CNTXJ.NET | 通信界-中国通信门户 | 通信圈 | 通信家 | 下载吧 | 说吧 | 人物 | 前瞻 | 智慧(区块链 | AI
 国际新闻 | 国内新闻 | 运营动态 | 市场动态 | 信息安全 | 通信电源 | 网络融合 | 通信测试 | 通信终端 | 通信政策
 专网通信 | 交换技术 | 视频通信 | 接入技术 | 无线通信 | 通信线缆 | 互联网络 | 数据通信 | 通信视界 | 通信前沿
 智能电网 | 虚拟现实 | 人工智能 | 自动化 | 光通信 | IT | 6G | 烽火 | FTTH | IPTV | NGN | 知本院 | 通信会展
您现在的位置: 通信界 >> 数据通信 >> 技术正文  
 
数据安全中台构筑企业数据生命线
[ 通信界 / 梁晴 / www.cntxj.net / 2023/7/31 22:31:21 ]
 

(绿盟科技集团股份有限公司,北京 100089)

0 引言

随着信息技术的蓬勃发展,数据已经成为企业重要资产之一,是企业赖以生存的命脉。国家大数据战略不断深化,企业数据安全成为了极大的挑战。《信息安全技术 数据安全能力成熟度模型》明确指出数据安全需要以数据为中心的管理思路,开展数据安全保障。本文基于此,为了使得以数据为中心的数据安全能力能够复用,减少安全运维的边际成本,认为应该在企业级别建立数据安全中台,确保安全能力经过抽象,职能边界确定,安全能力串联之后,可以对应用前台应用场景搭建提供安全服务。

1 安全中台和数据安全中台的概念

安全中台是指基于标准的协议和流程,将后台的安全资源和专业服务,通过专业化的职能分工,共享给前台的各个业务管理平台,实现对前台业务变化及创新的快速响应,并能够按需集成新的安全能力。安全中台是对传统安全平台的升级和加强,目的是解决安全行业“重复造轮子”问题,进一步解决传统安全平台的安全边界划分及数据孤岛问题。以数据为中心的安全中台即为“数据安全中台”,它是信息情报中心和联合作战总指挥部,是企业智能化的大脑,能够汇集各类后台的数据和信息完成数据分析,为前台应用场景提供快速数据和安全服务。发挥软件系统最大优势——低边际成本。如图1所示,数据安全中台包含以下重要要素。首先量级一定是企业级的,企业的主要负责人要带头深入理解业务范围内世界各国对于数据安全与隐私相关的法律法规,制定适合企业可落地的相关制度,并进行组织规划。其次能力方面是具有数据安全能力,要根据数据在生命周期的不同阶段,设计不同的安全防护措施。最后它的核心价值一定是可复用的,可以为前台快速搭建安全服务提供支持。

2 数据安全中台的作用

随着企业数字化转型升级的深化,数据正在成为企业的核心资产之一,在企业生产过程中发挥的价值突显。数据中台通过对企业庞大杂乱的数据进行梳理,制定数据治理方案和流程,让企业数据分门别类放置,形成企业自身的数据资产,形成以数据资产为支撑的数据应用,提升企业使用数据的效率。数据中台的功能定位是完成企业内部数据能力的抽象、共享和复用,如图2所示,以通用数据能力的形式提供给企业的应用部门。《中华人民共和国数据安全法》明确规定了数据安全与发展、数据安全制度、数据安全保护义务、政务数据安全与开放等内容,也强调了企业的数据安全保护职责。企业在数据中台建设过程中,需要同时建设数据安全中台,确保企业各项数据严格遵循数据安全法,确保数据开发利用,保障企业数据依法有序自由流动,维护企业数据安全。

图1 数据安全中台重要要素

图3 数据安全中台的作用

图2 数据中台建设流程

数据安全中台是数据中台得以健康、持续运转的关键。数据安全中台建设内容包括对数据设定安全等级,按照相应国家/组织相关法案及监管要求,通过评估数据安全风险、制定安全管理制度规范、进行数据安全分级分类,完善数据安全管理相关技术规范,保证数据被合法合规、安全地采集、处理、传输、存储、共享和使用。企业通过数据安全中台,规划和制定并执行数据安全政策和措施,提供适当的身份认证、授权、访问与审计等功能。数据安全问题包括数据平台安全、数据服务安全和数据全生命周期安全,具体参见图3。数据安全中台需要结合信息安全的技术手段保证数据资产在各个环节的安全。

3 数据安全中台建设内容

3.1 数据安全中台建设理念

随着数据安全重要性越来越高,数据安全中台也逐渐引起重视。中台的设计目的是提升企业内部运营效率和降低运营成本。基于这样的需求,安全中台的复用率就成为解决问题的关键。判断和校验中台是否建设正确即为是否为企业带来足够的复用率。因此,需要解决数据安全平台职能边界划分问题,各安全职能模块相互协作,共同完成安全功能。在进行数据安全中台建设时,需要遵循以下原则。

(1)安全对象专业化

按照数据全生命周期监管的需求,生命周期的各个阶段设置对应的安全能力。

(2)安全能力专业化

按照安全业务来设置安全能力。将安全业务进行边界判定,形成相对清晰的安全职能边界,将可复用部分抽象成安全模块组件,模块组件之间再进行业务化关联和增量包装以提供安全能力。

(3)安全数据专业化

安全数据来源众多,需要通过数据治理,进行数据唯一性建模,解决安全数据孤岛问题,达到安全生产数据归一的职责。

3.2 数据安全中台架构设计

数据安全环境日趋复杂,数据泄露和敏感数据权限控制策略失效问题日益严重,本文数据安全中台基于中台建设理念,对数据安全中台所需的各项安全能力进行抽象、边界设定,图4为数据安全中台架构设计,以期通过各安全模块的通力协作,解决数据平台的已知和潜在安全问题。

图4 数据安全中台架构设计

3.3 数据安全中台职能模块设计

数据安全中台是结合信息安全的技术手段保障数据资产全生命周期的安全,同时保障数据平台和数据服务安全。数据安全中台从如下方面进行模块建设。

(1)数据加解密模块

企业数据从产生、传输、存储、处理到共享,再到开发运营,每一个环节都存在数据泄露的风险,涉及到数据安全。数据加解密应用场景包括本地敏感数据存储安全、网络通道安全、配置文件和硬编码敏感信息安全等,还包括敏感应用的安全合规、数据共享以及展示脱敏问题等。

(2)身份验证模块

身份验证包括对外认证和对内认证。从安全上来讲,无认证和弱密码是普遍存在的问题。另外,各种密码和认证信息的窃取,也是数据泄露的主要途径。因此,目前应用单点登录作为一种比较可靠的解决方案。

(3)权限管理模块

数据权限管理是指对用户进行数据资产可见性的控制。即对于不同权限的数据资产进行隔离,然后授权相关人员可以访问敏感数据。

(4)操作审计模块

操作审计模块实现用户操作受控、轨迹可查,提升数据中台安全管理能力。操作审计可以帮助企业更好监控和保障数据中台的运行,及时识别针对数据中台的入侵轨迹、内部违规等信息,同时操作审计也能够为安全时间的事后分析提供必要的证据信息

(5)密钥管理

对于一些数据安全应用方案中,密钥存放在硬编码配置文件中,如果配置文件泄露导致密钥泄露,则承载敏感信息的数据将不再安全,因此使用数据加解密算法时,需要使用密钥管理系统来对密钥进行统一管理,来实现密钥全生命周期的管理,包括密钥创建、开启、禁用、计划删除以及销毁等。

(6)行为分析

数据安全中台承载着整合分享内部所有数据的角色,它基于操作审计模块生成的操作日志记录对前端用户的数据访问使用行为进行安全分析,一旦发现可以数据操作行为可以协同身份验证以及权限管理模块对该用户的数据访问操作进行限制并发出告警。

(7)运维监控

当需要对数据库、大数据以及网盘等数据IT基础架构进行运维时,数据安全中台对运维过程中的操作行为进行安全监控,包括数据访问及使用、数据类型变更、配置变更、破坏性操作等,同时提供告警和阻断能力。

(8)完整性校验

通过身份验证和数据加解密可以保证数据源和数据泄露,但是要做到数据的安全传输,需要确定收到的数据未被篡改,这就是数据的完整性校验。完整性校验通常做法是使用哈希算法和密钥对数据进行哈希得到数据的一个哈希值,然后将该哈希值和数据一块发送给对方,对方收到数据之后,对数据使用相同的哈希算法和密钥进行哈希得到哈希值,如果两者相同,说明数据未被篡改,数据完整性得到校验。

3.4 数据安全中台安全能力管理

在数据安全中台职能模块划分的基础上,进一步对模块提供的安全能力进行管理。包括安全组件的调度、新增服务的注册、安全策略的更新和管理。可依据不同的安全需求配置安全能力方案,整合各组件安全能力,为前台应用场景提供灵活、开放、全面的服务化安全能力。

4 数据安全中台安全服务应用流程

数据安全中台将企业的数据安全资源和数据安全服务能力进行标准化和职能划分后,企业在搭建新的应用系统时,将数据安全中台的安全能力模块进行串联,大大提升应用端搭建速度。数据安全中台安全服务应用流程根据应用场景的安全需求,串联安全模块,提供相应的安全服务。图5为数据安全中台安全服务应用流程。

图5 数据安全中台安全服务应用流程

5 结束语

本文所研究的数据安全中台可以大大提升数据应用端搭建速度。数据安全中台根据应用场景的安全需求,串联安全模块,提供相应的安全服务。本文主要涉及的是技术领域,但是数据安全不仅涉及到技术层面的问题,还涉及到安全法规建设,安全标准建设和安全意识培训等多方面的内容,需要通过多方面的共同努力,多层次地保障企业数据安全。

 

作者:梁晴 合作媒体:信息通信技术与政策 编辑:顾北

 

 

 
 热点新闻
普通新闻 盛阳伍月携手全国30家景区上线文旅元宇宙,创造游玩新体验
普通新闻 马斯克他爸:不打算读儿子的完整传记 讨厌被写成反派
普通新闻 脉脉高聘:中小城市的企业发月饼比例高于一线城市
普通新闻 滴滴:打车高峰将出现在28日15至21点
普通新闻 不是为了钱?苹果高管:与谷歌签署默认搜索合同因体验最佳
普通新闻 ChatGPT终于可以进行网络搜索 内容不再限于2021年9月前
普通新闻 工人短缺、能源价格太高 英特尔在德国制造芯片雄心受挫
普通新闻 聚智成势 协同向新|中信科智联精彩亮相2023世界智能网联汽车大会
普通新闻 三星Galaxy Z Fold5再次拉高行业标准 超闭合精工铰链可折叠70万次
普通新闻 中国信通院敖立:新时期工业互联网将对产业链组织带来新价值
普通新闻 揭秘开幕式数字点火!中国技术打造亚运经典时刻
普通新闻 华为:凝心聚力,加速AI的生态繁荣
普通新闻 中国移动荣获TM Forum2023年度市场创新卓越奖
普通新闻 工信部:杭州亚运会首创5G超密组网方案 推进5G-A超宽带技术应用
普通新闻 英特尔发布超能云终端3.0,携手生态伙伴共谋数字化未来
普通新闻 中国信科:连接数字化美好未来
普通新闻 上PICO,沉浸式观看亚运直播,参与跨国界游戏竞技
普通新闻 新紫光集团强化产业协同,新华三向“深”生长
普通新闻 新讯重磅发布5G随身wifi,真5G 打游戏!
普通新闻 OpenAI推出新版图像生成器DALL-E 3,10月份开发
  版权与免责声明: ① 凡本网注明“合作媒体:通信界”的所有作品,版权均属于通信界,未经本网授权不得转载、摘编或利用其它方式使用。已经本网授权使用作品的,应在授权范围内使用,并注明“来源:通信界”。违反上述声明者,本网将追究其相关法律责任。 ② 凡本网注明“合作媒体:XXX(非通信界)”的作品,均转载自其它媒体,转载目的在于传递更多信息,并不代表本网赞同其观点和对其真实性负责。 ③ 如因作品内容、版权和其它问题需要同本网联系的,请在一月内进行。
通信视界
吴春波:华为如何突破美国6次打压的逆境?
刘烈宏:以数字化网络化智能化助力数字经济与
普通对话 高通中国区董事长孟樸:5G与AI结合,助力提
普通对话 雷军发布小米年度演讲:坚持做高端,拥抱大
普通对话 闻库:算网融合正值挑战与机遇并存的关键阶
普通对话 工信部副部长张云明:我国算力总规模已居世
普通对话 邬贺铨:我国互联网平台企业发展的新一轮机
普通对话 张志成:继续加强海外知识产权保护工作 为助
普通对话 吴春波:华为如何突破美国6次打压的逆境?
普通对话 刘烈宏:以数字化网络化智能化助力数字经济
普通对话 消息称微软将把OpenAI人工智能技术整合至Of
普通对话 中国电信董事长柯瑞文:数字科技引领新消费
普通对话 中国移动董事长杨杰出席GSMA创新论坛并作主
普通对话 中国信科何书平:“一体两翼”大力支撑数字
普通对话 中兴徐子阳:泛在协同,筑“算网”坦途
普通对话 中国移动陈国:智慧中台对外输出数百项高价
普通对话 中兴通讯总裁徐子阳:数贯东西,融达天下,
通信前瞻
亨通光电实践数字化工厂,“5G+光纤”助力新一
邬贺铨院士解读ChatGPT等数字技术热点
普通对话 亨通光电实践数字化工厂,“5G+光纤”助力新
普通对话 中科院钱德沛:计算与网络基础设施的全面部
普通对话 工信部赵志国:我国算力总规模居全球第二 保
普通对话 邬贺铨院士解读ChatGPT等数字技术热点
普通对话 我国北方海区运用北斗三号短报文通信服务开
普通对话 华为云Stack智能进化,三大举措赋能政企深度
普通对话 孟晚舟:“三大聚力”迎接数字化、智能化、
普通对话 物联网设备在智能工作场所技术中的作用
普通对话 软银研发出以无人机探测灾害被埋者手机信号
普通对话 AI材料可自我学习并形成“肌肉记忆”
普通对话 北斗三号卫星低能离子能谱仪载荷研制成功
普通对话 为什么Wi-Fi6将成为未来物联网的关键?
普通对话 马斯克出现在推特总部 收购应该没有悬念了
普通对话 台积电澄清:未强迫员工休假或有任何无薪假
普通对话 新一代载人运载火箭发动机研制获重大突破
Copyright @ Cntxj.Net All Right Reserved 通信界 版权所有
未经书面许可,禁止转载、摘编、复制、镜像