开发者学堂课程【DataWorks 一站式大数据开发治理平台精品课程:8.DataWorks 数据安全介绍及实践】与课程紧密联系,让用户快速学习知识
课程地址:https://developer.aliyun.com/learning/course/81/detail/1234
8.DataWorks 数据安全介绍及实践(一)
内容介绍
一、数据安全保护背景
二、数据安全治理体系
三、数据保护伞最佳实践
四、数据保护伞操作示例
一、数据安全保护背景
从数据使用的历史中,把它分成1.0,2.0,3.0三个阶段。首先在1.0阶段时,它的特点是数据使用者是比较单一的,就是bi同学,所以在这时的数据安全保护也是非常单一的,就是BI同学可以直接访问数据,那么采用制度规范以及事后的审计进行数据安全的管理。但是到2.0后,就是数据使用本身就发生变化,它的数据使用的角色从之前的bi同学发展到多种角色,包括数据开发BI和建模等等。在这时的数据安全保护就是采用虚拟机连接的方式,到3.0阶段后,数据量变得越来越大,数据角色也变得越来越复杂,需要从数据中挖掘价值,这时需要参与者会越来越多,就是不只是数据开发bi以及建模这些数据工作者,还有包括运营,还有产品,还有研发等等,那么在这样的情况下,如何进行数据安全管理?采用的方式一般是以数据的分类分析为基础,在此基础上进行权限控制、脱敏、加密审计等等数据访问控制。
1、数据安全现状令人堪忧
(1)敏感数据泄露将会导致重大风险
《2017年数据泄露成本研究:全球概览》报告指出:全球47%的数据泄露事件是由黑客和内部人员恶意犯罪行为造成的:平均每条泄露造成的损失约156美元,远高于系统故障或人为疏忽;金融相关行业数据泄露导致的客户非正常流失率最高,约5.7%。对数据进行分类分级识别及保护,能够降低敏感数据被泄露的风险。
(2)敏感数据安全令管理者倍感压力
敏感数据分布位置不明,令管理者寝食难安。最困扰安全管理者的第一烦恼,是不能了解敏感数据在企业中的分布。大家普遍认为,掌控敏感数据的位置,比权限和加密更重要。自动化敏感数据发现解决方案可以降低数据风险,提高安全效率。
(3)监管合规要求
网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务保障网络免受干扰、 破坏或者未经授权的访问防止网络数据泄露或者被窃取、篡改:采取数据分类、重要数据备份和加密等措施。在国内监管机构已普遍推荐 数据分类分级的治理框架。
现在基本上都处于3.0阶段,它的特点是什么?数据量非常大,对于企业管理者,他最头疼的问题是敏感数据到底分布在哪里?在此基础上才可以构建其他的比如权限管控,加密,脱密等等。所以第一问题都是数据量这么大,敏感数据到底在哪里?第二个问题是全球几乎快到一半的数据泄露事件,是由黑客和内部人员恶意犯罪行为构成的,但是在实际的管理过程中,有很多情况下又会忽略掉队内部人员数据权限的管控。另一方面如果如果忽视掉,那么每次数据泄露它所造成的除了经济的损失之外,还有客户的流失等等,后果是非常严重的。第三点监管合规对各个企业的要求是越来越高的,整个国家层面都是越来越重视。
2、数据安全越来越受国家重视
(1)2017年3月
《民法总则》明确强调“自然人的个人信息受法律保护”两高发布刑法解释,对侵犯公民个人信息行为的定罪进行了系统的规定。
(2)2017年6月
《网络安全法》正式生效, 明确要求网络运营者保护公民个人信息。
(3)2017年12月
《信息安全技术个人信息安全规范》正式发布。
(4)2018年5月
《信息安全技术个人信息安全规范》正式生效。
(5)2018年9月《个人信息保护法》、《数据安全法》 进入十三大立法规划。
(6)2019年5月
《数据安全管理办法》征求意见,对网络运营者提出了明确的数据安全保护要求。
(7)2019年7月
工信部印发《电信和互联网行业提升网络数据安全保护能力专项行动方案》
所以在3.0阶段,国家层面越来越重视,但是数据安全管理的难度就越来越大,因为使用数据的人比较复杂,同时数据量又太大,就是传统的方式,不一定满足要求。在这样的情况下,面临比较大的数据安全管理挑战,如何做?
二、数据安全治理体系
数据安全体系是从制度,产品和运营三个方面进行的,这里可能会有误区,就是买数据安全的产品,就万事大吉,对于企业的安全保护就已经做得非常好,但并不是这样的。产品只是其中的一环,要把企业的数据安全治理体系给建立起,是要做到制度、产品和运营三足鼎立。制度就是定制一个框告诉企业的数据管理人员以及企业的数据使用者,标准是什么,红线是什么?一般会制定哪些?首先是数据分类分级的标准,权限的管控,审计的流程申请标准方法等等,也是一般情况下会制定标准和制度。另外就是特别要注意,要在制度中把红线给明确下来,让企业人员明白哪些线是不能踩的,之后才是使用产品进行制度的落地。产品是抓手,在产品中借助它的功能,把制度中规定的那些分类分级的标准,质量管控,审计流程等等这些制度,它具象化到产品功能中,现在提供的产品就是包括dataworks整体的体系,产品功能是比较全的,能够覆盖到就是包括加密审计脱密安全权限等一系列的数据安全的要求。第三点就是安全落地的最后一公里,就是运营产品已经全部配置好,使用起来了。到最后一步,需要的运营人员进行风险管理,资源优化、安全加固等等完成闭环。就是第一步已经制定这些制度明哪些是可以做的,哪些是不能做的,要遵循什么样的制度,毕竟用产品去具象化的这些制度,那么最后一步运营就需要根据制定的这些制度奖惩,优化,这样可以形成制度产品,数据安全治理体系的闭环。
基于分类分级的数据安全管理体系
数据安全保护伞就是基于理论体系下,构建基于分类分级的数据安全管理体系。基于数据本身以及源数据,会有自动化的分类分级管理的系统,会对的数据进行自动化的数据识别和分类分析。在过程中,可能需要由安全人员进行规则的配置。再往上自动化的进行分析后,最终的结果会生成分类分类的数据库,数据库也可以由业务人员修正,安全人员管理。基于数据库,可以在最上层安全管控层,在数据使用的整个流程中,基于分类分级进行的数据安全管控,比如数据展示场景化,要展示透明,数据使用场景是否具有权限管控,数据输出场景要评审,以整个全部场景会操作审计等等。那么这就是第二点企业如何建立自己的数据安全治理体系。
