瓴羊旗下開發云核心產品Dataphin(智能數據建設與治理),一直在探索數據安全管理能力的產品化最佳實踐,即如何幫助企業利用產品工具能力,基于法律法規、主管部門要求和自身行業和業務的需要,建立起規范的分級分類制度,并對敏感數據制定相應的保護策略。企業通過Dataphin構建起合規的數據安全體系,將數據安全風險降至最低,讓數據資產在安全合規的基礎上,得到最大的價值釋放。
在權威組織「DAMA國際」發布的數據治理框架中,數據安全是十分重要的組成部分。在Dataphin的數據治理相關功能版塊中,數據安全也至關重要。Dataphin和DAMA都認為,數據安全應包括安全策略和過程的規劃、建立與執行,為數據和信息資產提供正確的身份驗證、授權、訪問和審計。
與數據管理的其他職責類似,數據安全最好在企業級層面開展。如果缺乏協同努力,業務單元各自尋找安全需求解決方案,那么將會導致總成本的增加,同時還可能由于不一致的保護措施而降低安全性。使用Dataphin開展企業級的數據安全管理,將使整個工作流程更加嚴謹和高效。
綜上所述,在企業內部,一個完整的數據安全管理工作流,會分為事前制定規范、事中執行管控和事后審查優化三個核心階段。企業在識別自身的數據安全需求后,需要制定企業管理規范,然后可以借助Dataphin的工具化能力,高效開展敏感數據保護、權限體系管控、以及研發安全保護的全鏈路安全管理工作。
一、更全面的數據分類分級
要進行具體的安全管理工作,首先要對組織數據進行分類分級,以便識別需要保護的數據。整個流程包括以下步驟:
業務上:
1)識別敏感數據資產并分類分級。有一些數據資產和敏感數據(包括個人身份識別、醫療數據、財務數據等)需要根據所屬行業和組織類型等進行分類分級。
2)識別敏感數據在業務流程中如何使用。需要對業務流程進行分析,如敏感數據可能在數據加工、數據分析、數據下載等場景被訪問,需要確定在什么條件下允許哪些訪問。
3)確定敏感數據保護方案。針對梳理出來的敏感數據,和數據訪問場景,結合用戶身份權限,制定完善的敏感數據保護方案。
技術上:
1)在企業中定位敏感數據。這取決于數據存儲的位置,其安全要求可能有所不同。大量敏感數據存儲在單一位置,如果這個位置遭到破壞,那么將會帶來極高的風險。
2)確定保護每項資產的方法。根據數據內容和技術類型不同,確保采取針對性的安全措施。
數據分級是對數據敏感等級的設定,數據分類是對數據使用領域的設定,輔助區分數據的敏感程度。瓴羊Dataphin內置了多個滿足國家和行業分類要求的數據分級分類模型,包括分類層級、數據分類和數據分級信息,供企業安全管理團隊借鑒引用,全面融合外部政策要求和內部管理規范。
除了引用內置分類分級模型以外,企業也可以通過Dataphin安全模塊中的數據分類分級能力進行分級分類創建及管理。
點擊Dataphin新建數據分類,在彈出框填寫相關信息,以及數據敏感程度等級后,選擇識別特征、優先級和掃描方式,點擊確定就完成了新建數據分類。完成數據分類后,可以在數據分類頁面查看目前的數據分類情況和詳細信息。
進入到Dataphin分級頁面,可以查看系統中的數據分級,及每個數據分級的詳細信息。點擊新建數據分級,就可以快速完成自定義的數據分級創建,操作十分簡單快捷。
二、更智能的敏感數據保護
在DAMA出品的數據治理經典教材《DMBOK2》中也提到,除了對數據本身進行分類分級外,還需對外部威脅和內部風險(由員工和流程產生)進行評估。許多數據的丟失或暴露是由于員工對高度敏感的信息缺乏認識或者繞過安全策略視而不見造成的。
因此,企業可以借助Dataphin的敏感數據識別及脫敏能力,對數據的采、建、管、用全流程進行安全保障。
通過Dataphin可以配置敏感數據識別規則,系統會根據識別規則配置的數據分類和數據分級,自動對字段打標生成識別結果,也可以用EXCEL上傳識別結果或手動添加識別結果。識別出敏感數據之后,就可以配置脫敏規則保護敏感數據了。
在Dataphin的安全模塊中,可以在脫敏算法頁面查看相關算法說明、算法函數的使用介紹和數據脫敏實現方式。并通過Dataphin的敏感數據脫敏能力(包含靜態脫敏和動態脫敏),對企業的數據資產開展安全保護。
Dataphin的數據靜態脫敏能力是在數據開發和集成頁面完成,直接對底層數據進行脫敏。動態脫敏是指不改變底層數據,只有在做數據開發查詢等操作的時候,做脫敏處理保證數據安全。當需要進行數據問題排查等特殊場景需要展示具體數據,可以通過Dataphin的動態脫敏白名單功能實現。
三、更精細的權限體系管控
數據安全需求和過程分為4個方面:訪問(Access)、審計(Audit)、驗證(Authentication)和授權(Authorization)。為了有效遵守數據法規,還增加了一個E,即權限(Entitlement)。數據分類、訪問權限、角色組、用戶和密碼是實施策略和滿足4A的一些常用手段。
企業數據資產管理員可以借助Dataphin的用戶角色體系、權限申請/審批/審計等功能,對權限進行精細化管控,為企業不同的崗位角色配置不同的數據權限,將權限體系與安全規范深度結合。
同時企業數據資產管理員可以利用Dataphin定義不同的權限申請/審批流程,并對可能不合規的流程開展審計工作。有了Dataphin,企業數據資產管理員能夠擁有更清晰的全盤視角,持續對數據安全進行監控和風險分析,將人為引發的數據安全風險降到最低。
四、隱私計算保障數據流通安全
數據資產在流程場景中,往往可以發揮出更大的價值,但之前企業困于安全保護技術的限制,對于數據流通存在的數據泄漏和安全監管風險無法處理。比如,在外部數據流通場景,明文數據容易被不法之徒竊取。這個時候,企業就可以使用Dataphin進行數據集成加解密,或者啟用隱私計算這類安全保護措施。
Dataphin隱私計算能力基于時下最流行的隱私計算技術,如多方安全計算、聯邦學習、同態加密、差分隱私等技術路線,幫助企業在各類數據流通場景實現價值釋放。企業數據不需要出域,即可實現多方數據價值交換,在數據傳輸流通場景真正實現數據可用不可見,不僅免去企業安全隱憂,還能讓數據激發出更多的價值。
五、確保全鏈路數據安全
在數據建設過程中,Dataphin不僅能提供租戶空間、項目空間等能力支持多種隔離場景,還會在開發等鏈路中根據數據工程師角色權限,全程進行自動化的脫敏保護,對數據研發生產的全鏈路進行嚴格的安全規范約束。
以上安全能力經多方權威機構測評認證,確保企業的數據從進入Dataphin到輸出,全鏈路安全可控,讓企業在數據安全體系建設的過程中,享受到Dataphin更實時和全面的安全保障。
未來,Dataphin將融合DAMA數據治理理論框架,持續圍繞數據質量、數據標準、數據安全、資源成本等領域提升Dataphin數據治理產品化能力,幫助企業更高效地開展數據治理工作,取得顯著成果。
