数据安全助力新基建，构建“安全底座”——《2022产业互联网安全十大趋势》系列研讨会原创

大家下午好，欢迎大家来到2022产业互联网十大安全趋势系列研讨会的线上会议室，我是本次研讨会的主持人，来自Co时代的刘晶，那本次研讨会呢，是由Co时代新创新研究院联合腾讯安全共同发起，首先呢，我要再次特别感谢今天在线上的各位嘉宾，我们在这样特殊的时期呢，相聚在线上一起分享、交流、探讨，感谢各位的参与和支持。随着数字经济规模的扩展呢，数据流通产生了新的特性，数据的泄露趋于常态化，数据的安全呢成为C关注的议题之一，今天呢，我们首场安全系列研讨会将围绕数据安全助力新基建构建安全底座开就数据安全话题进行深度探讨，研判趋势发展，洞察未来变革。首先呢我为大家介绍我们本次首场的研讨会，我们邀请到的三位重量级的嘉宾，他们分别是来自PC行业安全联盟首席专家，太极股份首席安全官郭峰总，他同时呢也是我们本次十大安全趋势研讨会呃专家顾问团的成员之一。

第二位嘉宾呢？是来自中国农业银行总行科技与产品管理局信息安全与风险管理处处长何何处？以及腾讯云安全总经理李斌三位嘉宾带来主题分享，以后呢，我们就会邀请我们今天线上的所有嘉宾进行一个讨论，那我们今天的线上嘉宾呢，报名的人数已经超过五十五十多位在线上了，那陆续也线上的嘉宾都在登录中，我们稍后呢，在交流环节，呃，期待跟大家碰撞出更多的干货的内容。我们知道啊，信息化与网络化技术的高速发展，归功于大数据的基础支撑数据流动的增长呢，带来经济和社会效益的同时呢，也为数据保护和数据安全带来了极大的风险和挑战。那么我们该如何保护数据和流动的安全呢？我们就有请来自PCC行业云安全联盟首席专家，太极股份首席安全官郭峰总带来的首个主题分享，他带来的分享主题是数字化组织组数据保护和流动安全监管思考与实践，有请郭峰总。

郭峰总，您可以打开您的摄像头和麦进行您的主题分享，嗯，好的，感谢那个主持人刘晶啊，非常荣幸今天下午呢，能听到我的声音吧，嗯。可以的可以的，嗯，好的，那今天下午呢，很有幸呢，跟各位专家和老师们一块沟通一下，关于那个数据安全的这个领域的话。我今天带来分享的内容呢，呃，时长大概是半个小时，也是我们的一个经验和思考吧，主要的内容呢，是数字化组织啊，数据保护和流动监管的思考和实践。

好，我们正式看到的第一页PPT呢，就是我们一直在讨论的很多的问题的所在的一些聚焦点，我把它做了一个整理，然后呢，整理完以后呢，我们可以看得见，就是首先第一个问题呢，我们说数据安全已经立法了，原来没有立法，去年开始立法了，那接下来呢，我们大家的所有所在的组织当中呢，未来会形成变成数字化组织，怎么来去保护？你的数字化组织当中所有的成员做到运数据不犯法，这个是一个非常我们值得探讨的一个话题，好，那这样的话呢，我们可以看得见有一个很关键的内容呢，就是左侧呢，往往是我们数据管理者啊，右侧呢是我们的安全管理者，这两个呢，实际是在我们数字化组织当中非常重要的两个角色，这两个角色呢，是要去解决我们中间这五个问题，第一个问题呢，就是我们如何定义数字化组织当中的数据。

主责数据这个话题呢，实际是我们一直在呃PC研究院这么多年下来以后，就说你应该保护的数据是什么？首先第一个我们所理解的是因为在数字化转型当中，是每个组织当中的使命，所以它数字化组织生产和管理，产生大量的自有的数据，我们把它定义为叫主责数据，如果它是个国企呢，那就把定义为是在国企内部。国企内部的这个我们自己企业内部生产的数据，如果它是个政府呢，我们把它定义为是政府职能使命下的一些数据，那这些数据呢，都在大量的汇聚，呃，流通和交换，所以这会儿的时候呢，实际我们探讨的一个法律问题，就是主责，就是我们主责主要保护的责任在谁？第二个是叫做同则，数据流动的时候，谁应该守护住来自于不同其他组织给我的数据，我要承担相应责任。第三个叫做守则，如何用我们的管理技术啊，运营和监管的手段来去完成我们守护好这个数据的责任，所以这个是我们看得到发展的一个很重要的一个话题。第二个部分来讲的话，实际在我们的现象看得到的问题，就是说我们冰山上面看得到的是大量的数据，死数据和僵尸数据。

存在，然后在冰山下边呢，有很多的问题是亟待解决的问题，这个问题产生的原因是我们的四大体系要融合，就是我们原来不管个实数据，全都是做过一些情，包括数据全理体系啊体系，包括需要破解的呃，解决的这个运营体系和监管体系，那这些现象呢，都充斥在这个现象当中，造成的这种盲数据，死数据和僵数据。接下来我们看一下每个数字化组织当中，其实有两个状态，第一个状态呢，叫做静态数据，就是我们把数据放在每一个我们所承载数据的呃载体当中，还有一种呢，是动态数据，就是在流动前，流动中和流动后整个这个过程当中的呃，可知和不可知。呃第三个问题呢，其实我们看得到，也还是我们刚才说的左方和右方，我们在产业，呃，产业产业当中呢，都提到说南坡和北坡，实际就是这问题，就是说究竟是南坡的责任还是北坡的责任，说责任主体呢，大量的这个不清晰，这也是现状，我们看到的好多问题，呃，97家央企当中，我们也做了一些调研，包括在很多的央企，包括地方的大数据局都存在类似的问题。

我经常去访谈的时候呢，或者说我们在做一些呃研究，或者是做一些项目的时候，问到就是说数据要是丢失了，是数据处的责任还是安全处的责任，大家往往会相视一笑啊，说的是他的责任，所以这是我们看到的一些现状。第三个部分来讲的话，就是说我们究竟呃，这个数据是处于什么阶段，每个数据化组织当中，它不管是从十二五开始，十三五十四五，呃，接下来的14，我们可以看得到数据发展的这个阶段，第一部分呢，往往是把数据的汇聚资源阶段，就是不管是什么数，先把它会了再说。

第二部分来讲的话，是哪些数值钱，我们要把它挑出来，第三个部分呢，哪些数可以流通，哪些数可以交易啊，那么这个是数据最关的问题，因为数据要变成生产工具，生产资料嘛，所以呢，那这种情况，它作为生产资料，它要去变化，一种是组织内部使用，一种是外部使用。那在这个过程当中呢，我们的数据就发展，数据安全的发展呢，匹配了大概三个阶段，第一个阶段呢，就是说第一个阶段保证的是哎，完完整数据是完整的啊，可用的，呃，然后保密的，第二个阶段呢，就发现了从采集加工到这个编辑处理、传输，包括销毁的全生命周期的防护，进入数据立法以后呢，会发现据不光是在我内部使用，会在域流动，会在行业流动，甚至会跨境流动的时候，这就涉及到这个数据流动安全全的监管。

所以呢，我们的目标是做到首先第一个我们是合理使用，不犯法，那么所以数据安全管理怎么能做到从开始到使用能够看得见，管得了过程管理的好，底线守得牢的一体化，这是我们看到的非常核心的一个目标。第二个部分来讲的话，就是在我们的数据利用和这个安全的发展，你不能说是我为了安全，然后呢，把树牢牢的绑在自己家里。第二个呢，第三个呢，你就是说数据流通的这个全程，你能不能看得见状态呢，是不是你能捕捉得到权限呢，你能控制的好，哎，然后呢，这个呃，流动的时候呢，我发现这个追溯，所以呢，大家可以用这一页PPT就可以把我们现在数据所能大量，尤其是在央企和政府能看到的大量的这种情况能看得清楚。好，那四个方面呢，我先讲一下主要挑战。那么第一种挑战呢，我讲的是一个背景，就是我们现在数字化，呃，融合到了不同的行业，我们简称叫万种场景，所以数据会在万种场景当中不断迭代产生。

第二个部分来讲的话，就是说我们俗称叫万互联，不管是从基础设施层，我们说在5G这个层面，或者说联通这个层面，叫做物联L的这个还是说数据的相连，还是人与人跟人与人之间的相连，还是说智化的这种连接，那么在这个过程当中，它是万互联产生，所以这个数据是N的N倍数的，这种几何倍数的在呃扩化发展。第三个大量的数据存在哪里？其实大量的数呢，基本上是在以云为底座的这种核心，在企业内部大部分是存在以私有云为核心的生产业务，业务产生的核心业务和敏感数据，那么第二个部分来讲的话，它是存在于这个行业和政务，政务政府交换，行业共享交换，主要是用于统建系统，或者说业务协同交换的这种系统当中来产生这种交互。第三种数据呢，是来自于就在于我们的有云为代表的和工业制造为核心的工业云，还有大量的是存在于在混合云，所以呢，数据呢，大量的存储呢，是存储在这万云的不同云的这个基础设施上中去。

所以在这个过程当中，我们研讨的说，哎，好，那我们都有数据了，您说的也没错，那我们在接下来我就引用刘西老师的一个观点，就是数据和数据安全发展的不同阶段，那第一个阶段呢，我把它总结为叫做数据的资源阶段。它有它的特点，这个特点是以原数据为代表，具有海量，来源广，分布散，价值不清的特点，大部分的基础数据呢，它的特点是烟囱式的，呃，因为一个业务系统产生的一个业务场景产生的烟囱的这个数据，而且呢这呢是基本上不区分它的价值，只是把它收集起来。第二个阶段以后呢，就是我们说以资产发展的阶段，那么它通过了加工分析提炼后的数据呢做代表，那么相对呢价值呢比较清晰了，利用率啊，包括利用性高，准确性高啊，那么它是未来数据流通的这个主体，因为它已经是相当于我们说密云水库的水。

进入了这个第二个阶段，进入了北京市自来水厂的水，那这会儿的时候呢，整个数据呢，自来水厂呢，这个水它有了它的一些属性，它有了价值属性，它要进入每个千家万户，要进入每个流通阶段，就进入了第三个，那么第三个过程当中呢，其实就是我们说的数据资产流通的阶段，大量的有效信息的集合体。那么这种。特点呢，就是价值高，集中管理，哎，那这会儿的时候，流通和交换呢，形成了第三方数据交易的保护体系，因为在第二个阶段，你就必须要确权，第阶权第三阶办来没权进阶的时候呢，我们离离一般是会离开组织，离开组织进入广泛的公开交易市场。

这会进入这个泛市的时候，就有融属个融们，我们现在可以看得到国家这个信息，包括我们刚刚服务的这个粤港澳大数据一体化湾区的建立的数据交易所。呃，那么在深圳已经开始做这种试点，就是说你什么样的数据可以什么样的价值，在什么样的地点进行交易，这会儿的时候呢，你交易整个的流程，包括整个审计，包括是否交易的这个，呃，金额利益是否跟它这个发展的不一样，所以我们把它总结了是要四个阶段，所以在我们每个数字化组织当中，它基本上经历前三个阶段，那么在整个前三个阶段如果没有梳理好之前，第四个阶段理论上你交易是犯法的。好，那么在这个过程当中，我们可以看一下，目前这个至少有25个审计地市成立了大数据的管理机构，包括我们的电子政务领域当中，以政务数据为代表的，已经形成了呃，将近这个呃，这么多的这个数据，以数据管理为核心的这个管理局，但是呢，也看到了一个现象，大家普遍认为数据是有价值，但怎么管是不好管呢？我们也做过广东的课题，广东大数据局的，也跟上海大数据局，深圳大数局，内蒙大数据局，上大青岛大数据局等十几个大数据局做过交流和研判，基本上呢，呃，模式不一，很多种不同的类型。

但是呢，在这个交流和研讨过程当中，我们形成了我们很有价值的一些思路，也给大家今天做一下分享，第一个呢，就是主责数据，我们清晰以后呢，整个数据面临的是四个四个挑战。第一个呢，是来自于这个黑客攻击敌对势力的这种，呃数据的这种侵侵犯，第二个呢，就是我们说的这种应用挑战，就是你怎么来去用这个数据，大量数据以后汇聚后账不清，权属不清，分级分类不清，僵尸数据，盲数据，第三类的数据的，呃第三类的挑战呢，就是转型的挑战，我们原来大量的数据的存在呢，是在以静态的烟囱式的，以结构化数据为代表的，那么这种数据，哎现在呢，我们大量的这个数字化转型呢，要升级为有新叠加了，以动态的平台化的，呃，这个半结构化和这个非结构化数据，呃就结构呃非结构化数据的流动数据为主。

第三，第四个挑战呢，我们可以看得到，就是安全的挑战，在不同的这个资源，资产流通交易的不同阶段，它这个数据的所有者会发生变化。然后数据的使用者会发生变化，数据的提供者也会发生变化，者和监管者之间也发生变化，这会角色不清，监管啊，那就会出现很大的问题，所以这是我们总结的四大挑战。所以呢，小结一下，第一个部分就是说我们可以看得到，就基本背景是三个趋势，呃，那么针对于六分层呢，我们把它分成为国家级的数据，公共数据，呃，社会公共的数据，行业类的数据，企业类的数据，群体类就是在互联网平台的这种群体类数据，还有很多的个人数据。

那么还有三种呢，按照国家法律法规啊，公开的啊，包括我们内部及敏感的，还有类似于商业秘密级的数据，那四种分层呢，还有就是国家级，呃到涉密数据就是呃叫做绝密级，这个机密级，机密增强和这个呃，这个秘密级。所以这个呢，就是数据的这个基本背景，三个关键点刚才经说过了，不多再阐述四个值阶段，我就刚才已经说过了，五个关键角色刚才到了，所以在这个场景和挑战的这个过程当中，刚才也已经提到了，所以这页呢，也是我们做了很多维度的挑战以后以后把它总结出来的。那这一篇呢，基本上是我们用了几分钟的时间，然后呢，把这个呃，整个这个数据的一个，呃，宏观的一个东西呢，把它整理了一下。

那第二个部分我们回到一个聚焦的，哎，我们是一个数字化组织，哎我就是一个央企集团，哎，我就是一个金融机构，我就是一个政府机关，那我的组责数据保护的现象和现状是什么呢？我们再看一下这个刚才我们提到的很核心的就是我们问了很多的人，很多的主管数据，我说有多少数据。这个数据隶属于谁后，这个数据在呢？在哪里？是就是用个观点是能够覆盖到的就是盲数据，盲数据主要就是责权价值边界不清，将据就是我们说持续性差，就是今天我们基本上看得到有很大量的数据，我们在后边讲的那个案例，呃，有615类数据，但是呢，我们。清理完以后，有400多个数据，基本上是停滞不前的，就是机器在空转，数据在上面，但是这个数据没有用的实时性，就是这个数据是历史数据，比如说前年的，大前年的，它实时性差，这个数据其实没有什么特别大的当下价值，但是对于研究价值还是有的。第三个就是这个数据流动不出去，也没有办法的，流动性差。

那么针对于死数据来讲的话，就是我们讲的鲜活性有价无市，监管不明也不知道是谁的啊，那么这种情况，那么。这是现象，但是本质是什么呢？本质就是我们说的，原来呢，数据流动共享开放的是，呃，缺位的就是法律法规，虽然数据安全法出台了，但是呢，实操的这个标准，实操的这个指南，实操的指导意见还在研究和制定当中，所以在这个过程当中，立法刚刚完成，后边有大量的工作需要去做。第二个部分来讲的话，大量的数据存在行业内部，它是以这种法人单位为主体的，就什么意思呢？这个数据不是我个人的，它是我在所在的这个组织当中的，这会儿的时候，数据提供者，所有者和运营者，他没有义务或没有想法来去把这个数据来提供出来，因为他没有一个合理合法的通道来去进行交，有些呢是小规模的，也有不能说是完全没有，但是呢，你再往行业和跨监管单位或跨境，那基本上机制是不清晰的。

第三个呢，就是在这个组织当中，有很多的这个角色是用来什么呢？这个有的是数据的者，又是使用者，那在这几个角色还是监管者，所以又是这个运营者，这个角色不清楚，我举个例子，我们在这个广东调研的时候就发现这个问题。这个所有广东大数据局的数据都会收集到广东大数据局以来，各委办局的，然后呢，委办局呢，作为这个数据的所有者，然后各委办局呢，大数据局作为所有者，各委办局作为提供者，同时他又是使用者，然后这个数据的运营单位呢，又是属于咱们的管公司，然后当时呢就缺位，就是谁来监管谁来，后来我们经过研究调研的时候，最后把确定了华南公安部华南三所作为这个监管方，这样的话呢，就满足了这个交叉和监管基本的这个逻辑。

呃，还有一个就是，呃，就是数据这个东西呢，很难定价，也很难有人去把这个数据的价值呢，短时间把它分级分层分类出来，所以呢，这个价值阶梯不清楚。呃，还有一块呢，就是我们数据呢，从这个技术支撑，哎，我有很多想法，但是数据它是流转在我们相应的技术平台之上，这个技术平台呢，没有把它管理起来，所以总的来说它是一个多维度的一个难点，所以我们可以看得到后边怎么来去把它，我们在海关的时候，呃，香精在刘的指导下啊，做了一些事情啊。那么第二个部分来讲的话，我们讲一个形态啊，一般呢，去了一个数字化组织当中呢，你可以看得通，综合视角呢，我们说哎呀，我们要去落实数据安全法啦，啊要求呢，落实本数字化组织当中的啊那。落实我们在组织当中呢，谁来去保护数据安全呢，那么谁来做数据安全保护的指导监督检查啊，谁来去做好主责数据的保卫，保障保护啊，这些呢，都是来自于像监管单位啊，这个像郭总啊，包括像一些呃，这个。

网信办的一些领导都会提到的一些意见，那么回到我们组织当中呢，就回到两块了，一块呢就是哎，大量的数据是静态的，还有一部分数据是动态的。那么静态当中我们要解决五个问题，忙，数据死，数据僵，是数据抵账不清，权数不清，责权不清，哎，数据资产定义，数据谁在使用，泄露风险在哪里？要解决这五个问题，那动态的呢，我们要把它解决，流动前我怎么办？流动中我们怎么办？流动后怎么办？那相当于进对动态主要聚焦在这个当中，接下来我们看数据，它是为结构化数据怎么办？半结构化数据怎么办？然后再说非结构化数据怎么办？

再往下走一层，那么在终端上的数据保护怎么办？在数据中心的数据怎么办？在存储器上的数据中心怎么办？在数据平台上的数据怎么办？所以呢，相当于这是一层维度层维度层维度了。再接下来还有大量的安全能力，数据安全能力，我们很多的单位已经具备了一些安全能力，我们有了数据资产发现的工具，有了数据库审计，有了数据库防泄漏，有了数据库漏扫防火墙、水印加密脱敏、流量分析溯源、态势感知数据部分，那么我们有这么多工具，但是仍然我们发现数据保护还是有很大的问题，那怎么回事呢？那我们接下来继续接着探讨。是因为这样的一个问题是。我们原来管理的数据的场景，呃，我们把它定义为在1.0和2.0之间。所有大量的数据主要看在这个管理视角当中呢，哎，老在提这个数据的生命周期的管理。主要解决的问题呢，说哎呀，我这个数据呢，只要把合规搞好就行了。

嗯，那么监管呢，相对呢，呃，依托也比较简单，以单一组织为主，单一角色为主，交换单一场景单一价值模糊。那么落地方式来讲的话，大量的采用的是一种普通的单电能力和设备的堆砌，这个呢是我们经常十几年看下来，基本上是停留在这个阶段。但是在数据管理者和安全管理者协同好了的情况下，进入第三个阶段，如果没有协同好，第三个阶段进来呢，就比较难。因为呢，它是首先这个数据安全管理，它是离不开这个数据管理和安全管理的协同的，比如我们刚才说到的数据联流动的全过程，你要把它清晰的把它定义出来，这个你不可能离开业务和数据。第二个部分来讲的话，像站在这个视角当中呢，就是分阶段和分角色，哎，你这个在不同的角色，这个密云水库的水怎么管，然后到这个自来水厂的水怎么管，进入社会小区，再进入自己家门口，这个数据怎么管。

第三个呢，现在呢，数据越来越重视，所以呢全程监管又提出来，比原来的监管要求升级了。而且呢，数据流动要组织多角色，多交换，多场景，而且呢非常希望是价值清晰的交换，这会的时候呢，落地方式呢，就希望有有运营起来，把这个监管放在里头，所以这就是我们看到的为什么数据落地，数据安全管理落地难的问题，那主要是因为这两个核心的点。那么我们有八个思考，这个思考呢，就是说你如果是说想做好这个，呃，这个组的数据的保护，那我们说首先第一个你要解决什么样的问题。那么很多单位呢，这个数据呢，先从分期分类开始，我们尝试的也做了一些这样的事情，但是我发现这个效果不好，而且会大量的在一个呃，这个这个这个周转当中，所以我们首先看清楚这个整个数据管理，数据安全管理这个体系，这个呢，也是我们在从事日常一线工作当中碰到的问题。

那首先我们看一下这个数据管理和安全管理的责权利的明确，是推动数据安全治理的一个基础。那么我们经常看到一个单位看得到的就是数据的系统管理员，我们一般是指的是业务部门，数据部门。那么数据的安全这个管理呢，一般是在安全处，安全部门，那么这个数据部门和安全部门还有一些涉及到有些单位，呃，还缺失这个监管部门，实际呢，在安全起最简单的一个元素就是三元，三元分立的一个原则。现在我们看到的现状大是三元是混在一起的，所以我们设计了一个叫做数据全管理的工确叫三环，这个三环其实解决了很多问题，我举个例子啊，那么首先第一个问题，我们在实施很多大型的这个数据的这个项目当中呢，首先它上面有一个单位，这个单位叫监管单位，监管单位呢一般都会有这种。

代表的是安全审计员的角色，它主要解决什么呢？哎，你们的角色是对的，流程是对的，流动前流动后，你们都有相关的审计方法，而且呢，我一体化审计我能做到这点，所以它是最外圈的一个闭环，就是这个粉颜色的一个闭环，那第二个闭环来讲的话，就是我们的安全管理员，安全管理员做什么事情呢？其实就是安全处所要做的事情，就是要把安全策略的制定，说你这个数应该是从A到B点，应该通过哪些设备，哪些手段，哪些策略，所以他要制定安全策略。然后呢，再去做它的闭环，就是监控、响应、预测和防御的这个象限，这是安全管理员应该做的事情，也就是安全处应该做的事情，但他不能去碰第三个环，第三个环是什么呢？就是我们俗称的叫系统的管理员。那数据的管理员当中，包括他有权去做整个管理，权限就是root的权限，包括所有者。

包括授权访问的哪些人可以，哪些人不可以授权访问，我从A点到B点，还是从B点到C点，然后他是白天可以访问，还是晚上可以访问，它是通过VPN访问，还是加密访问，还是通过公开服务访问，还是通过这个系统之间A调用访问，这些呢，这是我们系统管理员，就是数据的管理员，三元当中的最基础的源来去解决这个问题的，所以这个三元呢，你如果不把这个啊，这个黄蓝啊粉把它边界划清楚，就会产生这个这个这个单位内部的职责交叉不清楚，就会导致大家说，哎呀，这个事是归你管，不应该归我管啊，这个事归我管，你为什么非要管我的这个事儿。所以这是我们经常碰到的一些在组织当中，大家都是在同事，都是单位的内部人员，很难去把这个部分来去交叉清楚啊，这是我们思考的第一个问题，这个责权利要划分开。第二个问题呢，我们思考的第二点就是说主的数据保护啊，它的成熟度就像我们安全保护成熟度一样，它是也是一个成熟度，那么我们推出一个最佳实践呢，就是说第一个阶段，我们把它理解为是以等级保护1.0为代表的，它是以一个数据传输和存储的场景，就是完整可用、保密，这就够了。

到第二个阶段的时候呢，不一样了，因为它的管理数据场景视角、对象管理需求不一样，所以它更强调的是在全生命周期的采集，那今天我们讨论的话题，生命周期采集可能也做了很多年了，那么接下来进入第三个层，第三个层级就是说我们要进入数据价值释放的流通的关键的场景。所以怎么能做到全程可视状态可查权限，可管权限，呃那个权益可管权限可控流动追溯，所以在整个过程当中，我们看到很多的这个呃，这个呃，对于这个安全的这个比较理解的，呃这个这个研究者们都在谈到这个数据权益的问题，其实第三个阶段。

翻过来看，这是第一个阶段的事情，没有解决的问题。那么下来我们的第三个思考呢，就是进入数据流动的角色、场景和模式外，就是这五类啊，就是数据的所有提供、使用、运营和监管。那么它的数据的流通模式呢？无外乎也就是四种，叫做交换代理、交换直通、交换服务和其他模式。数据流动的场景呢，无外乎也是这么几种，叫做跨应用之间的，跨部门之间和组织之间的，跨环境的、跨层级的、行业的和跨区域的。所以呢，也是这个逻辑，但不同的维度它要组织成不同，就是我们俗称的叫做这个学数学比较排列组合，我们要把这个排列组合的逻辑把它搞清楚，你这个数据流动起来就比较顺畅，再加以安全策略就可以比较顺畅。那么这五种角色和刚才我们所说的那个角色，他有一个互相委托提供审计申请，共享授权的一个逻辑过程，这每个逻辑过程是每天都在转，每时间都在转，所以他没有强大的it系统来去支撑，他来讲的话，这个光靠Excel表或这个打电话和其他的这种沟通方式呢，很难实现他这个角色的这个分析，包括每个角色它有相应的职权。

那么第五个思考呢，我们说数据流动的场景分析，就是我们刚才说到的行业、区域、层级、组织，跨应用环境这个不同的环当中，你来确保你每个角色，哪个角色应该在哪个环境当中把它加进来。所以这个流动阶段刚才已经介绍过了啊，我们把这个思考，我这个我觉得忽略，不不再不再不再说了啊。啊，接下来我们说流动监管的目的是什么？就安全要使用这个，那实际解决的很核心的第一个问题就是提供的。谁负责，谁管理的谁负责，谁使用的谁负责，所以这是第一个叫做责权的最基础的东西。第二个问题呢，就是在数据全景的全过程，就是我们在流通的全过程，不管它是静态动态的全过程。

他这个监控能力你要看得见，就像我们现在大量的这个量工程的摄像头一样，在数据这个场景当中，也会要有很多的这个监控摄像头，能够对于数据主体的权益能够做成控制，这是第二个我们需要解决的这个呃问题，就是监管的目的，第三个来讲的话，就是进行角色的变化。所以呢，在数据的使用、流动监管和提供方当中，怎么能做到这个目标，就是说把底账清清楚楚的，数据状态清清楚楚的，权限清清楚楚，流动清估清清楚楚的，这就实际就达到了这个监管的目的了，这是思考的第七个。所以我们推出了一张我们认为数据保护的总体框架的一个，呃，这个经验图啊，那我们看一下这个经验图，就是我把这张图呢叫做。四个体系，总体框架就一加四一个呢叫做总体框架，就是我们刚才说的，站在整个数字化组织的监管视角或管理视角来讲，他作为是他必须是指导、监督、检查、保卫、保护、保障，那这个是总体框架，那第二个部分来讲的话，那他就要履行监管职责，哎，我是一个监管部门，我履行监管职责他要知道，就是我们说数据抵账，数据流动控制、风险点，数据安全管理，数据安全审计、流动过程监管、安全使用、防泄漏、流动监管等等，他要知道这些每一个过程和每个点，这就是监管体系里头所要知道的点，但它是一个非常复杂的一个逻辑。

那么在这里头呢，它还要有一个第二层，就是我们叫做数据监管的安全部门，第一个部分，这个安全组织是什么？你没有这个组织，谁来去执行这个过程，所以一定要有一个管理体系，所以要有数据安全的管理组织考核制度，这会时候就出问题了，这个管理体系怎么来组成？好多单位的数据安全管理体系是有些职是落在数据，有些职是落在安全处。并没有把两个处完全合在一起，有些单位甚至都没有数据处，有些单位的这个安全处人员的这个能力和水平短时间还达不到，所以呢，就是这个管理体系现在还是处于一个缺位的状态的，这种企业占比还是挺高的。

第二个部分来讲的话，就是再往下走一层，就是技术体系。哎，大家说你为什么不讲运营，运营等会儿再说。技术体系呢，就是我们这么多年做数据安全，就是呃，不管是从来自于业来讲的话，哎，他这个从底下的这个数据安全审计啊，数据安全防泄漏啊，数据安全加密，数据安全脱敏啊，都是在这一层。它是在采集、存储、处理、传输、交换、销毁，诶不管这个企业做了多少年，他实际都在围绕这个逻辑在做，只是做的时间段不一样，和时间轴不一样，和时间重点管理对象不一样。程中呢了这么东西，东西起东西就体系。数据安全运营体系其实就是四个限，也是的四象，做监测、响应、预警，就是看得，然后我们就说看管监控的看得见，第二个是管得了，分层管理，权责清晰，第三个是快速响应，第四块是预测发现，第五块是处置的处置防御。所以呢，这是我们认为组责数据安全保护总体框架，它应该是叫做一加四，这四个体系成了那看管监控一体化，说句实话就不会就达到我们那个目标了，叫什么数据安全立法，我们每个组织当中的使用数据的人不违法，哎，这个是我们非常非常欣慰的一个思，就是已经把这个事情捋顺了。

最后呢，呃，用短短的时间呢，我再给大家介绍一下行业应用的成功实践，呃，我们呢，这个是一个某行业的一个案例，呃，这个呢，呃，因为我们也征得甲方的一个同意做一下分享，但是呢，我想大家要细节了解的话，可以在后续再联系我或联系刘晶，我们再可以请人家这个甲方的人来给咱讲一讲。

那么我们做的这个一个一个一个试验，实际也是挺复杂的一个工，它是一个非常重点的一个工程，那么这里头涉及到的数据和涉及到的人员和涉及到应用开发，大概都是上百人，系统呢也涉及到了，呃，上百个系统涉及的数据呢，也涉及到初期是615类，涉及到216类，管理好以后，它就是相当于把整个数据清理完以后，变成216类，支撑了115个系统。那么这里的主要痛点就是说它生产的数据呢？是一种高非常高敏感、高权益、高价值的数据，但管控难度特别大。那么第二类呢，就是测试类的数据，在这种多环境啊，有加密脱敏，多需多种这个安全需求的，又频繁流动的这么个状态，它是是没有监管的，这是它的一个特点。第三类呢，就是代码类数据，就是我们的软件，很多的软件人员都在这种高价，也是一种高价值高权益的数据，它这个管控啊，包括权限管理都不好，所以这是我们可以看得到的，是为了解决啊这个业务。

呃，应用开发，质量代码管控和生产数据的这么一个准入的这么一体化的一个系统工程。所以呢，这就可以看得到它这个场景呢，就很清晰，就是左侧呢，就是它的生产环境，右侧呢就是它的测试环境，生产环境呢，为了要确保测试环境里头所有的测试业务要进入准生产环境的时候呢，他要把所有的生产数据要在我们刚才看得到的这个新一代测试云的这个环境当中呢，要把数据全部导入进去。导入进去以后呢，它的生产数据就会变成了很无序的一个状，就是变成一个流通的状态了，它不是在那个在生产数据里头的一个静止状态。所以在这个过程当中，我们可以看得到。拿一个笔。这个数据进来的，管控的难度非常大。那么第二个呢，就是很多的开发商的数据要进来，测试数据要进来，这三个数据都在同一个环境下来去做这个数据管理的时候，实际就有点儿类似于像各类数据集中汇聚的一个情况。

所以在这个情况下，要求那领导要求这部分进来的数据不能流出去，因为可以拿，拿来卖钱，呃，出来就犯法了，那么这里头的数据说我不愿意放在你这里头，放在你这里头，我的东西的权益保护不了，所以我们必须要解决这个问题，解决这个问题说所以呢，第一步就是所有数据进入，要进行入库和出库的动态登记。那通过我们的理解，业务的需求做了这个分析，第二个呢，所有的数据进来以后呢，这个数据有多少啊呃，解决完整性可用性是谁的啊，谁能访问把这个事儿呢，也解决了，第三个问题呢，要把所有的数据做多为画像啊，就是这个数据跟哪些部门，哪些业务啊，哪些管理人员，哪些运营人员，哪些运维人员有关系，防止找不到出现问题找不到位置，找不到技术支持和运行维护和责任人。所有的数据呢，在这会儿的时候呢，才做的分级分类，然后呢，防止低级别流向高级别访问级别。

然后呢，所有的数据呢，要进行流动监管啊，那么在这个时期呢，要求他流向哪里看得见，管得清，管得准，过程拎的清，那么所有的数据还要开展校外评估啊等等等等。所以在这个过程当中呢，我们可以看得到，这就是一个复杂的数据的一个典型场景。那经过一段时间呢，呃，大概一两年吧，啊一两年现在还在持续在做，形成了这么四类成果，第一类成果叫基础性，我后边讲创新性组的数据保护和安全监管，那我们先看一下基础性成果。基础性成果，就是说把他们所有的数据的所有者，使用者啊，数据的所有者。使用者，然后提供者，运营者，监管者分类分出来了啊，这是第一个啊，建立了有效的这个机制啊，这是第一个。那第二个呢，我们把所有的数据啊做成了，就相当于仓库一样啊，我们把它做成了这个什么呢？啊做成了这个就是这是一个仓库，这是一个仓库，这是一个仓库，我们把所有的数据呢，形成了仓库管理式的，并且呢，每个仓库呢，都做了画像啊都做了画像。

那做完画像以后呢，接下来呢，我们开始做他的登记啊，就相当于他的登记，怎么登记呢？就相当于我们再说，呃，这个数据你要首先声明啊，你是谁，然后呢，它的格式是什么？资源名称，承载数据行为声明，包括它的等级啊，保密性等级，可用性等级，然后呢说宣称全责声明，我是哪个部门的，姓名是什么，联系电话是什么。监管的，包括使用的，那么把这些就实际在数据入库的时候，就把这些都登记完了，这会的时候再通过资源普查，动态的手段，这边是动态的手段，这边是这个，呃，这个这个人工录入的手段，这两种手段一结合，就把这个数据的资源到资产，这个过程呢，呃，就相当于把它清理干净了。

那这会的时候呢，那你又开始做第三步动作，就实际是把它的这个，呃第三步的动作呢，就开始进行画像，我有这个数据了，它的数据库是什么，数据表是什么啊，然后资产是什么，哪个IP，呃这个这个涉及到的人是谁，他的访问谁访问哪些人能访问，访问者是权敏感数据呢，加密数据的情况，数据险的情况，攻击的情况。用了这个呃，将近20个维度吧，就把这个数据的资产的多维画像给他总结出来了啊。那么这三个解决了以后呢，我们可以看得到每一个数据啊，每一个数据在整个过程当中啊，你可以看得非常清楚啊，非常清楚就是当他这个低效率，他当他访问数据的时候，他就会看到这些是基本上每天只有单独访问的总评价的这个数据呢，就访问量会比较高，所以呢，它支持了近七天十天整个数据动态的保护的情况。

这个是数据效益作为评价。那么这这会儿的时候呢，他出的有N多的这个报告啊，比如说数据的资产普查报告，解决了我们有多少资产的问题，流动审计的报告，什么时间，什么人在什么地点，效益评估报告，哪些数据使用量会比较大，数据的安全险报告，敏感数据检测报告，加密报告，体系报告，还有可以自定义模板的报告。这是我们可以看得到，就是从多维度来对资产进行评价。那再往下走的一个情况，大家可以看得到，就是你啊，这就是那个多维资产，可以通过不同的选择来去最后导出报告。那这个看管监控整个过程当中呢，大家可以看得到非常清晰的一个过程，是什么样的过程呢？我们把所有的数据入库，就是我们叫做准入，然后准出，但是首先它是我们把所有的数据把它分成，这叫重要数据。重要数据来讲的话，它还有。核心数据还有一般数据分成三通不同的流，当它的数据从1A点到B点，哎，B点到C点，然后C点到B点，你可以看的清楚全部数据。

进入哪个数据域，哎，进入哪个数据类别，进入了哪个业务，还是哪个人在访问，当你在点击它的时候呢，它就会变成进入了核心数据，进入了哪个数据，进入了哪个数据库，进入哪个IP，哪个人这个系列，那这句话我们就做全程流动可见。管得准，过程拎得清，如果在这个图上没有看到跟它颜色相同的其他颜色出现的时候，你就是这个数据就已经开始违规了，哎，这个就是我们说的看管监控，整个这个的体系就出来了。所以在这个过程当中呢，你也可以看得清这个数据的一个边啊，这边是人员清，是人员是访问，那么是员是A可看清楚啊，这也是我们做的第二个这个视角。

好，那么再往下看来讲的话，实际在这个过程当中，呃，能解决的核心问题就是你要看清楚全景视图，然后能管得了，能可操作，能统计，最后形成这个可闭环，这样的话呢，整个数据呢，都能在一个平台上五个角，呃都能可以做使用啊，这就是他们做的也是一个创新性的，呃这个视角。最终的情况呢，也解决了一个问题啊，就是数据的认领率，一开始的认领率很差，认领率很好，慢慢认领认领突然发这呢又下降了，为啥呢？因为这部分东西都是。我们叫做盲数据，把它去掉了就把它减以后进了数据的精细化管理，这些实际就是资产。这部分实际是资源从资产进入资产资源来讲的话，提高了很大的效率，而且呢，现在呢，用动态的这种方式呢，天能发现少个新增的资产资产，而且每天都有人可以认领，认领率还很高，所以这个呢，就是呃，已经很高的个情况数据。

呃，这个就是。通过这个，那怎么来去实现这种技术方式呢？实际就是这种它的整个手和自动化和半自动化这种情况，它已经变成一个复杂应用的底层了。这个我就不多讲了，通过扫描的诠释，那最终呢，就创新果这块来讲的话，就把这个用一张，我们从最底层的这个，首先我解决数据普查。数据画像、数据权益、数据监控、数据力度授权和数据资源报告，这个部分没有做分级分类，因为我们做分级分类的是放在了第二个部分。

这做分分级分层，因为这没有解决，这做不了，这解决了这就好了，记住第二个阶段来讲的话，有准入准出，加密脱敏，审计追溯，就形成了资产报告，再说进入第三个阶段。它是高级别的加密准入审计交换啊，就是又变成到了这到了字段。表格，这到了表。呃，这基本上是以库为单位的，所以说数据库，数据表，数据字段，所以呢，它整个流动的这个状态，就出现这种最终的流动的共享报告，这边是资产报告，这边是资源报告，所以不同的角色，那么第一个这个角和这个角色使用就可以了。第二阶段呢，可能这三个角，三个阶段可能就是五个角色在使这个目标用一个，呃，就是业务的理解啊和1111个支撑的这个it平台，把它嵌进去，把所有的这个东西放在了一个业业务系统当中，让它转起来的一个过程。

好，那我今天呢，就分享到这里啊，时间呢，稍微有点超了，那个感谢那个各位这个聆听，那么接下来呢，呃，交给主持人啊，好谢谢。好，感谢冯总的分享啊，冯总也继续留在，我邀请您继续留在我们的会议室，稍后在研讨环节在啊，可能您刚的深度的思考和案例的分析，我相信有很多嘉宾会很感兴趣再跟您做深度的交流，那因为那个呃，何处后续还有时间的安排，所以我们马上进入到第二个分享啊，是来自中国农业银行总行科技与产品管理局信息安全与风险管理处处长何启瑶带来的，他的主题分享是数据安全保障体系建议的主题分享，有请何处打开您的摄像头和麦进行您的分享。好的，非常感谢主持人啊，那个呃也非常荣幸有这个机会给大家做一个数据安全的一个简单的介绍，那个呃简单介绍一下我本人，我本人其实呃做安全行业是我的可能第二专业吧，其实在做安全之前呢，有在农行主要是做大数据，呃从农行的大数据体系从无到有经历了整个过程，那一九年因为网络，呃就是互网的要求呢，那个临时转岗过来做数据做做，呃网络安全这两年呢，可能在数据岗和安全岗的时候做一些做一些交叉，然后呃行里面也是可能因为有这样的背景呢，可以把数据安全的一些工作也交给我们，然后其实这个数据安全工作在我们行的实践情况来看呢，就是事实上虽然立法是去年才出，但是数据安全其实贯穿了整个从数据体系有的精神前世，呃，当然哈，数据安全这个。

课题也不是一个比较新的话题，我今天会给大家做，就我们结合我们行的经验呢，做一个简单的概要的介绍，因为时间比较紧张，我就不再多说了，进入主题，呃，今天主题就四个部分，第一个讲一下数据安全的现在的整体形式和和一个外在的框架性要求，然后呃，结合我们的工作经验，第二部分解上我们可能遇到的一个数据安全管理的主要的核心难题，以及我们行的一些主要的思考和呃实现啊，最后呢，就是关于未来的一些效果的展望吧，嗯。

首先数据安全这个呃个体啊，从计有计算机那一天开始，基本上就伴随了它的整个发展周期。呃数据安全的成熟呢和起源呢，其实肯定是在西方更早，呃目前来看，业界来说比较公推的数据安全体系在中国的数呃这个数据安全法出台之前，就是那个欧盟的GTPRGDPR呢，它的前身是那个欧盟与美国商务部签订的那个基于跨境数据流动，呃签订的那个各就是那个呃数据安全的保护的基本协定，呃它的里面最关键的核心呢，就是在业界首次提取了数据安全管理的手套方法论，就是安全期法则，安全期法则在安全期法则呢，也是基于数据的器业间流动，提出了这个所谓呃通知采集，向前传递，有所选择以及安全保护等五个方面的关，呃七个方面的这个转整体原则，到目前来呃来看呢，我看看呢，基本上在各个国家的立法也。

是呃，大多或多或少受到那个安全广期法则的影响，大概是这么一个情况，那在我国的那个数据安全法呢，是事实上酝酿呢，将近有三年之多，就我个人了解呢，就是在一七年颁颁布了那个网络全法之后，从一八年开始就酝酿，酝酿数据安全法的出台，然后过了一年多的这个酝量，一直到也就一九年开始征求意见，到二一年正式出台，那么在现在来看呢，国家数据安安全法的内容呢，它只是把数据安全保护呢，作为一个法律的明文禁止的责任，呃，落实给了就是明明文规定落实给了这个，呃各个企业和个人，也就是对于从法，从国家治理和法律层面呢，明确了企业对于对于这个数据安全保护，以及企业的这个经营人和这个管理人，他对数据安全保护应该承担的一些职责和呃职职责和责任，但是呢，呃，我个人理解哈，从目前来看呢，就数据安全法并只是要求提了要求。

但具体落实方案，其实在法律法的办法里面，并没有给给给各个机构或者各个行业给出明确解解释，这也是国家层面为什么这两年大力推动数据安全立法的原因，根本上呢，也就是说，呃，从国家层面他也理解需要授权安法落地法，需要行业资质，需要你各个企业，各个行业呢，结合自己的呃，这个数据应用的场景呢，自制自主的去提出一套这个数据安全落地的管控体系。

那嗯，在数据安全法的，呃，就是数据安全法出台的目前一个状况，它的背景呢，我也不给大家多介绍了，这个数据安全近几年的这个呃，这个这个这个事件什么的，这个应该各位专业呃都是专家，呃应该也是耳熟能详的一些事情，那呃从我个人理解来看，数据安全呃这样的事情的一些发生呢，它并不事件的发生呢，它并不是一个这个叫偶然现象，他的出来呢，说白了就是因为数据的可利用价值越来越高，这个这个当然好，是一个一个公知的公知的信息，但是呃，从我的个人角度上，从从业的角度来看，我是觉得目前这数据安全嗯他的事件的发展，我个人觉得还不够多。从那那从这个角度来说呢，因为它的可利用价值和他的产数据安全保护所能产生的效果还没有得到充分的体现，这个这个话题就比较深了，今天就不在这个层面再展开说了，那。

那更多的一个数据安全的事件呢，可能需要大家关注的，我个人觉得可能是从立法立规的层面，呃更多是由于这个法律的出台呢，对于数据安全的这个要求呢，它更多是这个行政合规的要求来来体现，嗯事实上我是感觉哈，可能这几年从新闻上看到的和公开的信息来看，呃合规合规产生，呃合规产生的罚款可能比数据安全直接损失带来的这个经济效益可能会更多更多一点哈，这是个客观现象，那虽然他带来的这个要求呢，呃，我个人觉得从目前来看，呃，呃讲的这么多，呃可能碎片化的信息呢，其实想讲阐释一关呢，从现在来看的情况呢下呢，数据安全呢，呃已经在国家层面明确了一个整体性，制度性的框架要求，但是它从具体落地来看呢，更多还是在合规管控层面，合规管控层面，嗯，从技术实施角度来看呢，目前来说可落地的东西哈，我在业来看并没有太。

的更多呢，还停留在一些可能基础性的，探索性的一些工作上。那为什么会产生这种情况啊，我个人其实从数据，从大数据的角度来说呢，做了很多年的大数据，一个会在最大的感受啊，就是呃我们数据安全的这个，呃这个管理的思呢，从国家治理层面延延续了对呃人类历史上所有对过往的一些保护思，说白了就是以资产为主体，以资产为主体的管理的视角的情况下呢，就是我们的管理对象，在以往的所有的立法怎么样管理对象都是明确的，都是明确的，但是数据呃资产它有一个最大的一个难点，就是它根本上呃有过资产。资产管理，呃资产边界不清晰的问题，刚才前面那位嘉宾也分享了一下，可能在企业落地的过程中，实施过程中最大的难点就是他的本身要求最多的是合规和这个数据安全的合规，呃从合规的角度来说呢，最难点就是数据资资产的确权，确权是最难办的，那因为呃那个呃确权的关系呢，因为数据本身是一种虚拟资产，那人类历史上到今天为止，呃数据资产可能是可能它有它一个唯一的特性，就是呃在以往的一些资产，资产之前呢，就是要么是实体资产，它的它的本身的特性是唯一的，不管在什么样的场景下，举举个举个例子，我现在所用的这个，呃这个讲课的这个笔记本，它实实体唯一，他归属我的情况下，不可是归任何人，那他的无论发生任何安全合规问题呢，我都对他有一些的这个这个资产管理的责任，那另外一一类资产就是呃，像这种像这个版权呢，就发明专利啊这样的一些，呃，这个还有包括保密信息啊。

这样的一些，这个所谓的这个，呃，这个虚拟资产，在虚拟资产来看呢，其他的虚拟资产都是在法律法规上，它是能够明确它的唯一主体的，但是呢，它数据资产来看，它作为一个虚拟资产的目前来说，最大的问题就是它的资产不唯一性，因为数据从产生的第一天为止，呃，开始它的目的就是为了共享，为了共享呢，数据本身有个最大的特性，它就是可复制性，也就是它资产不唯一性，资产的不唯一性呢，就导致什么呢？它在资产的确权上啊，不可控制，不可控制呢，就导致了就一系列的问题，在资产归属不明确的情况下呢，你会导致什么呢？比如说企业与事业之间，呃，我们现在很多的个人信息泄露，包括我们行业查获了很多外面所谓疑似的客户信息泄露的问题，其实发现很多他本身就是客户自己自己贡献的，甚至说是可能一些，呃，他客户在我们金融的一些附属行业，比如说p two p啊这种这种第三第三产业的这种东西，可以出现的一些一些资产的一些流失的问题，在企业与企业之间，甚至企业内部，它。

资产归属主体都是不明确的，这是第一个方面的问题。再来第二个问题呢，就是。数据它本身就是为了信息的传递和共享，所以它的易复制性在它的整个生命周期，从产生开始就会不断的裂变，每一个裂变的主体都会产带来一个什么资产管理难点，呃，就像一个笔，嗯，假如以笔记本为做一个一个案例，你如果你买了一个笔记本，而这个笔记本可以随时复制产生第二个，而你要对所有的复制的进进行这个安全，呃承担安全责任，这个难度是相当之大的，这是第呃二个难点，第三个就是不可逆行，就是数据资产，一旦他的某一，无论是他所有的副本，无论哪一个，他被泄露之后，你会发现哈，他的这个过程是不可逆的，你不像资产，我的笔记本被偷了，还能够再去通过呃这个这个立案或者调查把它追回来，次数算一旦泄露，你很难把它追回来，因为这个过程是一旦他复制了，它就产生了硬痕，它是不可能不可能在逆逆向逆向逆向解决的，那最后呢，就是由于这个技术发展呢，会数据资产的存在性和它可能存在的形态，以及呃，涉及的含义，它会越来越广，这都我面。

等等一系列的问题，那面对这样的一个难题，我们现在是怎么解决的呢？其实呃我们我们行的目前落实的呃主体呢，还是从合规角度入手，这个我相信绝大部分的这个现在的呃企业责任主体都是这么一个情况，首先就是立法立规，立法立规在行内呢，就是呃，说白了就是呃确立相对。

清晰的确定一个呃数据资产的这个权限，管理方我们是基本按业务条线分，然后在业务条线内部呢，就按数据存在的呃，载体把的载体就是存在的各类系统，以系统为边界呢，进行这个落实它的管理责任。这个其实呃已经在信息系统的过去建设中已经有一部分了，说白了就是最简单的权限控制，权限控制做起到了很大的一个基础性的铺垫工作，那么通过这个呃，数据资产的这个数，数据安全的制度的这个合规控制呢，这个先确立了一个相对粗放的一个权限管控框架，那在全国全球管控框架呢，提出了，呃呃这个可能更新一步的这个治理的措施，那更细别措施呢，目前来看呢，呃，从业来看呢，我看到基本上就是三个步骤，所谓的三个步骤呢，第一个就是所谓边界防御，就从一个企业的这个主体来说，我们先把我们的自己的边界防好，那么在企业内部建立一个所谓的这个企业的资产池，这个资产池在内部说不清，但是在呃，外部的与外部交互的过程中，我们把每一个出口把好，这是第一个第一个环节，第二个问题呢，就是我们在这么一个庞大的资源池里面，企业的资产那都是成百上千个PB，那在这种情况下呢，我是不可能保证，嗯。

每一个资产，每一类资产我都用同样的资源和技术去控制，呃包括人力去控制，这个是不可能的，数据本身是是数据作为一个信息资产的本身是为器运行和企业的员工服务的，如果呃反而要花花呃很大的代价去管控它，那本身它的这个资产的这个可能应用价值也就在下降，那呃在这个情况下呢，就是提出了这个对对资产的分期分类，在分期分类情况下，我们现在在对呃在业绩也好，不能说推，只能说在探讨和探索开展这个所谓的全生命周期管理的这个要求，那么在这个过程中呢，我重点讲一下可能几个关键的举措吧，首先就是数据资产的目录的梳理和这个呃分级分类，那数据资产目录分离呢，可能是每一个大企业面临的一个难题。

因为在可能信息化建设的40年到50年竞争中，它会产生大量资产，而且资产呢，它有历史的一些严格啊等等系统的升级变更啊，以及系统的关联等等一系列的一系列的这个这个问题，我们而且最大的一个问题啊，就是我们在数据资产的过程中中，在数据资产的过程中最大的个难题就是资产的本身的这个梳理是花费了大量的时间的，我们从基本上从呃呃十十四五年前，大概可能就启动一个数据资产治理的目的，也就是说想尽可能的把呃并不这个数据资产啊，可能相对想一点，就是电子化的数据资产，把系统内的电子化的数据资产呢，做一个全面的梳理，这个梳理呢，建立一个数据资产目录，而这存在一个问题啊，就是所有的资产，资产目录它都是一个概念性的东西，都是一个概念性的定义，定义的东西它映射到实体数据上，它一个它有一个复杂的映射过程，这个它是一个多对一个一对多的过程，那么这个资产的梳理呢，可能基本上我们贯彻了可能将近小十年的一个过程，那么在有数据资产目录。

的情况下，然后呢，我们会根据呃这个近期，呃近期监管呢，包括这个这个国家层面出台的一些管理的制度要求呢，可能近来结合行业的特色，制定了一个呃数据敏感性的目录，我们是参考了这个人行的一个规范，制定了这个所谓四级目录，呃人行的目录是五级，最高级呢，因为只有人行是涉及到国家机密的，那我们企业呢，主要是这一一到四级的这个。这个这个设计，这个四级的设定的那个在这儿不展开说了哈，那么在在确定了这个数据资资产和这个敏感性数据分解的基础上，我们主要做了两个事情哈，第一个场景呢，其实说白了更多是技术层面的，它做了一个什么呢？就是做了一个所谓的边界防护，呃，我们使用的主要就是说白了就是对数据传输，对外的接口进行了这个敏感性数据的过滤，也就是所谓的数据防泄漏，DLP的工程，DP工程呢，就包括终端的，网络的以及接口的等等这些这些部分，那所谓的这个敏感性过滤呢，它主要是通过一些技术的手段，对通过网络或者通过这个移动存储等等一系列的对外交数据交互的手段，呃，进行一步敏感性数据的扫描和过录，对于一些东西，一些涉及到敏感性数据的，它会自动的产生一些审批的工单，由工单呢，通过一定的管控流程进行审批之后进行确权，确权和授权，那么在这个过程中呢，其实最难办的其实是那个啥，就是确定这个所谓的数据资产这个主体。因为数据作为。

从虚拟资产它本身是不客观存在的，那么在技术上，呃，技术要落地，它无非就是零和一的问题，那我们做的更多是就是呃转换的思转换控，从控制数据转换到控制载体，也就是说能够通过数据传传输出去的载体，包括磁盘这个电子信号，呃这个就不在这儿稍微展展开说了一下啊，就主要通过这个三大部分呢，进行这个敏感数据的过滤，这是一部分，第二部分呢，就是进行这个全生命周期的这个治理，全生命周期治理呢，就是我们期望呢，就是说按照这个呃，在去年的2021年的四暂的，然后发布的一个数据全生命周期安全管理的一个规范，它是要求呢，从这个收集、传输、存储、使用到清楚的整个五个环节都进行分级分类的管控，在这过程中呢，目前来看呢，就是涉及到技术，呃，这是一个涉及到呃合规，呃这个业务合规和这个技术管控要相融合的一个过程。

啊，那么现在技术世界更多的环节呢，是在传输和存储环节，那业务呢，主要是在收集使用和这个呃，清除的这个各个环节，目前来说呢，这一块在业也是刚刚起步，银行的那套规范呢，目前来说包括很多的技术规范，嗯从嗯我个人了解是包括行自身落地实现过程中都存在一些可能，不但那么适合落地不接地气的一些管控，说白了就是它的管控的需要的成本太高了，太高了导致呢，那个最后的数据呢，一旦管控到的就是要么不可用，要么实施成本过高，那么呃，从现在来看呢，我们除了在这个做了一些所谓的这个边界防御和纵送防御，全生命周期的这个设计之外呢，在第第三个举措呢，主要就是做数据，数据资产的这个紧急的这个，呃，这个主动监测，说白了就是我们会有一些机制呢，对外部可能泄露的一些资产呢，主要是联合这个一些国家对的这个网络安全机构，帮我们主动去对外网一些监，呃监测监测发。

发现之后呢，还有包括对我们利用这个终端呢，还有利用这个这个u uba的一些技术啊，对可疑的一些操作行为进行一些分析，就是呃，在这些可能会泄露资产以及可疑的行为之间的做些主动的增测和因为这一部分涉及的可能呃技术机密较多，我就不再展开说了。

嗯，我们讲几个简单例子嘛，我们主要是什么呢？说利于就会对一些呃，比如某些涉及到高敏数据的操作的，比如说客服还有运营部门，他们经常接触大量客户信息的话呢，对他的一些日常行为经过，比如说他的查询频度，查询的时长，以及查询的这个数据的这个归属范围，机构范围，进行一些一些简单的规则监控，呃，或者说通过一些数据大数据识别的算法监控的一些，呃，比如说时长过长啊，访问频率过大，以及呃过频啊，以及访范过大，进行一些进行一些高这个高危预警，预警了之后呢，再通过这个后事后的这种审计方式，来发现他的一些可疑行为，来进行这个进行这个处置。那目前来看呢，就我们行经做这个事情呢，我个人认为呢，就是说呃，从数据安全的整个实践过程中呢，其实更多的是在做一些基础性工作，就是把数数据安全的这个立法立规，以及数据资产的这个这个这基础工作的梳理，呃做的相对来说会扎实一点，以及一些前提性工作，比如说数据敏感性，数据的分析分类的这些工作，从真真正落地来看呢，我觉得目前业绩来看啊，嗯，不光是我们行，我也了解很多其他行的这个数据安全的管理体系，它的更多还是停留在一个边界防御的状态，因为呃从内部的政式防御体系建设呢，它的成本非常之高，而现在来看呢，实际上就是在银行已经有了相对健全的网络安全体系啊，包括联网隔离啊，我们网络网络攻防的一些设置体系啊，包括漏漏防，漏洞防御啊，这些个工作体系来看，呃，能够产生数据安全的这个风险暴露里面也相对较小，那么在这种情况下呢，再进行这个精细化的管控，对数据本身呃进行精细化管控呢，嗯。

呃，各任何一个企业都会考虑它的一个，呃一个这个投入的成本性价比问题，目前来看就是银行其实呃泄露的数据的事情是是少之又少的，那么在这个情况下，怎么去杜绝这种少之又小的事件，其实还需要一些精细化的这个控制，嗯，所以呢，我们人呃银行界呢，大概可能做的主要是在编剧防御的基础上，探索开展的一系列这个所谓纵防御全身分企业管理的过程，那因为今天时间有限呢，给就可能介绍内容大概就这样，我们现在呃，我们看到的就有一些简单的数据来说一下，我们每年呃能够看到的在外网发送的我行的这个敏感性数据泄露事件呢，可能不超过20起，呃20起呢，我们能够基本都能够主动监测，而且呢，主动监测情况下呢，我们能够做到什么呢？就是对每一个数，每一起数据呢，它进行个溯源，我们基本上每年发生的这个这个不到20起的事情呢，都能够确认，最后基本上都是都不是我们行产生的这个事情，产生的事情当然啊不排除。

可能有在特别高深的水上，我可能没发现的事情，这个倒是倒是可能呃倒是可能呃，存在这种极小极小极小的可能，但是现在呢，还目目前没有发现，我们以2021年的数据来看，总共是处置了实五期，实五期呢，基本上最后溯源都是呃，第三方机构泄露的都是所谓的这个呃，这个这个什么p two p的理财的，他打着打着这个农行的旗号骗了客户的数据，最后最后泄露的产生这个情况，我们甚至可以对他们这第三方的冒充我行名义的东西呢，进行一个处置，然后呢，另外就是我们自己现在已经布置的，就是我们边界防御的一套体系，包括终端的，邮件的啊，API接口的，现在都有一整套的工具体系，每年都会都会进行这个这个大量的这个数，呃，数据的采集和设计，这这里面的数据已经相对有些，呃有些之后呢，我们现在涉及到敏感数据的呃，规则体系呢，已经将近180。

87条了，呃，将近200条了，然后我们现在全行部署的终端，包括邮件，可能邮件的数量可能有将近40万，呃，对于40万个账户都会，近期年在终端已经超过了将近三十万三十七万台，30万中呢，全部部署了这些东西，API接口可能有有可能也有两万多个的监控啊，大概是这么一个情况，呃呃，主持人我今天分享大概就是内容好，谢谢大家。

可能今天在会议室的交流环节啊，如果大家有问题要提问的话，因为何也在我们的这个群里面，也可以在群里面留言交流，然后后续呢啊，如果想跟何处这边在做对接的，也可以联系我们的工作人员，好，再次感谢何处的精彩分享，我们也期待说啊，有机会我们在线下能够更多的面对面的做这种直接的交流，再次感谢您好嘞，谢谢。在第三位分享嘉宾分享之前，我再提醒一下我们呃，在我们会议室的各位嘉宾啊，稍后我们在对话环节啊，提前呢，我们工作人员也征求了大家的一些的呃，关于我们今天讨论的四个议题，然后如果大家有什么问题，现在也可以在我们的会议室留言，我们的工作人员会先收集上来，稍后会向我们的呃，这个在线的嘉宾去做这样的提问交流。在国内数字化转型政策密集出台之下，云计算技术呢成为新型基础设施建设的重要部分，随之而来的云计算安全态势也日益严峻，那么如何保证云上数据安全呢？接下来我们有请到的这位嘉宾是来自腾讯云安全总经理李斌，他带来的主题分享是安全法规下的云上数据安全最佳实践，有请李总带来的分享啊，各位领导，各位嘉宾大家好，那今天我的主题呢，是在今天这样的一个时代，我们面临新合规这样的。

个场景和问题的时候呢，嗯，我们，嗯，我们自身腾讯的角度，对于数据安全治理的一些思考，以及过往的一些实践。然后今天我的分享呢，其实主要是分三个章节吧，第一个章节呢，是在过去的几年以来，随着就是整个产业的发展，然后经济形式的变化，嗯，我们对于整个数据安全这个命题所处的这样的一个时代背景和环境，嗯的一些背景的思考。然后第二个部分呢，也是在我们过去几年做数据安全的这样的一个治理工作，以及为客户服务的过程中，总结出来的数据安全治理和保护工作的一些痛点和难点。然后第三个部分呢，是我们公司，嗯，在内外部进行数据安全治理以及这个企业服务的时候呢，嗯，所积累的一些实践和这个能力。

嗯，然后在过去的这几年呢，其实大家经常听到一句话，就说那个呃，党经常说就是我们目前正处在一个百年未有之大变局，然后这个大变局呢，就是在过去更早些时候，可能放在五年前，嗯，大家呢，理解还不那么深刻，感受还不这么深刻，嗯，但是这几年以来呢，嗯，大家应该是对这句话越来越感同身受，尤其是从去年到今年以来，那伴随着就是整个国内外，嗯，急剧变化的这样的一个政治经济形势。嗯，然后伴随着整个疫情对大家生活生产的一些影响，以及疫情经济逐渐成了一个新常态，然后伴随着国内外法规监管的这样的一个日趋完善了，嗯，大家应该对这个话越来越感同身受。

嗯，然后呢，在过去的几年呢，我们还有大量的新技术，比如像云计算，大数据，人工智能，还有像区块链等等，也逐渐成为了一些就是呃关键的这个计算底座，并且呢，成为了今天整个大家生产生活以及呃各种活动的这样的一个呃重要的推动力，伴随着整个新环境的变化，新技术的发展，今天呢，就是产业也在发生非常显著的变化，那万物互联和数适融合已经成为今天非常重要的呃一个主流，那在这样的一个新时代下面呢，今天大家经常会看到就是说数据已经成为了一个生产力的核心要素，而网络空间安全呢，是保障整个企业发展的红线，也是底线。而数据安全呢，是影响企业发展的一个关键命脉，在今天呢，就是我们正处于数据安全治治理这件事呢，我们正处于一个呃，非常关键的转折点，这个转折点是什么呢？就是在过于数据本身，什么是数据，什么是数据安全，其实是缺乏一个标准化，权威化的这样的一个定义的，但是从2021年开始呢，伴随着整个数据安全法，个人信息保护法这样的一些法律的定义，那其实我们今天来了，对数据本身的一个重新的一个定义，以及更清晰的定义。

伴随呃这样的一个定义呢，在过去几年，然后呢，所有权控制权的这个模型呢，对于今天数据，嗯资产的这个确权定位，安全边界的管理都带来了新的挑战，呃然后同时呢，在今天呢，整个授权权还面临比较严峻的这个外部威胁，那在外部威胁上呢，就是因为这里前面的那个两位专家也讲了比较多，这里就嗯不再赘述太多，但是重点讲几条吧，第一条呢，就是我们观察到的趋势，在呃一八年的时候，我们提出就是嗯国家级的这样的一些攻击力量，嗯开始出现在呃这个大家的视野中，呃会成为未来的一个重要威胁，那伴随这几年整个国际，呃国际这样的一些博弈形势的变化，在今天呢，大家看到就是呃，国家级的攻击力量已经呃浮出水面，成为了就是一个显性的一个事实，嗯，对整个就是呃，关键基础设施对中药企业的影响会日益严重。

然后第二个呢，就是在也是从1718年开始，我们那个时候呢，就呃预警就是整个对于数据安全这样的一个外部威胁，会成为非常重要的一个影响因素，那在一七年的时候，我们观测到就是全球呃，就是公开泄露的数据大概是20亿条，那一八年呢，达到了50亿条，然后。这几年呢，最新的数据呢，就是在二一年，仅仅是公安部公布的一起案例中，就涉及到56亿条的这个公民数据，比如说还是在我国内可以看到呢，基本上在过去几年，嗯，由于各种呃外部分分分险和威胁的影响，嗯，企业和组织呢，对数据的这个泄露的这个事件，这个威胁一直在指数级的上升。然后另外呢，伴随着这样的一个趋势呢，除了数据泄露以外，呃，针对数据的可用性的攻击，比如像这个勒索病毒，针对资源可用性的攻击，比如说挖矿病毒，那在这几年呢，也是在非常显著的上升的趋势上面。

然后呢，嗯，在今天呢，就是呃，今天的这样的一个新的这个呃环境下面呢，就是我们面临的最后一个挑战，呃同时呢，也是整个数据安全发展的一个非常大的机遇，就是依法治国理念驱动的企业合规治理的新的架构。嗯，那在过去的几年呢，国家陆续并且密集快速的发布了一系列重要的法律，那伴随着在2021年呢，就是数据安全法，个人信息保护法，呃密码法，还有呢，就是说那个呃关键基础设施保护条例等等这一系列法律的这样发布呢，在今天呢，应该是在呃法律框架层面，国内的数据安全的这个呃指导意见已经是基本完善，在具体的落地层面呢，呃也基本上各地和各行业在陆续的发布相应的这样的一些规范文件，嗯然后目前呢，我们观测到就是还稍微呃就是说在发展过程中的，就是在整个具体的执行标准方面，目前还是在这个发展过程中，在数据安全领域呢，我们观测到现在呢，就是呃在研标准，就是在计划中的大概有20多项，然后那个呃，个人信息规范相关的这个标准呢，嗯，有大概七项左右，那就是说已发布和待发布的数据安全以及个人信息保护相关的这个国家级的这个标准，大概是总计有50条左右。

嗯。然后同时呢，就是说有一些行业呢，就是说之前呢，已经进行了线性，比如说金融行业，那行呢，在那个二零年就发布了这个金融数据安全的这个分类分期指引，那等到这些呃相应的这个管理规范，分类分级的指引，以及配套文件全部成熟之后呢，我们预测就是整个数据安全的这个政策体系呃，指导体系和标准体系会呃全面的完善，那这个时候呢，就产业会迎来一个呃重大的一个发展机遇。然后从用户视角看，就是我们在今天为什么要做数据安全，其实这里呢，也是在过去十几年以来，嗯，整个数据安全领域发展历程的这样的一个，呃，这样的一个那个嗯总结，呃前面的分总也提到，就是说在整个那个数据安全建设的这个周期呢，其实呃有四个这个成熟度阶段，那其实我们可以看到最早呢，呃国内开始有，呃做数据安全这个单独提出这个命题大概是2010年前后，那那个时候呢，呃主要的数据安全的驱动率是来源于企业自身经营管理相关这个，呃，呃那个资产的这样的一些风险控制上面，那关注的主要是在这个知识产权和这个企业的经营数据。

嗯，那主要的这个环境和场景呢，是这个终端和办公环境，嗯在一八年以来呢，伴随着新的这样的一个依法治国，以及新的信息安全管理，呃，信息安全相关的这个法律体系的完善呢，嗯，我们产生了一系列新的合规要求的驱动，嗯，那这个时候呢，就是说那个大家关注的呢，是在这个，呃生产系统的这个数据安全上，呃，然后从二零年左右呢，大家提出了这个新的理念，就是数据成为重要的生产要素，那在这个过程中，大家关注的场景是这个数据要素的保护和流通，那伴随着整个就是说不同的这样的一个，呃时代的节奏呢，整个数据安全的这个理念范畴，呃所使用的技术以及治理的这个框架呢，也在不断的发展过程中。

嗯，那我们呃预计呢，就是说在过去我们把过去呃二零年以前，嗯我们称为一个旧合规时代，大家更多是嗯强调一个合规尽责，就是到底这个事呢，能不能我们做的这些技术机制能不能有效的保障，嗯这个是不太确定的，嗯大家更多是做了我做这件事去做合规的应对和免责上，而我们预测呢，从二零年开始，今后那企业也好，组织也好，大家做的事情，呃更多一个合规有效转变，合规有效是什么呢？就是在满足合规要求的基础上，同时能够降低企业本身的这个嗯价值风险，嗯同时呢，能够实现这个数据要素的这个驱动，实现价值的驱动，实现这三个主要驱动力的流。

嗯，前面一部分呢，是整个我们总结的，就是在今天这样的一个时代，由于呃，产业技术环境的发展，对于数据安全带来的这样的一些深层次的影响力，然后在第二部分呢，我们总结了就是说四个点，就是在企业自身做数据安全建设中的关键的痛点和难点。然后我们总结出来第一个那个关键痛点和难点呢，就是呃如何在今天这样的一个呃非常复杂而且流动的数据系统中，有效的开展数据的这个识别和分类分级，呃然后这里呢，有几个，嗯目前呢有几个难点，嗯还存在吧，第一个呢，是国家的这个国标的这个数据安全分类分级的呃指引和标准，其实还处于一个草案阶段，还没有完全的这个定稿，那对于大多数企业来说呢，嗯面临的主要的这个指引，包括像那个呃国家重要数据的目录，像这个国标的这个分类分级标准等等，都还处于草案阶段，还处于一个相对在落地上呃比较呃缺乏可疑的一个程度。当然部分行业呢，比如说金融行业是走的比较靠前的，大家已经有一个诚信的一个规范，可以先动起来了。

然后第二个角度呢，是呃，我们关注到就是在今天呢，不同层级的组织对于数据的这个分类，分级的这个分类的维度，呃和这个关注点是其实是有差异的，嗯比如像呢，那个像呃政府类的这样的一些机构，呃大型的这个智慧城市，电子政务等等，他们关注的呢是呃更多的这个在治理层次的这样的一些呃分类的维度和相关的数据，而在企业呢，更多是关注于这个企业自身价值和风险驱动相关的这样的一个那个风险领域，这个呢，本身如果是对于呃。嗯，本身呢，就是说那个呃，对于国家的话，可能不会有什么大的那个大的问题，因为国家的视野更高，但是对于企业自身的话，就会产生一个呃，经常会产生一个误区，就是会发现企业自身所关注点，以及它的这个具体的落实方法，和国家的这个维度会有一定差异，所以呢，在这个具体标准落地的过程中呢，企业需要根据自身的这个经营管理的情况去进行裁剪和这个优化。

然后数据安全呢，经常就是在过去的几年，所有做数据安全的人都会，嗯，其实闭起来吐槽就是数据安全不好做啊，同时呢也做不好，这个呢，我们一般就是说数据安全做甲方不好做这件事情，而做乙方呢，嗯，大多数的这个乙方企业去到企业的这个甲方里面去做呢，都很难做好，那这个为什么呢，我们也看了一呃，我这我我这里呢，也总结了这么一点，这张图呢，是我一个做了十几年数据安全的一个朋友，也是业内一个专家，他总结的今天的数据安全相关的一些主要的框架，呃，关键的一些技术，以及对应的这个产品，总结这么一张图，结果我一看，我说这张图本身总结的挺好的，但是我说如果我做一个企业用户来说的话，这就是做数据安全最大的一个难点，为什么呢？做数据全，如果今天我们要用到上百种不同的技术，几十个产品堆叠、连接互通才能做好数据安全的话。

它的复杂度、成本、难度都太高了，所以这是很多企业里面呢，在具体做技术上非常难以有效的保障和应用的一个关键的这个痛点。然后我们总结就是在企业角度呢，做数据安全建设的第三个难点和痛点呢，就是呃其实前面一张图的延伸就是很多的这个呃，数据安全的这个呃厂商呃他们只关注于技术本身，而忽略了在企业内场景的差异，那这里呢，我们总结呢，就是说在企业内部的环境中呢，其实呃跟随不同的这个数据的这个分布的场景，其实有这么几类基本的场景，嗯大的呢，我们可以分为就是办公场景嗯，以终端为主的，以文件传输非结构化，非结构化数据呃为主的这样一个场景，然后数据的生产场景，呃然后还有呢，就是研发运营环境，这是大的场景，那根据里面的这个细分呢，那可能还会分，比如像办公环境里面，还分一般的办公环境和高敏感岗位的这样的一个办公环境，那在生产环境里面呢，根据就是说整个技术形态的不同和所处业务不同，那我们还可以分为就是说事务处理型的，就是比如像我们的这个在线业务，呃，像这个APP，呃，外部网站等等相关的这这些业务，那分为就是说P。

行分析和大数据类型的分析型的业务，那还有呢，就是归范备归档备份容灾环境这样一些温数据、冷数据所处的环境，他们之间呢，数据形态和这个需求还有非常大的差异，而在研发环境里面呢，开发和运维其实又是两个不同的细分场景。首先总结就是在今天的企业里面，其实从整个企业本身的，呃，从它的这个数据，资产的类型，结构、形态，使用的方式，使用的频度，呃等等各方面因素综合来看呢，其实会分这么一些基本的这这样的一些场景，而每种场景里面呢，它的这个数据是有较大差异的，数据的特点，然后以及需求都存在不同的差异。那伴随着就是每个企业它所处的行业和业务类型的不同呢，其实它会涵盖里面的一到若干种不同的场景，形成一个组合，那这样的一个组合呢，其实对今天企业里面做数据安全的治理这项工作，呃，形成了一个更复杂的这样的一个，呃这样的一个影响，影响因素就是如果今天做数据安全不首先考虑我们自身的这个业务场景，场景里的这个数据特点的话，那这个数据安全是非常难以有效落地的。

呃，然后在这里呢，我们总结了一个，就是在今天，呃，数据安全所面临的这个主要的这个风险面，我们把它总结为这五个风险面，那分别就是外部攻击的这个风险，比如像来自外部的这个，呃，数据泄露，黑客攻击等等，然后那个内部内部舞弊的风险，包括内部对数据的这个，嗯用滥用权限失控和操作失误等等。然后呢，来自于就是说那个合规治理的这个要求风险，因为今天呢，就是很多企业是跨国跨区域来运作的，在不同的国家，区域、行业呢，有不同的这样的一些法规标准去进行要求，那如果不能进行有效的应对映射和进行落地控制的话，那会产生相应的这个合规治理风险。

然后第四点呢，是这个呃今天的数据作为一个非常重要的这个生产要素，那流通和这个数据的使用，呃是它产生价值非常重要的这样的一个环节，那在数据的这个流通共享过程中呢，呃会产生第三方非受控环境带来的风险，那另外呢，还有经常被忽略的一部分就是呃三方环境的分享呢，就比如我们今天有很多的这个应用，呃是那个APP的形式，呃或者是以这个网页的形式，那今天呢，其实在这个APP环境下，我们发现就是说呃APP的这个运行的这个终端，事实上是企业的一个非受控环境，那往往在这里呢，也会出现一个呃不受控的这个呃风险环境的入口。然后最后呢，就是来自于这个供应链的风险，包括数据的上下游供应链，以及软件的上下游供应链。那同样呢，主要的难点我们也总结了这么几点啊，就是包括呃，如何进行有效的这个合规治理啊治理和策略落地，那在今天呢，就是说那个全世界不同的区域有不同的这个法规，比如像呃欧有gdpar，然后在美国呢，呃有CCPA，然后在东南亚，在日日韩都有，各个国家都已经出台了相应的法律，那在国内呢，也有数据安全法，个人信息保护法等等，嗯，那每个法律如何能有效的做策略的解读，到底对于企业来说，嗯，企业的这个业务流程和技术的控制点在哪里，能够实现一一的映射和有效的保障，这是第一个难点。

第二个难点呢，就是说在大量的这个非受控和三方流通的这个环境中，如何进行数据的合规使用，嗯，那这是第二个难点，包括像那个嗯，在企业流出边界的时候，嗯，在多方进行数据共享和交换的时候，在数据进行安全计算的时候，那都涉及到这方面的问题，然后另外呢，还有像APP这个，嗯，终端的这个非受控的这个环境，对隐私的这样的一些影响。然后第三点呢，我们关注到在数据安全治理这个环境中呢，就是因为密码技术一直是非常重要的一个保护技术，而在过去的几年呢，在重要的这样的一些那个嗯机构中，就是说那个国内也在嗯推动就是说国产化密码，嗯商品化的这样的一个改造，嗯，那国国产化密码技术改造啊，以及嗯，不管是哪种密码技术，都涉及到密钥的管理，凭据的管理，那这些关键凭据的管理呢，以及这个相应技术改造，其实今天存在的第三个难点。

然后第四个难点呢，是数据在运行时的保护技术，嗯，我们传统的技术呢，更多关注在数据的这个传输时的保护，数据的存储式的保护，而在数据运行式的那个保护呢，嗯，由于本身成本嗯，技术复杂度等等各方面的因素，到今天为止，其实还缺乏一个，嗯，能够普适性有效落地的方案，这也是大家需要去进行研究的第四个难点。然后第五个呢，就是在整个数据，呃，在企业范围内这么复杂的流通环境中，如何有效的进行事件行为的监测分析，并且和数据的确权，嗯，使用者的身份进行一一的映射，进行全局的有效治理，这是第五个难点。

同样呢，就是我们看到就是因为数据安全它是一个非常庞大的体系，涉及到企业从这个组织呃治理，然后到这个业务应用，然后到技术基础设施各方面，那在今天呢，就是如果按传统的数全思路呢，去简单的去堆叠技术，堆叠产品的话，那。基本上是不可能成功的，而且嗯整个的收益比会非常差，所以在今天呢，除了我们呃传统这数据安全里面嗯会特别强调的安全性以外，我们更重要的是要兼顾数据本身嗯使用和流通的效率，就是用性是非常重要的一个方面，包括就是对业务的影响，嗯对流程的影响和对整个这个呃用户体验的影响，同时呢，就是说本身我们所选用的这个呃技术的这个机制，数据安全管理的技术机制以及产品。嗯，它的经济性，也就是成本也是非常重要的一个影响因素，比如像过去几年呢，我们国内在很多企业在做这个国民化的改造，我们见到一个比较极端的案例，嗯，有一个那个政府单位它的一个应用，嗯，有一家嗯厂商给他提供的国民化改造的这个方案，嗯，仅仅是国民化改造这个方案的这个成本，嗯是它这个应用本身造价的2.5倍。

嗯，那如果是在这个基础上再做完整的数据安全的这样的一个治理的框架的话，嗯，这个是非常不经济和不理性的这样一个选择，所以呢，就是在今天呢，呃，成本和经济性也是非常重要的考量因素。然后另外呢，就因为今天大量的数据都是在云环境下的，那所以呢，就是说以云的兼容性，以及考虑到云本身，嗯，这个所用的技术的性能可靠性，也是数据安全治理是否能够成功的一些关键影响因素。然后最后呢，这里我们总结了这个第四个难点，就是在今天呢，企业数据安全，嗯建设企业需要做哪些事情，嗯，那这里呢，其实我们的一个核心的这个观点，就是说企业需要有一个适配自身场景业务环境的这个数据安全治理框架，然后这里呢，是目前腾讯云自身我们建设的一个腾讯云数据安全的治理框架，嗯是基于我们内部实践嗯所建立起来的一个框架。同时呢，其实对于大多数企业来说，如何选择一个嗯合适的框架进行裁剪适配，并且映射到自己的组织上面，其实这是我们总结企业建设中的第四个难点，同时呢，我也把这个作为我后面一个章节，就是腾讯自身安全实践的一个起点。

在今天呢，就是嗯，腾讯初步建立了，就是腾讯云为基础，初步建立了一个腾讯云数据安全治理框架，那在这里面呢，我们把整个这个数据安全的治理体系分为五个层面，在最顶层呢，是这个呃法规，呃，呃法律合规的这个合规层，这样的一个解读和映射。在今天呢，腾讯云的这个业务范围，嗯涉及到就是呃20多个不同的这个国家，每个国家呢有相应的这样的不同的这个数据安全治理的这个法律要求和这个规范，比方仅仅在国内我们就有这个呃，网络安全法，数据安全法，个人信息保护法，嗯，然后关键基础设施那个保护条例，网络数据的这样的一些审查条例等等，那比如像在欧洲还涉及到gdpar，然后在美国呢，还涉及到这个CCPA，嗯，像在俄罗斯还有一些特异性的一些法律，那这些法律如何能够有效的映射到我们的这个，呃，管理流程上，并且经营技术落地，这是一个顶层的一个指导。

然后在这样的一个指导框架之下呢，就是说第二个是主治保障的体系，那有这么几个关键点，第一个呢，就是呃，负责人需要建立就是数据安全的这个保护负责人，个人信息保护的负责人，而今天呢，我们强调的一个主要论点就是业务部门的所有者一定是数据的第一所有者，同时呢，也是数据安全的这个最终负责人，这个理念要落实下去，那不然的话，业务部门嗯很难就是说去配合相应的工作，那在具体的这个落地上面呢，会根据就是整个数据安全治理框架所涉及的这个不同的业务范围，去把所有的这个相关的业务范围卷入这个范围去进行一一的分工和定位，然后最后呢，还有就是建立相应的监督审查机制，嗯，在流程，嗯，在机制上保证整个这个组织运作的流畅。

然后第三个层面呢，就是我们数据安全风险治理体系，流程体系的建设，那这里呢，我们根据就是。嗯，整个数据安全这个，嗯，治理的这样的一个。生命周期把它分为这么几个大的关键的环节，第一个呢，就是呃，数据资产的清查定和分类分级，然后在完成数据安全的这样的一个分类分级和这个定级之后呢，会进行整个数据安全以及个人信息保护的风险评估，因为定完级之后，到底是不是符合这个级别啊，然后从环境，从威胁上有哪些问题，嗯，需要进行相应的风险评估，然后这个风险评估工作完成之后呢，会进行相应流程体系的建设，从不同的角度，嗯，机制上来保证，就是数据安全本身的这个呃管控。然后第四个环节呢，是建立相应的这个事件响应，嗯预案，以及这个应急响应的这样的一些管理机制，然后最后呢，还有一些支撑性的流程，包括像呃，整个信息管理沟通的这样的呃这样的流程，嗯，然后全员的数据安全处理的相关的这个意识和培训，还有就是整个数据安全治理体系的监督审查机制。

然后在之下呢，其实我们也是嗯跟随就是整个数据安全治理体系的这个生命周期，嗯在安全技术上把它分为这样四个大的环节，嗯七项七类关键控制的技术，那这些技术呢，其实跟我们上面的流程体系是嗯一一对应的，比如像在这个呃数据资产清查分类分级上面呢，我们建立了这个呃数据识别分类分级的隐私检测，还有数据风险评估等等相关的，呃这个对应的业务系统管控工具，那对这部分来进行支撑，那在第二个部分呢，就是对安全流程这个管控流程上面的这个支撑上面呢，我们把它嗯根据数据的生命周期，分别就是传输储的安全。然后数据处理过程和隐私保护的安全，还有呢，就是这个呃数据的访问控制和身份控制的安全，还有就是计算与共享过程的安全，分为这样四个呃子类，然后呢，里面包括的这个嗯主要的这样的一些技术，包括像这个呃加密的技术，密钥管理的技术，呃数据脱敏，然后匿名化的技术，然后关键据的这个控制，还有像精密计算等等这类这些技术来保证从嗯适配到业务，从不同的环节，层次和角度，嗯都能就是有效的保障数据的安全。

然后第三个品类呢，是我们同时也建立了数据安全的这个监控和审计相关的能力，包括像数据库的防火墙安全审计，然后数据水，还有像uba等等，从各个环节呢来保证，就是说呃，数据访问行为的这个呃监控和有效性。然后最后呢，是也建立了相应的这个应急，嗯应嗯响应和应急恢复相应的这样的一些机制，那这样呢，通过这个技术对战的这个建立实现技术和工具，嗯，然后对上面流程的这个一一对应和支撑，然后在底层呢是嗯整个云基础设施的这个环境，通过这个云的一些基础能力来保障基础设施的安全。嗯，然后这里呢，是其实前面一张图，嗯，从企业角度呢，具体映射的一个嗯如何从法规，嗯然后来映射到就是说选取合适的治理框架，然后由这个治理框架呢，就是形成嗯，企业相应对应业务范围和场景内的这样的一个呃治理体系的机线，然后由这个治理机来选择合适的这个安全控制的机制，然后最后进行落地的一张呃演化的一张图。

后面呢是一些具体的实例，嗯第一个呢，就是我们这里第一件事呢，就是首先是嗯根据就是目前我们涉及的业务范围，嗯根据各项就是国家的这个标准和不同，嗯不同国家的这个区域管理管控的规定，形成了整个就是说腾讯云的这个数据安全分类分级的标准。呃，然后呢，并且其实这个标准呢，在这个标准之上衍生呢，我们还呃形成了就是整个腾讯公司的这样的一个呃企业标准，就是数据安全分类分级和这个治理的框架原则要求，以及相应的使用的技术。然后有这个标准之后呢，其实第二个就是具体用什么样的工具和技术来进行技术落地，那在这里呢，我们建立了就是嗯，嗯，两个重要的这个管控工具，一个呢，就是数据分类分级和这个呃数据发现和分类分级的这个呃自动化的这样的一个产品，另外一个呢是呃数据和个人信息保护，影响评估，风险评估的系统，嗯，那第一步呢，是根据不同国家区域，嗯行业的这个法律要求，会形成相应的合规模板，那这个合规模板呢，会嗯从几个维度，包括就是数据本身的属性，呃合规的这个要求，嗯，然后等等形成最终形成一个合规组。

那这个回归主呢，会映射到就是说不同的这个数据管控的等级，呃，数据的属性，然后进行数据的分类分级。然后呢，在这个里面呢，就是今天呢，就是我们的这个数据分类分级是嗯包括就是结构化和非结构化多引擎的能力，嗯，那通呃兼容来兼容，就是说包括像呃数据库，K va API日志，还有就是非结构化的文本等等各种数据类型。那这里呢，是合规模板的一个简单的映射，就是说基本上会形成基本的这样的一个，呃呃，这个数据的这个字段属性，嗯，然后以及呃，根据不同的合规模板会映射到不同领域的这样的一些数据的类别。

然后呢，在建立完就是说这个呃，做完这个数据的这个分类分级，风险评估之后呢，其实非常重要的就进入我们数据的这个有效保护的阶段，因为这里呢，我们前面说到就是在传统的数据安全建设过程中，涉及到包括像这个身份认证呃，密钥管理加密，然后这个审计日志等等多多种技术，那其实这些技术呢，如果让这个业务去选择和应用的话，它是非常困难的，那如何就是呃进行建立一个云原生的管控体系，呃简化用户的操作，那这里呢，其实我们是嗯把一些核心的能力，嗯抽象出来，形成了一个云数据安全的中台，嗯这样的一个理念。那这个理念呢，基本上就是我们的原则就是嗯抽象核心能力，然后把这些关键能力直接去对应到云原生的这些服务来实现大部分能力云默认的这样的一个安全，那在今天呢，就是我们这个云数据安全中台呢，包含就是呃八个主要的这个管控模块，包括像那个呃密码这块，然后形成了就是说这个嗯按P使用的国密资源，以及一键云数据透明加密，那今天呢，在这个云数据加密上面，我们对接了大概有超过50款的这个云服务，嗯，那并且呢，就是说可以用户可以实现呃一键开启，就是包括符合国密呃国密那个国密支持的。

嗯，国民合规的这样的一些那个数据加密的能力，来实现数据的默认安全，那在这个基础之上呢，有一些场景下面会发现，仅仅是这个在存储安全是不够的，用户更需要就是说嗯，这个在应用层，嗯去进行相应的安全管控，那这里呢，我们还建立了是云原生的应用数据安全关这样的一个机制，相当于在这个产品上呢，我们把嗯数据的这个分类分级，嗯脱敏加密等等相关的能力，嗯在这里进行一个透明的这样的一个管控。然后还有呢，就是数据分类分级和风险评估的这个引擎，还有呢，包括就是呃整个呃全云的国密化的这个网络数据传输加密的能力，呃敏感数据评，嗯凭据保那个保托管的能力，还有呢，就是高性能的这个国密软硬件密码模块，还有就是在移动端的隐私和数据安全的保护。

呃，今天呢，就是说整个这个腾讯云数据安全中台呢，有几个特点，第一个呢，就是我们作为呃整个云操作系统的一个核心组成部分，嗯作为这个云安全的基础设施组件而存在，相当于就是如果采用腾讯云专有云的这样的一个嗯框架，那默认呢，就是包含这些基本的这样的一些呃数据线的能力，然后第二个呢，在过去几年呢，我们对云的适配做了大量的这个国民化适配改造的工作，包括整个这个腾讯云的这个专有云的这个平台，在嗯去年也通过了这个。应该是国内比较早比较领先的通过了密频相应的这个呃测评，嗯，然后第三个呢，就是说我们尽可能的去实现对云服务的无缝对接，嗯，像我们密钥的管理，数据的加密，还有像这个呃呃敏感数据的发现，还就是频据的托管等等数据安全治理中一些关键的这个管控技术，嗯，我们无缝的衔接了，就是超过50以上的云服务来简化用户的这个操作。

嗯，在这个加密上面呢，基本上就是基于KMS呃实现嗯腾讯云这个超过50项服务，包括就是我们常用的像呃对象存储，云数据库，呃分布式数据库，还有文件存储等等这些服务，默认的安全和透明加密。然后在密钥管理上面呢，我们提供就是说那个KMSHSM这两项服务，嗯，那并且呢，在底层是呃，符合国内和国际嗯双重标准的这样的一个那个经过认证的这个硬件密码机来提供，就是用户更密钥的这个保障。嗯，然后在这个呃应用层的这样的一个数据安全上面呢，我们把我们前面所说的呃数据安全分类分级的能力，嗯治理的能力，然后还有就是脱敏呃这个呃访问控制相关的能力，还有数据库审计的能力了，集成成一个轻量化的一个产品，叫云原生数据安全网关，嗯，那通过这样的一个呃透明的介入网关，云原生的这样的一个产品的呢，同时来实现，就是说呃这样五种基本管控能力，呃这样的一个落地和映射。

呃这个产品呢，我们基本的一个初期的一个设计要求就是完全运营运原生化，嗯能够就是说以这个呃天级为单位，实现用户业务的保护和上线，嗯那在去年呢，其实也有一些比较良好的一些那个实现案例，嗯比如像那个在嗯去年呢，我们承接了大概有几十个省市的这个呃健康码，健康码的这样的一个那个建设的这个工作，呃然后其中呢，在呃某些省市里面，当时呢，面临就是说整个数据安全保护的要求，国民化改造的要求呢，如果采用传统的原来的解决方案的话，那基本上建设的周期都是以年为单位的，而且造价会常非常高，那当时我们采用新的这样一个云源申数健网关的这个技术，嗯，基本上是在以周以呃以周为单位，就实现了这个数据的有效保护和上线。

然后在整个数据传输的安全上面呢，今天呢，我们提供的就是呃，支持国密算法的数据端到端的加密能力，那包括就是国密的SSR，国密的浏览器，然后国密的这个密钥证书，以及嗯，通讯的加密。嗯，在过去几年整个这个安全建设的过程中呢，我们关注到，嗯，云上的用户有非常重要的一类，就是说那个非常重要的一类，这个安全威胁，对数据安全威胁，就是由于凭据泄露，嗯导致的这个数据泄露，嗯那在云上呢，包括像这个呃云用户云API访问的这样的一些密钥，呃云本身的账号等等，这都属于敏感凭据，那很多的这个用户呢，在开发过程中，由于就是说意识的疏忽等等，他会把这些敏感频据硬编码的方式，那就是嵌入在代码中，那代码一旦泄露就会造成数据的这个二次泄露。所以针对这个问题呢，我们研发了一个就是凭据托管系统，那相当于就是用户只要用API入的方式，嗯来直接连接，就是说它相应的这个呃数据资源就可以了，他不需要再去明文的方式再来保存它的那个呃敏感频区，而这些频据呢，都是加密之后存储在就是我们的这个KMS系统里面的。

然后呢，前面讲了很多，就是关于这个加密的技术，最后呢，就是每个用户呢，他都有一个最终的钥匙，就是呃，云上的用户的主密钥，那这里呢，我们也支持，就是通过B模式用户来嗯持有它的主要来保证就是最终信任跟在用户这一侧是受控的。然后最后呢，我们还提供了就是在云上的一个呃，高性能的机密计算服务，然后通过呢，机密计算的环境，嗯，通过硬件增强的方式呢，来给用户提供一个嗯，透明的这个安全计算的环境。啊，这里是我的一些实践的分享啊，谢谢各位嘉宾。好的，呃，那我们就再次感谢以上的三位嘉宾的精彩分享，嗯，其实如果是我们嗯，原计划的这种线下的研讨会呢，我们大概规模在20到30人，然后之后这个环节呢，我们其实也是按照惯例准备了四个议题啊，然后会请到现场到场的所有的嘉宾来，呃分别分享一下对今天的主题，还有今天呃分享嘉宾分享的内容的一些看法和自己的思考，那因为现在改成线上的缘故呢，同时呢，嗯，本场活动呢，我们也得到了特别多的呃这个关注安全这个板块的Co Co的关注，所以人数比多，那我们工作人员在我们动之前呢，也提前我们的今天参会的嘉宾做了一些沟通，所以后面的对话的环节呢，我跟大家分享一下，就是稍后我们的，嗯，工作人员会把我们今天的四个议题放在我们的这个背景上，然后呢，我会先。

去邀请之前跟我们沟通过想来做分享的一些嘉宾，先谈谈他的观点和看法，以及嗯，现在我们三位主题分享的嘉宾呢，因为何处他有点急事，所以呃临时离开了会议室，那我们的风总和李总呢，都在我们的会议室，如果大家有对演讲嘉宾想提问，以及想分享我们的，呃四个议题中的某一个问题或者是某几个问题的都可以，呃在我们的聊天区留言，或者在我们的微信群里面留言，我们的工作人员会把这个问题对接给我，我再来邀请您来回答，那嗯，首先呢，我就先邀请一下，嗯，之前跟我们沟通过的有一些嗯嗯做分享的这个对话嘉宾来发言哈，那我邀请的时候，那也欢迎我们的嘉宾打开自己的麦和摄像头，嗯，然后来分享您的话题，嗯，我看到我们报名的参加本场研讨会的这个行业还比较多哈，涉及到有央。

企有金融，嗯有政府，还有一些呃企业，包括嗯金融里面有证券，有银行等等的来自于各行各业的C，那有的呢是我们C班的同学，有的呢是我们班的同学，有的呢确实也是第一次认识的新朋友，嗯，我就先呃邀请一下我比较熟悉一点的，那后面的嘉宾呢，我也特别欢迎大家能够举手示意在聊天去留言，嗯，参加我们的呃对话环节，因为对话环节碰撞出来的一定是非常干货和和落地的，同时呢大家也可以来提问，首先呢，我就邀请来自呃中国交通建设集团安全处处长刘学中，刘处，那其实跟刘处也交流了蛮长时间的青年，在我们的呃C班的年会上，也本来邀请他来参加我们的安全分论坛，因为疫情的原因呢，也很遗憾没有跟他在线下做这样的交流，那今天呢？

那我们在线上先做一些呃交流和沟通，那我们有请呃协同处长来开启您的摄像头，和麦来跟大家打个招呼，先做一下自我介绍，以及你想交流的问题好吗？

嗯，主持人好，大家好，我是中央集团科学技术与数字化部，嗯，网络安全处的处长刘学忠。啊，那今天呃就是非常荣幸，呃就是那个有限啊，就参加咱们这个论坛，嗯刚才几位专家从数据安全治理的方法论到应用实践，呃做了精彩的演讲，呃对我启发也很大，呃非常感谢主持方和各位专家，呃那现在呢，就是我，呃就是个人体会，倒是谈不上，倒是想呃就是结合工作中一些问题啊就是呃向几位专家呢，就是嘉宾能够进一步，呃就是提出提出问题吧，呃就是现在很多央企就是都在海外开展业务，那相比国内的话，就是海外它在数据安全方面应该它面临更复杂的情况，嗯包括管理难度更大。呃，信息化的基础条件更差，呃面临安全风险，应该说更加更加严峻，呃还有就是刚才几位专家都提到了，呃海外的合规管控方面的一些啊这个限制，那我们现在也了解，包括呃美国、欧洲、俄罗斯等等，世界上现在大概有100多个国家都出台了这个数据安全保护相关一些法律法规，呃对个人信息方面的保护呢，就是更更加这个严格，嗯这就对我们在海外的呃信息化工作就是其中的这些，呃数据的采集、传输，呃存储、处理、交换、销毁等等这些环节，呃造成很大的困难。

呃，我们现在工作中呢，现实面临这些问题，呃，所以就是在这里想借这个机会，呃跟专家就是请教一下，就是在海外的数据安全啊治理，就现在就是有什么好的这个实践啊，可以给我们借鉴，或者说呃给我们提供一些啊，就是好的一些这个建议啊，那主持人我我就主要那个跟专家再请教一下这方面的问题吧。

好，谢谢学总组长的提问，那我们有请我们今天两位呃分享嘉宾总和李斌总分别就这个问题来分享一下自己的看法好吗？嗯，那我们有请总先分享一下吧。刘好总好，呃，大家都很熟悉了，呃，我们因为也是属于央企嘛，是中国电科的这块呢，两个部分就是刚才刘叔碰到问题，其实我们也在碰到，呃，我先讲一个我觉得挺有意思的一件事情，我觉得叫做以企业企业这个加微信。就是企业这个mi的这个通讯手段，我们在用的一个叫做呃三，就是网的三的一个叫的一套机制体系，底层呢是用的类于像这种已加密算法，包括这个呃核心的这个处理的机制，这部分呢，它处理不处理密的，而且呢，这部分东西呢，已经为外交部和其他方面呢都延伸出去了，所以这个呢更多的是。

不是解决那个新系统的，更多的解决的是以我们叫做以以这个工作交流工作传输工作传递这部分的东西，我觉得这个部分也是当时应这个央企国资的一个要就是要去决，就是我们跟海外的这个数据的部分，我是觉得可以用类似于这种加密IM'm的这种方式解决一部分，这是第一个部分，第二个部分呢，其实就是跟我们的移动通讯，移动通讯里头的那个部分里头也有类似于加密的这种设备，因为在海外其实很心的一个问题就是你传输的数据。呃，更多的涉及到呃，偏国家秘密和或者说企业商这两个部分，所以它的加密程度比较高，其实从企业经营数据上来讲，或其他经来讲，海外毕竟属于一个偏分支的一个领域，所以个部分里头我觉得先抓重点，就是我们也是过两个规划吧，两个规划里头都涉及到类类似的问题，所以在这个过程当中，就是说如果我对中教中教的理解，可能涉及到的这两个这个问题是比较头疼的。

好，我觉得因为涉及到一些太商业核心秘密的，我完事了给刘处把资料扔过去，你先看看，我就不在这里头，咱们太讲这些其他方面的东西呢，我觉得因为确实涉及到海外，这里头有两个问题，就是一个问题呢，就是类似于你的基础设施比较差。你要不走云的线，就像工商银行他们也有一个经验，他们的这个加密通道隧道是延伸出去的，但是像我们其他的央企好多是没有延伸出去的，借船出海，你一处的基础设施安全这个部分太多了，你你自己建投不起，用别人的不放心，所以呢，这上面只能在利用它的硬件或传输这两个已经基本加密的情况下，在上面再承载你自己的业务，再在业务上做加密，或者是在做隧道，做通讯啊，我回到到这里，谢谢刘啊。

感谢总的解答，留出这个问题其实非常非常敏感尖锐的问题啊，也是其实在过去的一年以内，我们碰到很多的客户，嗯，也有国企出海的，然后也有就是说外企在国内的，嗯都问到这个问题，就是说数据跨域的这个，跨国的这个，嗯，流通性问题，其实这里呢，只能说就说有两条基本的实践准则吧，就是说可以，嗯参考一下，第一呢，就是我觉得。嗯，还是要先评估，就是说我们所涉及的业务区域，相应国家的这个，呃，法规的这个管控的程度和这个文化的要求，就如果简单说就是他如果本身管控比较严的，呃，数据化本数据本地化要求比较高的，这是一种策略，另外一种呢，就是说如果这方面不这么严的，对于数据本身的这个主权和管控要求不这么严的，这是另外一种。对于钱总呢，我们更建议就是说做数据域的这个分离。

嗯，就是说嗯重要的数据就是说尽量就是说采用这个业务层面关键数据回传的方式来回传，而大量的基础数据呢，尽量就留在本地，就不重要的基础数据留在本地，采用分离的方式减少，就是说嗯治理的难度和对企业的影响，那后面一种呢，就是说可以更多的采用像刚才那个嗯分总所说的嗯，就是说采用比如像SS化的服务，我们可以尽量把数据集中化的放在国内的方式，简单说就是别人管的严，咱们就得防着点，在那边尽量做分离。嗯，在初期做分离，如果是的不，那么咱们就尽量做集中来减少，就是对另外一侧环境的这个依赖。好，谢谢两位专家。啊，主持人，我的问题提问完了，好，那呃，之前我们有嗯。就是准备了四个议题，我在就第二个问题，我看大家关注的程度会比较多，这确实是今天到场的嘉宾人数比较多，然后我这边的这个系统更新的有点不太及时，这样我直接在我的这个这个会议室里面，我邀请一下王，王自杰王总好不好，您来做一下分享，您能听见我声音吗？

这也是我们安全学院的同学，嗯，你好，可以听到你的声音，好的，那我邀请您做一下分享，我们四个议题，任何一个都可以，也可以，您可以就也可以对我们的现场的几位嘉宾做呃，提问也可以。嗯，这样我觉得也非常高兴啊，参加我们这个这个活动，我觉得今天这个三位嘉宾讲的还是挺好的，就是不管是从理论上啊，还是呃实践上，以及这个方案上，实际还是有很大的一些收获，呃，但是目前就说对我们来说呢，就是因为我是保险公司的。啊，保险公司就是我们，呃，现在整个在这个数据安全上面，可能还是停留在一些工具上面，然后目前可能就是在这个数据安全比较重点，就是还是没有一个很好的一个规范，先说这些制，呃国家的法律都已经有了，但是怎么去具体的落地呃，建设的一个标准，现在还是有一些这个一些困惑，就是更多的还是先呃采用一些工具满足一些这个包括等保啊，一些合规的一些基本要求，所以这方面可能还是下一步需要，我觉得更多是从监管上面这个出台一些这个一些更多的一些条例，然后可能对我们执行起来更有一些这些帮助，呃，就是目前的困惑主要在这方面。

呃，监管这一块的总要不要来回答一下？好的，我刚才呢，其实听这位先生所讲到的一个内容，其实很核心的一个问题，就是他停留的阶段，就是说现在保险公司我们也接触了一些，就保险公司里头呢，其实现在不是刚才还有何处所讲的，就金融机构里遍现在的数据这个管程度呢很高，就是说先要把它圈在他自己的那个范围内，现在这个范围内呢，实际都基本上经历了第一个阶段。

第一个阶段什么呢？就是我们买了很多安全数据，安全能力的基础工具来去解决它现有的问题，但是呢为原来没有立法，那现在呢，刚刚立法，刚刚立法以后呢，新的这个政策和标准意见没有出来，没有出来以后，其实大家从第一个阶段到第二阶段需要有一个比较长的一个过程，我的判断是在三年左右，这的时候就是不管是除这个事，这个规范来讲以后，还是其他来讲的，必须得让整个组织当中认为数据这件事值得去投入他的管理，呃管理成本和这个技术成本，和它的运营成本，和这个监管成本这四块来讲的话，实际我到大数还没有到这个阶段，但是呢，现在又想去到这个阶段，就是从现到未来的过程，是一个相对，呃，有一点迷茫，就是这呢，可能有很多种到目标，不见得种一定最合适，但找到组织最合适的目标，实际是织自己认识到这件事。

重要。感谢冯总啊李总，你你你也解答一下。嗯，这个问题呢，我觉得其实有很多现在想做数据安全治理体系的这个工作的这个一个重大困惑吧，嗯，我觉得我讲两个关键点吧，第一个我觉得是组内还是尽量要尽早要把就是整个数据治理这个事情，嗯，提上议事日程，并且呢，摆在一个比较重要的层面上。很多企业呢，就是说在数据安全嗯治理这件事情上，还是把它作为就是说传统的网络安全或者信息安全的一个子集来看待的，那从今天的整个这个监管法律法规以及整个企业产业发展的形式来看呢，其实在未来可能这个是不够的，那今天呢，我们更主张就是说嗯把数据安全作为一个独立的命题，嗯然后来拿出来来讨论和建设，那这个时候呢，需要就是说嗯企业内部需要有更明确的这个呃职能的负责人，同时呢，也需要就是把相关的这个业务的这个负责人一起卷入来，嗯反正简单说就第一个要有牵头责人，嗯第二个呢，就是说呃各个业务的负责人要让他们明确，就是呃业务的负责人是这个数据安全的，呃，第一责任人这两个观点是要企业内要逐步的宣贯和建设起来的，然后另外从整个这个国内政策法规发展的趋势来看的话，我们看到就是说国家在法律层面的，国家的这样的一些那个法规呢，其实在。

在二一年已经基本上都完善了，我们可以看到就是我们说这个网络安全审查条例，其实也涉及到数据安全方面，是数据安全方面，嗯，相当于是最后一个重磅的一个法律，那在行业上面呢，其实呃，行业和地方的执行条例，嗯，有一部分行业和地方其实在二一年以及之前已经发布了相应的指导文件。

嗯，那个嗯，但是这些指导文件呢，可能在这几个法律尚未法律发布之后呢，我们觉得可能在嗯二二年还会有一些陆续的调整，嗯和这个优化同时呢，没有发布的，我们预计在后面的一到两年之内呢，在行业和这个地方的指导条例上呢，也会进一步的完善，然后第三个问题呢，就是说在具体的这个落地标准上面，目前我们看到应该是在后面的两年以内，嗯，都会密集的出台，所以等到行业指导文件和这个嗯具体落地标准全部完善以后呢，其实在整个。嗯，指导指导意见的这个层面上呢，对于企业来说是已经足够完善了，所以呢，我们建议的一个走的步骤，嗯法法律出来呢，那首先企业内呢，可以意识和宣贯先行，让大家先知道有这么一件事，然后呢先建立相应的这个组织体系，嗯然后呢，伴随就是说，呃，行业指导文件和落地细则的这个嗯出台嗯来进行实际的落地和优化。

啊，谢谢，我觉得你这个指导很很有帮助，我觉得就是第一步先上我们的人员对这个法律先学习，第二步根据这个法律，先把一些这个制度的一些这个这个组织先建起来，后续根据这个条例再去做落地，谢谢，我觉得很有很很有帮助性。谢谢主持人好，感谢自杰总的提问以及两位嘉宾的分享，我还有看到我们华南的一位同学张峰，张总，您能听到我声音吗？啊，你好，我可以听到好的好的好的啊，您打开您的麦，邀请您做一个分享好吗？哦，这个因为现在这一块呢，就数据安全呢。呃，应该是政府部门啊，现在主要是有一个，呃，整体的一个，现在全部都在呃政务这个发展方向，所以我们在部门这个层面呢。

主要是一个法律法规的一个应用，其实现在有一个比较大的一个难点，就是所有上以后，呃，就像前面几位专家讲的。有一个情况就是数据的这个控制权，所有权，这个有很多东西是有一些不确定的，上以后它的安全，其实它是分领域分阶段的，就是应该说在这个应用应用这一那怎么去。做好的安全措施，比方说用方或者甲方怎么这个对运维商的。这个管理，还有对这个内部业务人员的管理，还有对内部的这个设备管理，另一个呢，就是云上的安全，目前的话呢，基本上我们那个政府它有一套体制，呃和这个机制就是政府的相关的部门啊，就是政政部门啊安啊部门相应的。

手段还有一些这个监督的一些措施，应该是一个多管齐下的这么一个过程，当然这个里边呢，我认为还是一个发展阶段，因为随着环境的变化，目前整个的这个边界打破了，就不像原来有很明确的一个边界，这个里边呢有很多的一些东西。只有这个。相应的安全事件发生这个这个过程解决过程中不断完善，总结经验，进一步完善这个制度上。管理的机制、体制，还有责任上这个方面去完善，我非常赞同刚才几位专家讲的，就是一定要把这个业务人员。作为这个数据的业务数据的第一责任人，我觉得这个里边呢，是很有启发的一个想法，我觉得很很赞同，就是我们这块呢，也现在。

都有一个，就是我们讲的从网络安全角度来说，有一个网络安全的。呃，三级责任人这个制度，那数据安全的可能也是要在也要建立这个责任人，目前的这两块是合并在一块的，但是随着呃数据的这个专业特性，还有它的应用，比如说的共享或者是开发用这个延伸，那可能相应的它这个。主要采取措施和考虑的。呃，范畴吧，会更多一点，这还会有一个发展的过程。谢谢主持人，就这样。好的，嗯，张总刚刚分享了，他是来自政府部门的哈，我看到我们还有一位来之前有联系的提问陈庆总，陈庆总您在线上吗？这也是我们C圈的一位老朋友了，他之前呃，在好几个行业都是一个非常知一位非常知名的CIO，您能听到我声音吗？陈静总。

好的好的好，把您呼上来了，您您来做一下分享，或者您给啊，您有什么问题也可以提问好吗？您看一下您的摄像头和麦，嗯，听到吗？嗯，可以的可以的。这样也感谢刚才也是跟很多也跟那个分享的那三位专家，也是学到很多东西，然后因为是这样，然后因为我也一直在做，也做了很多年，然后也是想请教一下，因为。正好因为安全这一块，因为我一直在做To B的生意，然后呢，现在呢，尤其是在去年11份，然后这不是国家也在颁布了这个个人隐私嘛，然后的这个，呃，现在呢，其实就是现在我也想请教一下，就是说这个等于我们这方面的这个安全的这个同事就说，那么因为现在呢，好比说就是像我一直在做商业旅游啊，然后包括新消费啊这些这些企业其实呢，就是很多东西要做这种这个精准营销，那精准营销呢，就是很多就比在商业里边，好比在万达。

广场里边，那你就要收集客户的信息啊，好比你要做服装，你就需要这用户的，然后这样根据这个等于每个人的这个情况，然后呢，你做精准推送，但是现在呢，其实现在就是等于国家对这种个人信息安全，其实这个保护是越来越高了，那么相应的就是。这哪些这个我们要采取一些什么样的措施，然后呢，又当然就是在这个这个保护个人隐私的情况下，就是来去重构我们很多的系统，这个是我也想请教这我们做安全的那个专家的啊，好谢谢啊。好，谢谢陈总，那这块李总先分享一下。

好的行，嗯，其实我们关注到就是在去年呢，其实有两个重磅的法律出台，就是这个数据安全法和这个个人信息保护法，然后在今天呢，包括国家谈整个大的网络空间安全趋势政策的时候，都是说网络空间安全，数据安全和个人信息保护就是三者是并列的，所以呢，其实数据安全呢，就有很多的那个嗯和数和，就是个人信息保护呢和数据安全，嗯在技术落地上，其实有一部分的这个能力集合是嗯相同的，但同时呢，由于整个法律出发点的不同，保护对象的不同，所以其实它又有一定的差异，嗯，所以在那个做个人信息保护的时候呢，其实嗯部分技术上是可以参照数据安全治理体系，但在整个的这个完整的生命周期流程管控上面的，其实它又和数据安全有一定的差异，比如它有几点是超出数据安全管控范围的延伸出来的，第一个呢，就是比如说我前面所说的这个，嗯，在终端这一侧。

呃，这个其实对于数据安全管控来说的，其实呃，它是属于一个企业非受控环或者非受控环境，简单说这个终端是在用户手上的资产，是归用户所有的，在上面的所有的行为，其实对于企业来说是不完全可控的。但是呢，同时在这样一个不完全可控的情况下，企业要保证自身一方面是数据的安全，同时呢，要保证就是用户这个个人信息相关的这个正确的收集和使用，所以这里是存在第一个比较难的一个关键点，这是两个方面，既涉及到个人信息的这个采集，也涉及到这个，嗯，数据在终端的保护，这两者在个人信息的这个采集上面呢，因为那个采集这个阶段，其实嗯本身它不属于数据安全的这个治理体系，但是它属于个人信息保护的一个治理体系，包括就是说呃和涉及到就是相应业务范围以内，嗯，它有一些法律的流程上的，呃额外的要求，比如像那个隐私保护的这个声明协议，嗯，这都是非数据安全领域的东西了，嗯，这个是需要注意的，然后另外呢，像这个本身在终端，比如像APP，嗯，还有像比如像摄像头，嗯，这些涉及到嗯公民信息采集的时候呢，也有相应的管控要求，这个和法律的这个相关性更更高一点，建议就是找。

找相关的这个呃，法律咨询的机构，找律师去呃做一个专项评估，然后这个呢，一般他们都是个服务品类呢，叫呃个人信息保护的影响评估，嗯然后这个会更精准一点，因为它不完全是个技术问题，它更多是一个法律和合规问题，然后另外呢，第三点是涉及到嗯技术的就是在终端，呃我怎么样保证我这个自身的安全，嗯没有被坏人利用，或者没有漏洞，被别人说我采集到了这个以后，采集到信息以后，但是因为没有有效的进行信息的妥善保护而造成的这个呃威胁和风险，这是第三点，这个呢是属于我们数据安全管控范围的，呃也是属于它其中的一部分，这个是也是需要注意的。在进入企业之后呢，像刚才所说的这个案例，其实有两个关键点在今天是需要注意的，嗯，第一个关键点呢，是那个。

嗯，在去年针对个人信息的这个使用上面，国家应该是关于就像这种通过人工智能算法进行智能推荐进行建模相关的，这个是出了一个要求的，嗯，网信办应该是出了一个要求，这个会对过去的这种个性化推荐会产生比较重大的影响，这个可能是，嗯，包括这个业务的模式，然后在技术的地方都需要做对应的一些调整。嗯，然后另外一个方面呢，就是在整个这个呃企业内部个人信息的这个呃保护上面，呃是需要建立相应的这个保护机制，嗯这个这部分呢，其实和数建权的治理体系是嗯有相关性的，呃两者是一致的。然后另外呢，嗯，在企业内部个人信息的这个呃管控上面，就是说那个使用方面，在企业内部这一侧呢，还有一块是和数据安全无关，但和个人信息保护有关的，嗯就是用户的这个个人信息的这个呃权益，嗯这部分呢，也是和法规相关的，比如像那个原则上这些信息是由用户所用户拥有这些信息的这个深删改的权利，以及被遗忘权，那这些呢，就是如何在整个内部的业务流程和信息系统中落地，其实可能会对原来的这个系统的功能设计和这个呃开发都会造成非常重大的影响，嗯，这个也是需要注意的一个点。

所以总结的可能三个比较敏感的点吧，就是呃会会有一些重大变，变更的，第一个就是端的这个呃个人，呃个人信息的这个采集和保护，第二个点呢，是在企业内部，嗯由于就是说那个智能化推荐，嗯这方面新的标准要求出台而造成的业务影响和改造，然后第三个点呢，就是在企业内部，由于这个用户他自身的这个呃权益，呃新个人信息的这个权益保障，呃说衍生出来的这个业务和流程的改造，嗯主要是这三个点可能是嗯我觉得可能需要关注的。

而这三个点呢，其实跟数据安全，嗯，都不属于我们所说的数据安全治理框架以内的这个主要内容，它完全是这个个人信息保护这个法律框架以所要求的内容。好的，感谢。感谢于总总，您您是要是您刚刚在说话，您您来补充一下分享一下呢。这个李总讲的实际比较透彻，其实我很认同他的观点，那这里头呢，有一个其实他是三个层面的问题，一个是你要达到的一个目标，对吧，你就是说避免要出现这种隐私泄的问题，第二种情况呢，是当他收集回来，它是一种是叫做个人个个体的，第二种实际他收集回来是群体的，就是刚才李总讲到的，你收集回来群体以后，实际是已经回到计算中心的，一种是没有回到计算中心的，一种是在计算中心的，但是还有一个过程当中。就是李总刚才所分享的内容，呃，基本上也我也比比较代表我的一些观点，我觉得也很好，我想提一个点，就是什么意思呢？其实说企业在去做这个获客的，这个获客信息的这个过程当中，其实原来就需要解决两个问题，就是说你在获取之前的隐私，你聚集后的这个隐私，包括说你把数据获取完了以后的计算，一种情况叫做什么呢？就是说里头只计算出结果，这是一种方法，还有一种经你要把它的数据拿出去去计算，这这是两种不同的方啊，行，我就补充这一点就行了，好，谢谢，嗯嗯嗯。

好的，感谢三位的分享啊，嗯，我看到这个嗯，在线的嘉宾里面还有两位也呃也也提前预预预告预告一下啊，就是来自证券公司的，一位是来自呃东吴证券的徐总，徐俊超，徐总您能看听到我声音吗？我看之前您呃我们邀请您的时候，您其实对第二个问题也比较感兴趣，您可以做一下分享吗？还有一位我看到有是来自国联证券的闫新宇，严总，两位都是来自证券公司的。

徐总，主持人你好，主持人你好，是徐总是吧，好的好的，邀请您做一下分享。呃，分享我这边谈不上，因为这个我们这边目前也是就是说数据数据安全这边处于一个刚起步的阶段嘛，然后我们目前这边的话，主要也是只是做了一些那个呃法律法规上的一些，就是说内内规的一些落地嘛，然后具体的就是说一些呃技术层面的，然后这块的话就是说我们还没有具体去推这块事情，所以就是说当时也是主要想就是说借这个机会想像就是说行业里包括那个我们那个呃这次的那个专家，然后去就是说呃想去想去讨教一下，就是说目前这一块的一些呃经验或者说好的一些方法建议这边对。好的，那我们这个问题请冯总先解答一下。

好的，因为数据安全这个事，确实刚才我们一开始介绍，包括在证券公司、金融公司、保险公司，我们也有一定的接触，除了刚才呃何处所介绍的金融以银行为代表，尤其是四大行为代表的这种，这种情况他们走的已经比较靠前一些的话，其他的其实都是在刚起步的阶段，那么在这个起步的阶段的时候呢，就是刚才我们回答上一位专家，呃，上一位那个嘉宾提问的那个问题一样，就是说你先要去把这件事是不是当个事，对吧，你要不要做数据安全治理，其实它是需要有一个框架，你把这个事儿定好了以后，然后第二个部分来讲，我我还是那个问题，就是它的管理体系，技术体系和呃，这个监管体系和它的运营体系这四块，呃，你打算的投入的资源和你实际你要保护这个目标，它的它的这个整个的那个性价比要匹配。如果不匹配，你就会发现，你比如说你要保护这个数据资产和你要投入的东西不匹配了，那这个它就肯定是很难前行下去。第二块来讲的话，就是说你你你你知道你数据造成的这种泄露的险，和你和你投入的成本的，在每个阶段，你你的阶段投入和你达到的这个业务发展目标，只要能匹配上，我觉得这个事就能往下做，你较匹配不上的这个事就很难往下做。所以从开始的阶段来讲，我还是比较赞同刚才有几位专家的观点，就是说你要先把这个事儿立起来，第二个呢，建章立制肯定是需要的，第建章立制完了以后抓重点，然后再把它呃运用起来，如果想实现稍稍微大一点的弯道超车，变成行业标杆的话，我建议可以把管理、技术和运营体系一起做。

呃，这样的话能让监管层看得比较清楚，如果单去做管理和技术体系，我可以很肯定的告诉你，十几年了，现在做成还是这个样子，所以不是不会效果太好，好谢谢您，我回到这里啊，谢谢主持人，嗯，啊感谢冯总，李总，您您正好也结合您的呃经验给分享一下呢。

对，首先我非常赞同刚才，尤其是总刚才最后一句话，就是如果是按还今天，在今天这个时间点上，还按我们传统的过去十几年之前的那种方法论来做的话，今天这个工作是很难做好的，因为这个呢，最终你会发现在落地执行这个层面上，你是衔接不上的，最终呢，可能成一套就是空的这个框架，尤其是在今天呢，像我今天为什么今天我的这个议题里面，我先讲了，就是说像云计算等等，它本身对于企业，呃，It建设，生产经营模式带来的根本性变化，因为这些呢，导致就是说可能我们过去的一些思和方法，今天必须要跟随今天的这个，呃，产业形式，嗯，政策形式要进行转变，那刚才呢，因为在整个的这个思路框架上面呢，就是刚才分总其实已经介绍比较完善了，在具体技术落地上面，嗯，我提一点就是实践的一些经验吧，嗯，我建议就是说可以分几步来走，嗯，因为一般来说做数据安全这个这里在技术落地第一步都是大家会笼统的说一个，嗯，数据的分类分级。

和评估，但其实呢，说这么一句话，看起来是一件事，为什么呢？它阶段上它是整个我们做后面的这个，呃，策略落地，做保护机制，做这个持续的监控，做响应，嗯，这四个阶段，它它属于第一个阶段，看起来是一件事，但是仅仅是这一件事，恰恰是在今天这个时间点，绝大多数组织还没有做完的事，这一件事呢，又可以分几个步骤，第一个步骤呢，是首先是嗯，企业内部数据资产的这样的一个清查。数据的识别这个阶段到底我有哪些数据，它是什么字段，什么类型，是身份证号还是这个，嗯，银行卡号还是什么东西，到底有哪些字段，他们分布在哪里，至少一个静的象需要做出来，然后这是第一件事，就是数据的这个识别完之后，第二句是匹配，在天我们这个场景下，我是什么场景，我是经那个银行，保险、证券还是零售，在这个场景下，国家以及我涉及到的不同，呃，国际的这个法律区域以内有哪些法律要求，比方说人行经验已经出了这个金融数据分类分析的这个识别的这样的一个一个标准，可能某些行业还没有是否有上位的这个法律要求。

嗯，上位的法律要求是个性法还是数数据，数据那个数间权法，它映射下来，具体落地的这个要求，执行条例落地标准是哪些，这个需要做一个映射和解读，这个映射和解读最后到企业这里呢，会就会形成一个一张表，就是数据的这个分类分级表，比如我手上可能有十种十个字段的数据，有身份证号，有银行卡号，根据现行的标准和要求，它应该哪些是属于这个框架范围以内，要求保护的，应该在什么样的敏感度级别，这是分类分级我们所说的第二件事。第三件事呢，是这个数据的。呃，数据的风险评估，相当于前面一件事出来了以后，我现嗯这个呃已经有张考卷在这了，有多少数据，分别应该在什么级别，但是到底它是今天有没有得到有效的保护，面临哪些风险，这第三件事呢，就是我们为就是说数据安全的风险评估，或者如果是应对到这个个人信息的话，就是个人信息保护的影响评估，就如果出了事，它会有什么问题，今天在哪些环节上可能出问题，这这个风险评估和影响评估的过程是第三件，那这个呢，就需要对我们前面这张考卷，嗯，去分析他所处的环境，涉及到哪些业务系统。

涉及到哪些织部门，涉及到哪些人和用户，然后涉及到哪些技术和基础设施，在这些环节上，不同的环节上分别有哪些点，有可能黑客入侵，他通过我的一个外部攻击漏洞进来了，有可能我内部人员这个意识疏忽，呃，权限设的过大，呃，有些人可以访问他不应该访问的数据，这些都属于风险的部分，就是我们前面我总结的五个方面的风险，包括就是内部的，外部的，三方的，环境的，技术的等等，那进行一个综合的风险评估。那这个风险评估或者个人信息保护影响评估的结果出来之后呢，相当我手上就已经有一个下一步工作的计划出来了，那就根据这个风险评估的结果，呃容易整改的部分，呃重要风险重大的部分优先整改，制定一个相应的计，那这个计划呢，会落实到包括我们到底是管理体系，管理制度缺乏，还是在技术管控上缺乏，还是我在整个这个技术上，嗯哪里呃业务的适配上缺乏，那这会形成呃业务的这个改动的计，整改的计划，呃会形成组织的这个呃整改的计划，以及就是相应管理制度技术落地的计划，那这样呢，这步完成之后，相当于是一个基本的呃第一个环节的生命周期就完了，后面就是根据相应的这些评估的结果和计划去逐步建立，呃，进行这个建设和落地。

然后这是一个静态的周期的阶段，当第一轮的静态周期阶段之后，其实完成之后呢，其实可能还会面临一个问题，因为数据是流动性的。当第一轮的这个静态性的整改结果完成之后呢，其实企业的初步的数据安全的呃，能力意识呃，各方面应该已经到了一定的水位，这个时候呢，可能需要思考就是结合数据流动性的这个流动性管理，比如像数据在呃，整个企业业务范围以内的这个，嗯，血缘关系，流动性溯源呃，以及动态的管控制度和监控制度需要建立起来，那开始第二个周期。

那第二个周期呢，相当于是在动态基评估的基础之上呢，再进行我们前面第一个阶段的，呃，所谓的生成的这个数据治理体系和计划的优化和动态的调整，所以这是我们目前正在实践落地的实际的一套方法论嘛，好的，感谢李总的分享，也感谢你刚刚总啊，三位嘉宾的这个讨论，那个，其实其实徐总也是我们第二届Co班的学员，在上海啊，本来我们四暂的时候在上海还会开我们第三期Co班，但是因为这个目前这个疫情形势还比较严峻一点，所以呢，我们也期待说，呃，在春暖花开的春天，我们在上海再能再次能相聚，谢谢徐总，谢谢。好，谢谢主持人，谢谢专家，谢谢好，嗯，我不知道还有没有一些嘉宾，呃，有意愿想要主动做一下享的。

我我的我的是刚我到您，您可能没有听到，好，欢迎您提问，好，哎，你好，首先那个感谢那个Co时代啊，就举办的这个数据安全分享，然后我听了一下三位嗯嘉宾讲的呢，也都非常好，然后给我们很大的一个启发，呃，特别是那个第二位那个何处那个银行，就是农业银行，农银行何处讲的那个事情，因为跟我们金融行业比较贴切嘛，然后就我们行业来讲呢，其实数据安全这个都是起步，包括那个，呃刚才说的那个分类分级什么，呃，都是刚开始做嘛，然后我现在遇到一些问题呢，就是想请两位专家，包括同行呢，能给我们就是一些启发，或者是一些那个指点吧，就是第一个这个数据，数据这个分类分级啊，由谁来定，就像我们这边，嗯，我们理论上觉得应该是让数据的所有者来进行分类分级，然后呢，那个像业务部门，他们会觉得这个是应该是由技术部来定，然后就变得比较扯皮，这个事情还有一块呢，就是那个呃，合规跟法务啊。

在整个数据安全管理中的一个位置跟作用，就是我们遇到有个场景，就是一个业务数据，他要可能是呃，对外输出到另外一个那个在线的APP上面去，然后合规会上说这个市场技术部来定行不行，那我们觉得合规在这个里面应该是起到一定作用，或者说发挥它什么样的位置的作用，就是就这两个问题，我想请那个专家替我们解答一下。就这样，那这这这两个问题，我们先请总分享一下好了，终于终于呃，见到这个实操性碰到具体问题了，这个这个这个这个用户单位了，呃，这两个问题不是您一个单位，是所有单位都在问的一个问题，就是谁来去定这个责任限第一个问就才说说的法律和控的问题，法律是指的是。是我们认为是一个指导的疾病，只会给你一个什么不行，什么是法律，什么是你达到险，所以他不会去给你来，然后接下来就会落，来了就回哪呢。

回到业务以后呢，和安全这两个，呃责任责任主体了，那业务的人呢，他会把这个责任说应该是由技术部门来，其实技术部门是定不了这个事，那是。所以呢，在整个刚才我们说的这个体系体系当中来讲的话，我们有一个小经验给您分享一下。如果你的这个数据所支撑的业务。它两个角度，第一个是支撑的这个业务角度，他所定级备案的以等级保护，这个是国家的基本国策这个视角来定，如果他定成三级，你就它的数据按三级处理，定成四级，你就按四级处理，这是一个维度。第二种情况呢，就是说你这个业务一既不是可能也没有按照那个维度去定过的话，你就按他的这个你们自己内部来讲的话，这个业务支撑的是你的核心商业秘密，还是这个这个非核心商业秘密来按这个维度来去定。

这个定的定法来讲的话，还是由业务来头的，一定是业务，绝对不是安全，安全只是去落实业务要求，你应该告诉我，我应该我这个是个金条，呃，我这个数据是属性是金条，呃，我还是我这个业务资产的属性是一个自行车这个金条你需要用一个保险柜来保，保护它两层认证三层密码啊，举个例子，然后呢，三道门啊，然后呢，到这个这个这个这个这个这个自行车来讲的话，你一道锁20块钱就够了，所以你你只负责安全处的部分，是负责这个部分，然后业务部分是来去定它的这个资产，资产的价值和数据的，好我就回到到这里，谢谢，嗯。首先我非常赞同就是分总定的这个原则，这个也是我们一贯主张和秉持一个基本原则，就是分类分级这件事一定是业务所有者。

因为只为什么呢？只有业者、数据者才知道我有哪些数据，这些数据是什么，在哪里，什么价值。作为技术部门，我们不可能去了解这些东西，对吧，然后呢，所以第一个原则，一是他们来那个做，然后至于技术部门，然后合规部门，法务部门和业务部门之间的配合的角色是怎么配合呢？首先就是嗯，从整个这个呃，法律合规的层面，这个肯定没什么好说，那是嗯法务相关的这个责任，然后第二件事呢，是具体这个执行准则方面。简单说就是说那个以什么标准来做分类分级这件事情，这件事情呢，是应当由这个法务合规和这个技术，比如说安全部门来共同来制定相应的这个准则，嗯，简单说就是我前面说的第一个就是，呃，什么是数据，有哪些类型的数据，然后数据应该是那个，嗯，参照相应的这个哪个标准，嗯，应该是分多少个等级。

这些是这个大家共同来制定这个标准，然后具体到底我这个数据是不是放在这个等级，那肯定是由业部门自己来确定。当然这个这个是中间呢，会有两种情况，一种就是说经过就是呃法务合规和安全，嗯共同确定了已经确定性的这个属性，国家有法可依，有标准可执行的这一类，嗯那就明确下来，定好这个规则，比如像那个嗯，像那个金融信息的这样的一个，呃金融数据分类分级这个条例里面，其实关于数据分呃有哪些属性，就属性字段，呃每个属性字段应该分哪个类别，这个是定的非常明确的，那这个呢，企业可以就是说嗯在内部根据自己的这个嗯环境予以采纳和这个裁剪。嗯，然后定成自己内部的标准，然后嗯直接呢，业务部门呢，去根据他的这个业务情况去进行落地执行就可以了，嗯然后另外一种情况呢是嗯尚无标准可行的，那一般原则上就是建议就是说在制定标准的只定义级别，但是啊就只定义这个级别的呃基本的属性，但是嗯不去做一一的这个对应，然后具体呢，就是根据呃业务门根据它本身数据的这个价值和影响来进行定级。

嗯，这是基本的建议，但反正整个大的框架就是标准，大家共同来制定，嗯，落地执行一定是在业务部。的，我家的有我是的是的，那个感谢郭峰总跟李斌总的那个解答，这个确确实跟我预期的也也也也差不多，就是应该是这么应该是这么做，所以我也确实这个了解一下，就是专家就对这一块的意见，有了这一块意见，我可能回去跟业务部门，跟合规他们去说，这个可能更有底气吧，但是我觉得可能还有一块重要的呢，就是可能就是从公司这体角度来讲，就是这个数据由，呃，比如说是由数据的所有者来呃，呃拥有者来承担他的责任，可能是不是更重要一点，就是从这一点来讲，你就作为我来讲，如果是要我承担责任，那我必须呃对他从那个分类分级来管也好，包括从整个使用的使用来使用角度来管也好，可能都会起更大的一个一个111个作用吧，啊这是我的利潜，反正感谢两位专家，呃，对我对我启发挺大的，谢谢主持人。

好的，感谢新总，新总也是我们第二届呃，C班的同学哈，也是在也是在上海，是不是您对对在上海，谢谢啊好的，嗯，我那接下来我再邀请我，因为我看到线上还有一位来自我们第二届C班的学员，应该也是在上海中中正指数有限公司的安全主管刘成刘总。嗯嗯，主持人好，专家好，你们能听到我说话吗？可以的可以的，好，谢谢。首先是感谢这个线上的三位专家给我们今天带来精彩的那个技术分享，我也从中就是获得了很多的那个关于数据安全的一些工作上的感悟吧，然后我现在这边我其实有一个一个比较，我有一个比较宏观的问题，我想先问一下就是专家，就是我们公司其实现在我们做数据这块的治理，我们没有做数据安全的治理，我们是从数据治理开始做数据这块工作的。

然后呢，但是我感觉今天在听整体数据安全的整个的这个工作的这个体系规划，我觉得是包含治理的工作的，那我想说如果我按照我们现在这个工作开展起来，我们先做数据治理，后面可能会在某一个阶段引入数据安全的工作，这样会不会就是这样的做法，会不会有一些什么问题，这是第一个问题，第二个问题就是我们现在第一步在做数据治理工作的过程中啊，我们也是碰到，就刚才就是很多同行的同事有说过，就是关于行业数据，尤其是我们公司行业数据分类分级的这个定义，我首先是。呃，国家的那个数据安全法，它只给出了一个指导做法，他没有给出标准，然后行业标准其实也没有，尤其我们作为一个指数单位啊，指数供应商这样的一个，呃，公司属性，然后。

我们其实可以对标的，比如说银行或者证券、基金公司，在业务层面上其实大家还是有比较大的差异，我们真的去做我们公司业务数据的一个分类分级，目前来说感觉在国内来看，实际上是没有什么参照物可以看的，那在这个地方我们想说有没有什么办法可以我们在做这个工作上得到一些启发和一些推进呢？嗯，好，感谢嗯刘森总的提问哈，因为您刚刚提的第一个问题，其实我们另外还在我们时代和数字咨询联合打造了一个安全的栏目，我们在上一期其实也谈到这个话题，数据安全治理在国内其实落地很难啊，当时呃，如果说您对这个话题又感兴趣，回头也可以看一看另外那个板块的有一些输出的内容，那在我们今天的现场呢，正好也邀请一下我们今天的总和呃李斌总分别来就您刚刚提的两个问题可以做一下分享啊，李李斌总您来，呃，先分享一下可以吗？

刚刚我先我先回到刚才第二个问题吧，第二个问题相对嗯简单清晰一点，第二个问题呢，就是在今天呢，其实呃目前在很多行业还没有具体落地指导文件的情况下，嗯，那在整体宏观上呢，一是我们就是还是建立，就是先建立企业内部数据安全治理的这个嗯意识，嗯和这个相应的这个整体的框架，然后在具体落地的这个嗯执行标准上呢，嗯，第一还是摸清自己嗯说的这个场景。环境和业务的需求，嗯，然后呢，可以适当的参考，就是相似行业的这样的一些标准。嗯，然后如果是数据集合，嗯相似的话，其实标准上也可以去予以的这个参照和采纳，所以这个我觉得是，嗯，我们这我这边的一个建议吧，然后第二个在前面的那个问题呢，就是关于第一个问题，首先就是我们认为就是做安全，就是说一个基本原则就是嗯，企业治理是安全管理的基础。

是重要它的重要基础，所以呢，其实数据的治理也是数据安全治理的一个重要基础，如果在企业先做好数据的治理的话，其实呢，在后面做数据安全治理的过程中，其实是会这个嗯，事半功倍，会更容易做一点，嗯然后呢，因为嗯在做整个这个数据安全治理的过程中，其实最难的几个点，嗯都是非技术化，非操作化的这个内容，包括像我们所说的第一是责的定位。呃，谁拥有什么样的这个权利，承担什么样的职责，比如说前面一位嘉宾提的这个问题，在内部，呃谁来做数据分类分级，这其实如果是你方才，嗯治理体系里面的治理体系同样会面临这个问题，但他先要摆平这些问题，所以呢，像这个权责的确立，嗯，然后像全员以及各权机构主管的这样的一个意识的确立，嗯，这些呢，我觉得都是数据，数据治理本身，嗯能够对数据安全治理，嗯在之前能够做的一个良好的建设的基础。

呃，然后呢，稍微有一点差异的呢，就是我觉得在两个环节上，嗯，可能是会存在，嗯这个领域性的这个差异，就是说数据安全治理的话，嗯，它非常重要的一点是偏强合规性的。所以呢，这个时候对上位法规的映射。这个事情呢，可能后面会对，嗯，数据安数据治理框架会产生影响的一个部分，呃，需要在数据数据治理的框架中呢，就是后面给后面预留好相应的这个接口，有可能会面临一定的这个调整，主要就是在这个定级和管理机制上面。然后第二个呢是呃，从法规映射到治理框架，从框架嗯到这个具体落地的过程中呢，再到落地的衔接上，嗯，可能会产生第二个我们所说的这个GAP，嗯，就是说到底最终用什么样的技术去进行管控，承接上面的这个呃，合规的要求，这是第二个可能会对整个治理框架会产生影响的地方。

好，这里是我的发言，谢谢啊，感谢李总的分享，总，你来分享一下，解答一下这两个问题来。嗯，这个问题是所有企业就是跟刚才那个一样问的通病的通病，这个这个问题还是我刚才说那句话，就是这种方法呢，是通用方法，但到现在没有走通过，或者走通的很，你没有两三年的是很难走通的。第一个问题我先回答一下，就是数据治理和安全治理，数据安全治理这两个是并行的，没有区别，因为它必须是道去走的，这不管是从国家法来讲，还是我们从经验上来讲，他两个是一定是并行的。不然就会出现打架的问题，就是比如说举个业务走得快，安全保不住，第二个或者说安全太过饱，然后呢，业务又缩小，或者业务又受了，就是安全与业务的平衡之道，所以这两个第一个问题，而且安全是在整个数据治理之间的一个过程，但它是作为数据治理的其中的一个解支框，那个但是的理一样是整个。

是一个大的体系，但安全是跟他贯穿的一个道理。第二个事情呢，就是说你做数据安全治理来讲的话，其实我们做过几个挺有意思的事情，就是它是两三个框图，第一个呢是公司治理层，第二个呢是这个，呃，数据治理层，第三个是数据安全治理层，然后它是个环环相扣的三环，三环理论就是我今天PPT里头有一个分，就是三环理论，你要把它的界定义清楚以后，安全继续做安全的事情，然后数据治理继续做，数据治理的安全会给那个数据治理有一个两个输入，就是说建议他的建议分级分类的安全属性，建议他如何分级分类，但是如果从数据治理上，他不考虑安全来讲的话呢，它的治理会出现一个偏差，就是找不到安全结合的那个点。

啊，这是我们的一个经验，好，分享到这儿，谢谢，嗯嗯。嗯，感谢总，嗯嗯谢嗯，谢谢两位专家，尤其是那个就是李李总之前说的那个点，我是觉得其实之前我们在做的时候，可能就是在考虑这个盖P上面是确实是出现刚才说的两个概不是很明显，尤其是第二个盖P，呃，然后然后总刚才提到的那个分类分级，这个要相互考虑这个事情，我们后面可能就是也是要去做这个事情，就是会把它当成一个。意见心好的好，再次感谢三位的分享，那之后我再邀请啊，刚刚那个赵颖总，赵颖总，我刚刚呼你的时候，你可能的那个。

好的，正好请您来最后做一下分享可以吗？哎，好的好的，呃，不好意思，那个非常感谢前面三位嘉宾的分享，我觉得都说的很有道理，其实我的问题呢，跟刚刚刘总说的有点类似，其实呃呃，我们是这样，我们公司呢，是一个跨国企业，然后我是在中国区的总部工作。那我们现在面临的一些问题呢，其实跟刚刚刘总有点类似，但是呃，跟刘总又有点不同的地方是，呃，刘总刚刚他们说是他们先做了数据治理，然后可能会考虑在数据治理的过程中，数据安全的治理会可能会融入到其中需要考虑的部分，但是呢，我们公司呢，我们企业呢，有点有点特殊的是，我们从来没有做过数据治理这个工作。但是呢，现在面临的这个比较棘手的问题是因为法律法规或者是合规性上的一些要求，我们正在着手或者是准备开始要做数据安全的合规或者是治理的这些工作。

所以呢，就是我比较担心的是，虽然我们现在还没正式开始，但是呢，我会比较担心说，因为呃，我我的背景是在it这个背景的出来的，然后是从it转向的这个信息安全跟网络安全领域的。啊，我就比较担心的是，我们在做这个数据安全治理，或者数据安全合规的这件这些工作的时候，可能会突然之间发现说啊，这一部分的数据也好，这部分的啊，这个数据的这个管管理也好，一些日常的一些运作也好，好像其实不是安全领域能够解决的问题，可能是数据治理。或者是在数据的前期的一些管理的这些领域里面可能会存在一些问题。我不知道各位嘉宾。嗯，因为我觉得这个问题可能比较实物一些，我不知道各位嘉宾，如果像我们这样的这种企业遇到类似这样的问题的话，呃，有没有什么好的一些建议或者是一些意见，可以供我们做一些参考。

谢谢。好，李总，先给一些建议和意见好不好？这嗯，其实我们说数据安全治理这件事儿，嗯，最后两个词就确定了，这个事儿首先是一件什么事，它首先是一个治理问题，数据安全治理首先是一个公司治理的问题，那我们谈治理，那肯定就是涉及到包括整个组织的体系，涉及到这个全员的意识，涉及到信息沟通，涉及的流程管控和技术落地的一个完整的体系，这叫治理。呢，首先就是说第一个我们觉得数据治理这个事呢，第一个难点是盘活或者是公司的治理体系。谁来负责，谁来负整个这个责任，或或者说来头些，这个和部门需要卷入大家各个角色在里面的位置是什么，如何建立这样一个治理体系，治理的组织体系是第一个难点，就如果说技术部门永远是一头，我这边叫着要这个，大家都觉得跟我没啥关系。

那法务觉得你技术落地是你技术的事，这有技术两字，业务部门觉得那你你说怎么样，然后我我就那个嗯配合一下就完事，他如果觉得自己始终是一个配合，而非是嗯主要参与者的这个，呃这样的一个意识的话，这个事呢，基本上是非常难成功的，所以呢，我们觉得第一个难点就是怎么样把这个事情，嗯上升到一个公司治理的这个层面，嗯，然后盘活整个相关的这个，嗯治理组织，这是第一个难点。然后第二个难点呢，是在刚好是在最底层，就是技术落地层面，第一个就是怎么样有效的识别我们有哪些数据。嗯，你手上心里首先有谱，我们有张地图，到底这些东西在哪里，嗯，是什么，那么这个我们才和我们才好进行后续的评估啊，重不重要，有多大的价值，这个价值是绑定到谁的，会有什么样的风险，所以我觉得可以从这两件事情先先来到手，感谢李总的分享，总您再补充一下啊，我回答一个问题，其实刚才两位嘉宾的问题，一个就是先做了数据治理，第二个呢，这位嘉宾的意见呢，是我要没数治理没做呢，现在已经要开始做数据安全治理了，刚才那个李总讲的呢，我也认同，就是宏观，就是你的上位必须要有一个治理的这个，但是这个事很难落地。

是说认是落不了，C领导认件事没有排到他的优先级，我们这个事就在这个层面就很难推动，所以倒过来呢，就变成了基础层，就是落地层，那怎么来去把这个层落地，那落地来讲的话，实际就是从数据安全到B数据，数据数据治理，那一种是数据治理B数据安全治理，一种是数据两边协同呢，几乎没见过，几乎没过，就为什么安全就这么，那怎么来去解决这个问实我觉是一个最基础的逻辑，就是，但是呢，合规里头有一个有一个碰到一个最最严重的问题，你不管是拿等级保护还是分级保护，数据安全法还个人意保护，没有一个告诉。

你应该去他第一件事就让你去做别这个事你然发不是你的事，不是全的事，这是变成数据的事了，然然现你没有数据治理的原因是因为你没有数据处。没有数据，呃，所以呢成了倒来的一个逻辑，所以我们怎么来去解决这个问我觉粗细你一下子你进表，进入那个字段，不要一下子你分阶去做，把第一步你先到，就是才李总的那个数据，数据先把我的数据分的基础，其实这用一台设备就解决了，用一台我们所谓的资产探测也好，漏洞扫描也好，这一台设备你就解决了你的数据库的分布。

这是最基础最基础的一个原始动作。价钱不会超过20万块钱，你就能把这事干了，这事完以后你再去找相应的人，找到再用流量手段或者其他手段去解决第二层的问，再解决第三层的问题，如果说一上来就开始高举高打，我个人觉得如果。从我们了十几年的数据治理，高举高打了这么多年，到现在为止，在这个圈子里头打转的原因就是Co层面以上的人或C。好的，感谢两位专家的解答啊，因为我们时间的关系，所以我呃最后再提一个问题，就是我们的议题四，我想请呃还在线的李总和总分别谈一下我们对这个数据安全未来的发展趋势的一个预判，好，那最后一个议题就是对未来数据安全来讲的话，我认为是一个。

大概是一个五到十年的这么一个发展阶段呢，是一个高峰期，因为我们确实在现现在的情况，至少我们有很多人在讨论了。一个是大家聚焦，原来是没有这个聚焦的这个过程，第二个阶段呢，就是大家会达成一种意识，不管是来自于从哪个方面角度来去建设数据安全，不管是在云上，是传统环境下，未来都会走向云。那么在这种过程中，那么数据不管他从数据治理还是从数据安全治理这两个角度上来讲，最终所有的东西会达成到回到那个共识，因为现在是一个乱的状态，那回到那个共识的时候呢，那它会形成最终的目标，肯定大家都是能理解的，所以在这个过程当中，可能会形成第一条道，第二条道，第三条道，没关系，哪条道能走到或者哪个阶段来去做，走到不重要，重要的是大家都在朝这个方向去走。还有就是说也有可能会呃走过弯路，走过坑，只是我们更多的在C的这个道下嘛，对吧，尽量少走坑啊，少走坑，少走坑，然后大家呢，更多的聚焦，呃也也也非常感谢今天能有很多人分享了他们在这个数据安全的困惑，基本上跟我听到的百分之八九十的概率是一样的，所以大家呢，值得探讨的，我今天分的也是一个很深的啊，这个海关总署这个刘迪西长的一些核心观点，我也建议那个刘晶主持人，到时候也请刘处有机会给你们分享分享，因为他是一个很资深的20年的安全处处长，又是一个呃，管了业务，管了大概数据安全业务又管了有五六年，所以他非常体会到两个不同岗位能够在一个数字化组织当中落实这件事，我到现在为止，我只看到他落地了。

别的别的我还没有看到有太多的这种落地的，特别能让大家这个数据安全治理体系转起来的机构，所以这个呢，我也给主持人推荐一下这位嘉宾，嗯，有机会您请请这位甲方给大家讲一讲，好吧，谢谢，我就再次感谢啊，再次感谢啊好嘞啊啊，拜拜，感谢总总在这个安全圈是非常知名的专家啊，然后同时又推荐我这个有甲方这种实践经验落地的这种专家来在我们的平台上做分享，其实您刚刚讲到我们希望是说在C这个大的框架下，我们在落地安全这个的时候能够少走弯，这也是我们举办这样的交流活动的一个目的之一嘛，那期待稍呃，未来呢，我们多沟通，多交流，多向您请教，好，最后请李总来做一下分享。

好的行，然后这个问题呢，我觉得我从三个角度来，嗯来阐述吧，因为因为我的位置也比较特殊，其实我有点像刚才那个郭分总所说的，呃，我今我们今天这个部门，我们部门今天所处的位置，一方面既是整个腾讯云的这个安全管理及数据管理的这个部门，嗯，是内部的，在这个角度上我们是一个甲方的角色，是内部的这样一个管理角色，同时呢，也承担着就是我们，嗯腾讯云在数据安全的这个能力，嗯服务对整个产业输出的这样的一个角色，这个角度呢，其实我们也是，我们也有很多的客户，又是一个乙方的角色，所以呢，在这个两个角度而言，其实我今天所讲的都是我们在之前说采的客人走的走的，嗯，所以呢，从这个第一个角度呢，我先说一下，就是从甲方的这个，嗯，对于未来整个数据安全治理的这样的一个趋势预测吧，嗯，我们认为呢，就是嗯，首先我还是前面那个命题，数据安全治理是企业嗯本身基本基础治理体系的一部分，而且在未来呢，伴随着。

就是说企业业务数字化的这样的一个发展，嗯，数据安全治理对于整个企整个企业运作治理的这个影响会越来越深，它会呈现一个越来越重要的这样的一个嗯独立的这个角色和位置，嗯，然后从整个嗯市场发展的这个角度而言呢，嗯，我们认为在未来，嗯，首先从时间上我们预测和刚才郭分总呃预计是类似，在未来的时间以内的数据安全都会是一个非常重要的新兴发展领域，而在在哥的这个市场规模上，我们认为它可能会在五年以内就发展到跟我们原来传统的网络安全，呃，像同等体量，同等重要位置的这样的一个位置上面，然后第三个呢，才在整个这个国家政策标准法规的这个趋势上面，我们预测后面呢，大概会在两到三年以内，整个国家从国家层面到各行业，嗯，从法规到执行的这个，嗯条例，然后到具体的落地标准方面会趋于完善，嗯，预计可能在后面两三年以内也会有一批。

就是在各个领域，就是我们前面所说郭分所说的各条线上进行探索的，嗯，这样的一些先进的技术和产品会出现，嗯，会是一个百花齐放的这样的一个局面，那最后总结一句话呢，其实这也是我最近就是说在所有呃，我应该这一个月以内参加大概有四五场关于数据安全不同的阵容研讨和论坛，我经常说的一句话就是在今天这个时间节点上呢，首先嗯，大多数过去的经验，过去的框架管理，这经验是在今天可能是会。

面临被颠覆呃和创新的这样一个局面，很多经验是不太适用的，所以在今天呢，大家只有先行者，探索者呃，不存在所谓的什么权威和专家，所以呢，整个这个领域的发展，从这个呃体系到技术落地方面，到实践方面，其实都需要整个产业呃，甲乙方客户呃，厂商来进行，大家来进行共建，所以这是一条大家未来共同去发展的一条道路。好，这是我的一些感感悟吧，谢谢大家。感谢李总的分享啊，嗯，因为在李总分享过程中，他其实呃也提到了，就是我们都是在一个做创新转型甚至是颠覆的这么一一个事情，我觉得呃这是我们共同的目标和共同的事业，我也期待说我们的Co们在我们在安全这条上能够互帮互助，互相分享，然后避免把自己踩过的坑也可以分享出来，避免我们未来在未来上少走弯，能够最最更快更好的达到自己的目标，因为李总刚刚其实从呃下午三四个小时一直坚持到现在，我看到他其实身体有点抱恙，哎，期待说在现在这个疫情这个期间，大家啊，能够各自增重，保保护好自己的身体，身体还是我们革命的本钱啊，也再次祝这个我们所有的线上的嘉宾，我们周末愉快，也啊，非常愉快的跟所有线上嘉宾度过了一个很好的，呃，这个学习。

提的这个下周末的下午吧，嗯，同时呢，我也提醒一下我们现在嘉宾，我们在我们的微信群里面有发一个我们今天关于本次活动的一个调研问卷，因为在开场的时候我也提到了，这个是基于我们跟腾讯安全共同发起的，基于这个20222互联网产业，互联网安全产业十大趋势白皮书这样一个报告，我们的四场系列的研讨会，那这是第一场，后续的三场呢，我们会陆续的推出来，也会邀请到不同嗯角角度的专家，就安全这个话题上有不同的话题来邀请专家来做分享，我们也期待说大家能够持续关注和参与，那这个调查问卷填写以后呢，我们也会送出时代和腾讯安全给大家准备一份精美的小礼品送给大家，也欢迎大家多多支持，多多关注我们后续的活动，好的，那我们今天下午的研讨会就到此告一段落，再次感谢三位分享嘉宾，感谢我们所有的线上。

上的嘉宾，感谢我们班以及我们的呃，这个特邀嘉宾的参与和支持，我们也期待说我们尽快能够在线下再见，期待你们的支持和参与，好，我们下期再见，再见。