随着业务数据化进程不断加快,数据成为企业核心资产,数据如同石油一样,成为新时代的资源,从数据当中挖掘价值,从数据当中去产生创新已经成为了所有企业的共识。数据中台是数字化转型的基础和中枢系统,将企业全域海量、多源、异构的数据整合资产化,为业务前台提供数据资源和能力的支撑,以实现数据驱动的精细化经营。数据中台是数据服务(Data API)工厂,致力于为业务提供更快的数据服务,所以它是和业务价值紧密绑定的。从强调效率的需求出发,数据中台天然具有开放性和高效性的特点,而开放性和高效性同样带来了不容忽视的数据安全隐患。
从数据中台的数据生命周期的角度分析风险,可以包括如下几个方面:
数据采集和传输阶段:采集前端仿冒、伪造风险,导致数据中台存在被入侵的风险;传输链路被监听、嗅探,导致数据被篡改、窃取。另外,采集平台与治理平台的脚本开发完成后,需要测试脚本的有效性、稳定性等。开发测试人员须有数据库操作权限才能进行脚本测试,该权限会涉及敏感信息,因此该环节存在敏感信息泄漏的风险。
数据存储阶段:
DBA等特权用户及第三方合作员工滥用权限、违规操作、误操作,导致数据泄露;数据库或文件未加密导致数据泄露。
数据处理阶段:1)数据治理行为通过执行治理脚本实现,治理脚本含有各种数据源操作命令。如果未对操作命令进行有效管控,就可能会出现恶意命令。2)异常的数据治理行为(例如非法执行数据查询脚本)会导致隐私泄漏。如果没有分析审计手段,当异常行为发生时不能及时告警,异常行为发生后也无法追查取证。
数据使用阶段:
1)数据在正常流程之外的对外发布操作都属于异常行为,例如,终端用户通过外设发送敏感数据,通过截屏、拍照等方式窃取数据;BI分析人员越权、违规操作数据。2)数据泄露不可追溯情形,如有多个数据需求方同时请求一份数据,则存在多个数泄露的风险点,数据泄露的风险责任由哪一方承担,要求数据中台提供数据追溯能力进行追责。
数据销毁阶段:重要存储介质维修/报废前缺乏数据清除管控,未做到安全删除,存在数据泄露风险。
为了弥补传统数据安全解决方案的不足,使数据安全建设更加科学合理,闪捷信息借鉴当前国际领先的数据安全治理框架DSG,为数据中台构建差异化的数据安全防护能力,通过优化安全资源配置,以较低的投入实现数据安全能力最大化。解决方案针对数据安全现状,结合数据中台的安全需求,分成四个步骤建立高质量的数据中台数据安全防护体系。
1、数据安全评估
通过数据资产安全管理平台对数据源进行扫描,进行敏感数据识别及分级分类,将得到的各类数据通过脆弱性分析、威胁分析确定组织信息资产存在的问题,并在此基础上确定信息资产的风险级别,为评估报告提供依据。
2、安全体系建设
通过安全防护策略规划主要为敏感数据制定存储策略、访问策略和导出策略等规范,帮助用户快速、精确地规划和部署数据资产安全防护策略,确保数据安全措施有效落地。
3、数据安全防护
依托数据安全支撑工具,结合数据安全防护策略,实现贯穿数据生命全周期的数据安全防护能力,实现数据在存储、使用、传输、共享等流转环节中的实时动态监测和保护,确保在生命周期中数据的机密性、完整性和可用性。
4、数据安全运营
通过构建数据安全运营和保障体系,确保数据安全治理工作和数据安全管理体系的连续运行和持续优化,协助企业组建专业支持团队,依托数据安全管理平台,及时应对风险和威胁,使客户的数据安全合规达标,满足监管要求。