数据|干货|数据中台安全体系构建方法论( 二 )
???????此外 , 数据的风险也不能单单满足于事后发现再去定位回溯追踪 , 事中的感知乃至事前的预判和预防都是需要主动去碰撞的 。
2.4 数据业务化
???????前面提到数据中台和业务中台的紧耦合性 , 意味着数据中台对业务中台的业务支持以及业务前台对数据&业务双中台的依赖都是不能割裂的 。 因为数据中台形成的数据集市最终是要把数据给到业务中台 , 给到业务前台 , 所以从数据流转链路看 , 这个边界很有必要圈住业务前台——通常是业务应用系统 。
???????无论是门户网站也好 , 定制业务的集成接口服务也好 , 还是应用程序或是数据开放环境等基础设施 , 如果Web防护的不好、接口安全机制不完备、开放原则和权限策略不明确等等 , 这些对象都会成为被攻击的目标 , 也会成为被拖走数据的入口 , 如果忽略了这一环 , 中台加固的再好依旧改变不了数据泄露的现实 。
三、数据中台下绿盟数据安全构建思路
3.1 数据安全建设思路
???????数据安全建设应该走一条什么样的路线?Gartner的DCAP , NIST CSF的IPDR , 以及真实场景的实践反馈 , 无一例外都指明数据安全最基础的一环就是摸清家底——数据资产的管理 。 得益于数据中台数据治理过程 , 基于数据的层层标准化治理和分类分级切分 , 安全已经站在了较高的台阶 , 更多需要聚焦的是敏感数据和针对敏感数据应如何制定安全策略 。
???????可能这里会让人产生一个逻辑上的疑问——到底是先让数据治理把数据理顺 , 之后再搭建数据层面的安全策略 , 还是先设置安全的门槛然后才能动手治理数据?
???????其实原则很简单 , 安全和业务不应有先后 , 需要寻找的是平衡 , 莫不如让安全出面来治理数据 , 让安全为数据治理保驾护航 , 狭隘一点姑且将其也称之为“数据安全治理” 。
???????综上所述 , 做好数据中台的数据安全体系构建 , 敏感数据的管理能力是贯穿安全防护整个中台建设过程和所有应用场景的大前提 。 无论是针对数据库、大数据平台等基础设施的防护 , 还是数据运维场景、BI分析、数据处理访问的风险控制 , 精确到数据层面的权限策略和相应措施 , 都是把数据安全做到位 , 做彻底的关键 。
???????下面我们一起来看一下绿盟科技(300369,股吧)在数据中台下搭建数据安全体系时如何兑现这一理念和思路 。
3.2 绿盟数据安全体系构建路线
图片
图 1.2 绿盟数据中台安全体系架构
???????结合前文提到的理念和数据中台业务逻辑中识别的风险及防护对象 , 我们的思路如上图所示:
???????敏感数据资产化的管理能力 , 是贯穿始终的核心和关键 , “发现识别->分类分级->权限策略”和IPDR架构的“Identification”理念高度契合 。 同时可视化技术也是资产化管理的有效手段 , 为整个体系的安全目标打好数据资产可见、可管、可控的扎实基础 。
???????结合数据中台业务逻辑的风险识别分析 , 我们把能力架构分层次的摞了一下 , 先从基础设施的防护做起 , 基础设施/组件的漏洞发现、配置核查 , 基础数据库的防护 , 服务主机终端的加固防泄漏 , 传输安全等能力来保障基础环境和设施的安全 。
???????依据数据中台的建设逻辑 , 数据的运维层面 , 结合敏感数据管理策略 , 应用运维堡垒机、脱敏、加密、水印等技术保障简单业务逻辑场景下的数据安全访问 , 并沉淀可审计、可追溯的能力基础——日志和水印 。
???????到了数据被分析、处理、应用的场景下 , 面对在BI分析过程中、在数据开发测试中、在应用到人工智能、机器学习等使用过程中 , 数据的流转是否合理 , 是否在有效权限下被使用 , 是否被有效监控和检测等需求和痛点问题时 , 因场景的复杂多元 , 安全也需要更多的数据、更智能的技术、更多维的视角来支撑 。
推荐阅读
- 互联网|中台产品经理实战(14):中台与SaaS、微服务关系
- 数据流|比亚迪M6用诊断仪无法读取TCU数据流检修
- 技术编程|如何利用数据库进行世界史研究
- 行业互联网,AI人工智能|城市教育大脑以“ AI+ 大数据”为核心 , 引领教育变革
- |如何分析“会员数据”,强化门店的竞争力?
- 数据|翼方健数解码隐私安全计算 实现数据“可用不可见”
- 智慧城市|数据归心、AI赋能,打牢新型智慧城市建设基础
- 目标检测|数据民工也能移动办公了:目标检测标注App上线,分分钟创建私人数据集
- Hudi|技术干货 | Uber基于Apache Hudi构建PB级数据湖实践
- 互联网|【IDC圈一周最HOT】本周数据中心项目进展、科华恒盛与腾讯云合作、英国宣布5G禁用华为、预测全球IDC市场网络规模