1、全新发布云原生数据安全中心DSGC全方位数据安全风险发现与处置响应谢灿 腾讯云数据安全产品经理主讲人：当我们谈论数据安全，我们在什么？数据安全风险规避加利福尼亚消费者隐私法案CCPA个人信息保护法数据安全法密码法网络安全审查办法关键信息基础设施安全保护条例网络数据安全管理条例（征求意见稿）通用数据保护条例(GDPR)俄罗斯联邦个人数据保护法个人数据保护法案巴西通用数据保护法(LGPD)数据保障条例数据安全法律合规遵从数据安全治理体系构建数据全生命周期防护数据防泄漏腾讯云数据安全治理框架平衡业务需求与风险管控法律合规咨询数据安全体系咨询安全产品与技术腾讯云数据安全治理框架数据安全风险治理云计算环

2、境数据安全建设风险点梳理风险贯穿业务数据流各个环节办公环境生产环境研发环境运维高敏感度岗位OLTP 在线业务OLAP 在线分析和大数据归档、备份、容灾环境基础设施文件存储应用中间件数据库应用对象存储数据湖AI/ML文件存储邮件WEB应用终端灾备冷、温、热归档邮件、文件备份冷、热备代码库部署服务测试环境远程终端高敏终端网络、服务器2关键风险?用户无意识泄露（网盘等）?用户账号泄露（VPN/OA等）?钓鱼邮件渗透?勒索软件关键风险?高敏感岗位定向攻击?设备丢失?用户蓄意泄露（物理接触途径）?用户蓄意泄露（网络途径）关键风险?业务数据越权访问关键风险?暴露数据端口?开放式API?应用/系统漏洞?We

3、b漏洞（SQL注入等）?账号泄露/权限配置错误关键风险?未脱敏的三方数据共享?非受控数据出域?敏感数据未有效识别和控制关键风险?代码泄露?数据访问凭据泄露（账号、AK/SK、配置等）?软件供应链威胁关键威胁?秘钥/证书泄露?网络传输未加密?缺乏秘钥管理基础设施/未加密关键风险?缺乏妥善管理的离线备份?未加密的备份/归档数据关键风险?特权账号泄露?开放API/AKSK泄露?机/机账号泄露?非受控操作关键风险?蓄意泄露?越权访问?权限配置错误运维环境关键风险?缺乏有效数据分类分级?缺乏数据和个人信息保护的风险地图?缺乏法律合规的识别和映射?缺乏完整的数据安全治理框架（合规方针、组织、流程、技术）企

4、业数字治理层面全新发布云原生数据安全中心全方位数据安全风险发现与处置响应敏感数据发现通过可视化的手段，从资产概况、账号权限、数据存储、敏感数据等多种维度查看资产的安全状况。数据分类分级根据国家、行业或企业的数据分类分级标准进行自动化的敏感数据发现与数据分类分级风险评估与收敛通过对敏感数据安全和高风险活动进行识别和监控，发现敏感数据明文存储、风险配置、账号权限风险问题数据安全策略统一策略下发，包括实时加密、动态脱敏、数据库访问控制、堡垒机访问控制、数据安全审计等策略下发云原生数据安全中心-全方位数据安全风险发现与处置响应自动化数据安全分类分级模版 个人金融信息保护模板 个保法模板 医疗行业分类分

5、级模板 文娱行业分类分级模板 广告行业分类分级模板 支付行业分类分级模板 定制分类分级要求模板合规模板8个合规组模板，40+规则集覆盖大部分场景需求不同行业分类分级规范不同，大部分行业尚未规范化-通过合规模版架构解决行业标准化差异问题。云原生数据安全中心-全方位数据安全风险发现与处置响应自动化敏感数据资产发现多数据源支持结构化&半结构化&非结构化云原生数据库&自建数据库&云存储MYSQL、TDSQL、MariaDB、PostgreSQL、COS.高精准度根据数据特征、关联分析、数据标识的敏感数据识别持续专家运营，腾讯多样化业务迎检需求丰富积淀云原生集成自动发现云数据资产，避免遗漏支持手动添加、

6、导入自建数据资产跨地域、跨VPC资产统一管理云原生数据安全中心-全方位数据安全风险发现与处置响应数据安全风险评估与处置响应脆弱性分析资产敏感度评估平台脆弱性评估安全措施脆弱性评估异常行为检测向系统外可疑的数据传输在非常规的时间/地点访问数据安全威胁分析哪些数据资产的问题最多敏感数据的异常分布风险事件与异常资产相关性分析安全事件趋势风险分析潜在泄漏风险对异常数据/行为告警发现敏感数据之间的关联隐私合规风险潜在合规风险识别智能安全合规报告风险修复建议风险修复建议云原生数据安全中心-全方位数据安全风险发现与处置响应数据资产地图数据资产自动同步数据安全风险概览趋势数据安全风险详情构建云原生数据安全治理

7、最佳应用实践场景(一)：隐私安全数据安全治理与管控1 集中治理自动扫描云上和自建资产，识别敏感数据分布情况，基于合规模板灵活满足各行业分类分级要求2持续防护云访问安全代理CASB：通过基于RBAC和ABAC的细粒度访问控制、字段加密和动态脱敏解决数据在访问、存储时的安全3 合规审计通过数据审计，免agent部署实现数据库审计功能，有效审计和追溯风险问题研发/运维应用管理员策略管理业务用户A业务用户B手机号用户A获得明文手机号139*0123用户B获得脱敏数据手机号139*0123研发获得脱敏数据非法访问阻断TDSQLMYSQLPostgresqlMariaDBDB手机号F

8、CADFGLJFGL|密文存储DBA手机号FCADFGLJFGL|密文数据恶意窃取云访问安全代理CASB构建云原生数据安全治理最佳应用实践场景（二）：运维安全风险发现与敏感数据管控大部分的泄露都是无意识的，主要在于用户对密钥重要性认知不够，上传非敏感代码时不小心夹带非敏感代码API密钥用户思考逻辑：代码能不能传到Github?用户不会考虑：代码中的密钥能不能传到Github?+l 密钥风险问题与Github官方在密钥泄露检测上合作，联动云原生数据安全中心DSGC泄露监测策略配置下发至凭据管理服务SSM进行管控l 泄露风险监控与管控基于最小化权限原则对运维人员访问敏感数据进行控制，普通用户禁止访

9、问/操作敏感数据l 敏感运维操作风险对上传/下载、数据库敏感操作进行监测，联动云原生数据安全中心DSGC进行告警策略配置下发至堡垒机，对敏感文件上传及下载风险操作、数据库风险敏感操作进行拦截l 敏感运维操作告警与管控服务器数据库普通用户审计留痕发起敏感数据访问拦截阻断构建云原生数据安全治理最佳应用实践丰富云原生数据安全产品组件实现管控闭环数据安全中心|DSGC资产梳理分类分级敏感数据发现数据安全态势数据泄漏风险评估配置风险评估隐私合规风险评估管理面治理云访问安全代理CASB字段级数据加密基于角色动态脱敏访问控制免应用改造数据脱敏DMask敏感数据处理数据水印数据面防护密钥管理系统KMS云加密机

10、CloudHSM机密计算CCP密码模块SMSDK密钥管理高性能软加密硬件加密内存加密全链路加密运维面管控堡垒机BH运维账号统一管理高危指令拦截端口隐藏凭据管理系统SSM敏感凭据加密与托管硬编码风险规避数据库审计DSAudit数据库访问审计会话压力预警风险操作预警数据资产安全可视化数据资产分类分级数据安全风险评估数据全生命周期安全敏感数据资产访问、存储、共享、使用、传输安全管理覆盖敏感资产业务、运维、研发安全场景云原生数据安全云产品透明集成一键部署，即开即用动态延展，高可用性、腾讯云原生数据安全解决方案数据可识风险可查安全可控管理可视持续校验与风险评估云数据安全中心元数据安全资产内容访问控制运维

11、测试场景安全业务数据使用控制业务数据共享控制数据防泄漏安全审计日志统一分析展示安全态势感知用户行为分析云身份、云资产、云网络、云策略统一管理访问主体数据资产资产内容应用身份、运维、合作伙伴、第三方、恶意用户数据库、数仓、云存储、应用、设备结构化、半结构化、非结构化快速构建云数据安全保护最佳实践架构让上云比传统数据安全中心更安全！云原生数据安全中台运维面管控SSM/BH/DSAudit数据面防护CASB/DMask管理面治理DSGC/DSPASparklingSnova数据获取CKafkaCMQRedisAPIStreamBIEMRTIMongoDBES事务处理和检索PostgresqlMYSQ

12、LTDSQLTDSQL分析与数据服务CFSAPICOSCBSCVMVPN数据访问与消费原始数据归一智能分析决策与反馈全链路数据加密日志审计密钥管理应用加密网络加密计算加密服务端加密可视化管理四步构建云数据安全最佳实践架构云产品原生集成，一键开启云数据安全能力CAMCloudAudit数据访问异常监测与响应用户身份资源级鉴权VPC网络隔离与访问控制 完全隔离 多样化接入 弹性扩展 服务集成 管理访问权限 授予精细权限 二次身份校验 联合身份 简化的合规性 用户与资源变更可见性 安全性分析和问题排查云原生数据安全中台云数据安全与隐私保护 云产品集成，即开即用 全链路数据加密 敏感数据发现与分类分级 数据库安全增强防护 特权账号管控 审计监控与溯源THANKS谢谢观看