CNTXJ.NET | 通信界-中国通信门户 | 通信圈 | 通信家 | 下载吧 | 说吧 | 人物 | 前瞻 | 智慧(区块链 | AI
 国际新闻 | 国内新闻 | 运营动态 | 市场动态 | 信息安全 | 通信电源 | 网络融合 | 通信测试 | 通信终端 | 通信政策
 专网通信 | 交换技术 | 视频通信 | 接入技术 | 无线通信 | 通信线缆 | 互联网络 | 数据通信 | 通信视界 | 通信前沿
 智能电网 | 虚拟现实 | 人工智能 | 自动化 | 光通信 | IT | 6G | 烽火 | FTTH | IPTV | NGN | 知本院 | 通信会展
您现在的位置: 通信界 >> 数据通信 >> 技术正文
 
数据安全中台构筑企业数据生命线
[ 通信界 | 梁晴 | www.cntxj.net | 2023/7/31 22:31:21 ]
 

(绿盟科技集团股份有限公司,北京 100089)

0 引言

随着信息技术的蓬勃发展,数据已经成为企业重要资产之一,是企业赖以生存的命脉。国家大数据战略不断深化,企业数据安全成为了极大的挑战。《信息安全技术 数据安全能力成熟度模型》明确指出数据安全需要以数据为中心的管理思路,开展数据安全保障。本文基于此,为了使得以数据为中心的数据安全能力能够复用,减少安全运维的边际成本,认为应该在企业级别建立数据安全中台,确保安全能力经过抽象,职能边界确定,安全能力串联之后,可以对应用前台应用场景搭建提供安全服务。

1 安全中台和数据安全中台的概念

安全中台是指基于标准的协议和流程,将后台的安全资源和专业服务,通过专业化的职能分工,共享给前台的各个业务管理平台,实现对前台业务变化及创新的快速响应,并能够按需集成新的安全能力。安全中台是对传统安全平台的升级和加强,目的是解决安全行业“重复造轮子”问题,进一步解决传统安全平台的安全边界划分及数据孤岛问题。以数据为中心的安全中台即为“数据安全中台”,它是信息情报中心和联合作战总指挥部,是企业智能化的大脑,能够汇集各类后台的数据和信息完成数据分析,为前台应用场景提供快速数据和安全服务。发挥软件系统最大优势——低边际成本。如图1所示,数据安全中台包含以下重要要素。首先量级一定是企业级的,企业的主要负责人要带头深入理解业务范围内世界各国对于数据安全与隐私相关的法律法规,制定适合企业可落地的相关制度,并进行组织规划。其次能力方面是具有数据安全能力,要根据数据在生命周期的不同阶段,设计不同的安全防护措施。最后它的核心价值一定是可复用的,可以为前台快速搭建安全服务提供支持。

2 数据安全中台的作用

随着企业数字化转型升级的深化,数据正在成为企业的核心资产之一,在企业生产过程中发挥的价值突显。数据中台通过对企业庞大杂乱的数据进行梳理,制定数据治理方案和流程,让企业数据分门别类放置,形成企业自身的数据资产,形成以数据资产为支撑的数据应用,提升企业使用数据的效率。数据中台的功能定位是完成企业内部数据能力的抽象、共享和复用,如图2所示,以通用数据能力的形式提供给企业的应用部门。《中华人民共和国数据安全法》明确规定了数据安全与发展、数据安全制度、数据安全保护义务、政务数据安全与开放等内容,也强调了企业的数据安全保护职责。企业在数据中台建设过程中,需要同时建设数据安全中台,确保企业各项数据严格遵循数据安全法,确保数据开发利用,保障企业数据依法有序自由流动,维护企业数据安全。

图1 数据安全中台重要要素

图3 数据安全中台的作用

图2 数据中台建设流程

数据安全中台是数据中台得以健康、持续运转的关键。数据安全中台建设内容包括对数据设定安全等级,按照相应国家/组织相关法案及监管要求,通过评估数据安全风险、制定安全管理制度规范、进行数据安全分级分类,完善数据安全管理相关技术规范,保证数据被合法合规、安全地采集、处理、传输、存储、共享和使用。企业通过数据安全中台,规划和制定并执行数据安全政策和措施,提供适当的身份认证、授权、访问与审计等功能。数据安全问题包括数据平台安全、数据服务安全和数据全生命周期安全,具体参见图3。数据安全中台需要结合信息安全的技术手段保证数据资产在各个环节的安全。

3 数据安全中台建设内容

3.1 数据安全中台建设理念

随着数据安全重要性越来越高,数据安全中台也逐渐引起重视。中台的设计目的是提升企业内部运营效率和降低运营成本。基于这样的需求,安全中台的复用率就成为解决问题的关键。判断和校验中台是否建设正确即为是否为企业带来足够的复用率。因此,需要解决数据安全平台职能边界划分问题,各安全职能模块相互协作,共同完成安全功能。在进行数据安全中台建设时,需要遵循以下原则。

(1)安全对象专业化

按照数据全生命周期监管的需求,生命周期的各个阶段设置对应的安全能力。

(2)安全能力专业化

按照安全业务来设置安全能力。将安全业务进行边界判定,形成相对清晰的安全职能边界,将可复用部分抽象成安全模块组件,模块组件之间再进行业务化关联和增量包装以提供安全能力。

(3)安全数据专业化

安全数据来源众多,需要通过数据治理,进行数据唯一性建模,解决安全数据孤岛问题,达到安全生产数据归一的职责。

3.2 数据安全中台架构设计

数据安全环境日趋复杂,数据泄露和敏感数据权限控制策略失效问题日益严重,本文数据安全中台基于中台建设理念,对数据安全中台所需的各项安全能力进行抽象、边界设定,图4为数据安全中台架构设计,以期通过各安全模块的通力协作,解决数据平台的已知和潜在安全问题。

图4 数据安全中台架构设计

3.3 数据安全中台职能模块设计

数据安全中台是结合信息安全的技术手段保障数据资产全生命周期的安全,同时保障数据平台和数据服务安全。数据安全中台从如下方面进行模块建设。

(1)数据加解密模块

企业数据从产生、传输、存储、处理到共享,再到开发运营,每一个环节都存在数据泄露的风险,涉及到数据安全。数据加解密应用场景包括本地敏感数据存储安全、网络通道安全、配置文件和硬编码敏感信息安全等,还包括敏感应用的安全合规、数据共享以及展示脱敏问题等。

(2)身份验证模块

身份验证包括对外认证和对内认证。从安全上来讲,无认证和弱密码是普遍存在的问题。另外,各种密码和认证信息的窃取,也是数据泄露的主要途径。因此,目前应用单点登录作为一种比较可靠的解决方案。

(3)权限管理模块

数据权限管理是指对用户进行数据资产可见性的控制。即对于不同权限的数据资产进行隔离,然后授权相关人员可以访问敏感数据。

(4)操作审计模块

操作审计模块实现用户操作受控、轨迹可查,提升数据中台安全管理能力。操作审计可以帮助企业更好监控和保障数据中台的运行,及时识别针对数据中台的入侵轨迹、内部违规等信息,同时操作审计也能够为安全时间的事后分析提供必要的证据信息

(5)密钥管理

对于一些数据安全应用方案中,密钥存放在硬编码配置文件中,如果配置文件泄露导致密钥泄露,则承载敏感信息的数据将不再安全,因此使用数据加解密算法时,需要使用密钥管理系统来对密钥进行统一管理,来实现密钥全生命周期的管理,包括密钥创建、开启、禁用、计划删除以及销毁等。

(6)行为分析

数据安全中台承载着整合分享内部所有数据的角色,它基于操作审计模块生成的操作日志记录对前端用户的数据访问使用行为进行安全分析,一旦发现可以数据操作行为可以协同身份验证以及权限管理模块对该用户的数据访问操作进行限制并发出告警。

(7)运维监控

当需要对数据库、大数据以及网盘等数据IT基础架构进行运维时,数据安全中台对运维过程中的操作行为进行安全监控,包括数据访问及使用、数据类型变更、配置变更、破坏性操作等,同时提供告警和阻断能力。

(8)完整性校验

通过身份验证和数据加解密可以保证数据源和数据泄露,但是要做到数据的安全传输,需要确定收到的数据未被篡改,这就是数据的完整性校验。完整性校验通常做法是使用哈希算法和密钥对数据进行哈希得到数据的一个哈希值,然后将该哈希值和数据一块发送给对方,对方收到数据之后,对数据使用相同的哈希算法和密钥进行哈希得到哈希值,如果两者相同,说明数据未被篡改,数据完整性得到校验。

3.4 数据安全中台安全能力管理

在数据安全中台职能模块划分的基础上,进一步对模块提供的安全能力进行管理。包括安全组件的调度、新增服务的注册、安全策略的更新和管理。可依据不同的安全需求配置安全能力方案,整合各组件安全能力,为前台应用场景提供灵活、开放、全面的服务化安全能力。

4 数据安全中台安全服务应用流程

数据安全中台将企业的数据安全资源和数据安全服务能力进行标准化和职能划分后,企业在搭建新的应用系统时,将数据安全中台的安全能力模块进行串联,大大提升应用端搭建速度。数据安全中台安全服务应用流程根据应用场景的安全需求,串联安全模块,提供相应的安全服务。图5为数据安全中台安全服务应用流程。

图5 数据安全中台安全服务应用流程

5 结束语

本文所研究的数据安全中台可以大大提升数据应用端搭建速度。数据安全中台根据应用场景的安全需求,串联安全模块,提供相应的安全服务。本文主要涉及的是技术领域,但是数据安全不仅涉及到技术层面的问题,还涉及到安全法规建设,安全标准建设和安全意识培训等多方面的内容,需要通过多方面的共同努力,多层次地保障企业数据安全。

 

1作者:梁晴 来源:信息通信技术与政策 编辑:顾北

 

声明:①凡本网注明“来源:通信界”的内容,版权均属于通信界,未经允许禁止转载、摘编,违者必究。经授权可转载,须保持转载文章、图像、音视频的完整性,并完整标注作者信息并注明“来源:通信界”。②凡本网注明“来源:XXX(非通信界)”的内容,均转载自其它媒体,转载目的在于传递更多行业信息,仅代表作者本人观点,与本网无关。本网对文中陈述、观点判断保持中立,不对所包含内容的准确性、可靠性或完整性提供任何明示或暗示的保证。请读者仅作参考,并请自行承担全部责任。③如因内容涉及版权和其它问题,请自发布之日起30日内与本网联系,我们将在第一时间删除内容。 
热点动态
普通新闻 中信科智联亮相2023中国移动全球合作伙伴大会
普通新闻 全球首个基于Data Channel的新通话商用网络呼叫成功拨通
普通新闻 中国联通:以优质通信服务 助力“一带一路”共建繁华
普通新闻 杨杰:未来五年,智算规模复合增长率将超过50%
普通新闻 长沙电信大楼火灾调查报告发布:系未熄灭烟头引燃,20余人被问责
普通新闻 邬贺铨:生态短板掣肘5G潜能发挥,AI有望成“破局之剑”
普通新闻 工信部:加大对民营企业参与移动通信转售等业务和服务创新的支持力
普通新闻 摩尔线程亮相2023中国移动全球合作伙伴大会,全功能GPU加速云电脑体
普通新闻 看齐微软!谷歌表示将保护用户免受人工智能版权诉讼
普通新闻 联想王传东:AI能力已成为推动产业升级和生产力跃迁的利刃
普通新闻 APUS李涛:中国的AI应用 只能生长在中国的大模型之上
普通新闻 外媒:在电池竞赛中,中国如何将世界远远甩在后面
普通新闻 三星电子预计其盈利能力将再次下降
普通新闻 报告称华为5G专利全球第1 苹果排名第12
普通新闻 党中央、国务院批准,工信部职责、机构、编制调整
普通新闻 荣耀Magic Vs2系列正式发布,刷新横向大内折手机轻薄纪录
普通新闻 GSMA首席技术官:全球连接数超15亿,5G推动全行业数字化转型
普通新闻 北京联通完成全球首个F5G-A“单纤百T”现网验证,助力北京迈向万兆
普通新闻 中科曙光亮相2023中国移动全球合作伙伴大会
普通新闻 最高补贴500万元!哈尔滨市制定工业互联网专项资金使用细则
通信视界
邬贺铨:移动通信开启5G-A新周期,云网融合/算
普通对话 中兴通讯徐子阳:强基慧智,共建数智热带雨
普通对话 邬贺铨:移动通信开启5G-A新周期,云网融合
普通对话 华为轮值董事长胡厚崑:我们正努力将5G-A带
普通对话 高通中国区董事长孟樸:5G与AI结合,助力提
普通对话 雷军发布小米年度演讲:坚持做高端,拥抱大
普通对话 闻库:算网融合正值挑战与机遇并存的关键阶
普通对话 工信部副部长张云明:我国算力总规模已居世
普通对话 邬贺铨:我国互联网平台企业发展的新一轮机
普通对话 张志成:继续加强海外知识产权保护工作 为助
普通对话 吴春波:华为如何突破美国6次打压的逆境?
通信前瞻
亨通光电实践数字化工厂,“5G+光纤”助力新一
普通对话 亨通光电实践数字化工厂,“5G+光纤”助力新
普通对话 中科院钱德沛:计算与网络基础设施的全面部
普通对话 工信部赵志国:我国算力总规模居全球第二 保
普通对话 邬贺铨院士解读ChatGPT等数字技术热点
普通对话 我国北方海区运用北斗三号短报文通信服务开
普通对话 华为云Stack智能进化,三大举措赋能政企深度
普通对话 孟晚舟:“三大聚力”迎接数字化、智能化、
普通对话 物联网设备在智能工作场所技术中的作用
普通对话 软银研发出以无人机探测灾害被埋者手机信号
普通对话 AI材料可自我学习并形成“肌肉记忆”
普通对话 北斗三号卫星低能离子能谱仪载荷研制成功
普通对话 为什么Wi-Fi6将成为未来物联网的关键?
普通对话 马斯克出现在推特总部 收购应该没有悬念了
普通对话 台积电澄清:未强迫员工休假或有任何无薪假
普通对话 新一代载人运载火箭发动机研制获重大突破
推荐阅读
Copyright @ Cntxj.Net All Right Reserved 通信界 版权所有
未经书面许可,禁止转载、摘编、复制、镜像