿里云等云产品都有本人的解决方案。KMS 反对多种类型的的数据库，中间件，以及利用秘钥治理等性能。应用KMS 之后所有数据库，中间件等的用户名，明码对产研均不可见，利用静态数据加密对应的秘钥也不可见。 目前反对数据库和中间件以及零碎秘钥： 【交互流程】 【示例展现】 以亚马逊云(AWS)为例： 利用配置 kms: enabled: false aws: region: "" access_key_id: "" secret_access_key: ""#利用中增加spring: redis: kms-key: "test/json/redis" datasource: kms-key: "test/postgresql/accounts"运行初始化 示例以postgresql 数据库HikariCP 连接池为例： @Bean@ConditionalOnProperty(value = "kms.enabled",havingValue = "true")public HikariDataSource dataSource(DataSourceProperties properties, KmsProperties kms,Configs configs) { SecretsManagerClient client = SecretsManagerClientBuilder.build(kms.getRegion(),kms.getAwsAccessKeyId(),kms.getAwsSecretAccessKey()); AwsSecretProvider secretProvider = new AwsSecretProvider(client); String secret; try{ secret = secretProvider.getSecret(configs.getDataSourceKmsKey()); //secret是json格局的链接信息 final HashMap<String,String> map = Jackson.readValue(secret, HashMap.class); String url = String.format("jdbc:postgresql://%s:%s/%s?useUnicode=true&useSSL=false&characterEncoding=utf8",map.get("host"),map.get("port"),map.get("dbname")); properties.setUrl(url); properties.setUsername(map.get("username")); properties.setPassword(map.get("password")); }catch (Exception e) { log.error("kms database error",e); } HikariDataSource dataSource = properties.initializeDataSourceBuilder().type(HikariDataSource.class).build(); if (StringUtils.hasText(properties.getName())) { dataSource.setPoolName(properties.getName()); } return dataSource; }在理论开发中用到的任何数据库，中间件都能够通过KMS 来治理对应的用户名，明码等敏感信息。 ...

10月14日，湖南省公安厅组织发展了2021年国家网络安全宣传周法治主题日流动。其中，由腾讯平安、长沙市数据资源管理局、湖南省网络空间平安协会、北京微步在线科技有限公司独特承办的要害信息基础设施平安爱护条例宣贯暨数据安全治理高峰论坛，汇聚了湖南省公安厅领导、公安领域专家、高校法学传授、行业专家等重要嘉宾缺席。 会上，腾讯平安政务解决方案总监王朋群发表了题为《政企数据安全防护体系建设与实际分享》的演讲，联合网络安全畛域最新的法律法规和政策规范，剖析网络安全畛域最新倒退局势，并具体分享了腾讯平安帮助政企单位构建新一代数据安全治理体系的胜利实践经验。 寰球平安威逼加剧，国家网络安全顶层政策不断完善王朋群认为，数字技术在带来经济效益、促成社会倒退的同时，也使得数据隐衷面临更大危险。近两年，寰球数据泄露和隐衷事件频发，数据安全形势严峻。诸如人为操作失误、零碎设计缺点以及歹意立功攻打等隐衷平安问题也让数字技术的利用频频受到质疑，具体到政企畛域挑战更为严厉。 在此背景下，我国法律法规和监管机构日趋收紧，特地是要害信息基础设施，对国家平安、经济平安、社会稳固、公众衰弱和平安至关重要。《数据安全法》明确提出国家机关政务数据安全保障任务。建立健全数据安全管理制度，落实数据安全爱护责任，保障政企数据安全。王朋群示意，保障大数据的利用与平安，要对所有数据进行分类分级，对不同类别和精度的数据进行分级平安治理。 基于“三个层面、四个步骤”，构建政企数据安全治理最佳实际数据作为第五大生产因素，正深刻影响着国家经济社会的倒退，数据安全保障曾经回升业务稳固运行的高度。在数据安全治理过程之中，危险贯通业务数据流各个环节，须要重点关注流转过程的数据安全治理和平安防控。通过数据安全防护、数据安全治理、数据安全服务三个层面构建大数据安全防护框架。 （图为政企数据安全治理框架） 同时，王朋群在谈到如何将框架疾速落地方面，倡议通过数据安全治理组织的设立，数据安全分级分类制度落地、数据生命周期平安管控、数据安全经营治理四个步骤，无效施行政企数据安全治理工作。 （图为政企数据安全治理落地步骤） 目前，针对政企大数据的简单场景，腾讯平安打磨出一套残缺的政企数据安全治理计划，并积攒了一大批可落地的关键技术。包含：基于AI的敏感数据辨认及分类分级技术、高性能国密加密技术、基于深度数据库协定解析的数据审计技术、场景驱动的细粒度访问控制技术、利用&API数据安全监测及防护技术、“数据可用不可见” 数据沙箱技术等。 总结起来，该计划次要次要体现在三个方面劣势，即全体系防护、全方位治理、全流程服务能力。具体体现在与动态的数据库安全防护不同的是，腾讯政企数据安全治理计划可能笼罩数据流转全过程，通过对立的数据安全治理平台，对数据安全资产、危险、事件进行对立治理，以服务化的形式实现政企数据安全防护。 腾讯政企数据安全治理计划已胜利实现广东省数字政府、长沙超脑、武汉智慧城市、数智贵阳、重庆城市大数据资源核心、云上贵州等多个超大型我的项目的无效落地。 作为产业数字化降级的推动者，腾讯依靠近20年来的平安教训和技术积攒，在数据安全畛域积攒并积淀了扎实的实战能力，随着产业数字化转型降级继续增速，腾讯平安将一直进行思考与摸索，帮助政企单位构建新一代数据安全治理体系，向更高、更深的方向构建行业倒退的解决方案，进一步筑牢网络安全防线，让数字技术切实造福人民。

10月15-17日，由钛媒体与ITValue独特主办的第十三届寰球数字价值峰会于浙江上虞召开。大会以“转折点——从业务数字化到数字化业务”为主题，邀请各行业CIO、CSO以及行业内数字化业务实践者，分享与探讨数字化与业务的交融共振。腾讯副总裁丁珂缺席本次大会，并以《重构数据安全治理体系，筑牢数字时代平安底座》为主题发表演讲。 （图为腾讯副总裁丁珂） 丁珂示意，数字技术和数字利用给全国生产生存带来了深远的影响。在疫情期间，公众通过数字化伎俩克服疫情对口头的限度，催生了社区电商、线上导购、私域营销等新物种、新业态的暴发。其背地所反映的是各行各业“数字化含量”的攀升。例如“给奶牛装电子项圈”、“AI进入流水线”、“安心码为农产品定制身份证”等实际，都阐明了数据对行业数字化革新的深远影响。 他指出，疫情让企业意识到，数据能够成为新的价值外围。在数据“马斯洛模型”中，其价值从“业务数据化”、“数据化生产”、“用户数字化营销”、“数字资产价值开掘”最终到“数字化产品能力”逐级攀升。 丁珂认为，对于数据的使用应有两个要害的里程碑，首先是企业是否可能将把握的数据使用起来，这是企业“数据思维”层面的理念降级；其次是对数据的使用，是否可能对企业的线上线下经营产生增益价值，晋升效率。丁珂举例说，有着64年历史的广交会自2020年开始线上举办，通过继续融合线上、线下场景岂但克服了疫情的影响，还寻找到了减少触达面、晋升沟通效率的新伎俩，这就是十分典型的“通过数字化造成新的外围竞争力”。 但在以后更加须要器重的是，数据规模和数据价值的晋升所带来的危险，必须要所有企业管理者妥善应答。 首先是法律法规的一直健全，为企业数据安全划出了“红线”。自2018年以来，国家密集出台了网络安全“四法三规”，继续强化监管，这意味着网络安全尤其是数据安全曾经成为国家意志。从寰球来看，中国网络安全相干法律法规在矩阵和效率上都优于欧美的。同时，法律法规的一直健全欠缺，也意味着行业中很多含糊地带将会被疾速的界定清晰，通过法律束缚的伎俩取代行政束缚、行业自治以及用户投诉，这是大势所趋。 然而企业漠视数据安全，漠视对网络安全法律法规，漠视对数据的敬畏，就可能会对业务乃至企业全局造成致命的影响。“数字时代，CIO首先要做懂法律的信息官”，丁珂示意。 其次，是要强化企业对数据安全治理的能力。在以后的环境下，很多企业刚刚接触数字化，就要面临数据“失控”——大多数企业要面临着数据规模的疾速收缩，往往是一年一个数量级的速度在疾速攀升，有可能引发三个危险。一是无奈无效地使用数据，实现在法律框架内的无效价值开掘。二是无奈及时、高效的辨认敏感数据，升高数据危险对企业的挫伤。三是企业数据链路拉长，无奈无效防备“人”的潜在威逼。 “产业数字化是将来。企业一旦开始接触数字营销，把客户变成用户，必将在解决用户数据过程中面对数据安全问题，就肯定要与业余团队单干。”丁珂说。 腾讯平安凭借二十余年积攒的平安技术、人才及齐备的行业级平安解决方案，建设了面向私有云、专有云和私有化等多场景的20余款数据安全服务，能够助力企业在数字化过程中，更好地建设数据安全能力，应答平安危险。

《中华人民共和国数据安全数据安全法》（以下简称《数据安全法》）于本月初开始实施，重点强调了数据全生命周期的各环节的平安爱护，对于数据拜访、检索、批改等各项行为需做到身份核验、权限管制及危险监测。对于在数据凋谢共享方面，《数据安全法》也进行了具体阐释，强调了国家要通过制订数据凋谢目录、要通过构建对立标准、互联互通、平安可控的数据开放平台来切实推动政务数据的凋谢和利用。 本次法规出台后，明确了企业数据管理者、运营者的数据保护责任，对数据相干应用及管理方均提出了较高的数据安全素养要求。那么对于企业数据管理者及运营者而言，在规定之下如何依法进行数据安全的加固，并在松软的平安防护措施下进行数据翻新呢？ 大数据安全技术 须要笼罩企业数据的全生命周期 首先，企业须要厘清大数据安全的概念。大数据安全次要以网络安全为基石，在数据采集、传输、存储、解决、应用、替换及利用的全生命周期采纳周全的平安防护措施，最终保障企业日常的利用开发、应用及办公平安。 图1：企业大数据安全技术总览 （1）在网络安全层，可通过访问控制、容器隔离等技术保障企业零碎最底层的巩固； （2）在数据安全加固层，应用加密、身份认证、权限及访问控制、灾备等技术来保障数据在采集与存储流程中的平安； （3）在平安治理层，须要对数据进行脱敏、分类分级、审计、安全策略治理、水印与溯源等工作，为之后的数据安全流通做好后期筹备工作。那么对于某些须要销毁的数据，企业也须要做到相应的数据归档和逻辑销毁工作，避免原有数据被再次读出和复原； （4）在数据安全流通层，可应用联邦学习、隐衷爱护、可信计算等新技术推动数据的凋谢与共享，但在过程中采纳平安可信的替换形式避免数据产生泄露。 在实现以上工作后，企业才能够保障日常的利用开发、应用及办公的平安。 星环科技大数据安全中间件产品 提供企业数据安全防护能力 为满足企业以上的大数据安全保障需要，星环科技凭借其多年在大数据畛域的深耕和行业劣势，逐渐开发并造成了较为残缺的大数据安全中间件产品，可帮忙企业级用户实现笼罩数据全生命周期的数据安全防护能力，更好地实现数据安全加固和翻新。 图2：星环科技的大数据安全中间件 星环科技的大数据安全中间件蕴含身份认证与权限治理组件Transwarp Guardian、数据审计与泄露防护组件Transwarp Audit、数据安全治理工具Transwarp Defensor、数据流通门户Transwarp Foresight及隐衷计算平台Transwarp Sophon FL，且对星环极速大数据平台Transwarp Data Hub完满兼容。 Transwarp Guardian是身份认证与权限治理组件，面向数据采集与存储阶段的平安加固，为用户提供集中的平安和资源管理服务。反对LDAP和Kerberos，爱护集群免受歹意攻打和平安威逼，还能够对资源做细粒度的ACL管制。其多租户资源管理模块能够依照租户的形式治理资源，并通过一个图形化工具为用户提供权限配置以及资源配置接口。 Transwarp Audit面向对数据的操作和权限进行正当布控和监测，整合各节点中的监控信息，实现对数据拜访和操作的集中监控、查看和治理的智能化、可视化审计。Audit反对对各类审计事件做出疾速、精确的定位，并进行过滤和归并，实现集中、综合的展示，对异样事件实时告警，避免数据泄露等事变产生。 Transwarp Defensor 是数据安全治理工具，面向数据安全治理阶段，提供数据的平安分类分级、安全策略配置与治理等能力，能够帮忙企业实现数据的平安治理，同时提供数据脱敏能力从而爱护数据隐衷，以及提供数据水印能力帮忙平安管理人员对可能的数据泄露进行溯源，从而造成无效的数据隐衷爱护能力。 Transwarp Foresight 是企业内资产化数据的流通门户，面向数据安全流通阶段，为业务人员提供数据资产的检索、下载、共享的能力，联合着数据血统帮忙数据使用者、开发者和管理者做整体协同，构建其数据经营能力。次要提供数据资产的公布治理、统计分析、编目治理、共享治理、数据安全治理、流程与审核治理、检索治理等性能。 隐衷计算平台Sophon FL 减速企业间数据安全共享及翻新 以上组件为保障数据在采集、传输、存储、治理过程中进行平安加固的组件，而当数据来到流通、共享及应用阶段，就须要应用隐衷计算、联邦学习、隐衷爱护、可信计算等新技术来解决数据流通阶段的平安问题。 星环科技推出了分布式的隐衷计算平台Sophon FL，集联邦学习建模、加密网络通信等多种性能，为多方平安建模提供残缺的解决方案。以隐衷爱护为前提，Sophon FL从根本上解决了跨组织合作时无奈平安利用各方数据的窘境，真正实现了“原始数据不流通，分析模型流通”。 图3：星环科技隐衷计算平台Sophon FL架构图 安全性方面，Sophon FL在模型接入和计算时采纳了同态加密、差分隐衷、机密共享等多种加密形式，并在模型传输时采纳了TLS协定加密，双重加密无效保障信息安全。确保各方在数据隐衷失去爱护的前提下，进行合作数据分析建模和业务利用。 易用性方面，平台提供多种开箱即用的工具，不便用户在联邦框架下进行数据处理、剖析、特色工程等工作，并疾速建设机器学习和深度学习模型。为适应不同业务场景，别离提供横向联邦学习、纵向联邦学习和联邦迁徙学习。 性能方面，因为联邦学习须要进行计算复杂度较高的加解密运算和多轮次的分布式计算，相比于传统的机器学习工作，数据计算及传输任务量沉重。因而，星环科技研发了加密网络通信模块，负责节点间大量多批次加密信息的传输，多种加密平安伎俩和优异的通信架构，确保平台在大数据量下也能取得卓越的性能。 在联邦学习等隐衷计算技术的加持下，Sophon FL能够让不同企业间的异业单干成为可能，让企业内的数据在不出企业的前提下迸发出更大的数据价值：如银行、税务及工商信息帮忙小微企业信贷评审的KYC和KYB工作笼罩更加全面；社交网络帮忙批发企业的产品营销的客户画像和推送更加精准等等。 去年，星环科技的Sophon FL平台已成为国内首批通过信通院资质认证的隐衷计算平台，并通过了信通院基于联邦学习进行的平安评估。在理论案例中更为政府打击群租房的行动计划提供了技术和平台反对。 总的来说，Sophon FL的多种联邦学习算法实用于各类垂直业务场景，提供了一个平安、牢靠、易用的隐衷计算平台，从技术层面让跨企业的AI合作成为可能。 当然，为实现企业数据全生命周期的平安防护，技术和平台撑持只是重要的工作之一。在这之前，企业还须要建设欠缺的顶层数据安全管理制度，严格划分数据应用和治理边界，方可找到数据安全治理和数据高效流转间的平衡点，最终实现企业数据安全加固下的数据翻新。

星环科技的大数据安全中间件蕴含身份认证与权限治理组件Transwarp Guardian、数据审计与泄露防护组件Transwarp Audit、数据安全治理工具Transwarp Defensor、数据流通门户Transwarp Foresight及隐衷计算平台Transwarp Sophon FL，且对星环极速大数据平台Transwarp Data Hub完满兼容。 作为国产自主研发的大数据平台，领有超过2000多企业用户的星环极速大数据平台Transwarp Data Hub（TDH）提供多重技术和工具，保障用户大数据平台的平安。 当初《数据安全法》等法律法规开始施行，数据安全、隐衷计算成为行业关注的热点，对于底层的根底软件应用而言，从源头上层层把控数据安全，势必会成为行业共识。星环科技通过自主研发的一系列产品组件中的平安爱护，一直晋升数据安全等级，帮忙企业级用户实现笼罩数据全生命周期的数据安全防护能力，更好地实现数据安全加固和翻新。

9月1日讯，《数据安全法》明天正式施行，《个人信息保护法》也将于11月1日施行，这标记着我国数据安全制度建设进入了新的阶段。倒退数字经济、放慢培养数据因素市场，必须把保障数据安全放在突出位置。为推动法律法规及监管要求的贯彻落实，促成数据安全技术交换，晋升数据安全能力建设，中国信息通信研究院联结中国电信、中国移动、中国联通、腾讯、百度、工商银行、邮储银行、爱奇艺等三十余家单位正式发动“数据安全推动打算”。 据悉，“数据安全推动打算”是一个公益性合作项目，将依靠大数据协同平安技术国家工程实验室、中国通信标准化协会大数据技术标准推动委员会、中国互联网协会数据治理工作委员会发展具体工作，致力于打造衰弱标准的数据安全生态体系，帮忙企业理解监管要求，全方位晋升企业数据安全能力。次要工作内容包含：1、搭建交流平台，最新政策法规解读；2、发展数据安全方法论和技术体系钻研；3、建立健全数据安全规范体系；4、依靠规范打造数据安全征询与评估评测解决方案；5、发展数据安全人才培训。 点击进入理解更多技术资讯~~

摘要：点外卖时，你只需思考如何拼单；抉择出行时，你只用想好目的地；手机领取时，你只须要保障余额短缺。但你不晓得这些智能的背地，是数以亿计的弱小数据的反对，这就是数据库的力量。那么宏大数据的背地肯定会牵扯到数据安全的问题，那这些意外和抵触又是如何解决呢？本文分享自华为云社区《万字详解Spring如何用“申明式事务”爱护亿万数据安全？丨【绽开吧！数据库】》，作者：灰小猿。 一、揭秘什么是事务管理？理解申明式事务就要从它的基本概念开始。那么什么是事务呢？ 在JavaEE的大型项目开发中，面对规模宏大的数据，须要保证数据的完整性和一致性，因而就有了数据库事务的概念，因而它也是企业级我的项目利用开发必不可少的技术。 事务能够看做是一组因为逻辑上严密相干而合并到一个整体（工作单元）的多个数据库操作。这些操作要么全执行，要么全不执行。 同时事务有四个十分要害的属性(ACID)： 原子性(atomicity)：“原子”的本意是“不可再分”，事务的原子性体现为一个事务中波及到的多个操作在逻辑上缺一不可。事务的原子性要求事务中的所有操作要么都执行，要么都不执行。一致性(consistency)：“统一”指的是数据的统一，具体是指：所有数据都处于满足业务规定的一致性状态。一致性准则要求：一个事务中不论波及到多少个操作，都必须保障事务执行之前数据是正确的，事务执行之后数据依然是正确的。如果一个事务在执行的过程中，其中某一个或某几个操作失败了，则必须将其余所有操作撤销，将数据恢复到事务执行之前的状态，这就是回滚。隔离性(isolation)：在应用程序理论运行过程中，事务往往是并发执行的，所以很有可能有许多事务同时解决雷同的数据，因而每个事务都应该与其余事务隔离开来，避免数据损坏。隔离性准则要求多个事务在并发执行过程中不会相互烦扰。持久性(durability)：持久性准则要求事务执行实现后，对数据的批改永恒的保留下来，不会因各种零碎谬误或其余意外状况而受到影响。通常状况下，事务对数据的批改应该被写入到长久化存储器中。所以进行事务管制就应该尽可能的满足这四个属性。既然进行事务管制的目标就是为了可能在数据处理发生意外的时候进行事务回滚，那么常见的谬误类型有哪些、对于这种类型的谬误又应该如何解决的呢？ 二、申明式事务应用详解相比于编程式事务，申明式事务具备更大的长处，它可能将事务管理代码从业务办法中分离出来，以申明的形式来实现业务管理。 事务管理代码的固定模式作为一种横切关注点，能够通过AOP办法模块化，进而借助Spring AOP框架实现申明式事务管理。 Spring在不同的事务管理API之上定义了一个形象层，通过配置的形式使其失效，从而让应用程序开发人员不用理解事务管理API的底层实现细节，就能够应用Spring的事务管理机制。 同时Spring既反对编程式事务管理，也反对申明式的事务管理。 那么在Spring中应该如何应用申明式事务呢？ 1、事务管理器的次要实现Spring从不同的事务管理API中形象出了一整套事务管理机制，让事务管理代码从特定的事务技术中独立进去。这样咱们只需通过配置的形式进行事务管理，而不用理解其底层是如何实现的。这也是应用申明式事务的一大益处。 Spring的外围事务管理形象是PlatformTransactionManager。它为事务管理封装了一组独立于技术的办法。无论应用Spring的哪种事务管理策略(编程式或申明式)，事务管理器都是必须的。 事务管理器能够以一般的bean的模式申明在Spring IOC容器中。在Spring中咱们罕用的三种事务管理器是： DataSourceTransactionManager：在应用程序中只须要解决一个数据源，而且通过JDBC存取。JtaTransactionManager：在JavaEE应用服务器上用JTA(Java Transaction API)进行事务管理HibernateTransactionManager：用Hibernate框架存取数据库它们都是PlatformTransactionManager的子类，继承关系图如下： 当初咱们曾经根本理解了申明式事务的实现原理和机制，百读不如一练，接下来咱们就理论解说一下如何配置应用Spring的申明式事务。 2、基于注解的申明式事务配置我以DataSourceTransactionManager类为例来给大家讲一下申明式事务的实现过程，小伙伴们能够操作实现一下，有问题的话记得留言我一起交换。 （1）、配置数据源既然是对数据库的操作，那么首先第一步肯定就是配置数据源的，对于数据源的配置置信小伙伴们应该都不生疏了，还不太理解的小伙伴们能够看我的上一篇对于Spring的文章。《Spring JDBC长久化层框架“全家桶”教程丨【绽开吧！数据库】》 配置数据源我以引入内部数据配置文件为例，所以我这里须要应用<context></context>标签引入内部文件，并应用“${}”的形式为属性赋值： 代码如下： <!-- 连贯内部配置文件 --><context:property-placeholder location="classpath:jdbcconfig.properties"/><!-- 连贯数据库 --><bean id="pooldataSource" class="com.mchange.v2.c3p0.ComboPooledDataSource"> <property name="user" value="${jdbc.user}"></property> <property name="password" value="${jdbc.password}"></property> <property name="jdbcUrl" value="${jdbc.jdbcurl}"></property> <property name="driverClass" value="${jdbc.driverclass}"></property></bean>（2）、建设JdbcTemplate既然是操作数据库，而且是在spring框架中，那么对于Spring中数据库操作框架的应用也肯定是必不可少的，对于jdbcTemplate这个框架技术点的具体应用我也在上一篇文章中和大家解说了，小伙伴们能够学起来了！ 在这里咱们间接在ioc的bean中申明jdbcTemplate类，并设置数据源为第一步的数据源。 代码如下： <!-- 建设jdbcTemplate --><bean id="jdbcTemplate" class="org.springframework.jdbc.core.JdbcTemplate"> <property name="dataSource" ref="pooldataSource"></property></bean>（3）、进行事务管制当初数据源也配置好了，数据库操作也整完了，那么接下来就是明天的主题事务管制了。 咱们晓得事务管制自身就是基于面向切面编程来实现的，所以配置事务管制时就须要导入相应的jar包：我把所需的jar包给大家列举了进去： • spring-aop-4.0.0.RELEASE.jar• com.springsource.net.sf.cglib-2.2.0.jar• com.springsource.org.aopalliance-1.0.0.jar• com.springsource.org.aspectj.weaver-1.6.8.RELEASE.jar 在这里插入一个补充，也能够说是一道面试题：说一说应用事务管理器的长处？ 应用事务管制可能节俭平时进行事务管制是书写的代码量，进行事务管制时，若一个事务的执行过程中产生过错，则其余操作不会批改，放弃事务的原子性。 咱们在这里应用DataSourceTransactionManager类来配置事务管理器。 具体方法是在ioc中的bean标签中申明该类的实例，设置好id，并给DataSource属性赋上数据源， 代码如下： <bean id="dataSourceTransactionManager" class="org.springframework.jdbc.datasource.DataSourceTransactionManager"> <!-- 2、管制住数据源 --> <property name="dataSource" ref="pooldataSource"></property> </bean>这样就曾经配置好事务管理器了，是不是认为这样就完了，并没有噢！接下来也是最要害的一步！就是将事务管理器开启，因为不开启怎么应用呢？ （4）、开启基于注解的事务管制开启基于注解的事务管制的次要作用就是对办法和类减少相应的注解，从而实现主动的包扫描。开启基于注解的事务管制须要引入tx表达式，应用其中的annotation-driven标签，即可对执行的事务管理器开启事务管制。 代码如下： <!-- 3、开启基于注解的事务管制 --> <tx:annotation-driven transaction-manager="dataSourceTransactionManager"/><!-- 4、给办法减少事务管制，增加相应的注解-->接下来的就是为办法增加相应的注解，减少事务管制了。 首先对数据库操作的类个别都属于业务逻辑层，所以咱们要为该类增加@service注解，从而实现包扫描，之后为须要进行事务管制的办法增加事务管制专有的注解@Transactional来通知Spring该办法是事务办法。当该办法中的操作产生谬误的时候，该办法内其余对数据库的操作也都会回滚。 代码如下： @Servicepublic class BookService { @Autowired BookDao bookDao; /** * 顾客买书 * */// 开启基于注解的事务管制 @Transactional public void buyBook(String username,String isbn) { bookDao.updateStockFromBookStock(isbn); int price = bookDao.getPriceFromBook(isbn); bookDao.updateBalanceFromAccount(username, price); System.out.println("【" +username + "】买书胜利！"); } }3、基于XML的申明式事务配置下面咱们解说了应用注解如何配置申明式事务，那么配置申明式事务还有另一种办法，就是在XML文件中配置，而且他们在申明数据源的时候都是一样的，在这里我就不说了，我只说一下在配置完数据源之后，如何通过XML申明事务管理器和事务办法。 ...

往年6月份颁发的《中华人民共和国数据安全法》对企业与机构的责任、任务有了更加粗疏的标准和要求，其中第一章明确提出，“应建立健全数据安全治理体系，进步数据安全保障能力”。 《数据安全法》将于9月1日起正式施行。对于企业而言，数据安全合规工作是题中之义，但实操层面也可能确实存在一些事实艰难，例如如何能疾速、精确的排查以后的合规差距？如何能最小老本、最小影响的实现合规工作？ 为帮忙企事业单位顺利开展数据安全合规工作，腾讯平安联合大量数据安全治理实践经验，公布数据安全合规能力图谱。依据《数据安全法》的具体内容，腾讯平安将数据合规要求演绎成四类14项51个内容，供企事业单位参考。 （企业级数据安全合规能力图谱） 一、技术建设类技术建设类可分为技术措施建设和危险监测能力建设，技术措施依据理论数据流动状况，采取相应的技术措施即可，比拟罕用的技术措施有动静脱敏技术、访问控制、电子认证技术、数据加密存储技术和敏感数据发现技术。 传统的建设形式是间接洽购相应的数据安全产品，数据场景不简单的状况下比拟实用，反之，则会造成性能冗余、产品堆砌、运维工作减轻等附加工作。因而，在发展数据安全技术建设时倡议采纳平台化的形式，灵便、简捷，裁减能力强，在新法律法规一直颁布的同时，能够通过配置调整予以应答。 数据安全技术的使用，应做到精准化管控，“一杆子”的形式不利于数据流动的倒退和数据价值施展，精准化管控可基于分类分级进行设计。 二、排查与整改类排查与整改类次要包含合理性、业务欠缺、数据跨境三个方面。该类的工作次要是排查本身业务是否存在守法违规的状况，次要应答伎俩是业务的整改和利用性能的整改。通过数据资产主动发现技术可能疾速、精确的辅助排查出合规危险点，节俭大量的人力投入。整改工作实现后，还能够通过数据资产发现技术对数据的应用和变动状况进行实时监控，及时发现违规状况，升高违规危险。 全感性次要是指数据的采集应遵循最小够用准则，并在国家或行业规定的范畴内发展数据流动，在发展数据流动前该当告知数据主体，并失去其受权，并严格依照约定治理数据，保障数据主体的合法权益。 三、治理欠缺类切实可行的管理制度是保障数据安全的根底和根据，《数安法》中所提到的治理要求可演绎为管理制度、数据交易治理、数据认责、重要数据目录和分类分级五项。 管理制度能够基于数据流动进行制订，思考事先、事中、预先三个维度，明确角色和任务，落实到人。 数据认责能够通过数据的拥有量、访问量、新增量、更新量等维度做为根据进行划分，认责的同时还要建设相应的自动化管理工具，辅助数据责任人治理数据。 数据交易治理首先要明确以后业务下所有数据的起源是否非法，大体可分为自采集和外购两类。外购类则应留存起源的相干证实资料。如果是从事数据交易的机构，则须要对买卖双方的身份进行验证，并在协定中阐明数据用处、应用时长、应用模式等内容。 重要数据目录和分类分级是实现数据安全精准防护的根底和指标，因而，须要在数据安全技术建设前发展。为达到数据安全防护的最佳成果，重要数据目录的建设和分类分级应遵循全面性、合理性、明确性准则。 四、机制建设类常态化数据安全管控须要相干的机制作为保障，包含平安培训机制、平安补救机制、应急处理机制和危险评估机制四类。 数据安全培训的目标是增强企业内部人员的意识，晋升技术人员的技能程度，从而实现整体的数据安全防护程度晋升。培训工作要有打算、有目标、有考核的发展，方可保障培训成果。 平安补救和应急处理是应答安全漏洞和安全事件的预案，应定期发展演练工作，确保真正产生时能疾速应答，必要时能够延聘相干机构和专家独特发展。 对于重要数据的解决，应定期发展危险评估工作，确保数据处理是在可信、牢靠的环境下发展，对于潜在的危险可能尽早发现、尽早防备。 腾讯平安基于20多年数据安全实践经验，联合《数据安全法》条款，输入数据安全合规能力，助力企事业单位发展数据安全合规工作。 腾讯平安秉承“让数据遵规守序”的理念，联结生态搭档，独特让数据管理遵循法规，让数据流动恪守秩序。欢送各行业专家退出腾讯数据安全合规交换群，共话合规，分享实际。 增加小秘书时请备注姓名和公司、职位信息，小秘书确认之后邀请退出交换群。

6月，历经三审，我国第一部无关数据安全的专门法律《数据安全法》通过，并将于9月1日起实施。作为国家基础性和战略性资源，数据安全被正式晋升到国家平安层面。《数据安全法》从监管体系、数据安全与倒退、数据安全制度、数据安全爱护任务、政务数据安全与凋谢、法律责任等方面，对企业数据处理流动进行规制。将来，企业在数据方面的纠纷将有法可依，同时非法合规也将成为企业经营数据业务的新门槛。 面对《数据安全法》提出的新要求，本期产业平安专家谈，咱们邀请到腾讯平安云鼎实验室高级研究员谢灿，就数据安全法下，企业如何均衡合规要求与业务性能进行解答，并分享腾讯平安保障数据安全的落地利用。 Q1：《数据安全法》对于企业在数据安全防护上提出了哪些要求？ 谢灿：咱们简略以数据安全法的定义来讲，它是指采取必要的措施确保数据处于无效防护和非法利用的状态，并且具备继续保障平安状态的能力。这外面咱们解读三个关键点，第一个是非法合规，这里具体包含咱们的数据采集、数据利用、数据入境、数据安全治理的方面的合法性和合规性；第二个是继续平安状态，包含咱们的动态的数据流动和经营中的数据的平安；第三个是咱们在数据安全防护之外还应该具备数据的危险评估、预警监测、应急处理以及平安审查的能力。 当然实际上，数据安全法对不同的数据参与者提出了不同的要求，那咱们须要依据具体的角色去做相应的划分。 Q2：企业要达到《数据安全法》的要求，面临哪些挑战？ 谢灿：第一个实际上是来自于组织建设。咱们晓得对数据安全法的应答囊括咱们的企业的治理团队、合规、法务、业务团队，还有平安团队，那么这外面就会波及到咱们相应团队的分工协作，当然咱们相应人员的数据安全能力的建设也是一个不小的挑战。 第二个实际上是制度流程的建设。比方咱们数据业务的数据采集的标准，敏感数据的定义，还有相应数据的平安爱护策略，如果咱们企业还没有造成这样一套体系，也就是说咱们企业本身是不晓得本人的敏感数据的存储地位和流转机制，或者咱们在数据打标的时候没有思考平安的维度，那么这一套体系建设起来还是须要投入一些精力的。 在技术计划面临的挑战，又包含三个层面。第一个，目前企业数据安全治理还是采纳碎片化的计划，不足一体化的数据安全治理工具，在咱们的成果和老本上还是没有达到均衡的；第二个，在一些场景的数据安全治理——比方咱们数据共享下的隐衷计算，还有咱们在数据危险评估的一些危险评估工具，那么这些场景下还没有一些通用化的解决方案；第三个，在咱们一些通用的数据安全技术下面也具备肯定的门槛，比方咱们数据加密技术，那这是业务团队和平安团队最不想碰的事件，因为具备肯定的复杂性。 Q3：企业如何均衡数据加密合规要求和性能之间的矛盾？ 谢灿：实际上合规很大的一个规范是平安，那么做平安的时候，必定会跟性能下面须要去达成肯定的均衡，比方咱们刚刚讲在隐衷计算畛域还没有通用化的计划，实际上它最大的一个制约点就是性能。 咱们如果要达成（数据安全）合规，咱们须要去采取一些数据安全的防护伎俩，比方刚刚讲的这种隐衷计算。咱们在利用这个技术的时候，它会导致咱们的业务性能微小的降落甚至业务不可用，那么平安就跟合规造成了一个矛盾的场面。 在行业通用的计划下，施行一个加密，咱们的业务性能或者数据库的一个性能降落会达到20%甚至20%以上。 那咱们在CASB计划的设计下面，思考的（合规和性能抵触）这个影响，咱们整个架构是基于一个分布式的一个架构，当咱们的业务扩大的时候，咱们整个加密的节点也会动静的扩大，最小化的（管制）咱们加密对业务性能的影响。目前咱们对业务性能的影响大略会升高到5%~8%，还是一个比拟好的性能指标。 Q4：市面上现行的加密计划广泛是什么样的？ 谢灿：咱们以私有云为例，目前各大云厂商实际上在数据加密计划下面，次要是采纳密钥管理系统或者云加密机的形式提供计划，那么，这要求咱们的云租户对明码技术方案设计和开发，具备肯定的技术能力。实际上是具备比拟高的技术门槛的。 Q5：针对这种现状，腾讯平安是否有好的解决方案？ 谢灿：在数据加密下面，咱们推出了云拜访平安CASB解决方案，用户能够通过简略的配置就能够实现对敏感数据的字段级的加密。那咱们目前也是国内惟一一家提供基于原生的字段级免革新、易运维、高性能的数据加密解决办法的云厂商。 当然，咱们也在CASB下面扩大了数据安全的能力，从咱们的元数据管理，再到基于合规组的分类分级，以及敏感数据发现，再到存储的加密，以及咱们读取的时候基于用户角色的动静脱敏，真正实现了一站式的数据安全防护。

2021年6月10日，第十三届全国人民代表大会常务委员会第二十九次会议通过《数据安全法》三审稿，该法将于2021年9月1日起正式实施。《数据安全法》全文共七章五十五条，别离从数据安全与倒退、数据安全制度、数据安全爱护任务、政务数据安全与凋谢的角度对数据安全爱护的任务和相应法律责任进行规定。 《数据安全法》作为数据安全畛域最高位阶的专门法，与2017年6月1日起实施的《网络安全法》一起补充了《国家安全法》框架下的平安治理法律体系，更全面地保障了国家平安在各行业、各畛域保障的有法可依。 就监管机构而言，国家平安机构、公安机关、网信部门、以及工业、电信、交通、金融等主管部门均有权在各自的职权范围内对数据安全进行监督和治理。因而，《数据安全法》连续了《网络安全法》失效以来的“一轴两翼多级”的监管体系。“一轴”指国家平安机关，两翼指公安机关和网信部门，多级在行业横向范畴次要体现在工业、电信、交通、金融等行业主管部门的独特参加，在行政架构方面次要体现在各地区、各部门对工作中收集和产生的数据进行平安治理上。 中华人民共和国数据安全法 （2021年6月10日第十三届全国人民代表大会常务委员会第二十九次会议通过） 目录 第一章　总则 第二章　数据安全与倒退 第三章　数据安全制度 第四章　数据安全爱护任务 第五章　政务数据安全与凋谢 第六章　法律责任 第七章　附则 第一章　总则　第一条　为了标准数据处理流动，保障数据安全，促成数据开发利用，爱护集体、组织的合法权益，保护国家主权、平安和倒退利益，制订本法。 第二条　在中华人民共和国境内发展数据处理流动及其安全监管，实用本法。 在中华人民共和国境外发展数据处理流动，侵害中华人民共和国国家平安、公共利益或者公民、组织合法权益的，依法追究法律责任。 第三条　本法所称数据，是指任何以电子或者其余形式对信息的记录。 数据处理，包含数据的收集、存储、应用、加工、传输、提供、公开等。 数据安全，是指通过采取必要措施，确保数据处于无效爱护和非法利用的状态，以及具备保障继续平安状态的能力。 第四条　保护数据安全，该当保持总体国家安全观，建立健全数据安全治理体系，进步数据安全保障能力。 第五条　地方国家平安领导机构负责国家数据安全工作的决策和议事协调，钻研制订、领导施行国家数据安全策略和无关重大方针政策，兼顾协调国家数据安全的重大事项和重要工作，建设国家数据安全工作协调机制。 第六条　各地区、各部门对本地区、本部门工作中收集和产生的数据及数据安全负责。 工业、电信、交通、金融、自然资源、卫生衰弱、教育、科技等主管部门承当本行业、本畛域数据安全监管职责。 公安机关、国家平安机关等按照本法和无关法律、行政法规的规定，在各自职责范畴内承当数据安全监管职责。 国家网信部门按照本法和无关法律、行政法规的规定，负责兼顾协调网络数据安全和相干监管工作。 第七条　国家爱护集体、组织与数据无关的权利，激励数据依法正当无效利用，保障数据依法有序自在流动，促成以数据为要害因素的数字经济倒退。 第八条　发展数据处理流动，该当恪守法律、法规，尊重社会公德和伦理，恪守商业道德和职业道德，诚恳守信，履行数据安全爱护任务，承当社会责任，不得危害国家平安、公共利益，不得侵害集体、组织的合法权益。 第九条　国家反对发展数据安全常识宣传遍及，进步全社会的数据安全保护意识和程度，推动无关部门、行业组织、科研机构、企业、集体等独特参加数据安全爱护工作，造成全社会独特保护数据安全和促成倒退的良好环境。 ...

2021年6月10日，第十三届全国人大常委会第二十九次会议审议后通过了《中华人民共和国数据安全法》（以下简称“《数据安全法》”）。《数据安全法》将于2021年9月1日起正式实施。  2018年9月颁布的“十三届全国人大常委会立法布局”首次将《数据安全法》列入立法打算，作为“条件比拟成熟、任期内拟提请审议的法律草案”2。通过两年工夫的酝酿，《数据安全法》草案经全国人大常委会一审后于2020年7月公布征求意见，并于2021年4月26日进行二审审议，至目前正式公布。 《数据安全法》出台后将成为以《国家安全法》为代表的国家平安法律体系的重要组成部分，也将与《网络安全法》及目前曾经二次审议的《个人信息保护法》一起组成信息畛域更加残缺的基础性法律体系。 《数据安全法》的重点内容总结如下。 一、 适用范围 《数据安全法》规定，在中华共和国境内发展的数据处理流动及其安全监管，实用本法。在域外实用上，进一步规定，在中华人民共和国境外发展数据处理流动，侵害中华人民共和国国家平安、公共利益或者公民、组织合法权益的，依法追究法律责任。（第二条） 《数据安全法》进一步规定，“数据”是指任何以电子或者其余形式对信息的记录；而“数据处理”包含数据的收集、存储、应用、加工、传输、提供、公开。 根据上述定义，“数据”所涵盖的范畴非常宽泛、在目前政务、企业逐渐向数字化转型的过程之中，简直会囊括生产、经营、治理各方各面所产生的信息记录。《数据安全法》附则进一步规定，发展波及国家机密的数据处理流动，实用《中华人民共和国激进国家机密法》等法律、行政法规的规定；在统计、档案工作中发展数据处理流动，发展波及个人信息的数据处理流动，还该当恪守相干的法律、行政法规的规定，因而《数据安全法》并不包含对于国家机密的数据处理流动。然而，《数据安全法》实用于统计、档案工作中的数据处理流动，亦实用于波及个人信息的数据处理流动，只是这些数据处理流动还应恪守相干法律法规的要求。《数据安全法》的要求在实际之中如何实用于企业的业务实际，仍有待察看。例如，《数据安全法》要求对数据进行分级分类爱护，仅针对重要数据制订了相干具体任务（如本文第六局部所述），而对于除重要数据之外的其余数据是否仍需相应规制、以及规制的重点及规定可能需后续进一步明确。 《数据安全法》规定，数据安全是指通过采取必要措施，确保数据处于无效爱护和非法利用的状态，以及具备保障继续平安状态的能力。（第三条）从整个《数据安全法》的内容来看，此处的数据安全既蕴含宏观国家平安层面、亦包含组织与集体落实数据安全措施的宏观层面。 二、 《数据安全法》与网络、平安法律体系的连接 数据安全因素是国家平安、网络安全的重要组成部分。 《国家安全法》原则性规定，国家建设网络与信息安全保障体系，晋升网络与信息安全爱护能力，增强网络和信息技术的翻新钻研和开发利用，实现……数据的平安可控（第二十五条）。 《网络安全法》亦要求企业应履行网络安全等级爱护任务，采取数据分类、重要数据备份和加密等措施（第二十一条）。咱们留神到，《数据安全法》与上述法律及其相干配套法规（及征求意见稿）的规定的协调及连接仍需进一步察看，例如： 《数据安全法》规定的重要数据相干爱护任务与《网络安全法》、《数据安全治理方法（征求意见稿）》中相干定义及规定的连接；《数据安全法》规定的数据进口管制制度与2020年出台的《进口管制法》的进口管制要求及《网络安全法》、《数据安全治理方法（征求意见稿）》、《个人信息保护法（草案二次审议稿）》规定的数据入境的相干要求的连接；《数据安全法》规定的数据安全审查制度与《外商投资法》规定的外商投资平安审查制度及《网络安全审查方法》的关联。三、 数据安全与倒退并行的准则 《数据安全法》在总则之中首先明确了国家爱护公民、组织与数据无关的权利，激励数据正当无效利用，保障数据依法有序自在流动，促成以数据为要害因素的数字经济倒退（第七条）。 接着，《数据安全法》在第二章中明确对于数据安全与倒退的反对。相干反对措施包含施行大数据策略、推动数据基础设施建设、数字经济倒退规划设计（第十四条）；反对开发利用数据晋升公共服务的智能化程度（第十五条）；增强数据开发利用和数据安全技术钻研（第十六条）；促成数据人才培养（第二十条）等激励和反对数字经济倒退、数据开发利用的总体策略和方针，也同时要求制订数据开发利用技术和数据安全的相干规范（第十七条）；促成数据安全检测评估及认证（第十八条）、建立健全数据交易管理制度（第十九条）。 可见，从《数据安全法》的制度设计，意在激励和建设各种数据相干的制度反对措施，并联合对于数据的治理和要求，以促成和协调数字经济与数据安全之间的均衡有序倒退。 四、 数据安全执法主体及工作职责 《数据安全法》第五条、第六条明确了数据安全的监管与不同执法单位的工作职责。《数据安全法》规定地方国家平安领导机构承当国家数据安全工作的决策与议事协调作用，并钻研制订、领导施行国家数据安全策略和重大方针政策，兼顾协调国家数据安全的重大事项和重要工作，建设国家数据安全工作协调机制。“国家数据安全工作协调机制”是《数据安全法》正式稿中首次提出，其负责“兼顾协调无关部门制订重要数据目录”（第二十一条）、“兼顾协调无关部门增强数据安全危险信息的获取、剖析、研判、预警工作”（第二十二条）。此外，依据第七条规定： 各地区、各部门对本地区、本部门工作中收集和产生的数据及数据安全负责；工业、电信、交通、金融、自然资源、卫生衰弱、教育、科技等主管部门承当本行业、本畛域数据安全监管职责；公安机关、国家平安机关在各自职责范畴内承当数据安全监管职责；国家网信部门负责兼顾协调网络数据安全和相干监管工作。五、 数据安全的根本制度体系 作为数据安全畛域的根本法律，《数据安全法》第三章创设了一系列数据畛域的根本制度，构建我国数据安全制度的根本框架，为将来数据安全制度体系的倒退与欠缺奠定根底。这些新的根本制度包含： 1. 数据分级分类爱护、重要数据保护制度及国家外围数据保护制度 《数据安全法》规定国家依据数据在经济社会倒退中的重要水平，以及一旦受到篡改、毁坏、泄露或者非法获取、非法利用，对国家平安、公共利益或者集体、组织合法权益造成的危害水平，对数据履行分级分类爱护。国家数据安全工作协调机制兼顾协调无关部门制订重要数据目录。关系国家平安、国民经济命根子、重要民生、重大公共利益等数据属于国家外围数据，履行更加严格的管理制度。各地区、各部门该当依照数据分类分级爱护制度，确定本地区、本部门、相干行业、畛域的重要数据保护目录，对列入目录的数据进行重点保护（第二十一条）。 《数据安全法》对于重要数据的解决提出了特地的要求：（1）重要数据的解决者应设立数据安全负责人和管理机构（第二十七条）；（2）重要数据处理者应定期对数据处理流动发展危险评估，并向无关主管部门报送危险评估报告，评估报告应蕴含所解决的重要数据的品种、数量，发展数据处理流动的状况，面临的数据安全危险及其应答措施等（第三十条）。 对重要数据的规制由《网络安全法》于2016年首次提出，次要对要害信息基础设施运营者收集的重要数据提出数据本地化及重要数据入境平安评估的要求。尔后公布的相干征求意见稿，例如《信息安全技术 数据入境平安评估指南》（征求意见稿）、《数据安全治理方法（征求意见稿）》对各类重要数据进行了列举及定义，《数据安全治理方法（征求意见稿）》对重要数据的解决也提出了相应要求。 《数据安全法》将建设对重要数据的解决规定，体现了重要数据管理制度的一直深入。但《数据安全法》仍未能对重要数据做出明确的定义，而是留待各地区、部门、行业出台相干清单，反映了在实践中对数据进行分类、定义的复杂性。 《数据安全法》第三十一条明确提出，要害信息基础设施的运营者在中华人民共和国境内经营中收集和产生的重要数据的入境平安治理，实用《中华人民共和国网络安全法》的规定；其余数据处理者在中华人民共和国境内经营中收集和产生的重要数据的入境平安治理方法，由国家网信部门会同国务院无关部门制订。可见，对于要害信息基础设施运营者而言，重要数据的入境仍然因循《网络安全法》第三十七条的规定，本地存储为准则，入境须通过平安评估；而对于其余数据处理者，其收集和产生的重要数据也将有专门的重要数据入境平安治理方法予以规制。目前该方法尚未出台，因而，个别的数据处理者的重要数据入境仍有待立法的进一步明确和廓清。 《数据安全法》首次提出“国家外围数据”的概念。目前，《数据安全法》尚未具体规定“更加严格的管理制度”，但第四十五条曾经规定了违反国家外围数据管理制度的罚则（罚金最高可达人民币1000万元），咱们了解，国家外围数据的范畴和相干管理制度可能后续配套出台。 2. 数据安全危险管控制度 《数据安全法》要求国家建设对立、高效权威的数据安全危险评估、报告、信息共享、监测预警机制，国家数据安全工作协调机制兼顾协调无关部门增强数据安全危险信息的获取、剖析、研判、预警工作（第二十二条）。此制度的具体内容及相干政府部门及企业的任务待将来相干配套法规进一步廓清。 3. 数据安全应急处理机制 国家建设数据安全应急处理机制。产生数据安全事件，无关主管部门该当依法启动应急预案，采取相应的应急处理措施，避免危害扩充，打消安全隐患，并及时向社会公布与公众无关的警示信息（第二十三条）。此规定如何与《突发事件应答法》等现有法规的连接需进一步察看。 4. 数据安全审查制度 国家建设数据安全审查制度，对影响或者可能影响国家平安的数据处理流动进行国家平安审查。依法作出的平安审查决定为最终决定。（第二十四条）。 《数据安全法》未明确数据安全审查制度的具体内容。进一步的，其与现有《外商投资法》规定的外商投资平安审查制度及《网络安全审查方法》中规定的针对要害信息基础设施运营者的相干平安审查制度的关系需进一步察看。 5. 数据进口管制制度 国家对与履行国内任务和保护国家平安相干的属于管制物项的数据依法施行进口管制度。2020年10月17日公布的《进口管制法》规定了对货物、技术、服务等物项的进口管制要求，并对进口管制进行了定义。 此外，《网络安全法》、《数据安全治理方法（征求意见稿）》及《个人信息保护法》（草案二次审议稿）别离规定了要害信息基础设施运营者、网络运营者重要数据及个人信息的数据入境平安评估要求，但相干具体细则尚未明确。《数据安全法》第三十一条规定的其余数据处理者的重要数据的处境平安治理方法亦尚未出台。数据进口管制及数据入境平安评估制度之间的配合及连接有待将来立法的进一步明确。 6. 歧视性措施反制机制 对在数据和数据开发利用技术等无关投资、贸易方面对我国采取歧视性的禁止、限度或者相似措施的，我国能够依据理论状况采取对等措施（第二十六条）。 六、 数据安全爱护任务 《数据安全法》第四章规定了单位及集体在国家数据安全爱护体系下应恪守的各项任务，这些根本任务包含： 发展数据处理流动应建立健全全流程数据安全管理制度、组织发展数据安全教育培训、采取相应的技术措施和其余必要措施，保障数据安全。利用互联网等信息网络发展数据处理流动，该当在网络安全等级爱护制度的根底上，履行上述数据安全爱护任务（第二十七条）；对数据处理流动应增强危险监测，发现数据安全缺点、破绽等危险时，立刻采取补救措施，产生数据安全事件产生后，应立即采取处理措施，依照规定及时告知用户并向无关主管部门报告（第二十九条）；采取非法、正当的形式获取数据（第三十二条）；配合公安、国家平安机关因保护国家平安或侦察立功调取数据的要求（第三十五条）；中华人民共和国主管机关依据无关法律和中华人民共和国缔结或者加入的国内公约、协定，或者依照平等互惠准则，解决外国司法或者执法机关对于提供数据的申请。非经中华人民共和国主管机关批准，境内的组织、集体不得向外国司法或者执法机关提供存储于中国境内的数据（第三十六条）。除上述根本任务外，《数据安全法》亦对从事数据交易中介服务的机构提出了特地的数据安全任务，即对从事数据交易中介服务的机构，应要求数据提供方阐明数据起源并审核交易单方身份，并留存审核、交易记录；咱们认为：从事数据业务的供应商及数据业务交易的中介平台应充沛关注此项要求（第三十三条）。 七、 政务数据的凋谢与平安要求    在我国电子政府稳步推动的大背景下，政务数据的平安爱护迫不及待，一方面须要一直推动政务数据的通明凋谢，晋升社会治理程度；一方面政务数据因其特殊性，同样关系到国家平安一旦被滥用或非法泄露，也会对国家和社会产生危害。在此背景下，《数据安全法》第五章对政务数据的平安与凋谢做出了明确要求。包含国家机关应在法定职责范畴内从事数据流动、应建立健全数据安全管理制度、及时精确公开政务数据、建设平安可控的政务数据开放平台等。 特地须要留神的是，第三十八条要求国家机关对在履行职责中知悉的个人隐私、个人信息、商业秘密、窃密商务信息等数据依法予以窃密，不得泄露或者非法向别人提供。第四十条规定，国家机关委托别人建设、保护电子政务零碎，存储、加工政务数据，应通过严格的批准程序，并应监督受托方履行数据安全爱护任务。受托方该当依照法律法规要求和合同约定履行数据安全爱护任务，不得擅自留存、应用、泄露或者向别人提供政务数据。基于此，与政府进行单干，或为政府提供服务的第三方供应商应特地关注此项要求，一方面，准入程序有待进一步察看，另一方面，实际中局部政务服务的供应商将政务数据用于其余商业目标，《数据安全法》出台后，此类行为被明确规定为违法行为。 八、 违反数据安全任务的法律责任 《数据安全法》第六章确定了违反各项数据安全任务所对应的法律责任。第四十四条规定了主管部门在监管过程中发现数据处理流动有较大平安危险的，可对相干组织与集体进行约谈，并要求整改、消除隐患。此外，该章针对发展数据处理流动的组织与集体、数据交易中介机构、国家机关、履行数据安全监管职责的国家工作人员等不同主体违反《数据安全法》中规定的相应任务所承当的法律责任进行了具体规定，并明确构成犯罪的，依法追究刑事责任。 《数据安全法》规定了对于违反数据安全爱护任务的单位和集体的法律结果，其中：对于单位最高罚款金额为人民币200万元，并可责令暂停相干业务、停业整顿、撤消业务许可或营业执照，对间接负责的主管人员和其余间接责任人员也规定了最高人民币20万元的罚款金额。 值得注意的是，违反国家外围数据管理制度，危害国家主权、平安和倒退利益的，以及守法《数据安全法》规定，向境外提供重要数据的，均明确规定了相应的更加严格法律结果（第四十五条、第四十六条）。 《数据安全法》亦独自规定了不配合公安、国安调取数据、以及未经批准向外国司法、执法机构提供数据、从事数据交易的中介服务单位违反规定等相干违法行为的法律责任。 九、 咱们的察看 ...

随着以后大数据时代数据量激增，各种利用互联互通上云后Web平安也成了近几年关注的热点，各种扫描、浸透测试、检测围绕在各个web利用四周，随着云趋势的风行网络层的平安保障就显得分外重要。 CloudQuery作为一款基于Web的数据管控工具，平安始终是咱们关注的重点，所以咱们就此开了一个对于CloudQuery Web平安的专题来给大家具体介绍咱们是如何搭建本人的平安体系的。 But！咱们的产品经理说这个系列更新看她情绪，如果大家反应热烈的话她还能开一个「DTS」系列——是的，CloudQuery要出DTS了！大家有任何想法能够去官网底部找她的邮箱反馈哈哈！ 好的，言归正传，本文咱们就开启CloudQuery平安系列第一篇，具体介绍Http和Https两大协定。 Http是什么？咱们都晓得Http是以后利用最宽泛的网络协议，基于它简捷、疾速的个性迅速在互联网利用中推广开来。 一个Http申请是由一个申请行、多个申请报头，最初追随一个空的文本行来终止报头列表组成的。同时随着协定的一直倒退，目前曾经反对到GET、POST、OPTIONS、HEAD、PUT、DELETE、TRACE申请形式，但因为钻研考察发现99%的Http申请都是GET类型，所以本文接下来会针对广为利用的GET办法进行重点探讨。 Http带来的便利性是毋庸置疑的，有了Http后，用户能够利用一个浏览器来拜访不同的利用零碎，脱离桌面端限度后用户操作的便利性失去了大幅晋升。 Http协定的次要特点能够概括如下： 协定简略。整个链路能够概括为：“ 客户端发动申请 ->服务端响应申请 -> 从新发动新申请 ” ，每一次申请都是独立的行为，这也体现了Http无状态的特点。只需浏览器。Http协定完满反对B/S架构，只有有浏览器就能够工作，用户操作简便。甚至从某种意义上说，APP也能够当作某种特定内容的浏览器。灵活性好。无论是数据传输、视频播放都能够灵便应用。非常适合疾速迭代的互联网Web利用。 Http的缺点剖析总结了Http协定的特点后不难发现，Http是未通过任何加密解决的。通过简略的网络抓包就能够取得申请包中的所有内容，再对包中的内容进行剖析就能够失去用户的拜访行为。 从交互角度来剖析，Http作为Web利用的根底协定，其特点就是用户申请->服务器响应，在整个过程中服务器始终处于被动响应状态，不会被动获取用户信息。 在这种信息替换的环境下，客户端能够随便篡改申请内容，而服务端却必须对客户端提交的申请进行响应，这也就是Http最外围的问题： 信息未加密，链路中容易被获取或截断、劫持申请易被模拟、篡改Https及其认证形式详解上文中提到了Http的种种毛病，而Https就是为了解决这三大危险而设计的，从严格意义上来说， Https并不是一个独立的协定，而是工作在SSL协定上的Http协定。 SSL是一种为网络通信提供平安以及数据完整性的平安协定，这也是无效保障用户数据安全的措施。而Https的认证流程依据认证次数能够分为单向认证和双向认证。 单向认证的特点在于只有客户端对服务端进行身份验证，服务端只对提交的加密密钥进行辨认解决，并不会对客户端的合法性进行验证，这就存在会受到SSL剥离攻打的隐患，例如SSL Strip工具的原理就是劫持用户的申请，并模仿用户来与指标站点建设Https连贯，胜利连贯后利用曾经建设的连贯的对称密钥解密服务器返回的Https，将其中的Http再发回客户端。这是因为单向认证中服务器并不对客户端的有效性进行查看造成的。 而双向认证次要是减少了服务器对客户端的合法性校验，这样就能够无效防止方才提到的SSL剥离攻打。客户端发动的申请中会蕴含SSL参数，从服务端获取证书，再将该证书提交给CA，CA验证该证书的合法性后告诉客户端，客户端依据CA的验证后果来确认指标站点的真实性。此处与单向认证存在两处不同： 服务端要求客户端的申请中携带证书并承受用户的公钥客户端与服务端相互利用对方的公钥加密来协商可反对的传输类型和明码计划。客户端从服务端的返回中失去公钥后再利用公钥对本身产生的密钥进行对称加密，再将加密后的密文发送至服务端；服务端利用私钥解密失去数据后进行零碎外部业务逻辑解决。 CloudQuery平台反对用户便捷、疾速接入Https，部署后默认应用Http协定，须要切换Https协定时只需用户安排一个反对Https协定的反向代理服务器即可。接入Https后CloudQuery前端会主动发动Https或wss申请。申请构造如图： 从图中咱们不难看出部署反向代理器后由客户端（浏览器）在外网环境发动Https申请时会先申请至反向代理服务器，再由该代理服务器转发至内网环境，内网环境下个别不存在申请伪造以及劫持状况，此时以Http协定再向CloudQuery所在服务器进行会话申请。Https形式不仅进步了外网环境下的会话安全性，保障用户数据安全性的同时也在肯定水平上爱护了服务端，让歹意攻打和假装数据的老本大大提高。 至此就是本文对Http和Https的介绍，以及Https在CloudQuery中的利用。能够看出，Https重点解决的是传输过程中的平安问题，能够用来保障客户端的传输数据平安，尽管并不会间接晋升Web站点的安全性，但在肯定水平上解决了传输过程中的截断、透露等问题。 下一篇咱们从XSS攻打的角度来进行注入攻打的防护，有缘再见。 官网地址：https://cloudquery.club/

Web利用是指采纳B/S架构、通过HTTP/HTTPS协定提供服务的统称。随着互联网的遍及，Web利用曾经融入到咱们生存中的方方面面。在企业信息化的过程中，越来越多的利用也都架设在Web平台上。在这些Web拜访中，大多数利用不是动态的网页浏览，而是波及到服务器侧的动静解决。此时，如果技术人员的安全意识有余，例如对程序参数输出等查看不严格，就会导致Web利用平安问题层出不穷。轻则篡改网页内容，重则窃取重要外部数据，更为严重的则是在网页中植入恶意代码，使得网站访问者受到侵害。这使得越来越多的用户关注应用层的平安问题，Web利用平安的关注度也逐步升温。 本文依据以后Web利用的平安状况，列举了Web应用程序常见的攻打原理及危害，并给出如何防止蒙受Web攻打的倡议。 SQL注入 当应用程序将用户输出的内容，拼接到SQL语句中，一起提交给数据库执行时，就会产生SQL注入威逼。因为用户的输出，也是SQL语句的一部分，所以攻击者能够利用这部分能够管制的内容，注入本人定义的语句，扭转SQL语句执行逻辑，让数据库执行任意本人须要的指令。通过管制局部SQL语句，攻击者能够查洵数据库中任何本人须要的数据，利用数据库的一些个性，能够间接获取数据库服务器的零碎权限。 原本SQL注入攻打须要攻击者对SQL语句十分理解，所以对攻击者的技术有肯定要求。然而当初曾经呈现了大量SQL注入利用工具，能够让任何攻击者，只有点几下鼠标，就能达到攻打成果，这使得SQL注入的威逼极大减少。 XSS 跨站脚本攻打（Cross Site Scripting)，为不和层叠样式表(Cascading Style Sheets, CSS）的缩写混同，故将跨站脚本攻打缩写为XSS。歹意攻击者往Web页面里插入歹意html 代码，当用户浏览该页之时，嵌入其中Web外面的html代码会被执行，从而达到歹意攻打用户的非凡目标。 反射型跨站脚本攻打 攻击者会通过社会工程学伎俩，发送一个URL连贯给用户关上，在用户关上页面的同时，浏览器会执行页面中嵌入的歹意脚本。 存储型跨站脚本攻打 攻击者利用web应用程序提供的录入或批改数据性能，将数据存储到服务器或用户 cookie中，当其余用户浏览展现该数据的页面时，浏览器会执行页面中嵌入的歹意脚本。所有浏览者都会受到攻打。 命令注入 命令注入和SQL注入差不多，只不过SQL注入是针对数据库的，而OS命令注入是针对操作系统的。OS命令注入攻打指通过Web利用，执行非法的操作系统命令达到攻打的目标。只有在能调用Shell函数的中央就有存在被攻打的危险。假使调用Shell时存在疏漏，就能够执行插入的非法命令。 命令注入攻打能够向Shell发送命令，让Windows或Linux操作系统的命令行启动程序。也就是说，通过命令注入攻打可执行操作系统上装置着的各种程序。 跨站申请伪造 CSRF(Cross Site Request Forgery)，利用已登录的用户身份，以用户的名义发送歹意申请，实现非法操作。 例如，如果用户浏览并信赖具备CSRF破绽的网站A，则浏览器会生成相应的cookie，并且用户拜访危险的网站B而不退出网站。危险网站B要求拜访网站A并提出要求。 浏览器应用用户的cookie信息拜访网站A。 因为网站A不晓得是用户本身收回的申请还是危险网站B收回的申请，因而将解决危险网站B的申请，从而实现了用户操作目标的模仿。 这是CSRF攻打的基本思路。 越权拜访 越权破绽是指利用在查看受权（Authorization）时存在纰漏，使得攻击者在取得低权限用户帐后后，能够利用一些形式绕过权限查看，拜访或者操作到本来无权拜访的高权限性能。在理论的代码平安审查中，这类破绽往往很难通过工具进行自动化检测，因而在理论利用中危害很大。其与未受权拜访有肯定差异。目前存在着两种越权操作类型：垂直越权操作和程度越权操作。 垂直越权破绽，也称为权限晋升，是一种“基于URL的访问控制”设计缺点引起的破绽。因为Web应用程序没有做权限管制或者仅在菜单上做了权限管制，导致歹意用户只有猜想其余治理页面的URL，就能够拜访或管制其余角色领有的数据或页面，达到权限晋升的目标。 程度越权破绽，是一种“基于数据的访问控制”设计缺点引起的破绽。因为服务器端在接管到申请数据进行操作时没有判断数据的所属人而导致的越权数据拜访破绽。如服务器端从客户端提交的request参数(用户可能管制的数据)中获取用户id，歹意攻击者通过变换申请ID的值，查看或批改不属于自己的数据。 随着互联网和Web技术的宽泛应用，Web利用平安所面临的挑战日益严厉，Web零碎时时刻刻都在蒙受各种攻打的威逼。因而，像BI这种典型的Web利用，须要制订一个残缺的Web攻打进攻解决方案。在这里以Smartbi安全性为例，向大家介绍怎么做到防患于未然。 首先，Smartbi通过软件自带的安全补丁工具包定期进行补丁文件的更新，并且反对热修复；其次，Smartbi从Web端、源码、组件等方面对产品进行平安问题自查，同时也通过与“补天众测平台”和“广东赛评检测核心”等第三方机构进行单干，定期对产品进行平安扫描，并踊跃配合解决发现的破绽。最初，通过官网的技术支持渠道，及时响应用户对平安问题的征询和求助。 由此可见，Smartbi正是通过建设全方位的安全漏洞防御机制来确保用户信息的平安。然而，Web攻打进攻是一个长期继续的工作，随着Web技术的倒退和更新，Web攻打伎俩也一直倒退，针对这些最新的平安威逼，须要及时调整Web平安进攻策略，使Web利用在一个平安的环境中为企业服务。

此文原系 2021 年阿里云开发者大会，开源操作系统社区和生态分论坛，题为《国密技术开发与实际》的分享会后解读。AnolisOS 国密是社区在 AnolisOS 上做的国密技术解决方案，十分欢送业界有趣味的开发者可能参加到 OpenAnolis 社区，为国内的根底软件生态添砖加瓦。 演讲嘉宾：杨洋：蚂蚁团体高级技术专家，主导开发了 BabaSSL，也是国内惟一的一个 OpenSSL maintainer，参加起草并推动 RFC8998 规范国际化。张天佳：阿里云技术专家，次要负责 AnolisOS 上国密技术的开发和利用，参加实现了 libgcrypt 中的国密算法和 linux 内核中的 SM2 算法。 让咱们穿梭回现场： 缘起说到明码算法，大家肯定很相熟 MD5，AES，RSA 这些通用的国际标准算法，这也是目前咱们广泛采纳的密码学算法，它们在数据安全、通信、区块链等泛滥畛域都有着宽泛的利用。 家喻户晓，这些算法规范都是国外制订的，在某些状况下这会对国内信息安全有不利影响。当下有实力的国家，甚至有些大公司都制订了本人的算法规范。 顾名思义，国密就是明码算法的国产化，跟其它畛域一样，明码算法的国产化曾经势不可挡，这也是咱们必须要做的事件。中国的国密算法为咱们提供了一个新的抉择，在必要的场合中能够抉择代替那些国内支流算法，尤其是当下国际贸易抵触，技术封闭不可漠视的大环境下，大规模推广和采纳国密算法将为国内重要的网络基础设施提供牢靠的数据安全保障。 国密简介我是谁，从哪里来 国密是一个口语化的称说，官网名称是国家商用明码，简称商密，拼音缩写是 SM，这也是国密规范中具体算法名字的起源。国密是用于商用的、不波及国家机密的明码技术。 国密规范齐全由中国明码管理局制订，次要的技术实现也根本是国内开发人员实现的，这对解脱国外的明码技术和产品依赖是十分无利的。 到哪里去 自 2012 年以来，SM2/3/4 的国密规范陆续颁布，目前国密技术生态根本处于一个正在逐渐走向成熟的阶段，但国内明码根底软件在采纳国密算法方面仍处于碎片化的状态，比方咱们常常能够看到各种集体或组织名义开源的反对国密算法的库；此外这些开源我的项目的安全更新和社区沉闷也都做的不好。国密的推广依然须要咱们中国根底软件的开发者和用户共同努力。 2020 年 1 月 1 日，《中华人民共和国明码法》正式施行，从法律层面标准了国家商用明码的利用和治理，这也为推广和利用国密提供了必要的法律保障。 与国内算法的比照 这里是国密算法和国内通用算法的一个比照，能够直观地看到国密的一个根本状况： 针对各种罕用的国内能用算法类型，比方对称算法，公钥算法和音讯摘要算法，国密规范都定义了对应的雷同性能的国密算法，比方 SM4 提供了与 AES 同样的加密强度，并且反对各种加密模式； SM2 是基于椭圆曲线的公钥算法，同时定义了非对称加解密，数字签名和密钥替换规范，绝对于 RSA，SM2 的密钥更短，但反对的加密强度却更高；SM3 是国密定义的音讯摘要算法规范，摘要长度是固定的 256 位，强度等同于 SHA256。 除了根底的算法，国密规范也定义了 TLCP 国密双证书协定，用以反对国内的传输层平安协定。这里还有一个好消息，往年三月份，TLS1.3+国密单证书协定正式被国际标准所抵赖，并且以 RFC8998 规范公布，这意味着咱们能够抉择在 TLS1.3 协定中应用残缺的国密套件，目前咱们也在分割正规浏览器厂商反对这个规范的施行和利用。 同时国密也定义了应用国密算法的 X509 证书，应用 SM3 哈希算法，SM2 算法作为数字签名，证书类型是 SM2-with-SM3。 ...

什么是平安计算？Linux 基金会旗下的平安计算联盟对平安计算下了一个定义： Confidential Computing protects data in use by performing computation in a hardware-based Trusted Execution Environment.Confidential Computing Consortium在这个定义中强调了这么几点： 1.平安计算爱护的是运算过程中的数据安全;2.平安计算须要借助硬件的能力。 上面就对这两点做一个论述：在云计算场景，咱们能够把云计算简化为三个局部：数据的传输，数据的运算和数据的存储。 这个三个局部的平安解决方案的残缺度是有差异的。在数据的传输环节，业界有很残缺的平安规范和实现比方 SSL， TLS。在数据存储环节，密码学也提供了十分好的解决方案，咱们能够将数据用失当的形式加密当前保留，避免在存储环节泄密。在数据的运算环节，还没有和其余两个环节那样残缺的解决方案。平安计算正是以解决这个问题为指标的。 平安计算是如何实现的呢？咱们以英特尔的 SGX 技术为例来看一下具体的技术计划。 英特尔的 SGX 技术是将 CPU 作为运算的信赖终点，在应用程序中构建平安的运算环境（飞地）。从计算机创造的那一天起，咱们就假如 CPU 会依照软件的指令正确地执行，只是没有强调这一点。在软件大倒退的明天，各种软件在一台硬件上合作运行，整个生态越来越简单，恶意软件也呈现了。为了避免恶意软件的毁坏，CPU 为须要爱护的利用隔离出一个独立的飞地环境。飞地外的利用既不能察看也不能批改飞地中的代码和数据，从而保障了飞地中的数据安全。CPU 对飞地的爱护十分强，即便是领有高特权的操作系统和虚拟化管理软件也无奈冲破这种爱护。事实上，不仅仅能够防软件的攻打，哪怕是外围硬件提供者（比方：主板制造者，内存提供者）都无奈冲破这个爱护。 英特尔 SGX 是目前最成熟的平安计算产品，但并不是惟一的平安计算产品。其余硬件厂商如 AMD，ARM，Nvidia 都在推出平安计算产品。所有这些产品都是软硬件一体的解决方案，总结起来有以下这些特点： 在理解了平安计算的概念后，介绍一些平安计算的典型场景： 有了平安计算环境，用户能够释怀地将利用放到共有云计算环境中，计算中用到的数据和计算的后果都能够加密传输。这样能够对立基础设施的架构，防止简单的混合云部署形式。 云上的数据交易和数据服务也成为了可能。数据领有方和算法提供方能够别离提供数据和算法至平安计算平台实现计算而不必放心秘密泄露的问题。 平安计算也能够促成更多的数据单干。各方数据能够在一个平安的环境中做交融运算，让数据产生更大的价值。 在边缘计算场景中，计算节点部署在非常复杂的环境中，机器不受控。平安计算能够无效地爱护用户数据和隐衷。 平安计算这么多的利用场景，为什么还没有看到大规模部署呢？这是因为平安计算目前还有一个十分大的短板：易用性不强。具体表现为3点： 利用宰割难：将一个现有的利用革新为一个平安计算利用的革新难度很大。须要做代码宰割。 场景部署难：平安计算是要依靠于硬件的。在理论部署中须要对利用调度零碎做革新。 平安剖析难：一个利用应用了平安计算是不是就肯定平安了呢？答案是不确定。这须要对整个利用做十分粗疏的平安剖析。 针对这些难题，蚂蚁团体和阿里巴巴团体的工程师提出了独到的解决方案。首先是解决利用宰割难的问题。 蚂蚁团体开源的 Occlum 我的项目在飞地中开发了 LibOS 适配层，让 Linux 下的利用能够无批改地运行在 SGX 环境中，彻底解决了利用宰割的问题。Occlum 应用 Rust 语言开发，保障内存了安全性；反对多过程和加密文件系统，利用无需批改。例如：基于蚂蚁团体金融级云原生框架 SOFABoot 开发的利用能够齐全无批改的运行在 Occlum 环境中。 网站链接：https://github.com/occlum/occlum/tree/master/demos/sofaboot 针对部署难的问题，阿里云推出了 Inclavare 开源我的项目。 ...

机器学习（ML）和深度学习（DL）在泛滥实在的利用场景中愈发重要。这些模型应用已知数据进行训练，并部署在图像分类、内容举荐等场景中进行新数据的解决。总体而言，数据越多，ML/DL 模型就越欠缺。但囤积和解决海量数据也带来了隐衷、平安和监管等危险。隐衷爱护机器学习（PPML）有助于化解这些危险。其采纳加密技术差分隐衷、硬件技术等，旨在解决机器学习工作的同时爱护敏感用户数据和训练模型的隐衷。在英特尔® 软件防护扩大（英特尔® SGX）和蚂蚁团体用于英特尔® SGX 的内存平安多过程用户态操作系统 Occlum 的根底上，蚂蚁团体与英特尔单干搭建了 PPML 平台。在本篇博客中，咱们将介绍这项运行在 Analytics Zoo 上的解决方案，并展现该解决方案在第三代英特尔® 至强® 可扩大处理器上失去英特尔® 深度学习减速（英特尔® DL Boost）技术助力时的性能劣势。英特尔® SGX 是英特尔的受信赖执行环境（TEE），它提供基于硬件的内存加密，隔离内存中的特定利用代码和数据。英特尔® SGX 使得用户层代码能够分配内存中的受爱护区域，即 “飞地”，这些区域不受更高权限等级程序运行的任何影响（如图一所示）。 图一 通过英特尔® SGX 增强防护与同态加密和差分隐衷相比，英特尔® SGX 在操作系统、驱动、BIOS、虚拟机管理器或系统管理模型已瘫痪的状况下仍可帮忙进攻软件攻打。因而，英特尔® SGX 在攻击者齐全管制平台的状况下仍可加强对隐衷数据和密钥的爱护。第三代英特尔® 至强® 可扩大处理器可使 CPU 受信赖内存区域减少到 512GB，使得英特尔® SGX 技术可能为隐衷爱护机器学习解决方案打下松软的根底。 2014 年正式成立的蚂蚁团体服务于超 10 亿用户，是寰球当先的金融科技企业之一。蚂蚁团体始终积极探索隐衷爱护机器学习畛域，并发动了开源我的项目 Occlum。Occlum 是用于英特尔® SGX 的内存平安多过程用户态操作系统（LibOS）。应用 Occlum 后，机器学习工作负载等只需批改极少量（甚至无需批改）源代码即可在英特尔® SGX 上运行，以高度通明的形式爱护了用户数据的机密性和完整性。用于英特尔® SGX 的 Occlum 架构如图二所示。 图二 用于英特尔® SGX 的 Occlum 架构（图片起源：Occlum · GitHub）Analytics Zoo 赋能端到端 PPML 解决方案Analytics Zoo 是面向基于 Apache Spark、Flink 和 Ray 的分布式 TensorFlow、Keras 和 PyTorch 的对立的大数据分析和人工智能平台。应用 Analytics Zoo 后，剖析框架、ML/DL 框架和 Python 库能够在 Occlum LibOS 以受爱护的形式作为一个整体运行。此外，Analytics Zoo 还提供平安数据拜访、平安梯度与参数治理等安全性性能，赋能联邦学习等隐衷爱护机器学习用例。端到端 Analytics Zoo PPML 解决方案如图三所示。 ...

随着信息时代的一直倒退，不同部门、不同地区间的信息交换逐渐减少，计算机网络技术的 倒退为信息传输提供了保障。在网络上呈现当大量的空间数据，面对多种多样的数据格式， 咱们怎样才能无效地利用它们呢？这其实就是数据共享与数据转换的问题。简略地说，数据共享就是让在不同中央应用不同计算机、不同软件的用户可能读取别人数据并进行各种操作运算和剖析。 一、什么是数据共享？ 数据共享就是让在不同中央应用不同计算机、不同软件的用户可能读取别人数据并进行各种操作、运算和剖析。 二、当今时代数据共享存在哪些问题？ 1、数据共享的观点尚未造成 以政府部门为例，各部门经验了可研、初涉、调整概算、投标、具体设计、等级爱护等一些大费周章的过程，历经九九八十一难，好不容易破费大笔经费建设本部门独立的信息化零碎，收集到的数据都是本人辛辛苦苦获取的专有的垄断性数据，怎么会轻易的对外共享？二是big data的概念为社会所承受，所有人都已分明数据存在价值，产生价值，又怎么会将自家数据拱手送人？此外，各单位专一数据本人的职能，信息化伎俩只是辅助日常治理过程中的辅助措施。这样的定位以致数据流动共享的观点尚未造成。 2、数据共享的机制尚未建设 信息共享是一种持续性的长效机制，目前法律上尚未呈现指出数据共享的要求。 3、信息化规范不对立 所有人都分明信息孤岛和信息烟囱的概念，那么就晓得各单位间信息化规范不对立的状况。在此背景下，数据共享前的筹备工作远不是设想中的那么简略和容易。很有可能80%以上的经验都是在梳理整合信息化资源，从权力清单、共享目录、数据项规范、替换格局、替换规范等多方面内容发展数据共享工作。这些内容一旦有了变动，都要对相干的内容进行调整，比方机构改革对上述内容影响就比拟大。 4、基础设施不欠缺 数据共享离不开信息化建设，须要国家层面有对立的数据共享替换平台。 三、如何实现快捷且平安的数据共享？ 要想做到数据共享既平安又高效，离不开BI工具的反对，国内出名BI厂商思迈特软件Smartbi在数据共享方面已有了成熟教训，并取得了客户的好评。 “阿拉丁”是民生银行历时十多年打造的在线自助剖析平台，2014年上线以来获得了家喻户晓的问题，所获奖项包含2016年度中国金融行业最佳翻新我的项目奖等。通过阿拉丁平台，一线做业务及营销剖析的人员本人可能变成数据专家，可能在平台上把须要的数据查问进去，而且可能分别数据，去做相干的数据分析，从而实现对行内信息资源充沛无效的利用！ 基于Smartbi对阿拉丁我的项目多年的反对服务，以及对阿拉丁这个胜利案例的深入研究和学习，Smartbi提出以“数尽其用、人尽其才”的企业级自助剖析平台的建设核心思想，在全自助打造剖析性能的同时，更从“真共享”提出了保障大型企业实现自助剖析平台的解决方案。

能够！！ 为了解决数据内容平安问题，腾讯云对象存储COS推出了一站式内容审核，提供了蕴含图片、视频、语音、文字等全品类数据的内容平安智能审核服务，帮忙用户无效辨认色情低俗、守法违规、恶心恶感等违禁内容，帮助用户建设绿色衰弱的平台环境。 与企业本人建设治理能力相比，腾讯云的解决方案显著地晋升了企业在内容风控方面的效率和品质。企业仅需1人进行代码保护，1人定期审查审核后果，即可享有高达每日10亿次的审核解决集群，且内容辨认准确率高，可笼罩上百的审核场景，还能为企业节俭90%的老本投入。 看下图更直观地比照 01 疾速高效，笼罩多种媒体数据类型COS内容审核依靠腾讯平安20年数字内容平安经营教训，能够疾速高效地实现对图片、音频、语音、文本等多种媒体数据的审核，为企业提供成熟的云上内容审核解决方案。 图片审核：通过前沿算法和海量数据建模，可能精准辨认带有微商商品、二维码、网络广告和袒露涉黄、色情漫画等违规图片，并将其谐和。视频审核：利用视频截帧能力将视频帧进行图片审核，能够灵便管制截帧数，按量付费，节省成本。同时，审核的后果可在控制台可视化展示，领有和图片审核统一的辨认场景。音频审核：通过前沿语音辨认算法构建的语音辨认（ASR）引擎，可能转译语音内容，并联合音频特色辨认技术，精确辨认低俗语音（呻吟、娇喘、ASMR）等违规内容。还兼容各种中央口音的普通话，高效帮助用户审核解决音频数据。文本审核：基于拆分字、形似字、音似字、带有烦扰符号等多种匹配辨认规定，可能疾速精确辨认各种变形文本，无效过滤召回违规数据，将违规文字以星号显示，打造疾速、高质、稳固文本审核服务。02 多种应用模式，确保审核准确率COS内容审核功能丰富，应用形式多样，通过控制台配置能够实时实现对存量和新增内容的自动检测，且反对疾速动静扩容，调用内容审核的API接口实现对存储桶内指定的文件审核。 此外，针对机器可能呈现误判的状况，COS内容审核还能通过业余人工审核团队进行二次复验，确保审核后果的准确率。 COS内容审核场景实用于泛滥行业，尤其是社交平台、在线教育、电商平台以及游戏行业，这些行业都具备数据多，增长快，数据类型宽泛的特点，对数据审核的覆盖性、准确性、高效性都有极高的要求。而COS内容审核的多违规类型笼罩、增量数据主动触发审核、审核秒级响应、场景化定制，能够满足所有审核场景。

数字经济时代，数据曾经成为要害生产资料。使用明码技术对数据传输、流转、存储和应用等环节进行加密爱护，是确保用户和企业信息安全的重要伎俩。 近日，腾讯云密钥管理系统（KMS）通过第三方权威明码测评机构鼎铉进行的云密钥管理系统明码利用验证测试，其合规、正确和有效性再一次失去验证。这也是国内首个通过明码利用验证测试的云密钥管理系统，对于行业标准的摸索和制订具备重要的参考意义。 腾讯云密钥管理系统通过验证测试，为建设行业标准探路日前，由国家明码管理局受权的全国性第三方商用明码检测机构鼎铉对腾讯云密钥管理系统进行了明码利用验证测评。鼎铉公司领有商用明码产品检测机构资质，商用明码利用安全性评估试点机构资质，国家实验室认可CNAS和国家计量认可CMA资质，国际金融数据安全评估PCI DSS的QSA和ASV机构资质，并具备信息系统平安、软件平安、智能终端平安测评和危险评估能力。 测评报告显示，腾讯云密钥管理系统明码根底性能、接口平安、利用性能正确无效，测试项验证合乎预期。同时，还从物理和环境平安、网络和通信安全、设施和计算平安、利用和数据安全、管理制度、人员治理、建设运行、应急处理等八个方面进行了量化评估，零碎达到了GB/T39786-2021《信息安全技术信息系统明码利用根本要求》的第三级别要求。 与多项云服务无缝集成，端到端守护云数据全生命周期近年来，国内外大规模数据泄露事件频发，国家和企业愈发器重网络与信息安全，对应用明码技术爱护网络安全提出了更高要求。为疏导和标准企业正当合规利用明码，国家陆续颁布实施《网络安全法》、《明码法》等一系列政策法规，对明码利用安全性评估提出要求。 云上密钥管理系统作为明码利用的重要组成部分，目前曾经在云计算行业被广泛应用。因为技术前沿、应用领域新，在业内尚不足对立的认证规范。此次腾讯云踊跃配合第三方认证机构进行安全性评估，在验证腾讯云密钥管理系统安全性的同时，也为行业标准的建设提供了借鉴价值和参考意义。 腾讯云密钥管理系统（KMS）是腾讯平安云鼎实验室依靠腾讯本身20余年平安攻防实际打造的一款平安治理类服务，能够帮忙企业轻松创立和治理密钥，爱护密钥的保密性、完整性和可用性，满足企业多利用、多业务的密钥治理需要，并合乎监管和合规要求。除此之外，“云原生”也是腾讯平安在明码服务方面的一大特点，腾讯云密钥管理系统可与腾讯云对象存储、分布式数据库、云硬盘等云服务无缝集成，让企业能够通过密钥管理系统对其进行密钥治理。腾讯云密钥管理系统（KMS）是“腾讯云数据安全中台”的外围组件之一，基于密钥管理系统(KMS)、商用明码的数据加密软硬件服务(HSM/SEM)以及身份凭据与受权(Secrets Manager)三大能力，腾讯平安还打造了端到端的云数据全生命周期数据安全爱护解决方案——“腾讯云数据安全中台”，以组件化、服务化的能力保障数据在辨认、应用、生产过程中的平安。 企业上云后，云上环境中的数据应用场景将继续扩充，须要为数据提供在产生、流动、存储、应用和销毁过程中的全程平安防护。腾讯云数据安全中台提供以云原生为前提的数据安全防护策略，从数据的全过程加密、拜访管控等动手，造成云原生数据要害链路的闭环，无效帮忙企业应答云上数据安全问题。 数字经济时代，数据安全的重要性日益凸显。将来，腾讯平安将继续进行产品翻新，丰盛“云数据安全中台”组件能力，助力企业夯实平安底座，更加从容地迎接数字化、智能化降级。

随着互联网技术的一直倒退，越来越多的企业开始数字化转型。企业业务的社交化和多元化使得企业业务的接触和拓展深度曾经变得今非昔比。这些变动的一个显著结果是，数据的位置越来越高，数据流动也越来越频繁。但同时数据泄露事件也更加频繁，尤其近几年事件，泄露数据量十分惊人，对这些涉事企业造成了不可挽回的损失。 图1：局部数据泄露事件企业 上图盘点了DT时代的局部数据泄露事件企业，回顾过往数据泄露事件，能够看出数据泄露对企业带来影响颇深，导致监管压力、金钱损失、品牌美誉度受损、用户散失等，比方Facebook数据泄露事件导致市值霎时蒸发，还面临50亿万美元的巨额罚款，数据泄露老本微小。 那么企业该如何爱护数据安全，扭转数据管理形式? 随着业务的倒退，企业数据逐步增多，存储空间、数据安全、文件治理等问题已成为企业经营的难题。传统的纸质文件归档、移动硬盘存储、FTP、NAS等文件治理形式已不能满足以后的须要。 例如，在治理上，企业外围数据扩散在各种设施上，不足对立的备份和治理；在平安方面，因为应用了不失当的存储形式，间断产生的数据泄露事件给企业带来了不可估量的损失；在合作方面，挪动办公要求对员工提出了要求在线合作，但这在传统的文件治理服务器中是没有的。 在这样的需要下，平安星球企业云盘应运而生。平安星球是“零信赖”平安的云盘,所有文件在客户端生成加密格局,密钥仅用户保存,服务商无奈解密文件内容,100%爱护数据隐衷平安。由国内前四大云厂商提供云服务，上传/下载永不限速。 首先，在利用上。平安星球企业云盘作为SaaS层利用，平安星球企业云盘能够买通企业外部OA、邮箱、ERP等零碎数据，解决传统文件管理器的数据孤岛景象。同时，平安星球企业云盘实现终端全笼罩，员工能够随时随地共享数据，多人能够实时在线办公合作，并提供数据迁徙、跨境传输以及数据拜访权限管制等性能，满足简单办公环境下的企业多样化需要。 而后，在平安和稳固方面。企业云盘在架构、存储、传输等方面具备劣势。与传统NAS相比，平安星球企业云盘在架构反对方面更加稳固。平安方面，平安星球应用端到端加密技术，银行级平安零碎，更有文件保险箱对数据进行进一步的加密解决；其次平安星球数据存储应用AWS云服务，能无效的避免网络攻击，服务器也不会浏览到用户上传的任何内容。此外，还针对应用云盘的每个用户的存储空间做出分区，独立成组，令数据的私密性失去了最高保障。 随着数字化转型成为常态，传统纸质文件逐步向电子化文件转型，且文件数据呈几何倍数式增长。对于企业来说，办公文档、项目管理材料、商业合同等文件数据在平安星球企业云盘中得以实时共享且疾速平安的调用，将解决企业信息互通等问题，晋升整体经营效率，助力企业业务的翻新倒退。当初注册就送会员和存储空间，还不连忙注册体验。

近日，某电子巨头产生了重大安全事件，其一家生产设施受到了勒索软件攻打，攻击者在对设施加密之前先窃取了未经加密的文件，加密了约1200台服务器，窃取了100 GB的未加密文件，并删除了20TB至30 TB的备份内容。在勒索信中，不法分子索要1804.0955个比特币的赎金，按明天的比特币价格折算，约合34686000美元（2.3亿人民币）。 该攻打事件一经产生立刻引起了业界对 IT系统安全重要性的关注，为了帮忙用户更好地保障本身业务及数据安全，京东智联云特地提供了相干自查及应答措施的Tips以供参考： Step1. 数据备份自查 自查内容：重要数据是否曾经进行异地灾备；应答措施：应用跨区域的数据同步性能，将重要数据做异地灾备，不仅是黑客攻击，即便产生自然灾害，数据也可疾速复原。京东智联云上的应答最佳实际： 应用京东智联云“对象存储“ -> 空间治理 -> 进入重要数据所在空间 -> 高级设置，导航至“数据同步->历史数据同步”性能区域，依据需要对现有的重要数据备份至其余区域的空间；而后在京东智联云“对象存储“ -> 空间治理 -> 进入重要数据所在空间 -> 高级设置，导航至“数据同步->增量数据同步”性能区域。配置增量数据同步，保障后续上传的重要数据主动同步至其余区域的空间。Step2. 数据加密自查 自查内容：应答措施：京东智联云上的应答最佳实际： （1）密钥治理： 应用京东智联云“密钥治理服务“产品 -> 援用密钥治理服务SDK -> 调用SDK创立并托管密钥，本地只记录加密后的密钥 -> 须要应用密钥时，调用SDK对密文密钥进行解密再应用，明文密钥不落地。 （2）数据加密： ① 应用京东智联云“数据安全核心”产品-> 创立防护实例 -> 关联须要加密的数据源 - > 配置须要加密的数据字段 -> 数据即可主动进行加密后进行存储； ② 应用OSS对象存储时，启用默认加密性能，即可将上传数据进行加密存储。 Step3. 服务器权限治理自查 自查内容：登录服务器是否具备权限管控、平安审计、自动化运维能力；应答措施：应用堡垒机对登录服务器的运维操作进行权限管控，建设高危命令，危险时段登录拦挡规定，定期对会话和操作进行审计，及时发现运维操作危险。京东智联云上的应答最佳实际： 应用京东智联云 “堡垒机” -> 创立实例 -> 新建用户 -> 增加主机 -> 新建账户 -> 新建规定 -> 应用堡垒机登录服务器。 更多应用办法请参考： https://docs.jdcloud.com/cn/b... Step4. 平台或利用用户权限治理自查 自查内容：平台或利用用户权限是否依照角色、等级等策略进行受权，并在要害操作处进行拜访权限校验；应答措施：建设权限管理机制，对不同的用户依照角色、等级进行受权，对要害操作进行拜访权限校验，避免用户通过越权行为影响业务政策运行。京东智联云上的应答最佳实际： 1. 子账号平安设置： ...

当今时代，随着互联网、人工智能、云计算等新一代信息技术的高速倒退，数据流动对寰球经济增长的奉献也在猛增。麦肯锡寰球研究院公布的《数据全球化：新时代的全球性流动》报告指出，自2008年以来，数据流动对寰球经济增长的奉献曾经超过传统的跨国贸易和投资。在全球化的航道上，数据也扮演着愈发重要的角色，各国对跨境数据流动也有了更宽泛的关注。 近日，2020年国家网络安全宣传周期间，中国网络安全产业联盟与腾讯联结主办线上“网络安全会客室”。首期会客室邀请了国家工业信息安全倒退钻研核心评测鉴定所所长潘妍、中国网络安全审查技术与认证核心审查二部副主任陈世翔、中国电子技术标准化研究院信息安全钻研核心数据安全部主任胡影、中国人民大学将来法治研究院副院长丁晓东以及腾讯平安策略研究部高级研究员秦天雄，围绕数据流动制度开展线上对话，针对数据入境平安制度设计、数据交易市场的标准、政务数据凋谢共享以及促成数据凋谢利用的倡议进行交换，探讨建设凋谢共享、国内合作的数据流动规定的重要意义。 数据流动危机频现，欠缺制度迫不及待 数据流动包含政务数据共享凋谢、数据跨境传输等内容，是数据治理中最为外围的话题之一。在寰球数字化的背景下，数据跨境流动成为寰球经济倒退的必要条件，另一方面，数据跨境流动带来的平安危险也不容忽视。随着寰球的数据安全事件日益增多，建设普世的数据流动规定变得愈发重要。 依据Risk Based Security数据显示，在2019年上半年中，世界范畴内曾经产生了3813起数据泄露事件，均匀每天21起，其中公开的数据为41亿条，数据泄露事件的数量与上一年同期相比减少了54%。 随着数据泄露事件引起世界范畴的关注，欧盟、俄罗斯以及新加坡等国家和地区，也都制订了数据跨境流动的相干政策。我国也陆续出台了《网络安全法》和《数据安全法(草案)》。对于广为关注的数据跨境流动问题，工业信息安全倒退钻研核心评测鉴定所所长潘妍示意：“数据跨境流动制度的设计，是产业倒退之间的一个博弈过程，不仅对于平安和主权的保护具备重大意义，也体现了一个国家的数据治理能力。”她指出，以后的数据跨境流动顶层设计还不够欠缺，各行各业的分级分类还没齐全做好。而此背景下，在局部场景下进行试验、示范的动作，对于推动治理标准具备踊跃的意义。 针对数据跨境流动，中国人民大学将来法治研究院副院长丁晓东示意，“中国的数据跨境、数据流动问题，要放在寰球的数据策略博弈的背景下来看，来寻求一种真正符合中国的制度。”丁晓东提出了数据命运共同体的概念，他指出，面对与欧美不同的数据流动背景，中国要增强数据国内单干。 数据流动制度应配合全球化，助力企业扬帆出海 数据是企业的外围资产，数据安全未然成为所有企业在产业互联网时代必须直面的问题。企业数据波及传输、存储、解决、剖析等多个环节，任意一个环节的问题，都可能会造成数据泄露，引发难以估计的严重后果。这意味着企业不能只在要害节点构筑进攻堡垒，而应该转向以数据为核心构建防护策略，并遵循数据流动的法则，构建基于全生命周期的平安防护。 针对备受关注的企业数据跨境流动话题，腾讯平安策略研究部高级研究员秦天雄示意，在以后数字经济大力发展的趋势和背景之下，数据流动的政策法规建设能够从激励翻新、容纳审慎的角度，为企业提供宏观、中观和宏观等多维度领导。他提到，“数据入境的国内规定正处在频繁的变动和构建过程当中，要继续加强国内外数据入境法律制度钻研。心愿国内的相干法规在起草制订过程中可能观照到国外的数据入境相干的规定，取其精华，保障我国企业更好、更不便地“走进来”。对于国内数据流动的景象，中国网络安全审查技术与认证核心审查二部副主任陈世翔示意，“从国内协同上看，要踊跃探讨国内单干，寻求国内互认。充沛探讨国内法律法规对于运营者相干的标准要求，”陈世翔提出，能够通过建设有利于进行国内流动的相干国内互任框架，通过认证等形式，寻求数据可能正当、平安的流动。 冲破平安治理难点，保障企业数据流动平安 随同产业数字化逐渐深刻，数据安全爱护问题，俨然成为所有企业在必须直面的挑战。腾讯副总裁丁珂在演讲中指出，“数字化时代，企业数据一旦生产进去后就会进入传输、存储、解决、剖析、拜访与服务利用等各环节，任何一个环节呈现问题，都会造成企业数据泄露，甚至会影响产业链的平安。” 这意味着企业须要保障数据全生命周期的平安。在数字技术疾速倒退的明天，数据跨境流动已愈发广泛，相干制度法规也在日益完善，腾讯平安作为行业先驱，踊跃打造数据安全产品，保障企业数据流动平安。置信在不久的未来，随着更多法规逐渐落地，数据流动规定会更加欠缺，数据流动也将更加平安。

“威逼国家平安”成了美国打压中国科技企业的“通用罪状”。明天，在寰球数字治理研讨会上，国务委员兼外长王毅公开示意，“中国政府严格践行数据安全爱护无关准则，没有也不会要求中方企业违反别国法律向中国政府提供境外数据。” 在数字经济蓬勃发展的明天，中国网民数量曾经超过了 9 亿，5G 用户数量已超过 8800 万，爱护数据安全对数字经济衰弱倒退至关重要。 王毅在寰球数字治理研讨会上提出，中国愿发动《寰球数据安全倡导》为增强寰球数字治理奉献中国智慧。 这一倡导的次要内容包含： 一是主观感性对待数据安全，致力于保护寰球供应链凋谢、平安和稳固。 二是拥护利用信息技术毁坏他国要害基础设施或窃取重要数据。 三是采取措施防备和禁止侵害个人信息的行为，不得滥用信息技术对他国进行大规模监控，或非法采集他国公民个人信息。 四是要求企业尊重当地法律，不得强制要求外国企业将境外产生、获取的数据存储在外国境内。 五是尊重他国主权、司法管辖权和对数据的管理权，不得间接向企业或集体调取位于他国的数据。 六是应通过司法帮助等渠道解决执法跨境数据调取需要。 七是信息技术产品和服务供给企业不应在产品和服务中设置后门，非法获取用户数据。 八是信息技术企业不得利用用户对产品依赖，谋取不正当利益。 附《寰球数据安全倡导》全文：

企业云盘是现代科技重要的一环，它的定位不只是一个工具，还是一个面向用户的数据管理平台。近年来，在技术与市场的共需催生下，寰球的数据量呈现出了爆炸式增长，同时大数据存储需要也应运而生，而云环境下的大数据存储将逐渐走向公众视线。 yotta企业云盘应用区块链存储，有Truprivacy数据加密专利，即便云端管理员也无奈获取用户数据，无效地避免云端隐衷泄露，反对用户数据实时备份，爱护企业数字资产。其实不光是在存储端保障数据安全，咱们在云盘软件自身也做了很多安全措施。 齐备的日志记录，具体保留所有用户对文档操作。保障有据可查。 一文一密存储，所有用户的所有文档的密钥均不雷同； 加解密均在本地实现，网络上无明文流通。 咱们采纳零信赖准则设计：系统管理员只能保护零碎和人员，不能查看零碎存储的文件内容。不光给企业安全感，更要给企业的员工安全感。 另外，yotta企业云盘具备多角色权限设置和治理选项，角色不同权限不同，对于不同分公司、层级、部门、人员等 文件对立归档，可设置预览、上传、下载、仅上传、仅下载等不同操作权限，便于公司高层随时理解查看各部门的运行状况，进步管理效率。 咱们不光给企业安全感，还要让他爱上yotta企业云盘：低成本、高牢靠的服务能力：采纳去中心化的区块链存储形式，能够提供高牢靠、可扩大的服务。同时自主研发的加密去重技术能升高5-10倍的存储空间占用，开释反复占用的空间，升高企业和政府的存储老本。 咱们要让企业用着释怀、用着舒心、用着顺心。

信息存储多种多样，企业如何抉择一个适宜企业的存储形式？如员工在编辑数据表格的适宜，因数据频繁变更，导致了历史版本凌乱影响效率... 到底什么是企业存储数据的必要条件呢？有以下几点： 企业数据的平安：Yotta企业云盘底层采纳区块链存储。区块链的高冗余存储、高安全性和隐衷爱护，特地适宜存储和爱护重要的数据，避免企业数据受到攻打或治理不当而导致的大规模数据失落或透露。同时泛圈云盘领有Truprivacy数据加密专利。即便是云端管理员也无奈获取用户数据，无效地避免了云端隐衷泄露。同时反对主动备份、水印爱护、防误删、身份验证等性能，为企业的数字资产保驾护航。 协同办公：Yotta企业云盘提供残缺的文件同步和共享合作性能，企业或团队能够不便的将所有文件同步到每个企业员工的设施上，实时同步性能能够确保每个企业员工看到文件的最新版本。在权限设置和共享合作方面，企业管理者能够依据部门和项目组创立共享文件夹，邀请团队内外的成员进行同步，同时治理和编辑共享文件夹中的文件。文件夹/文件权限设置包含只上传、只下载、只预览、上传下载等性能，同时反对在线文件编辑、实时@评论等性能，丰盛的协同性能为企业提供了高效的办公形式。 便捷的挪动办公：挪动办公曾经成为一种工作常态，无论是出差还是室内办公，拿出手机共享文件和交换的状况并不少见。Yotta企业云盘反对window端、web网页拜访、Android端、IOS端、Outlook插件等多种拜访形式。不同的场景应用不同的终端随时拜访文档，随时与共事和客户合作。 数据集中管理：企业文档散乱，散布存储在各个介质，前期检索难？Yotta企业云盘不论是企业员工存储在个人电脑、手机甚至是U盘等存储形式，都能够集中存储到Yotta企业云盘进行集中管理，反对多格式文件的上传、预览等，并能够随时随地应用电脑、手机进行查看、编辑、共享和合作。 企业在筛选数据存储平台时，往往须要在意的就是数据是否平安，办公是否便捷，数据保存分类是否到位，最重要的是价格是否实惠。很多企业云盘是把企业存储空间和数据安全离开售卖，但yotta是信息加密使用倒数据的每个角落，只有在云盘里传输的数据，都是安全可靠的。

5G时代已贴凑近生存，当初的大街小巷，商铺店铺都曾经应用了5G的网路。高效的挪动办公逐步遍及大家的办公生存，在此之余，什么性能的能力真正的是挪动办公，让办公效率高效便捷。又有什么能力真正爱护着咱们的数据安全。 企业云盘高效办公，应该具备以下几个特点： 多平台拜访：电脑端，网页，Android端，IOS端和Outlook插件都能够拜访，下载编辑文件。多人同时办公：可多人同时编辑一份文件，防止了多人排队、接力式编辑一份文件。文件共享：为了不便文件协同治理，Yotta反对在个人空间中将本人的文件共享给云盘中的其余用户。任何人可对文档发表评论，通过评论替换对文档的意见，进一步提高文档协同的效率。除了文件操作便捷，更重要的是数据存储平安。毕竟数字财产式现代化企业的重要资产之一。 如何爱护咱们的财产不受进犯，在一个断网的电脑里保留数据还是在u盘里搁置。或者抉择一个平安的加密技术，只有加密技术高于以后的破解时，数据才处于平安的地位。 ruPrivacy加密技术是世界上惟一能实现“加密后去重”的技术，从而实现零常识数 据加密与数据去重的“鱼与熊掌兼得”。2015 年，TruPrivacy 技术在寰球最大 黑客大会 DefCon上公开悬赏验证，在敞开服务器任黑客自在出入并给黑客提供 治理账户权限的前提下，寰球顶级黑客联手都未能偷走服务器上存储的用户数据，无人支付高额现金处分。 一个棘手，容易操作的伟业云盘，就相当于企业通往胜利的路线，他让行走速度大大增加。而一个平安的加密技术，就像一个保护伞，爱护着企业数据资产的平安，不受狂风暴雨的侵袭。

近日，中国首部《数据安全法》草案公开征求意见完结，意味着相干法律法规的施行被正式提上日程。 在产业数字化降级的背景下，面对数据安全畛域的诸多挑战，企业如何保障本身数据安全？《数据安全法》将来会对企业的数据安全建设有何影响？企业如何合规倒退等问题，成为企业数据安全工作关注的重点。 8月20日下午14:00-16:30，腾讯平安策略钻研部将携手伏羲智库，独特举办产业平安专家论坛——“《数据安全法》下的企业数据安全建设”，邀请来自政府、企业、钻研机构专家，独特探讨数据安全问题，促成企业数据安全合规建设。 扫描下方海报二维码，即刻预约发布会直播

2020年7月2日，全国人大常委会第二十次会议审议了《数据安全法（草案）》（以下简称《数安法》）并公开征求意见。《数安法》次要围绕着数据安全治理各项根本制度、促成数据安全和倒退的措施、解决数据安全畛域突出总量、满足电子政务数据正当需要开展。 在这之前，国内数据安全建设的指导性文件，是国家互联网信息办公室去年5月28日公布的《数据安全治理方法（征求意见稿）》（以下简称《方法》）。《数安法》和《方法》之间的关系非常严密，互为补充和撑持，独特搭建更加弱小的数据安全爱护体系，也体现了国家对于数据安全爱护的高度重视。 但相应的，《数安法》中的大部分细则较《方法》都有了进一步的清晰和晋升，《数安法》对企业而言，也曾经成为了数据安全建设的全新挑战。 笼罩更广的数据安全爱护 此次《数安法》的一大特点，就是“笼罩更广”，具体分为行为、对象和空间上的标准。 先说行为，《数安法》明确了数据的概念，是指任何以电子或者非电子模式对信息的记录，须要恪守标准的“数据流动”包含：数据的收集、存储、加工、应用、提供、交易、公开等行为。环节的数量较《方法》中减少了4个，同时删除了“纯正家庭和集体事务除外”的规定。将单纯集体用处应用数据的行为纳入监管。 其次是对象，除了企业，社会个人、政府部门、集体乃至境外的机构都笼罩其中。具体而言，在中华人民共和国境内发展数据流动的所有主体，都是标准的对象。依据对象的不同，也对应了不同的《数安法》要求。最根底的是非法任务，境内主体还有配合任务和报告任务的根底要求。企业们还有建设相干内容管理机制任务和员工培训任务。政府部门则有一个专属的政务公开任务。 最初是空间上，《数安法》特地笼罩了境外对象，并根据爱护管辖准则，规定数据流动无论在境内还是境外，只有侵害我国国家平安、别人合法权益的，就要依法追究法律责任。这一新扭转，能更好适应以后数据没有国界、数据所有者主体全球化的现实情况。 数据安全建设挑战再降级 作为最常见、最支流数据资产主体，企业和政府机构无疑是受《数安法》影响最大的对象。《数安法》中明确要求数据采起源及采集形式的合法性，明确规定任何组织、集体收集数据，必须采取非法、正当的形式，不得窃取或者以其余非法形式获取数据。 《数安法》还规定了专门提供在线数据处理等服务的经营者，该当依法获得经营业务许可或者备案。这无疑给数据处理服务企业设立了硬性门槛。此外，从事数据交易中介服务的机构在提供交易中介服务时，该当要求数据提供方阐明数据起源，审核交易单方的身份，并留存审核、交易记录。更加严苛的数据交易制度，将每时每刻挑战那些不推动数据安全建设的企业，一旦被处罚，就将影响其将来数据市场中的名誉。 企业、政府机构类主体相较集体多出的外部管理机制、员工培训任务也是《数安法》中的新要求，后者指出发展数据流动该当按照法律、行政法规的规定和国家标准的强制性要求，建立健全全流程数据安全管理制度，组织发展数据安全教育培训，采取相应的技术措施和其余必要措施，保障数据安全。 为数据加上“防护罩” 明确数据流动的红线 随着“新基建”的发展，潜藏其中的数据危机也衍生出新一轮的网络安全挑战。去年，勒索病毒仍旧出现周期性暴发的趋势，我国多家医院、台积电等均曾遭逢过勒索软件攻打；年初微盟删库事件，为互联网行业敲响了警钟，《数安法》的出台将显得尤为迫切。 在我国，数据产业曾经造成一个残缺产业链，波及数据收集、存储、加工、应用、交付、流通等诸多环节，《数安法》的出台，将填补政策和法律的鸿沟，突破政策激励数据利用与流通交易，而法律法规绝对滞后的场面。《数安法》颁布后为数据产业、数据智能经济的划定了边界，明确了数据流动红线，让其倒退有章可循。 这一人工智能与大数据时代所召唤的数据规定，对于大数据数据及产业平安而言，无疑是一大利好，既束缚了数据的滥用和非法采集，又爱护了数据提供方和一般民众的信息，只有非法、合规经营，能力让数据价值最大化，让数据真正成为数字经济倒退的流动的血液，在《数安法》的契机下，以数据凋谢、数据保护、数据流动等为根底的数据规定或将构建并逐步完善，一直促成数字经济倒退。 迎接挑战 应紧踩数据安全建设油门 《数安法》的进一步落地，对企业的数据安全建设提出了要求，将成为企业合规运行的新门槛。尤其是数据的平安防护波及到多个环节，包含人的治理、行为的管制、代码的健壮性等一系列问题，这些环节想要囊括到数据安全的防护措施中是十分艰难的。 这一点，在《数安法》中也有明确的体现，尤其是明确企业、社会个人以及各种政府部门须要建设相干的外部管理机制、以及进行员工培训。这显然须要企业进行全面的数据安全建设动员，考验企业革新业务的信心。 站在最终实现数据安全的角度来看，尽早间接建设新型、全生命周期的、深刻数据流的防护伎俩，将会成为企业继续降级数据安全建设，高标准满足数据安全相应合规要求的不二法令。 着眼于日益严厉的数据安全挑战，腾讯平安综合使用数据安全治理教训和数据保护技术打造了数据安全治理核心、数据加密服务、密钥管理系统、凭据管理系统、数据安全审计、堡垒机、敏感数据处理等七大产品体系，针对性地在数据全生命周期每个阶段提供爱护，通过从数据的产生、传输、存储、解决、共享、应用、销毁等环节动手，建设一套全生命周期的防护措施。贯通始终的防护模式，避免一个短板（木桶原理）就导致企业数据安全全盘解体。 从另一个角度看，企业的数据安全与平安治理是密不可分的，企业应该通过建设一套全面的数据安全治理平台，以此来兼顾业务数据流和数据危险管控，防止数据安全危险导致企业受到损失。腾讯云就专门打造了企业数据安全解决方案，企业能够极简疾速地构建全生命周期的平安防护体系，同时充分利用腾讯过来20年积攒的技术、人才、教训等劣势，既高质量、高规格地实现了《数安法》中相应数据安全建设的要求，同时又保障了企业本身的数字资产经济利益。

2020年7月2日，全国人大常委会第二十次会议审议了《数据安全法（草案）》（以下简称《数安法》）并公开征求意见。《数安法》次要围绕着数据安全治理各项根本制度、促成数据安全和倒退的措施、解决数据安全畛域突出总量、满足电子政务数据正当需要开展。 在这之前，国内数据安全建设的指导性文件，是国家互联网信息办公室去年5月28日公布的《数据安全治理方法（征求意见稿）》（以下简称《方法》）。《数安法》和《方法》之间的关系非常严密，互为补充和撑持，独特搭建更加弱小的数据安全爱护体系，也体现了国家对于数据安全爱护的高度重视。 但相应的，《数安法》中的大部分细则较《方法》都有了进一步的清晰和晋升，《数安法》对企业而言，也曾经成为了数据安全建设的全新挑战。 笼罩更广的数据安全爱护 此次《数安法》的一大特点，就是“笼罩更广”，具体分为行为、对象和空间上的标准。 先说行为，《数安法》明确了数据的概念，是指任何以电子或者非电子模式对信息的记录，须要恪守标准的“数据流动”包含：数据的收集、存储、加工、应用、提供、交易、公开等行为。环节的数量较《方法》中减少了4个，同时删除了“纯正家庭和集体事务除外”的规定。将单纯集体用处应用数据的行为纳入监管。 其次是对象，除了企业，社会个人、政府部门、集体乃至境外的机构都笼罩其中。具体而言，在中华人民共和国境内发展数据流动的所有主体，都是标准的对象。依据对象的不同，也对应了不同的《数安法》要求。最根底的是非法任务，境内主体还有配合任务和报告任务的根底要求。企业们还有建设相干内容管理机制任务和员工培训任务。政府部门则有一个专属的政务公开任务。 最初是空间上，《数安法》特地笼罩了境外对象，并根据爱护管辖准则，规定数据流动无论在境内还是境外，只有侵害我国国家平安、别人合法权益的，就要依法追究法律责任。这一新扭转，能更好适应以后数据没有国界、数据所有者主体全球化的现实情况。 数据安全建设挑战再降级 作为最常见、最支流数据资产主体，企业和政府机构无疑是受《数安法》影响最大的对象。《数安法》中明确要求数据采起源及采集形式的合法性，明确规定任何组织、集体收集数据，必须采取非法、正当的形式，不得窃取或者以其余非法形式获取数据。 《数安法》还规定了专门提供在线数据处理等服务的经营者，该当依法获得经营业务许可或者备案。这无疑给数据处理服务企业设立了硬性门槛。此外，从事数据交易中介服务的机构在提供交易中介服务时，该当要求数据提供方阐明数据起源，审核交易单方的身份，并留存审核、交易记录。更加严苛的数据交易制度，将每时每刻挑战那些不推动数据安全建设的企业，一旦被处罚，就将影响其将来数据市场中的名誉。 企业、政府机构类主体相较集体多出的外部管理机制、员工培训任务也是《数安法》中的新要求，后者指出发展数据流动该当按照法律、行政法规的规定和国家标准的强制性要求，建立健全全流程数据安全管理制度，组织发展数据安全教育培训，采取相应的技术措施和其余必要措施，保障数据安全。 为数据加上“防护罩” 明确数据流动的红线 随着“新基建”的发展，潜藏其中的数据危机也衍生出新一轮的网络安全挑战。去年，勒索病毒仍旧出现周期性暴发的趋势，我国多家医院、台积电等均曾遭逢过勒索软件攻打；年初微盟删库事件，为互联网行业敲响了警钟，《数安法》的出台将显得尤为迫切。 在我国，数据产业曾经造成一个残缺产业链，波及数据收集、存储、加工、应用、交付、流通等诸多环节，《数安法》的出台，将填补政策和法律的鸿沟，突破政策激励数据利用与流通交易，而法律法规绝对滞后的场面。《数安法》颁布后为数据产业、数据智能经济的划定了边界，明确了数据流动红线，让其倒退有章可循。 这一人工智能与大数据时代所召唤的数据规定，对于大数据数据及产业平安而言，无疑是一大利好，既束缚了数据的滥用和非法采集，又爱护了数据提供方和一般民众的信息，只有非法、合规经营，能力让数据价值最大化，让数据真正成为数字经济倒退的流动的血液，在《数安法》的契机下，以数据凋谢、数据保护、数据流动等为根底的数据规定或将构建并逐步完善，一直促成数字经济倒退。 迎接挑战 应紧踩数据安全建设油门 《数安法》的进一步落地，对企业的数据安全建设提出了要求，将成为企业合规运行的新门槛。尤其是数据的平安防护波及到多个环节，包含人的治理、行为的管制、代码的健壮性等一系列问题，这些环节想要囊括到数据安全的防护措施中是十分艰难的。 这一点，在《数安法》中也有明确的体现，尤其是明确企业、社会个人以及各种政府部门须要建设相干的外部管理机制、以及进行员工培训。这显然须要企业进行全面的数据安全建设动员，考验企业革新业务的信心。 站在最终实现数据安全的角度来看，尽早间接建设新型、全生命周期的、深刻数据流的防护伎俩，将会成为企业继续降级数据安全建设，高标准满足数据安全相应合规要求的不二法令。 着眼于日益严厉的数据安全挑战，腾讯平安综合使用数据安全治理教训和数据保护技术打造了数据安全治理核心、数据加密服务、密钥管理系统、凭据管理系统、数据安全审计、堡垒机、敏感数据处理等七大产品体系，针对性地在数据全生命周期每个阶段提供爱护，通过从数据的产生、传输、存储、解决、共享、应用、销毁等环节动手，建设一套全生命周期的防护措施。贯通始终的防护模式，避免一个短板（木桶原理）就导致企业数据安全全盘解体。 从另一个角度看，企业的数据安全与平安治理是密不可分的，企业应该通过建设一套全面的数据安全治理平台，以此来兼顾业务数据流和数据危险管控，防止数据安全危险导致企业受到损失。腾讯云就专门打造了企业数据安全解决方案，企业能够极简疾速地构建全生命周期的平安防护体系，同时充分利用腾讯过来20年积攒的技术、人才、教训等劣势，既高质量、高规格地实现了《数安法》中相应数据安全建设的要求，同时又保障了企业本身的数字资产经济利益。

技术编辑：芒果果丨发自 思否编辑部SegmentFault 思否报道丨公众号：SegmentFault 勒索软件团伙 Maze 明天颁布了来自 LG 和 Xerox 的数十 GB 数据。此前该团伙曾以此威逼过这两家公司，但两次勒索都以失败告终。兴许是为了报复，明天，他们将盗取的 LG 外部网络的 50.2 GB数据和 Xerox 的 25.8 GB 数据公开了。 勒索被拒，Maze 公开所窃取数据LG 和 Xerox 的数据被盗产生在往年 6 月，过后 Maze 在他们的“泄密网站”上为这两家公司别离创立了条目。 Maze 团伙次要以其同名勒索软件而闻名，他们通常会破解公司的网络，首先窃取敏感文件，而后加密数据，并索要赎金来解密文件。如果受益公司回绝领取解密文件的费用并试图从备份中复原文件，Maze 将以颁布其敏感数据为威逼索要赎金。受益公司思考几周后如果不肯屈从，Maze 团伙就会在其门户网站公开文件。 很显著，LG 和 Xerox 就是因为回绝了 Maze 团伙的威逼被公开了数据。 两家公司被盗数据状况依据 Maze 公开的截图以及文件样本，这些数据可能蕴含了各种 LG 产品（如手机、笔记本电脑）的固件源代码。 往年 6 月 Maze 向外媒示意，他们没有对 LG 的数据进行秘密，只是窃取了公司的专有数据，因为他们“不想毁坏 LG 业务”。过后，LG 的平安团队示意，他们正在考察此事，并已向当局报告了入侵行为。 目前还不分明 Maze 团伙加密了 Xerox 公司的哪些外部零碎，或者文件是否被盗并在没有加密的状况下赎回。依据明天 Maze 团伙在网络上公开的数据，他们仿佛盗取了与客户反对业务相干的数据，但审查所有信息尚需工夫。 目前，Xerox 尚未对此事作出回应。 ...

八月盛夏，“AcFun弹幕视频网站”（简称“A站”）的视频服务器全面迁移上阿里云（此处应有掌声）！ A站去年与阿里云达成此项合作。在迁移过程中，阿里云提供专业技术解决方案团队，为A站建立就近迁移方案，定制专门的迁移工具，同时加以自动和人工双重校验环节，在确保数据安全的情况下完成高效迁移。整个迁移上云的工作历时半年多，完整迁移了A站建成十多年以来，累计数百万份的视频稿件。 去年6月快手正式收购A站。7月，快手派出的第一批服务端开发团队负责人飞哥与团队入驻A站。“A站要重生，播放体验不能弱于行业内。”飞哥说。 将视频系统重构优化的最佳方式是全面迁移上云，完成服务器迁移后，A站基础配置明显提升，服务器不再宕机。数据显示， A站在今年7月视频UP主数量环比增加45%，日弹幕总数增加55%，日视频投香蕉数量（用户给UP主的打赏）总数增长88%，粉丝数增长128%，日活环比实现成倍的增长。 此外，在合作过程中，A站还携阿里云在原有的基于有效时间的签名鉴权算法上，更新了一套“二次鉴权中心”的方案，借助数据算法标记出盗链网站，通过鉴权规则阻止恶意访问。方案实施后，屏蔽A站上每日多达数十亿次的盗链访问请求，释放了近90%的宽带资源。 “现在我们已经不需要去监控或关注云服务质量，阿里云能够一站式解决，在A站最关键的时候阿里云提供了最好的服务。”飞哥说。 云计算作为一项新兴技术，经历10年发展已在关键技术和应用规模上全面超越传统IT。全面上云的拐点到了，上云后综合成本下降一半，稳定性有10倍以上提升，安全性更是提升50倍。 趋势嗅觉灵敏的企业不仅将网站APP等互联网业务放在云上，还将核心系统在内的全量业务上云。其中，不仅包括创业公司和互联网公司，大型企业、公共服务机构也在全面上云。 行业分析认为，阿里云在视频领域拥有绝对的技术优势，依托于全球范围内2500多个CDN节点、120 T带宽的资源储备以及全自动的质量监测和流量调度能力，搭建超大规模的媒体处理、分发平台，每天连接10亿台设备，每年超过100EB的数据实现分发。 阿里云视频云帮助客户快速构建稳定、高效、全面、易用的企业级视频应用，已在超低延时直播、大型赛事直播、移动短视频、智能视频生产、版权视频保护、实时音视频通信等业务场景推出完整的产品与解决方案，成为文娱、教育、金融、传媒、电商、游戏等众多行业数十万企业客户的共同选择。 本文作者：阿里云头条阅读原文 本文为云栖社区原创内容，未经允许不得转载。

公司内各部门工作文档难以共享？缺乏高效便捷的团队协作工具？文档放到在线云平台担心安全？…… 2019年4月22日，蚂蚁金服旗下知识创作与分享工具语雀发布“空间功能”。语雀在支持在线文档编写、多人协作、灵活的团队管理和金融级安全存储的基础上，新增“空间”功能，助力企业知识管理，帮助企业快速提升团队内容协作与知识管理效率，同时搭建企业知识门户，系统沉淀企业数据资产。 语雀是蚂蚁金服体验科技研发的创新产品，目前已是阿里员工进行文档编写、知识沉淀、搭建组织知识库的标配。 便捷的在线文档编辑基于蚂蚁金服体验技术的实践积累，语雀采用了自主研发的文档编辑器，不仅便捷易用，响应迅速，还支持文档分享及多样化的编辑功能。同时，语雀还具备实时云储存功能，编辑过程中可进行自动保存。 当文档编辑完成后，你可以通过在线的形式，或将文档导出为Word、PDF等本地文件来分享给朋友或者同事。如果希望非团队成员参与文档的编辑，可以使用文档的分享功能来解决。 而历史版本管理功能，可以查阅历史编辑的每一个版本。工作中一个文档的最终完成常常需要多人参与，到最后容易混淆，而通过文档分享功能和历史版本管理可以轻松解决文档版本管理问题。 金融级安全实时存储依托于蚂蚁金服支付宝底层技术，语雀信息存储具备金融级安全属性，对数据采用了双重密钥加密存储确保数据安全，同时文档发布可历史永久保存确保永不丢失、完整的操作日志方便团队危险操作有迹可循。 除此之外，语雀还获得了ISO安全认证和公安部三级等级保护认证。 “空间”：灵活的企业团队和知识体系管理语雀空间是面向企业或组织推出的全新知识管理方式，在这里你可以实现知识在线化管理，与成员一起交流分享知识。 语雀“空间”功能支持灵活的团队管理，除了自己手动建立团队，还支持钉钉等平台的团队导入。 知识文档管理方面，语雀支持结构化知识归档管理，通过文档大纲，自动生成文档要点，使用知识库目录编排，让多篇文档结构化，形成一本本像书一样清晰易读的知识库。 于企业机构而言，语雀提供了全新的体系化知识管理，帮助企业让协作更高效，让知识成为企业财富。 以云谷学校为例，在语雀中，云谷学校创建了许多团队，「智库」是其中之一。“智库”是云谷学校教育科学研究院搭建的一个内部分享平台，是云谷“科研扁平化”的尝试：每一个老师都是智库的主人，可以在这里建立自己的小平台，展示自己正在研究和探索的领域及进展；它也是开放和互动的，希望通过把自己向其他人打开：“把自己的研究暴露在大家的监督下，把自己的探索暴露在大家的帮助下，让自己的能力暴露在那些可以发起协作的人的面前。” 在“智库”有研究院搜集整理的一些教育理论与方法，也有老师们自发分享的自己的推荐和研究内容，也有技术部门、HR部门建立的工具平台，让云谷的所有人更好地熟悉云谷已经走过的路。 学校的老师们表示，语雀知识库不仅有利于学校的知识沉淀，也有利于教师团队工作的展开。 目前，语雀“空间功能”已正式上线，点击官网即可开通体验。体验地址：https://yuque.com。 本文作者：华蒙阅读原文 本文为云栖社区原创内容，未经允许不得转载。

摘要在SQL Server安全系列专题月报分享中，往期我们已经陆续分享了：如何使用对称密钥实现SQL Server列加密技术、使用非对称密钥实现SQL Server列加密、使用混合密钥实现SQL Server列加密技术、列加密技术带来的查询性能问题以及相应解决方案、行级别安全解决方案、SQL Server 2016 dynamic data masking实现隐私数据列打码技术和使用证书做数据库备份加密这七篇文章，直接点击以上文章前往查看详情。本期月报我们分享SQL Server 2016新特性Always Encrypted技术。 问题引入在云计算大行其道的如今，有没有一种方法保证存储在云端的数据库中数据永远保持加密状态，即便是云服务提供商也看不到数据库中的明文数据，以此来保证客户云数据库中数据的绝对安全呢？答案是肯定的，就是我们今天将要谈到的SQL Server 2016引入的始终加密技术(Always Encrypted)。使用SQL Server Always Encrypted，始终保持数据处于加密状态，只有调用SQL Server的应用才能读写和操作加密数据，如此您可以避免数据库或者操作系统管理员接触到客户应用程序敏感数据。SQL Server 2016 Always Encrypted通过验证加密密钥来实现了对客户端应用的控制，该加密密钥永远不会通过网络传递给远程的SQL Server服务端。因此，最大限度保证了云数据库客户数据安全，即使是云服务提供商也无法准确获知用户数据明文。 具体实现SQL Server 2016引入的新特性Always Encrypted让用户数据在应用端加密、解密，因此在云端始终处于加密状态存储和读写，最大限制保证用户数据安全，彻底解决客户对云服务提供商的信任问题。以下是SQL Server 2016 Always Encrypted技术的详细实现步骤。 创建测试数据库为了测试方便，我们首先创建了测试数据库AlwaysEncrypted。 --Step 1 - Create MSSQL sample databaseUSE masterGOIF DB_ID('AlwaysEncrypted') IS NULL CREATE DATABASE [AlwaysEncrypted];GO-- Not 100% require, but option adviced.ALTER DATABASE [AlwaysEncrypted] COLLATE Latin1_General_BIN2;创建列主密钥其次，在AlwaysEncrypted数据库中，我们创建列主密钥（Column Master Key，简写为CMK）。 -- Step 2 - Create a column master keyUSE [AlwaysEncrypted]GOCREATE COLUMN MASTER KEY [AE_ColumnMasterKey]WITH( KEY_STORE_PROVIDER_NAME = N'MSSQL_CERTIFICATE_STORE', KEY_PATH = N'CurrentUser/My/C3C1AFCDA7F2486A9BBB16232A052A6A1431ACB0')GO创建列加密密钥然后，我们创建列加密密钥（Column Encryption Key，简写为CEK）。 ...

阿里妹导读：MaxCompute 是阿里EB级计算平台，经过十年磨砺，它成为阿里巴巴集团数据中台的计算核心和阿里云大数据的基础服务。去年MaxCompute 做了哪些工作，这些工作背后的原因是什么？大数据市场进入普惠+红海的新阶段，如何与生态发展共赢？人工智能进入井喷阶段，如何支持与借力？本文从过去一年的总结，核心技术概览，以及每条技术线路未来展望等几个方面做一个概述。BigData 概念在上世纪90年代被提出，随 Google 的3篇经典论文（GFS，BigTable，MapReduce）奠基，已经发展了超过10年。这10年中，诞生了包括Google 大数据体系，微软 Cosmos 体系，开源 Hadoop 体系等优秀的系统，这其中也包括阿里云的飞天系统。这些系统一步一步推动业界进入“数字化“和之后的“ AI 化”的时代。同时，与其他老牌系统相比（如，Linux 等操作系统体系，数据库系统、中间件，很多有超过30年的历史），大数据系统又非常年轻，随着云计算的普惠，正在大规模被应用。海量的需求和迭代推动系统快速发展，有蓬勃的生机。（技术体系的发展，可以通过如下 Hype-Cycle 概述，作者认为，大数据系统的发展进入技术复兴期/Slope of Enlightenment，并开始大规模应用 Plateau of Productivity。）如果说，0到1上线标志一个系统的诞生，在集团内大规模部署标志一个系统的成长，在云上对外大规模服务标志一个系统的成熟。MaxCompute 这10年已经走向成熟，经过多次升级换代，功能、性能、服务、稳定性已经有一个体系化的基础，成为阿里巴巴集团数据中台的计算核心和阿里云大数据的基础服务。1. MaxCompute（ODPS）概述1.1 背景信息：十年之后，回头看什么是大数据"Big data represents the information assets characterized by such a high volume, velocity and variety torequire specific technology and analytical methods for its transformation intovalue. “用5个“V”来描述大数据的特点：Volume （数据量）：数据量非线性增长，包括采集、存储和计算的量都非常大，且增速很快。Variety （数据类型）：包括结构化和非结构化的数据，特别是最近随音视图兴起，非结构化数据增速更快。Velocity（数据存储和计算的增长速度）：数据增长速度快，处理速度快，时效性要求高。Veracity（信噪比）：数据量越大，噪声越多，需要深入挖掘数据来得到结果。Value（价值）：数据作为一种资产，有 1+1>2 的特点。1.3 竞品对比与分析大数据发展到今天，数据仓库市场潜力仍然巨大，更多客户开始选择云数据仓库，CDW仍处于高速增长期。当前互联网公司和传统数仓厂家都有进入领导者地位，竞争激烈，阿里巴巴CDW在全球权威咨询与服务机构Forrester发布的《The Forrester WaveTM: CloudData Warehouse, Q4 2018》报告中位列中国第一，全球第七。在 CDW 的领导者中，AWS Redshift 高度商业化、商业客户部署规模领先整个市场，GoogleBigQuery 以高性能、高度弹性伸缩获得领先，Oracle 云数仓服务以自动化数仓技术获得领先。MaxCompute 当前的定位是市场竞争者，目标是成为客户大数据的“航母”级计算引擎，解决客户在物联网、日志分析、人工智能等场景下日益增长的数据规模与计算性能下降、成本上升、复杂度上升、数据安全风险加大之间的矛盾。在此目标定位下，对 MaxCompute 在智能数仓、高可靠性、高自动化、数据安全等方面的能力提出了更高的要求。2. 2018年MaxCompute技术发展概述过去的一个财年，MaxCompute 在技术发展上坚持在核心引擎、开放平台、技术新领域等方向的深耕，在业务上继续匠心打造产品，扩大业界影响力。效率提升2018年9月云栖大会发布，MaxCompute 在标准测试集 TPC-BB 100TB整体指标较2017年提升一倍以上。得益于整体效率的提升，在集团内部 MaxCompute 以20%的硬件增长支撑了超过70%的业务增长。系统开放性和与生态融合联合计算平台 Cupid 逐步成熟，性能与 EMR Spark Benchmark 持平，支持K8S 接口，支持完整的框架安全体系，Spark On MaxCompute 已开始支持云上业务。Python 分布式项目 MARS 正式发布，开源两周内收获1200+ Star，填补了国内在 Python 生态上支持大规模分布式科学计算的空白，是竞品 Dask 性能的3倍。探索新领域MaxCompute 持续在前沿技术领域投入，保持技术先进性。在下一代引擎方向，如：AdaptiveOperatorsOperator FusionClusteredTable智能数仓 Auto Datawarehouse 方向上的调研都取得了不错的进展。在渐进计算、Advanced FailChecking and Recovery 、基于 ML的分布式计算平台优化、超大数据量 Query 子图匹配等多个方向上的调研也在进行中。深度参与和推动全球大数据领域标准化建设2018年11月，MaxCompute 与 DataWorks/AnalyticDB一起代表阿里云入选 Forrester Wave™ Q4 2018云数据仓库研究报告，在产品能力综合得分上力压微软，排名全球第七，中国第一。2019年3月，MaxCompute 正式代表 Alibaba 加入了 TPC 委员会推动融入和建立标准。MaxCompute 持续在开源社区投入。成为全球两大热门计算存储标准化开源体系 ORC 社区的 PMC，MaxCompute 成为近两年贡献代码量最多的贡献者，引导存储标准化；在全球最热门优化器项目 Calcite，拥有一个专委席位，成为国内前两家具备该领域影响力的公司，推动数十个贡献。3. 核心技术栈大数据市场进入普惠+红海的新阶段，如何借力井喷阶段中的人工智能，如何与生态发展共赢？基于横向架构上的核心引擎和系统平台，MaxCompute 在计算力、生态化、智能化3个纵向上着力发展差异化的竞争力。3.1 计算力首先我们从计算力这个角度出发，介绍一下 MaxCompute 的技术架构。a.核心引擎支撑 MaxCompute 的计算力的核心模块之一是其 SQL 引擎：在 MaxCompute 的作业中，有90%以上的作业是 SQL 作业，SQL 引擎的能力是 MaxCompute 的核心竞争力之一。在 MaxCompute 产品框架中，SQL 引擎将用户的 SQL 语句转换成对应的分布式执行计划来执行。SQL 引擎由3个主要模块构成：编译器 Compiler：对 SQL 标准有友好支持，支持100% TPC-DS 语法；并具备强大都错误恢复能力，支持 MaxCompute Studio 等先进应用。运行时 Runtime：基于LLVM优化代码生产，支持列式处理与丰富的关系算符；基于 CPP 的运行时具有更高效率。优化器 Optimizer：支持HBO和基于 Calcite 的 CBO， 通过多种优化手段不断提升 MaxCompute 性能。MaxComputeSQL 引擎当前的发展，以提升用户体验为核心目标，在 SQL 语言能力、引擎优化等多个方向上兼顾发力，建立技术优势，在 SQL 语言能力方面， 新一代大数据语言 NewSQL 做到了 Declarative 语言和 Imperative 语言的融合，进一步提升语言兼容性，目前已100% 支持 TPC-DS 语法。过去一年中，MaxCompute 新增了对 GroupingSets，If-Else 分支语句，动态类型函数，等方面的支持。b.存储MaxCompute 不仅仅是一个计算平台，也承担着大数据的存储。阿里巴巴集团99%的大数据存储都基于 MaxCompute，提高数据存储效率、稳定性、可用性，也是MaxCompute一直努力的目标。MaxCompute 存储层处于 MaxCompute Tasks 和底层盘古分布式文件系统之间，提供一个统一的逻辑数据模型给各种各样的计算任务。MaxCompute 的存储格式演化，从最早的行存格式 CFile1，到第一个列存储格式 CFile2，到第三代存储格式。支持更复杂的编码方式，异步预读等功能，进一步提升效能。在存储和计算2个方面都带来了效能的提升。存储成本方面，在阿里巴巴集团内通过 新一代的列存格式节省约8%存储空间，直接降低约1亿成本；在计算效率上，过去的一个财年中发布的每个版本之间都实现了20%的提升。目前在集团内大规模落地的过程中。在归档以及压缩方面，MaxCompute 支持 ZSTD 压缩格式，以及压缩策略，用户可以在 Normal，High 和 Extreme 三种 Stategy 里面选择。更高的压缩级别，带来更高效的存储，但也意味着更高的读写 CPU 代价。2018年， MaxCompute 陆续推出了 Hash Clustering 和 Range Clustering 支持富结构化数据，并持续的进行了深度的优化，例如增加了 ShuffleRemove，Clustering Pruning 等优化。从线上试用数据，以及大量的 ATA 用户实践案例也可以看出，Clustering 的收益也获得了用户的认可。c.系统框架资源与任务管理：MaxCompute 框架为 ODPS 上面各种类型的计算引擎提供稳定便捷的作业接入管理接口，管理着 ODPS 各种类型 Task 的生命周期。过去一年对短作业查询的持续优化，缩短 e2e 时间，加强对异常作业（OOM)的自动检测与隔离处理，全面打开服务级别流控，限制作业异常提交流量，为服务整体稳定性保驾护航。MaxCompute 存储着海量的数据，也产生了丰富的数据元数据。在离线元仓统计T+1的情况下，用户至少需要一天后才能做事后的数据风险审计，现实场景下用户希望更早风险控制，将数据访问事件和项目空间授权事件通过 CUPID 平台实时推送到用户 DataHub 订阅，用户可以通过消费 DataHub 实时获取项目空间表、volume数据被谁访问等。元数据管理：元数据服务支撑了 MaxCompute 各个计算引擎及框架的运行。每天运行在 MaxCompute 的作业，都依赖元数据服务完成 DDL，DML 以及授权及鉴权的操作。元数据服务保障了作业的稳定性和吞吐率，保障了数据的完整性和数据访问的安全性。元数据服务包含了三个核心模块：Catalog ：完成DDL，DML及DCL（权限管理）的业务逻辑，Catalog保障MaxCompute作业的ACID特性。MetaServer：完成元数据的高可用存储和查询能力。AuthServer：是高性能和高QPS的鉴权服务，完成对 MaxCompute 的所有请求的鉴权，保障数据访问安全。元数据服务经过了模块化和服务化后，对核心事务管理引擎做了多次技术升级，通过数据目录多版本，元数据存储重构等改造升级，保障了数据操作的原子性和强一致，并提高了作业提交的隔离能力，并保障了线上作业的稳定性。在数据安全越来越重要的今天，元数据服务和阿里巴巴集团安全部合作，权限系统升级到了2.0。核心改进包括：MAC（强制安全控制）及安全策略管理：让项目空间管理员能更加灵活地控制用户对列级别敏感数据的访问，强制访问控制机制(MAC)独立于自主访问控制机制(DAC)。数据分类分级：新增数据的标签能力，支持对数据做隐私类数据打标。精细权限管理：将ACL的管控能力拓展到了 Package 内的表和资源，实现字段级的权限的精细化管理。系统安全：系统安全方面，MaxCompute 通过综合运用计算虚拟化和网络虚拟化技术，为云上多租户各自的用户自定义代码逻辑提供了安全而且完善的计算和网络隔离环境。SQL UDF(python udf 和 java udf)，CUPID联合计算平台(Sparks/Mars等)，PAI tensorflow 等计算形态都基于这套统一的基础隔离系统构建上层计算引擎。MaxCompute 还通过提供原生的存储加密能力，抵御非授权访问存储设备的数据泄露风险。MaxCompute 内置的存储加密能力，可以基于KMS云服务支持用户自定义秘钥(BYOK)以及AES256加密算法，并计划提供符合国密合规要求的SM系列加密算法支持。结合MaxCompute元仓(MetaData)提供的安全审计能力和元数据管理(MetaService)提供的安全授权鉴权能力，以及数据安全生态中安全卫士和数据保护伞等安全产品，就构成了 MaxCompute安全栈完整大图。3.2 生态化作为一个大规模数据计算平台，MaxCompute 拥有来自各类场景的EB级数据，需要快速满足各类业务发展的需要。在真实的用户场景中，很少有用户只用到一套系统：用户会有多份数据，或者使用多种引擎。联合计算融合不同的数据，丰富 MaxCompute 的数据处理生态，打破数据孤岛， 打通阿里云核心计算平台与阿里云各个重要存储服务之间的数据链路。联合计算也融合不同的引擎，提供多种计算模式，支持开源生态。开源能带来丰富和灵活的技术以赋能业务，通过兼容开源API对接开源生态。另一方面，在开源过程中我们需要解决最小化引入开源技术成本及打通数据、适配开源接口等问题。a.Cupid 联合计算平台联合计算平台 Cupid 使一个平台能够支持 Spark、Flink、Tensorflow、Numpy、ElasticSearch 等多种异构引擎， 在一份数据上做计算。在数据统一、资源统一的基础上，提供标准化的接口，将不同的引擎融合在一起做联合计算。Cupid 的工作原理是通过将 MaxCompute 所依赖的 Fuxi 、Pangu 等飞天组间接口适配成开源领域常见的 Yarn、HDFS 接口，使得开源引擎可以顺利执行。现在，Cupid 新增支持了 Kubernetes 接口，使得联合计算平台更加开放。案例：Spark OnMaxComputeSpark 是联合计算平台第一个支持的开源引擎。基于 Cupid 的 Spark on MaxCompute 实现了与 MaxCompute 数据/元数据的完美集成；遵循 MaxCompute 多租户权限及安全体系；与Dataworks、PAI平台集成；支持 Spark Streaming,Mllib, GraphX,Spark SQL，交互式等完整 Spark生态；支持动态资源伸缩等。b.多源异构数据的互联互通随着大数据业务的不断扩展，新的数据使用场景在不断产生，用户也期望把所有数据放到一起计算，从而能取得 1+1 > 2 这样更好的结果。MaxCompute 提出了联合计算，将计算下推，联动其他系统：将一个作业在多套系统联动，利用起各个系统可行的优化，做最优的决策，实现数据之间的联动和打通。MaxCompute 通过异构数据支持来提供与各种数据的联通，这里的“各种数据”是两个维度上的：多样的数据存储介质（外部数据源），插件式的框架可以对接多种数据存储介质。当前支持的外部数据源有：OSSTableStore(OTS)TDDLVolume多样的数据存储格式：开源的数据格式支持，如 ORC、Parquet 等；半结构化数据，如包括 CSV、Json等隐含一定schema 的文本文件；完全无结构数据，如对OSS上的文本，音频、图像及其他开源格式的数据进行计算。基于MaxCompute 异构数据支持，用户通过一条简单的 DDL 语句即可在 MaxCompute 上创建一张EXTERNAL TABLE（外表），建立 MaxCompute 表与外部数据源的关联，提供各种数据的接入和输出能力。创建好的外表在大部分场景中可以像普通的 MaxCompute 表一样使用，充分利用 MaxCompute 的强大计算力和数据集成、作业调度等功能。MaxCompute 外表支持不同数据源之间的 Join，支持数据融合分析，从而帮助您获得通过查询独立的数据孤岛无法获得的独特见解。从而MaxCompute 可以把数据查询从数据仓库扩展到EB级的数据湖(如OSS)，快速分析任何规模的数据，没有MaxCompute存储成本，无需加载或 ETL。异构数据支持是MaxCompute 2.0升级中的一项重大更新，意在丰富 MaxCompute 的数据处理生态，打破数据孤岛，打通阿里云核心计算平台与阿里云各个重要存储服务之间的数据链路。c.Python 生态和 MARS科学计算引擎MaxCompute 的开源生态体系中，对 Python 的支持主要包括 PyODPS、Python UDF、和MARS。PyODPS 一方面是 MaxCompute 的 PythonSDK，同时也提供 DataFrame 框架，提供类似 pandas 的语法，能利用 MaxCompute 强大的处理能力来处理超大规模数据。基于 MaxCompute 丰富的用户自定义函数（UDF）支持，用户可以在 ODPS SQL 中编写 Python UDF 来扩展 ODPS SQL。 MARS 则是为了赋能 MaxCompute 科学计算，全新开发的基于矩阵的统一计算框架。使用 Mars 进行科学计算，不仅能大幅度减少分布式科学计算代码编写难度，在性能上也有大幅提升。3.3 智能化随着大数据的发展，我们在几年前就开始面对数据／作业爆发式增长的趋势。面对百万计的作业和表，如何做管理呢？MaxCompute 通过对历史作业特征的学习、基于对数据和作业的深刻理解，让 MaxCompute 上的业务一定程度实现自适应调整，让算法和系统帮助用户自动、透明、高效地进行数仓管理和重构优化工作，实现更好地理解数据，实现数据智能排布和作业全球调度，做到大数据处理领域的“自动驾驶”，也就是我们所说的Auto DataWarehousing。Auto Data Warehousing 在线上真实的业务中，到底能做什么呢？我们以Hash Clustering 的自动推荐来小试牛刀。Hash Clustering 经过一年多的发展，功能不断完善，但对用户来说，最难的问题仍然在于，给哪些表建立怎样的 Clustering 策略是最佳的方案？MaxCompute 基于 Auto Data Warehousing，来实现为用户推荐如何使用 HashClustering，回答如何选择 Table、如何设置Cluteringkey 和分桶数等问题，让用户在海量数据、海量作业、快速变化的业务场景下，充分利用平台功能。4. 商业化历程从2009年云梯到 ODPS，再到 MaxCompute，MaxCompute(ODPS) 这个大数据平台已经发展了十年。回顾 MaxCompute 的发展，首先从云梯到完成登月，成为了一个统一的大数据平台。2014年，MaxCompute 开始商业化的历程，走出集团、向公共云和专有云输出，直面中国、乃至全球的用户。面对挑战，MaxCompute 坚持产品核心能力的增强，以及差异化能力的打造， 赢得了客户的选择。回顾上云历程，公共云的第一个节点华东2上海在2014（13年）年7月开服，经过4年多发展，MaxCompute 已在全球部署18个Region，为云上过万家用户提供大数据计算服务，客户已覆盖了新零售、传媒、社交、互联网金融、健康、教育等多个行业。专有云的起点则从2014年8月第一套POC环境部署开始，发展至今专有云总机器规模已超过10000台；输出项目150+套，客户涵盖城市大脑，大安全，税务，等多个重点行业。今天，MaxCompute 在全球有超过十万的服务器，通过统一的作业调度系统和统一的元数据管理，这十万多台服务器就像一台计算机，为全球用户提供提供包括批计算、流计算、内存计算、机器学习、迭代等一系列计算能力。这一整套计算平台成为了阿里巴巴经济体，以及阿里云背后计算力的强有力支撑。MaxCompute 作为一个完整的大数据平台，将不断以技术驱动平台和产品化发展，让企业和社会能够拥有充沛的计算能力，持续快速进化，驱动数字中国。本文作者： 观涛阅读原文本文来自云栖社区合作伙伴“ 阿里技术”，如需转载请联系原作者。 ...

4月9日，澳门当地时间下午4:00-5:30，阿里云在ICDE 2019举办了主题为“云时代的数据库”的专场分享研讨会。本次专场研讨会由阿里巴巴集团副总裁、高级研究员，阿里云智能数据库产品事业部负责人李飞飞（花名：飞刀）主持，五位学术界知名学者和教授受邀参加作为Panel Discussion的嘉宾，与现场近百位与会者进行了深入交流讨论。这五位教授分别是：Anastasia Aliamaki,Professor and ACM Fellow, EPFL;Ihab Ilyas, Professor and ACM Distinguished Scientist, Vice Chair of ACM SIGMOD, University of Waterloo;Guoliang Li, Professor, Tsinghua University;C Mohan,IBM Fellow,IEEE&ACM Fellow,IBM; Xiaofang Zhou, Professor & IEEE Fellow, University of Queensland;整场分享讨论会分为两部分。第一部分先由来自阿里巴巴集团、阿里云智能数据库产品事业部的吕漫漪、林亮、黄贵、乔红麟技术专家们分别介绍了阿里巴巴在POLARDB for MySQL, POLARDB X, AnalyticDB, 以及智能化自治数据库平台SDDP(Self-Driving Database Platform)等产品和技术的进展，以及如何依靠创新来帮助企业解决传统数据库业务场景中在数据处理方面面临的挑战，体现出阿里云智能数据库的技术领先性，以及品牌和文化，目前阿里云数据库在全球云数据市场上位列前三。第二部分由几位专家分别就云时代的数据库趋势和挑战发表了自己的见解，然后就与会学者关心的问题进行了深入探讨。其中，C Mohan博士提出，云时代下Serverless允许用户实现应用无需考虑软硬件配置，并且通过PaaS实现自动扩展，对数据库来说，自身健壮性是基础要求，另外还需要加强分布式负载的处理能力。目前面临一些挑战，例如公有云用户是一个私有环境，混合云方面还需要优秀的分布式OLTP DBMS， 内存/存储架构上还有很多工作可以做。除此之外，数据安全、数据管理方面都是需要考虑的问题。数据显示，中国84%以上的企业表示愿意接受云技术。针对目前面临的挑战，Anastasia Aliamaki 教授指出，一是数据多样性（关系型数据，非关系型数据）对于数据库处理数据是一个巨大挑战，需要构建一个智能的数据库来处理各种各样的负载，需要扩展SQL接口，code-generation提供了运行时构建相应底层数据的访问路径；二是 data cleaning是极其消耗资源的，包括数据从传统数据库迁移到云数据库的迁移工具（用户可以不关心如何迁移的细节问题）。对于用户来说，如果能让用户上述两点都能做到无感知应用，这无疑是云数据库的最大亮点。周晓方教授认为，从传统数据库迁移到云数据库是一个系统工程。为了提升用户体验的满意度，云数据库努力解决高并发、扩展等问题，用户从传统数据库迁移到云数据库不仅仅是一次迁移，也是一次自我调优的过程，可以构建生态系统，从不同的领域开展深入研究。Ihab Ilyas教授分享了在Data Cleaning and Integration to cloud领域的洞见和成果。他特别指出，迁移到云数据库问题不在云本身，用户通常选择他熟悉的产品。云数据库必须了解客户需求，解决客户问题。他说：“对于大数据工程师来说，算法的实现对他们不是噩梦，Hadoop版本却成为他们的噩梦。我们发现迁移这个事情已经在发生，但是我们需要更多关注这个过程本身，并且对过程敏感，能够带给用户无痛感的迁移。”李国良教授认为，云数据库最大的特点是不需要维护数据库，可以节约DBA成本，但是数据库是比操作系统还复杂的系统，需要迁移数据库设计的生态系统，并构建相应的APP。小公司业务应用简单容易上云，大公司因为业务太过复杂不太容易上云，云厂商需要解决大公司的应用迁移问题。最后，数据库领域的专家学者们强调可以借鉴云和大数据生态的演进发展，逐步把数据库技术带入机器学习中而不是强求打造一个“全能的”数据库。最后几位教授也对阿里巴巴在此领域的继续贡献充满期盼。本文作者：桐碧2018阅读原文本文为云栖社区原创内容，未经允许不得转载。

摘要在SQL Server安全系列专题月报分享中，我们已经分享了：如何使用对称密钥实现SQL Server列加密技术、使用非对称密钥加密方式实现SQL Server列加密、使用混合密钥实现SQL Server列加密技术、列加密技术带来的查询性能问题以及相应解决方案和行级别安全解决方案这五篇文章，文章详情可以参见往期月报。本期月报我们分享使用SQL Server 2016 dynamic data masking实现隐私数据列的打码技术最佳实践。问题引入在平日的生活中，我们或多或少都经历过广告推销、电话诈骗，不厌其烦，甚至更为严重到银行卡号泄漏、身份证号泄漏等更为严重的情况。这个时候，于是我们就在想有没有技术手段来尽量或最大限度的保护我们隐私数据安全呢？答案是肯定的，SQL Server 2016版本首次引入了dynamic data masking来实现隐私数据列的打码技术，让我们一起来看看如何实现类似于手机号、身份证号、驾照号等隐私数据打码技术。原理分析数据列打码技术的本身我们并不陌生，就是将一些比较私密的数据信息隐藏起来，仅开放给有较高权限的用户查看完整数据。打码技术本身并不会对数据做任何的加密、解密等操作。严格意义上讲，数据打码不是一个完整的数据安全解决方案，但是它可以作为安全策略中重要的一环来有效避免用户隐私数据列的泄漏。让我们一起来看看在SQL Server 2016 dynamic data masking是如何实现的。实现方法创建测试数据库为了测试方便，我们专门创建了测试数据库TestDb。–Step 1 - Create MSSQL sample databaseUSE masterGOIF DB_ID(‘TestDb’) IS NULL CREATE DATABASE [TestDb];GO创建测试表首先，我们创建一张常规表CustomerInfo，来存放客户信息，其中，CustomerPhone列为用户隐私数据，存放了用户的手机号码。–Step 2 - Create Test Table, init recordsUSE [TestDb]GOIF OBJECT_ID(‘dbo.CustomerInfo’, ‘U’) IS NOT NULL DROP TABLE dbo.CustomerInfoCREATE TABLE dbo.CustomerInfo(CustomerId INT IDENTITY(10000,1) NOT NULL PRIMARY KEY,CustomerName VARCHAR(100) NOT NULL,CustomerPhone CHAR(11) NOT NULL);– Init TableINSERT INTO dbo.CustomerInfo VALUES (‘CustomerA’,‘13402872514’),(‘CustomerB’,‘13880674722’),(‘CustomerC’,‘13487759293’)GO创建测试用户为了方便观察和检查测试效果，我们创建一个测试账号DemoUser。– Step3: Create a DemoUser to testUSE [TestDb]GOCREATE USER DemoUser WITHOUT LOGIN;GRANT SELECT ON dbo.CustomerInfo TO DemoUser;GOEXECUTE AS USER = ‘DemoUser’;– Verify dataSELECT * FROM dbo.CustomerInfoREVERT常规情况下，测试账号，可以清清楚楚，明明白白看到用户所有数据，包含客户手机号这种关键的隐私数据。如果，这个用户有不轨之心是非常容易将这些信息泄漏、导出的，安全风险较大。客户手机号打码于是，我们想，如果能够将客户隐私数据，比如，电话号码（身份证号码、银行卡号等）打码的话，那么测试账号就无法查看到用户完整的数据信息了。打码方法如下：– Step4: Alter phone column add data maskUSE [TestDb]GOALTER TABLE dbo.CustomerInfoALTER COLUMN CustomerPhone ADD MASKED WITH(FUNCTION=‘partial(3, “****”, 4)’);由于CustomerPhone是11位数字，我们使用partial方法打码隐藏中间四位，打码符号使用星号，保留前三位和后四位数数字即可。查询打码列打码完毕，我们使用系统试图查看打码列和打码函数：– Step5. Query system view to check data maskSELECT db_name() as database_name, SCHEMA_NAME(schema_id) AS schema_name, tbl.name as table_name, c.name as column_name, c.is_masked, c.masking_function FROM sys.masked_columns AS c WITH (NOLOCK) INNER JOIN sys.tables AS tbl WITH(NOLOCK) ON c.[object_id] = tbl.[object_id] WHERE c.is_masked = 1 AND tbl.name = ‘CustomerInfo’;从结果可以看到我们已经将表TestDb.dbo.CustomerInfo中字段CustomerPhone打码，打码函数为partial(3, “**”, 4)，结果展示如下所示：测试用户查看数据打码完毕后，再次使用DemoUser测试账号查看打码后的数据：– Step6: Demo user to query and verify dataUSE [TestDb]GOEXECUTE AS USER = ‘DemoUser’;– Verify dataSELECT * FROM dbo.CustomerInfoREVERT从查询结果展示来看，客户手机号码列中间四位已经成功打码了，测试账号已经无法获取到完整的客户电话号码了。修改打码符号有时候，有的人会说，我不喜欢星号，能否换个打码姿势，我更喜欢使用字母X。只要你喜欢，随便切换，方法如下：– Step7: What if I want to change the mask sign from * to XUSE [TestDb]GOALTER TABLE dbo.CustomerInfoALTER COLUMN CustomerPhone CHAR(11) MASKED WITH(FUNCTION=‘partial(3, “XXXX”, 4)’);现在打码符号变成了X，展示如下：新增隐私打码列现在我们需要增加一个新的列，用来存放用户email地址，也请同时打码。非常简单，新增列的时候使用email打码函数即可，如下所示：– Step8: and I want to add a new email mask columnALTER TABLE dbo.CustomerInfoADD Email varchar(100) MASKED WITH (FUNCTION = ’email()’) NOT NULL DEFAULT(‘demo.user@test.com’)查询打码列特定值有的人可能会问，手机号码被打码了，这个列会影响我的WHERE语句查询吗？当然不会，因为data mask技术本身并没有对数据做任何修改，只是在展示的时候，打码隐藏掉部分信息而已。– Step9: Demo user to query the specified phone customer infoUSE [TestDb]GOEXECUTE AS USER = ‘DemoUser’;– Verify dataSELECT * FROM dbo.CustomerInfoWHERE CustomerPhone = ‘13880674722’REVERT查询结果展示，手机号码和email地址始终被打码。拷贝存在打码列的表我们说data mask技术并没有加密、修改数据本身。到目前为止，测试账号DemoUser已经无法获取到客人的关键隐私数据了，那么他能够将用户数据Copy、导出吗？让我们做一个简单的测试，DemoUser将表CustomerInfo复制到一个新表CustomerInfo_copied中：– Step10: Ops, if I copy a new table from the data masked table, I can’t get the unmasked data now.USE [TestDb]GOGRANT CREATE TABLE TO DemoUser;GRANT ALTER ON SCHEMA::dbo TO DemoUser;EXECUTE AS USER = ‘DemoUser’;– Verify dataSELECT * INTO dbo.CustomerInfo_copiedFROM dbo.CustomerInfoREVERTGRANT SELECT ON dbo.CustomerInfo_copied TO DemoUser;EXECUTE AS USER = ‘DemoUser’;SELECT * FROM dbo.CustomerInfo_copiedREVERTDemoUser复制了客户信息数据到新表后，查看新表中的数据，依然是被打码的，测试用户无法导出、复制客人的隐私数据。达到了安全策略保护客户隐私数据的目的，展示结果如下：我想要在无码的世界如果有一天DemoUser成了高权限用户，确实需要查看客户隐私数据列，这个时候，我们可以给予测试账号unmask的权限，他就可以看到完整的客户数据了。方法如下：– Step 11: But, how can demo user to query the unmasked data?USE TestDBGOGRANT UNMASK TO DemoUser; EXECUTE AS USER = ‘DemoUser’; SELECT * FROM dbo.CustomerInfo; REVERT; – Removing the UNMASK permission REVOKE UNMASK TO DemoUser;此时，DemoUser查询到的数据，是非常完整的客人数据。删掉打码删除打码，让所有用户回归无码的世界。– Step 12: all the demos have been done, it’s time to drop the mask.USE TestDBGOALTER TABLE dbo.CustomerInfo ALTER COLUMN CustomerPhone DROP MASKED; 最后总结本期月报我们分享了使用SQL Server 2016引入的新特性dynamic data masking实现客户数据打码技术，防止未授权用户查看、导出用户关键隐私数据，最大限度保证用户数据安全性。本文作者：风移阅读原文本文为云栖社区原创内容，未经允许不得转载。 ...

导读：本文是阿里云RPA（机器人流程自动化）干货系列之三，详细介绍了阿里云RPA的产生背景、技术特点、功能特性、非功能指标以及发展现状等。阿里云RPA（机器人流程自动化）干货系列之一：认识RPA（上）阿里云RPA（机器人流程自动化）干货系列之二：认识RPA（下）一、产生背景在2011年，随着阿里巴巴集团的各项业务突飞猛进，集团内的各个部门都遇到了越来越严峻的员工操作电脑时流程复杂、效率低下的问题，急需一种方法来提升员工的效率，好让他们去做更有价值的工作——于是，阿里云RPA（原码栈）就在这种背景下应运而生了。在当时的背景下，为何集团内部有这么多的人员信赖阿里云RPA产品呢，主要在于当时的码栈产品具有以下几个优势：1）得到验证：已在阿里巴巴集团内部的许多业务部门得到验证自从2011年应运而生以来，阿里云RPA已经在集团内部的诸如淘宝、天猫、蚂蚁金服、阿里云、飞猪、集团管理平台等等业务部门得到了广泛的应用。凭借强大的功能和稳定的表现，阿里云RPA的用户数量正在日渐增长。2）技术先进：功能全面，安全可靠阿里云RPA采用阿里云的核心技术，不论在系统的功能性、稳定性还是安全性上，都具有很强的优势。我们深知数据安全对企业用户的重要性，因此采用了银行级的加密技术，确保用户的数据安全可靠，不会丢失与泄露。3）专业服务：可以快速响应企业的业务需求依托于阿里云的技术平台，阿里云RPA拥有完善且强大的客户支持能力。不论您有什么需求，我们都能快速响应，并且在第一时间为您排忧解难。正因为有上述优势，阿里云RPA才能在集团各个业务部门和领域被采用，以便通过自动化的方式提升工作效率，节省了大量的人力成本。二、技术特点阿里云RPA™产品是一款新型工作流程自动化办公机器人软件，通过模拟人工操作进行自动流程执行处理。它可以将办公人员从每日的重复工作中解放出来，提高生产效率。具体而言，阿里云RPA是基于软件机器人和人工智能（AI，Artificial Intelligence）发展的新型办公业务流程自动化技术。举例而言，就像工业时代工厂的流水线机器替代工人劳动一样，阿里云RPA™可以代替办公人员操作电脑和软件，自动完成各类软件系统的工作和业务处理，准确高效地实现业务流程自动化。阿里云RPA的显著特点包含：1. 可以联动多个业务系统，自动执行完成工作采用RPA机器人流程自动化，通过事先编好的操作流程步骤，RPA就像一位机器人员工，能自动操作整个业务流程，不但速度快，而且几乎不出错、不知疲倦，人们只需要开启RPA即可。2. 可以自动化地串起一系列操作流程，让流程再造在自动化流程方面，RPA与通常的工业机器人十分相似。它们都能够在一连串的流程上起到替代人工，自动执行的作用，从而实现流程再造。3. 不会影响现有IT系统的功能与稳定性与传统的ERP、OA、CRM等IT系统不同，RPA其实运行在更高的软件层级。这就决定了它不会侵入影响已有的软件系统，从而在帮助企业提升效能的过程中，保持企业已有的IT系统功能平稳、运行可靠。4. 相较于传统的增效方式，RPA能最大程度地平衡效率与成本，且投资回报周期较短为了提升效率水平，企业通常会选择采取增加人工或采用传统的模式开发软件。现在，阿里云RPA™软件机器人为企业提供了第三种选择，并且优势明显：它既不像增加人工那样效率不高且易出错，也不像传统模式开发软件那样需要投入较大成本，它能够最大程度地平衡效率与成本。阿里云RPA产品和服务提供了丰富的基于流程的自动化技术和行业解决方案，为客户和合作伙伴的工作带来了工作效率质的提升，应用于包括银行、保险、新零售、财务、税务、法务等各行各业。三、功能特性1. 公共云和专有云两种服务模式公共云产品依托淘宝平台，提供基于电商的通用型解决方案和企业应用市场；专有云产品基于线下输出，采用为企业定制化业务流程开发模式。2. 提供可视化开发模式和编码开发模式可视化开发模式适用于一些简单的应用开发，通过拖拽控件和参数设置完成流程的开发编码开发模式采用python语言编码代码实现应用的开发。3. 提供有人值守机器人、无人值守机器人和服务型机器人有人值守机器人采用人工干预的方式，客户手动登录有人值守机器人执行开发好的应用；无人值守机器人采用无人干预的方式，通过设置定时任务自动执行所开发的应用；服务型机器人采用API接口的方式，通过API接口可以获取机器人执行的结果数据、中间状态等信息，同时也可以通过API接口远程调用机器人执行相应的程序。4. 跨系统协同连接复杂的多个业务系统，自动完成一个复杂的流程，如协同WPS、WMS、OMS、CRM，链接旺旺、邮件、微信、OA等。5. 定时、24小时待命工作提供有人值守机器人的手动触发执行应用模式和无人值守机器人定时执行应用进行流程自动化工作。6. 强大的计划任务功能通过控制台的计划任务功能，用户可以统一调度安装有“无人值守型机器人”客户端的计算机，定时执行相应的任务。7. 完善的资产管理功能为了避免账号密码等用户资产的泄露，管理员可以将重要的资产存储在控制台的云变量中，而不被应用的开发者获知。8. 采用python引擎，支持自定义SDK函数、支持导入第三方python库，提供了丰富的实现逻辑9. 提供企业应用市场功能，一个人开发的应用发布到企业应用市场之后，同在一个企业的其他人通过授权获取到这个应用就可以执行这个应用10. 图像识别OCR，文本分析，资产管理（存储、调用保密字符，如密码等）、数据分析处理等。四、非功能指标安全性：提供私有化部署及严格的账号授权机制，确保数据的安全性和合规性，通过阿里云RPA的授权机制来控制机器人调度者的权限问题。扩展性：可以任意安装在Windows 7、Windows 10、Windows server 2012及以上机器中，支持客户端和激活码的动态绑定和扩展。部署方便性：提供公共云部署和私有化部署。可用性：客户只需要在客户端中开发应用程序并调试，通过有人值守机器人、无人值守机器人或服务型机器人执行开发好的应用程序。自主知识产权：阿里云RPA产品由阿里云RPA团队一手打造和运营，所有内部技术架构及SDK模块均有阿里云内部知识产品保护和正版授权，拥有阿里云巴巴集团十多年的核心技术沉淀和积累。成本、周期性：采用阿里云RPA开发基于流程的应用，开发成本低，开发周期短，可以很快的交付使用。定制快速便捷：专有云版RPA支持应用定制化开发，我们有强大的原厂技术支持和合作伙伴开发能力，能快速、便捷的完成客户交与的定制化开发任务，提供一站式的咨询、开发、培训和交付流程。五、发展现状及未来2017年下半年，阿里云RPA（原码栈）开启了正式的商业化进程，在公有云方面发力淘宝和天猫等电商平台用户，通过开发通用场景下的电商解决方案和应用，累积注册用户数突破了30万+，平均活跃用户数突破了一万以上。2017年底阿里云RPA团队开始面向专有云用户市场输出，通过线下订阅的方式基于企业业务流程定制开发RPA机器人应用及解决方案，累积已服务于蚂蚁金服、菜鸟网络、安踏、渤海财险、京博石化、中国进出口银行、百草味等50多家客户。未来，阿里云RPA将深度与人工智能，机器学习，大数据，图像识别，智能语音，移动互联网和云平台等技术的结合，机器人技术可以取代更广泛的、现有的业务流程操作，成为数字化劳动力。本文作者：琰珉阅读原文本文为云栖社区原创内容，未经允许不得转载。

又一年RSA大会归来。每一年参会，总会有一些不同的感悟，或是发现全球安全行业的新趋势，或是找到志同道合的新伙伴，或是看到很多人也相信我们相信的安全技术新方向。今天在回国的航班上提笔写下我的感悟和判断，希望对安全领域里的产品和技术同学们有所启发。回顾每一年RSA的主题都有寓意。2017年的主题“Power of Opportunity”，2018年的主题是“Now Matters”。2017年我印象深刻的是大家都在讨论数据智能及AI对安全的影响，所以主题讲的是机遇（Opportunity）。2018年数据安全及GDPR对产业的影响很深，大会主题便强调安全迫在眉睫，强调此时此刻。今年的主题是“Better“，也寓含全球整个安全市场的爆发和安全产品技术的成熟，大家一起to get better。1.Cloud SIEM成为云服务提供商和安全厂商的必争之地Azure和Google在RSA期间都发布了Cloud SIEM的产品，可以让用户基于云端安全能力从云上覆盖云下的业务。这意味着企业在混合云状态下，可以从一个更全局的视角来进行安全管理运营。此外，Google近日也发布了一款网络安全产品“Backstory”，堪称威胁态势版“Google”，因其“无限扩展”能力，以及使用了构造Google基础设施核心的威胁分析引擎而引人注目。同时我也发现今年各大安全厂商也将SIEM来作为自己的主打产品。基于企业各项数据通过用户行为分析（UEBA），基于设备的威胁检测，基于IP和域名告警来实现全局安全智能分析。不论是云服务提供商还是安全厂商现在都希望通过抢占SIEM(安全信息与事件管理平台)市场。我认为本质还是大家都知道在数据时代谁拥有数据就拥有更多可能。随着Cloud SIEM的成熟，也许未来企业用户会在安全管理平台内集成多家厂商的威胁检测及响应引擎来尽可能提升效果。2.创新沙盒的冠军让我们看到安全基础建设的重要性今年RSA创新沙盒的冠军Axonius。其核心优势在于解决了企业资产管理不全的痛点。Axonius可以帮助企业降低攻击面并能与其他安全产品进行联动。这个概念并不超前。我们看到在过去的一年里，无论是有广泛市场需求的数据安全领域还是机器学习及AI在安全领域的应用，安全技术上没有出现突破性/颠覆性的创新。当谈到云上安全的最佳实践，企业安全体系重要的不仅仅是梳理资产，减少攻击面。我认为更重要的是1. 建立统一的身份认证授权体系、2. 安全基线的运营、3. 全局漏洞管理、4. 默认安全流程策略、5. 敏感数据加密。这个组合拳才是整个企业安全的基石。在这些基础领域之上提升6. 威胁检测、7. 事件调查、8. 自动化响应、9.安全溯源能力才能让整个体系更稳固。3.零信任安全的背后是身份认证将成为企业新的边界今年零信任理念也是热点之一。各厂商纷纷推出各种零信任安全产品。大部分零信任安全产品的背后将身份认证作为核心，因为身份认证将成为企业新的边界。我认为随着企业使用大量的SAAS服务、移动互联网BYOD带来的影响，大量企业应用上云，原来企业安全体系以网络边界为核心的防御理念将随之变化。身份认证将成为企业新的安全边界。基于统一的身份认证，制定不同的安全策略，建立分层授权体系，全面实时的安全智能分析能力将构建未来每个企业安全的基石。4.数据安全领域蓄势待发企业越来越重视数据安全，但因为数据安全领域横跨各个安全技术领域，导致各项数据安全方案成熟度不足。过去的一年里无论是在加密计算领域，还是在SGX可信计算领域，数据安全技术还没有大的创新突破。即便是去年创新沙盒的冠军BigID仍然是以合规驱动为主。过去一年从企业数据泄漏事件来看，数据安全技术和方案还需要提升成熟度。之前数据安全领域主要以DLP（数据防泄漏）技术为主，这两年有越来越多的数据安全厂商开始把用户行为分析、数据防泄漏、数据加密、数据流分析多种技术相结合来提升数据泄漏的检测防御效果。但我认为数据安全涉及各个领域，也不仅仅依赖于检测和响应，身份认证授权也是关键。而未来待加密计算和可信计算技术的成熟，数据安全领域也会有更大的突破创新。5.DevSecOps将得到越来越多企业的重视安全工作不能总是在事中或事后，安全工作越前置企业所付出的成本越低。阿里在2005年安全体系建设初期就开始构建SDL（安全开发流程），这也有效的降低安全漏洞数量及各项安全风险。越来越多的企业已经意识到安全评估、自动化检测必须内嵌在整个产品开发生命周期中才能确保业务及代码的安全。而今年我们看到越来越多安全厂商通过黑白盒自动化检测、RASP（运行态应用防护技术）相结合来构建DevSecOps安全方案。我相信接下来的1-2年DevSecOps安全开发流程会被更多的企业接受，整体安全方案成熟性也会逐步提升。6.安全厂商产品融合趋势明显，自动化响应建立完整安全闭环安全涉及所有技术领域导致安全产品非常碎片化，安全厂商细分领域众多。例如涉及网络安全就有DDoS防御、WAF、防火墙、IPS、RASP等多款安全产品，如果在客户场景部署就像“羊肉串”。这对用户运维管理、网络稳定性、安全运营都提出了很大的挑战。今年安全厂商趋势，试图通过多个产品融合来重新定义安全产品，提供用户更完整的安全产品。这个趋势在今年各家厂商推出的产品形态上非常明显。例如原来做终端EDR的厂商尝试将DLP技术整合至产品中。当前热门的SDP（软件定义边界）领域，厂商就结合SDWAN技术打造云端All in one安全产品来给用户进行集中流量清洗及防护。Palo Alto Networks原来是以网络防火墙为核心产品的厂商。近年来通过投资并购，产品领域已成扇形扩展，已覆盖终端安全、威胁情报、XDR(云端威胁检测及响应）。整个公司战略方向很明确，希望覆盖企业全局安全管理平台，我相信SEIM产品也会不久推出。另一方面自动化响应成今年各安全厂商产品形态又一个明显的变化趋势。我们看到安全厂商的共性：统一数据收集/ 全局威胁检测/ 自动化事件调查 /自动化响应几乎大部分Top安全厂商都在努力实现这样的完整安全闭环。前几年大家都很关注安全的Visibility，因此态势感知成为安全焦点。但是检测、Visibility能力只是原来的痛点，今年各大厂商产品都在往自动化响应闭环发展。当然这也对安全智能、事件关联分析技术和产品API化提出更高的要求。7.云安全成为最热焦点今年42%安全厂商涉及云安全，云安全成为各厂商最热点话题。主要原因是越来越多厂商推出“云安全产品”，基于本地化部署的系统上传安全数据至云端进行分析，共享云端威胁情报的能力，从而提供精准的安全决策。我还发现多家MSSP（安全服务提供商）推出基于多云的安全管理平台，可以集成AWS、Azure云安全中心的威胁检测结果，也可以集成各家安全厂商产品数据结果，最终用户可以在混合云的情况下，实现安全一站式的管理，统一安全视角。随着企业越来越多的上云，如何通过数据及AI的能力解决原来企业安全痛点，是各家厂商努力的方向。另外有一点非常有意思，海外的安全厂商几乎没有私有云的安全解决方案，云安全产品主要面向各家公共云场景。这个是当前云计算发展国内与海外最大的不同。8.构建基于API的安全生态我认为海外安全厂商的产品默认API化做的很好，可以方便给其他安全厂商进行集成，也让企业用户易于整合管理。这是海外和国内安全厂商差异所在。海外安全厂商专注在一个技术点的公司比比皆是，而国内安全公司大部分产品策略是以做多做全为主。我相信这其中也体现了国内市场和厂商的无奈。所以国外安全厂商产品天然需要和其他安全产品进行整合，自身产品就非常重视API化。随着云安全不断发展，云服务提供商和安全厂商也开始进行融合。当前全球多家安全厂商通过云产品API来构建基于云平台的安全产品。云服务提供商也集成安全厂商的API来提供云安全产品服务更多的用户。云服务提供商的安全产品API也被安全厂商集成到线下产品来提升能力。我相信用户最终需要的是能够集成各家核心安全能力，打造最佳的防御体系来应对网络安全对业务所带来的风险。9.安全厂商的品牌价值凸显如果说技术代表的是厂商的核心竞争力，那品牌展示则更清晰表达出其定位和差异化。我收集了一些安全厂商的标语，这些标语里面也体现了各家安全厂商的核心优势、品牌理念及市场定位。例如Chronicle强调安全智能、McAfee强调协同、VMware强调云原生安全和智能、AWS强调云上能够提升企业安全性。我个人更喜欢IBM Security的标语：“我们并不需要更多的安全工具，我们需要新的安全规则”。我相信互联网安全环境越来越好也一定离不开政策、法律、合作、技术创新。Chronicle : Global Secruity Intelligence （全球化的安全智能）；IBM Security： We don’t need more tools. We need new rules （不安全的世界，需要的并不是更多的安全工具，而是新的安全规则）；McAfee : Together is Power（产品协同，所有人齐心协力才是最大的力量）；VMware： Intrinsic Security，Intelligent Protection（原生安全，智能保护）；AWS ： Elevate the security（云上提升安全性）。10.展望其他安全技术领域1、在今年RSA大会上业务风控的公司不多，主要以防Bot厂商为主。但我相信随着黑灰产的发展，黑产变现方式不止局限于DDoS攻击、挖矿这类事件。未来黄牛党、广告点击欺诈、防撞库等业务安全问题会对企业业务有更多影响，而业务安全领域也将逐渐成为安全市场主流需求。2、随着Cloud SEIM的兴起以及这两年部分厂商推出MDR（可管理的检测及响应服务），我相信MSSP（安全托管服务）会被越来越多的用户所接受。而这个前提条件就是安全SAAS服务的兴起，国内目标在SAAS服务上用户接受度还不足，我预期随着云计算的发展接下来几年一定会有更大的爆发。3、今年IoT和移动安全厂商非常少，尤其是过去几年大家都很看好的IoT安全领域。这也说明整个IoT市场还在混沌阶段，我也相信IoT安全市场发展要取决于IoT OS之战。从移动互联网走到云时代再到IoT万物互联的时代，不同时代操作系统的安全水位决定了安全市场的大小和走向。我也期待着在云计算和万物互联时代真正到来时，我们能让用户及企业在互联网上更安全无忧的发展业务，帮助他们服务全球用户。本文作者：云安全专家阅读原文本文为云栖社区原创内容，未经允许不得转载。

背景知识MaxCompute拥有一套强大的安全体系，来保护项目空间里的数据安全。用户在使用MaxCompute时，应理解权限的一些基本概念：权限可分解为三要素，即主体（用户账号或角色），客体（表/资源/函数等），以及操作（与特定客体类型相关），详细参考 https://help.aliyun.com/document_detail/27935.html。授权有两种方式：ACL(基于对象，grant语句)和Policy(基于策略，policy file)。跨项目授权使用package：https://help.aliyun.com/document_detail/34602.html。可通过列标签实现表中列不同的访问控制：https://help.aliyun.com/document_detail/34604.html。为了方便用户更好的理解与使用MaxCompute权限，studio实现了以下功能：权限查看用户在project下有哪些权限，可通过show grants语句获得。studio编辑器已集成权限相关的语句(https://help.aliyun.com/document_detail/27936.html)) 通过快捷键(Windows: Ctrl + J , MAC: Command + J )唤出live template，然后搜索即可：另外，studio对此也提供了图形化的方式显示用户的权限。如下图，点击工具栏上的show privileges按钮，弹出Show user privileges对话框，点击search button, 下方就会显示用户在该project下的权限：json标签页是所有权限的汇总，点击table标签页，则显示用户在table上的权限。鼠标悬停在table标签页上，则提示table的权限说明：权限异常诊断当因缺少权限导致任务报鉴权失败异常时，可通过studio的权限异常诊断，快速寻找解决方案。如下图，点击工具栏上的权限异常诊断按钮，弹出权限异常诊断对话框，在上方文本框中输入完整的鉴权异常信息，然后点击ok按钮，则下方文本框会显示可能的解决方案：权限语句编写MaxCompute提供了一系列的权限语句，studio SQL编辑器已集成这些语句，用户可以利用studio来执行这些语句以完成相应的权限操作。具体的，通过快捷键(Windows: Ctrl + J , MAC: Command + J )唤出live template，然后搜索：另外，在编写授权语句过程中，也支持相应的代码智能提示：授权语句生成除了手写授权语句，studio也支持图形化给用户授权，点击工具栏上的show privileges按钮，弹出Show user privileges对话框，点击Grant privilege标签页，选择好授权对象，下方的SQL窗格就会同步显示其对应的授权语句，然后点击execute grant command，等待后台完成即可。studio中的权限添加MaxCompute project时，studio会尝试列举project下的所有客体到本机，即用户必须有project的list权限。显示表详情时，用户必须具备table的describe权限；显示自定义函数，则必须具备function的read权限。在编辑器中编写SQL，用到的table或function，则也必须有上述读权限。在编辑器中运行某条SQL，则必须具备SQL中表的select权限，同时还必须有project的CreateInstance权限以能提交SQL任务。开发好了UDF，要想发布，则必须有function的write权限。权限好文官方文档 https://help.aliyun.com/document_detail/27926.htmlMaxCompute安全管理指南 https://yq.aliyun.com/articles/686800本文作者：昊一阅读原文本文为云栖社区原创内容，未经允许不得转载。