| 标题 | 大数据时代的数据安全探索 |
| 范文 | 官喻波 大数据时代和传统的信息化时代有什么不同?传统信息化发展初期其实并没有形成真正的信息化,而现在我们利用信息技术将现有的业务进行处理,同时提高业务处理效率。那么我们如何关注数据特点?因为所有系统都是按照自洽的方式运行,所以产生数据的环境比较单一。随着系统的建立,数据量逐渐增大,就会出现两个趋势:第一企业自身的数据无法支撑企业的业务发展,第二企业无法发现数据价值。所以系统的变化不能依靠单系统,而需要的是数据驱动。 以安全的角度来看,在传统的单系统情况下,数据资产更关注的是某些载体中的静态安全。所谓静态安全就是数据采集、存储、传输处理等技术,都在企业自己系统里运行,企业只需要管理好自身的数据库和终端即可。而在大数据时代,所有系统之间都是交互的,当企业采集完数据后,不一定存储在自己的数据库中。而这些数据可能会被其他企业进行处理,企业与企业之间甚至会把各个系统融合起来,存放在大数据中心,并进行模型计算产生出新的数据。所以,只有数据流动起来才会产生价值,而我们所关注的重点,就是数据资产在整个业务流动过程中的动态安全。 我们面临的挑战是什么?从安全的角度上来讲,企业建立一个正常运行的系统很容易,若要对其进行破坏也相对简单,安全风险可能来自方方面面,因为无论是网络层、应用层、运维、开发都有可能出现问题。我们将安全风险管控归为三类:第一,如何发现哪些数据需要管控。第二,如何分析管控发现的数据。第三,如何客观评价管控的效果。我们认为在大数据时代,数据安全并不是数据问题,而是数据安全治理。而数据安全治理的第一步,就要保证数据本身的保密性和完整性。数据安全治理需要建立一个框架,然后进行要素评估,预测在商业策略中是否存在风险。第二步对数据进行分类。第三步要制定数据策略和企业策略。第四步基于数据审计和策略,进行加密和身份认证等工作,防止数据泄露。第五步将所有策略全部集中管理起来,并作用到企业传统的数据库、大数据处理平台,以及云端的软件等。 那么数据治理框架,需要经历哪些步骤?第一步,针对数据安全进行统筹规划,并根据不同行业的数据建立法规。第二步,根据企业自身的业务,梳理出数据安全的要求。第三步,分析面临的风险,形成威胁和同步清单。第四步,建立宏观的管理策略和制度。以这四步为基础来设计数据安全治理体系,在这个体系中,我们将技术支撑分为三部分。第一是感知体系。所谓感知体系我们可以理解为传感器,通过该体系可得知数据的类型和存放地点。第二是分析和管控体系。当得到数据后,该体系可以告知用户如何对数据进行分析和管理。第三是评估体系,该体系用来评估整体效果。 基于上述体系我们就可以分步骤建设框架,包括体系设计、构建、实践验证、应用推广等。我们认为数据安全并不是静态策略,而是动态的完善过程。首先感知体系会发现企业业务中的重要数据,之后数据会转移到分析管控体系中进行分析管控。数据通过管控后可以继续优化管控体系,来发现被遗漏的数据,同时增加到感知体系中。最后依靠评估体系评估管控效果,根据管控效果来调整分析管控体系,形成动态过程。 介绍一下我们在各环节中的安全实践。我们认为感知体系是保证数据安全最重要的环节,我们在该体系中创建了两个模型,数据分类模型和数据分级模型。数据分类、分级模型从某种意义上来讲是业务部门需求,比如我们根据银行不同业务类型和业务种类,分出不同的数据进行分类。首先我们将数据进行分类,然后将数据的使用范围进行分级,此外监控数据的使用时间和使用时长,最后针对数据的使用用途进行技术落地。 提起资产识别大家就会想到通过数据载体、内容、环境进行静态的资产识别,但是我们更加强调的是动态资产识别,因为大数据在流通的过程中会产生价值。在流通过程中,我们可通过识别系统得知数据怎样进行流通,流通到哪些地方,包括数据与数据之间的关系等。 分析管控体系是一个相对傳统的体系,我们要在整个数据生命周期,包括采集、存储、传输、处理、交换过程中进行分析。比如在整个分析管控体系中,我们对人的行为进行分析。我们就会根据该人物的过往的数据,建立两个基线:第一,用户历史行为基线。第二,同部门同职位人员的历史基线。以这两条基线为基础,识别出数据安全的问题。 我们认为最难建立的体系是评估体系,评估体系主要分为两部分:第一,我们需要找出那些数据和指数,能够真正反映出数据安全态势。第二,在整个评估的过程中,如何将数据规划、数据收集、数据风险分析进行反馈。那么评估指数应当怎么做?这就要从数据价值和企业的管理意图着手,包括整个大数据体系任务的规划。比如企业的数据资产分布指数和重要的资产流通指数,这些指数都与数据安全相关,所以我们就会把这些指数全部建立起来。 (根据演讲内容整理,未经本人审核) |
| 随便看 |
|
科学优质学术资源、百科知识分享平台,免费提供知识科普、生活经验分享、中外学术论文、各类范文、学术文献、教学资料、学术期刊、会议、报纸、杂志、工具书等各类资源检索、在线阅读和软件app下载服务。