数据资产管理与数据安全--高伟

它山之石 可以攻玉 从数据资产管理看数据安全管控 高伟 亚信数据资产云图产品线总经理 大数据时代 财富公式重新定义 如何把握机遇 积累数据 提供精准营销服务 盘活数据 发掘信息内在规律 交易数据 创造新的商业模式 把握 数据成为资产 带来的机遇 将会创造巨大的财富空间 数据资产是企业及组织拥有或控制 能给 企业及组织带来未来经济利益的数据资源 数据治理 共享开放 开发加工 运营流通 资产评估 安全防控 数据资产管理是企业或组织采取的各种管理活动 用以保证数据资产安全完整 合理配置和有效利 用 从而提高经济效益 保障和促进事业发展 定义 海量数据识别及计算 丰富数据应用及模式创新 数 据 资 产 管 理 拥有数据 拥有数据资产 数据管理指利用计算机硬件和软件 技术对数据进行有效的收集 存储 处理和应用的过程 其目的在于充 分有效地发挥数据的作用 数据资源管理 致力于发展处 理企业数据生命周期的适当的 建构 策略 实践和程序 关 注目的就是去寻找手段 以有 效的控制数据资源 并提升数 据资源的利用率 数据资产管理的核心思路是把 数据对象作为一种全新的资产 形态 并且以资产管理的标准 和要求来加强相关体制和手段 从经济角度 满足对资产运营 的各类管理要求 数据资产管理与数据管理是什么关系 数据资产管理 将是决定企业未来的核心竞争能力 数据资产管理 下一个没有硝烟的战场 控制数据资产 激活数据资产 变现数据资产 数据安全问题不再局限单域 而是呈现泛化趋势 业务安全 平台安全 传统安全视角 更多关注平台级安全 网络 设备 防入侵等 而较少涉足业务级安全 如经营风险 业务保障 过程管控等 数据安全问题是全新挑战 值得关注的业务 领域 脱敏 去隐私 防泄漏 篡改等 为 此 需要打破传统藩篱 实现跨域协作发展 01 02 03 04 资产治理 资产加工 资产流通 资产运维 数据 安全 管理 从数据资产管理看数据安全 需要贯穿全生命周期 提供针对性安全管控手段 身份 认证 数据 加密 完整性 保护 分级 保护 安全算法管理 密钥管理 脱敏策略管理 构建对企业安全元数据的统一管理和标准化定义 通过安全元数据制定并管控企业整体的数据安全 策略 比如组织流程制度 敏感数据管理 权限管理等等 定义模型的安全级别 定义表的安全级别 针对接口 指标 标签等 例如接口元数据可定义哪些 入口字段是敏感字段 模型里面字段的脱敏方式 数据分发时 哪些字段需 要脱敏及脱敏方式 周期一 数据治理中的数据安全管控 开发权限控制 通过对不同账号的权限控制 有 的人可以访问这个表 有的不能 有的可以访问全部字段 有的只 能访问部分字段 有的访问这个字段的时候是明文 的 有的人访问的时候是密文的 数据入口安全 使用数据加密脱敏的 手段保证数据安全 从入口直接控制数据 安全的隐患 差分隐私技术 同样的sql语句 能够根据不同的 使用者返回不同 的数据结果 多次访问 频繁使用 开发参与者更广泛 例如引入外部伙伴进行数据挖掘 开发过程复杂 安全隐患的隐蔽性强 例如APT 周期二 数据资产开发过程中的数据安全管控 数据流通也就是数据 出门 的环节 也就是安全防护的最后一道门槛 因此尤为重要 流通过程中 既要输出过程 不泄密 无隐私 不超限 合规约 又要保证 一旦出现数据外泄 隐私泄露等安全问题 必须有必要的数据溯源机制 找到风险点 在数据的提供方和需方 提供 灵活的授权机制和先进的加密 脱敏算法 实现表 字段 文 件级细粒度的授权控制能力 通过数据水印 数据溯源 离线安全控制等技术 确 保数据原始提供者的版权 防止数据被盗用 数据可用 不可见 数据所有权 声明 数据水印 数据复用 授权 具体开放 安全技术举例 周期三 数据资产流通的数据安全管控 01 02 03 04 资产运维 评估审计 对企业数据中心一段时间以来的安 全状况 问题收集 流程管理 操 作记录等给出具体的分析报告 可 指导后续的安全建设或为审计提供 依据 流程制度 针对数据中心数据使用场 景 状况制定不同的管理 制度 并确定不同角色的 权限与职责 风险预警 通过对特定指标的分析和阈值 的监控 提前预判企业数据加 工使用 开放流通等环节中可 能出现的风险 在可能问题出 现前排除隐患 运维监控 为平台管理者提供统一的安全监控 界面 显示平台的运营状况 并通 过流程监控 日志分析 风险告警 等多种手段全面记录分析数据使用 者的每个动作 周期四 数据资产运维中的数据安全管控 DATA 规划 执行 处理 检查 P D A C 以数据中心 以安全元数据为驱动 为企业级构建整 体的数据安全管理体系和提供贯穿数据全生命周期的 数据安全网关 为企业提供数据加工 维护 开放 运营 交易等环 节的数据安全防控 策略制定 权限控制和版权保护 防止数据被篡改 泄露 非法使用 确保企业数据的 可用性 完整性 保密性 具有良好的开放性 兼容性和可扩展性 为企业在大 数据时代的发展壮大保驾护航 数据安全框架核心思路 某企业数据中心的数据安全管理 旨在通过体系化的方式 梳理企业数据中心的相关数据安全策略 全方位进行安全管控 通过多种手段保障数据中心的数据安全 1 数据中心系统内部的所有数据的关键字段入库前必须去隐私化 2 所有数据访问 尤其是非程序调用 必须有日志记录 3 所有数据访问日志 统一日志格式 便于查询和跟踪 审计 4 对数据中心各层数据的安全控制 必须通过界面化进行配置管理 5 无论前台和后台导出数据 包括文件系统 数据库导出数据若非 程序调用 必须跟踪至号码级别 6 重点数据库表 接口实体 必须通过配置方式重点监控 7 数据中心各层每日根据日志统计 形成分析报告 8 日志统计和日志内容 保留在线1年 1年以上备份离线 安全管控贯穿整个数据加工和处理流程 项目要求 安全案例分享 某企业大数据中心数据安全系统 数据中心安全模块分布 数据采集层 主要通过数据去隐私化模块 完成对数据源的加密入库 保证库中的敏感 数据都是经过加密的 服务层 主要是通过统一访问鉴权 实现 对数据服务的鉴权 审计 设置黑白名单等 方式控制服务的访问情况 应用层和访问层 利用了数字水印保护内 外部应用 通过数据导出控制 备份用户导 出内容 同时用户在显示和下载详单数据 满足对隐私数据的还原操作