Dataphin數(shù)據(jù)治理系列:提升企業(yè)全鏈路數(shù)據(jù)安全保障

瓴羊旗下開發(fā)云核心產(chǎn)品Dataphin(智能數(shù)據(jù)建設(shè)與治理),一直在探索數(shù)據(jù)安全管理能力的產(chǎn)品化最佳實(shí)踐,即如何幫助企業(yè)利用產(chǎn)品工具能力,基于法律法規(guī)、主管部門要求和自身行業(yè)和業(yè)務(wù)的需要,建立起規(guī)范的分級(jí)分類制度,并對(duì)敏感數(shù)據(jù)制定相應(yīng)的保護(hù)策略。企業(yè)通過Dataphin構(gòu)建起合規(guī)的數(shù)據(jù)安全體系,將數(shù)據(jù)安全風(fēng)險(xiǎn)降至最低,讓數(shù)據(jù)資產(chǎn)在安全合規(guī)的基礎(chǔ)上,得到最大的價(jià)值釋放。

在權(quán)威組織「DAMA國(guó)際」發(fā)布的數(shù)據(jù)治理框架中,數(shù)據(jù)安全是十分重要的組成部分。在Dataphin的數(shù)據(jù)治理相關(guān)功能版塊中,數(shù)據(jù)安全也至關(guān)重要。Dataphin和DAMA都認(rèn)為,數(shù)據(jù)安全應(yīng)包括安全策略和過程的規(guī)劃、建立與執(zhí)行,為數(shù)據(jù)和信息資產(chǎn)提供正確的身份驗(yàn)證、授權(quán)、訪問和審計(jì)。

與數(shù)據(jù)管理的其他職責(zé)類似,數(shù)據(jù)安全最好在企業(yè)級(jí)層面開展。如果缺乏協(xié)同努力,業(yè)務(wù)單元各自尋找安全需求解決方案,那么將會(huì)導(dǎo)致總成本的增加,同時(shí)還可能由于不一致的保護(hù)措施而降低安全性。使用Dataphin開展企業(yè)級(jí)的數(shù)據(jù)安全管理,將使整個(gè)工作流程更加嚴(yán)謹(jǐn)和高效。

綜上所述,在企業(yè)內(nèi)部,一個(gè)完整的數(shù)據(jù)安全管理工作流,會(huì)分為事前制定規(guī)范、事中執(zhí)行管控和事后審查優(yōu)化三個(gè)核心階段。企業(yè)在識(shí)別自身的數(shù)據(jù)安全需求后,需要制定企業(yè)管理規(guī)范,然后可以借助Dataphin的工具化能力,高效開展敏感數(shù)據(jù)保護(hù)、權(quán)限體系管控、以及研發(fā)安全保護(hù)的全鏈路安全管理工作。

一、更全面的數(shù)據(jù)分類分級(jí)

要進(jìn)行具體的安全管理工作,首先要對(duì)組織數(shù)據(jù)進(jìn)行分類分級(jí),以便識(shí)別需要保護(hù)的數(shù)據(jù)。整個(gè)流程包括以下步驟:

業(yè)務(wù)上:

1)識(shí)別敏感數(shù)據(jù)資產(chǎn)并分類分級(jí)。有一些數(shù)據(jù)資產(chǎn)和敏感數(shù)據(jù)(包括個(gè)人身份識(shí)別、醫(yī)療數(shù)據(jù)、財(cái)務(wù)數(shù)據(jù)等)需要根據(jù)所屬行業(yè)和組織類型等進(jìn)行分類分級(jí)。

2)識(shí)別敏感數(shù)據(jù)在業(yè)務(wù)流程中如何使用。需要對(duì)業(yè)務(wù)流程進(jìn)行分析,如敏感數(shù)據(jù)可能在數(shù)據(jù)加工、數(shù)據(jù)分析、數(shù)據(jù)下載等場(chǎng)景被訪問,需要確定在什么條件下允許哪些訪問。

3)確定敏感數(shù)據(jù)保護(hù)方案。針對(duì)梳理出來的敏感數(shù)據(jù),和數(shù)據(jù)訪問場(chǎng)景,結(jié)合用戶身份權(quán)限,制定完善的敏感數(shù)據(jù)保護(hù)方案。

技術(shù)上:

1)在企業(yè)中定位敏感數(shù)據(jù)。這取決于數(shù)據(jù)存儲(chǔ)的位置,其安全要求可能有所不同。大量敏感數(shù)據(jù)存儲(chǔ)在單一位置,如果這個(gè)位置遭到破壞,那么將會(huì)帶來極高的風(fēng)險(xiǎn)。

2)確定保護(hù)每項(xiàng)資產(chǎn)的方法。根據(jù)數(shù)據(jù)內(nèi)容和技術(shù)類型不同,確保采取針對(duì)性的安全措施。

數(shù)據(jù)分級(jí)是對(duì)數(shù)據(jù)敏感等級(jí)的設(shè)定,數(shù)據(jù)分類是對(duì)數(shù)據(jù)使用領(lǐng)域的設(shè)定,輔助區(qū)分?jǐn)?shù)據(jù)的敏感程度。瓴羊Dataphin內(nèi)置了多個(gè)滿足國(guó)家和行業(yè)分類要求的數(shù)據(jù)分級(jí)分類模型,包括分類層級(jí)、數(shù)據(jù)分類和數(shù)據(jù)分級(jí)信息,供企業(yè)安全管理團(tuán)隊(duì)借鑒引用,全面融合外部政策要求和內(nèi)部管理規(guī)范。

除了引用內(nèi)置分類分級(jí)模型以外,企業(yè)也可以通過Dataphin安全模塊中的數(shù)據(jù)分類分級(jí)能力進(jìn)行分級(jí)分類創(chuàng)建及管理。

點(diǎn)擊Dataphin新建數(shù)據(jù)分類,在彈出框填寫相關(guān)信息,以及數(shù)據(jù)敏感程度等級(jí)后,選擇識(shí)別特征、優(yōu)先級(jí)和掃描方式,點(diǎn)擊確定就完成了新建數(shù)據(jù)分類。完成數(shù)據(jù)分類后,可以在數(shù)據(jù)分類頁(yè)面查看目前的數(shù)據(jù)分類情況和詳細(xì)信息。

進(jìn)入到Dataphin分級(jí)頁(yè)面,可以查看系統(tǒng)中的數(shù)據(jù)分級(jí),及每個(gè)數(shù)據(jù)分級(jí)的詳細(xì)信息。點(diǎn)擊新建數(shù)據(jù)分級(jí),就可以快速完成自定義的數(shù)據(jù)分級(jí)創(chuàng)建,操作十分簡(jiǎn)單快捷。

二、更智能的敏感數(shù)據(jù)保護(hù)

在DAMA出品的數(shù)據(jù)治理經(jīng)典教材《DMBOK2》中也提到,除了對(duì)數(shù)據(jù)本身進(jìn)行分類分級(jí)外,還需對(duì)外部威脅和內(nèi)部風(fēng)險(xiǎn)(由員工和流程產(chǎn)生)進(jìn)行評(píng)估。許多數(shù)據(jù)的丟失或暴露是由于員工對(duì)高度敏感的信息缺乏認(rèn)識(shí)或者繞過安全策略視而不見造成的。

因此,企業(yè)可以借助Dataphin的敏感數(shù)據(jù)識(shí)別及脫敏能力,對(duì)數(shù)據(jù)的采、建、管、用全流程進(jìn)行安全保障。

通過Dataphin可以配置敏感數(shù)據(jù)識(shí)別規(guī)則,系統(tǒng)會(huì)根據(jù)識(shí)別規(guī)則配置的數(shù)據(jù)分類和數(shù)據(jù)分級(jí),自動(dòng)對(duì)字段打標(biāo)生成識(shí)別結(jié)果,也可以用EXCEL上傳識(shí)別結(jié)果或手動(dòng)添加識(shí)別結(jié)果。識(shí)別出敏感數(shù)據(jù)之后,就可以配置脫敏規(guī)則保護(hù)敏感數(shù)據(jù)了。

在Dataphin的安全模塊中,可以在脫敏算法頁(yè)面查看相關(guān)算法說明、算法函數(shù)的使用介紹和數(shù)據(jù)脫敏實(shí)現(xiàn)方式。并通過Dataphin的敏感數(shù)據(jù)脫敏能力(包含靜態(tài)脫敏和動(dòng)態(tài)脫敏),對(duì)企業(yè)的數(shù)據(jù)資產(chǎn)開展安全保護(hù)。

Dataphin的數(shù)據(jù)靜態(tài)脫敏能力是在數(shù)據(jù)開發(fā)和集成頁(yè)面完成,直接對(duì)底層數(shù)據(jù)進(jìn)行脫敏。動(dòng)態(tài)脫敏是指不改變底層數(shù)據(jù),只有在做數(shù)據(jù)開發(fā)查詢等操作的時(shí)候,做脫敏處理保證數(shù)據(jù)安全。當(dāng)需要進(jìn)行數(shù)據(jù)問題排查等特殊場(chǎng)景需要展示具體數(shù)據(jù),可以通過Dataphin的動(dòng)態(tài)脫敏白名單功能實(shí)現(xiàn)。

三、更精細(xì)的權(quán)限體系管控

數(shù)據(jù)安全需求和過程分為4個(gè)方面:訪問(Access)、審計(jì)(Audit)、驗(yàn)證(Authentication)和授權(quán)(Authorization)。為了有效遵守?cái)?shù)據(jù)法規(guī),還增加了一個(gè)E,即權(quán)限(Entitlement)。數(shù)據(jù)分類、訪問權(quán)限、角色組、用戶和密碼是實(shí)施策略和滿足4A的一些常用手段。

企業(yè)數(shù)據(jù)資產(chǎn)管理員可以借助Dataphin的用戶角色體系、權(quán)限申請(qǐng)/審批/審計(jì)等功能,對(duì)權(quán)限進(jìn)行精細(xì)化管控,為企業(yè)不同的崗位角色配置不同的數(shù)據(jù)權(quán)限,將權(quán)限體系與安全規(guī)范深度結(jié)合。

同時(shí)企業(yè)數(shù)據(jù)資產(chǎn)管理員可以利用Dataphin定義不同的權(quán)限申請(qǐng)/審批流程,并對(duì)可能不合規(guī)的流程開展審計(jì)工作。有了Dataphin,企業(yè)數(shù)據(jù)資產(chǎn)管理員能夠擁有更清晰的全盤視角,持續(xù)對(duì)數(shù)據(jù)安全進(jìn)行監(jiān)控和風(fēng)險(xiǎn)分析,將人為引發(fā)的數(shù)據(jù)安全風(fēng)險(xiǎn)降到最低。

四、隱私計(jì)算保障數(shù)據(jù)流通安全

數(shù)據(jù)資產(chǎn)在流程場(chǎng)景中,往往可以發(fā)揮出更大的價(jià)值,但之前企業(yè)困于安全保護(hù)技術(shù)的限制,對(duì)于數(shù)據(jù)流通存在的數(shù)據(jù)泄漏和安全監(jiān)管風(fēng)險(xiǎn)無法處理。比如,在外部數(shù)據(jù)流通場(chǎng)景,明文數(shù)據(jù)容易被不法之徒竊取。這個(gè)時(shí)候,企業(yè)就可以使用Dataphin進(jìn)行數(shù)據(jù)集成加解密,或者啟用隱私計(jì)算這類安全保護(hù)措施。

Dataphin隱私計(jì)算能力基于時(shí)下最流行的隱私計(jì)算技術(shù),如多方安全計(jì)算、聯(lián)邦學(xué)習(xí)、同態(tài)加密、差分隱私等技術(shù)路線,幫助企業(yè)在各類數(shù)據(jù)流通場(chǎng)景實(shí)現(xiàn)價(jià)值釋放。企業(yè)數(shù)據(jù)不需要出域,即可實(shí)現(xiàn)多方數(shù)據(jù)價(jià)值交換,在數(shù)據(jù)傳輸流通場(chǎng)景真正實(shí)現(xiàn)數(shù)據(jù)可用不可見,不僅免去企業(yè)安全隱憂,還能讓數(shù)據(jù)激發(fā)出更多的價(jià)值。

五、確保全鏈路數(shù)據(jù)安全

在數(shù)據(jù)建設(shè)過程中,Dataphin不僅能提供租戶空間、項(xiàng)目空間等能力支持多種隔離場(chǎng)景,還會(huì)在開發(fā)等鏈路中根據(jù)數(shù)據(jù)工程師角色權(quán)限,全程進(jìn)行自動(dòng)化的脫敏保護(hù),對(duì)數(shù)據(jù)研發(fā)生產(chǎn)的全鏈路進(jìn)行嚴(yán)格的安全規(guī)范約束。

以上安全能力經(jīng)多方權(quán)威機(jī)構(gòu)測(cè)評(píng)認(rèn)證,確保企業(yè)的數(shù)據(jù)從進(jìn)入Dataphin到輸出,全鏈路安全可控,讓企業(yè)在數(shù)據(jù)安全體系建設(shè)的過程中,享受到Dataphin更實(shí)時(shí)和全面的安全保障。

未來,Dataphin將融合DAMA數(shù)據(jù)治理理論框架,持續(xù)圍繞數(shù)據(jù)質(zhì)量、數(shù)據(jù)標(biāo)準(zhǔn)、數(shù)據(jù)安全、資源成本等領(lǐng)域提升Dataphin數(shù)據(jù)治理產(chǎn)品化能力,幫助企業(yè)更高效地開展數(shù)據(jù)治理工作,取得顯著成果。

(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。
任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 )