数据之道读书笔记-09打造“安全合规”的数据可控共享能力
数据之道读书笔记-09打造“安全合规”的数据可控共享能力
在企业进行数据治理,开展数据底座建设工作之前,用户经常面临的一个问题:使用数据做分析洞察的时候找不到数据,数据分散,或数据获取困难。
为了消除数据“孤岛”,我们构建了公司统一的数据底座,汇聚、联接大量的企业数据。但是,大量的数据汇集在一个湖中,如何在内外部合规的基础上,确保业务能够迅速获得所需数据,可控共享。这是企业在数字化转型过程中面临的共同问题,数据资产作为企业的核心战略资产,作为生产要素,锁在独立硬盘中是发挥不了价值的,那么,如何让数据在安全合规的前提下最大程度地发挥价值?这是数字化转型中的关键问题,如果数据的安全问题得不到妥善解决,那么宁愿数字化转型慢一点,或者不转型,也不能在错误的方向上渐行渐远。
文章目录
- 数据之道读书笔记-09打造“安全合规”的数据可控共享能力
-
- 9.1 内外部安全形势,驱动数据安全治理发展
-
- 9.1.1 数据安全成为国家竞争的新战场
- 9.1.2 数字时代数据安全的新变化
- 9.3 构建以元数据为基础的安全隐私保护框架
-
- 9.3.1 以元数据为基础的安全隐私治理
- 9.3.2 数据安全隐私分层分级管控策略
- 9.3.3 数据底座安全隐私分级管控方案
- 9.3.4 分级标识数据安全隐私
- 9.4 “静”“动”结合的数据保护与授权管理
-
- 9.4.1 静态控制:数据保护能力架构
- 9.4.2 动态控制:数据授权与权限管理
- 9.5 本章小结
9.1 内外部安全形势,驱动数据安全治理发展
9.1.1 数据安全成为国家竞争的新战场
随着近年来大数据、数字化转型的兴起,数据的价值获得了极大的提升,数据已成为企业和国家的“战略资源”和“生产要素”。在工业时代,政府通过控制货物、人员、资金的流动来形成国家壁垒、实现国际影响力;到了数字时代,货物、人员、资金可以全世界自由流动,而跨区的数据流动反而受限制。数据管控力将成为衡量国家竞争能力的重要指标。
通过分析各国对网络安全、数据保护、隐私保护的立法进展,可以看出各国的立法进度都在加快。隐私保护立法都在向欧盟GDPR看齐,从原来依靠道德约束保护隐私,上升至法律约束。数字时代带来了新的发展机遇,也给数据安全带来了新的挑战。
9.1.2 数字时代数据安全的新变化
伴随着大数据、人工智能、区块链、物联网、5G等新技术的快速迭代和持续创新,各种新兴技术被越来越广泛地应用到各行各业,企业内、不同企业间、不同行业间的数字化迁移速度不断加快。但是我们一定要认识到,现在的网络是不安全的,包括“云”也不是绝对安全的,2019年以来数据泄露事件频发,从数据上看,勒索软件、网络攻击的次数与2018年相比翻了25倍。“网络不安全”不再是偶然,而是常态,不容忽视。
从泄露的根因分析统计来看,随着数字化技术和能力的普及,泄露的路径越来越多元,已经不再限于“黑客攻击”,更多的是企业内部人员、离职员工、第三方外包的泄露行为。所以说“堡垒再坚固,也容易从内部攻破”,这些泄露都不是由技能高超的黑客造成的,而只是因为企业自身安全管理上的疏忽。图9-1为安华金和发布的《数据安全治理白皮书》中关于数据泄露的相关案例截图。
大量新技术所带来的数据安全风险也急剧上升,以下三个事实无法回避:数字时代丰富的数据必然成为国家与国家间、企业与企业间竞争的关键;攻击者的攻击手法更加多样,数字化加速了泄露的便捷性;不管是传统数据库还是云端,基于网络边界的防护必然会被突破。如何从安全能力建设的源头进行标准化风险预防,在安全可控的前提下最大程度释放数据共享的价值,是所有企业共同面对的课题。
如果数据安全共享这件事情没有做好,不单数字化转型的成果无法呈现业务价值,很有可能企业多年积累的经营成果也付之一炬。
华为最近几年推进数字化转型,并梳理全部数据资产,明确了数据分类、数据标准、数据分布、元数据注册、访问方式、使用频率等。数据进底座、生成“数据地图”“数据随需共享”,成了华为数据治理的主要目标,让数据充分共享并为业务带来价值则是数据治理的主题。华为在全球范围内共享的数据服务有几万个,覆盖全球多个国家和不同的业务场景。
数据是不能藏起来的,数据存储起来就是为了消费,为了创造价值,支撑业务的决策、运营、经营、现场作业。大量的共享对安全提出了更高的要求,必须在安全、合规的基础上,才能共享数据。
企业在加速数字化转型,通过挖掘数据的价值抓住巨大的发展机遇。同时,企业面临的风险也在剧增,这些风险源于外部法律要求、网络安全威胁,也有来自内部数据的大量汇聚和充分共享。充分认识到数据安全、隐私保护的价值后,我们还需要知道具体怎么解决数据的安全隐私问题。数据安全治理绝不是一套IT工具组合的产品级解决方案,而是从决策层到技术层、从管理制度到工具支撑,自上而下贯穿整个组织架构的完整链路。
9.3 构建以元数据为基础的安全隐私保护框架
9.3.1 以元数据为基础的安全隐私治理
有决策权的公司高层已经意识到安全隐私的重要性,在变革指导委员会以及各个高层会议纪要中都明确指明安全隐私是变革优先级非常高的主题,安全是一切业务的保障。
基于这个大前提,我们构建了以元数据为基础的安全隐私保护框架。在实际的管理流程中,如何利用元数据来管理好我们的安全隐私呢?安全隐私保护好比治疗过程,我们需要先做全面的体检(元数据发现),建立病历(信息架构、数据分类等),然后由专业的医生给出治理策略,也就是策略制定与执行数据保护和控制。整个过程都是以元数据为基础的,如图9-3所示。
元数据就是描述数据的数据,即数据的上下文。而数据的管理要求、信息安全要求、隐私、网络安全要求等,都是数据的管理要素,当然也可以由元数据承载,用元数据来组织、来描述安全隐私管理策略和约束,如图9-4所示。
治理安全隐私方案的思路,就是站在数据治理和元数据管理的基础上,构建对数据共享业务影响低且非介入式的治理框架。安全隐私保护的愿景是“让数据使用更安全”。为了让大家快速理解数据安全隐私保护的核心价值,整个数据安全隐私保护过程都要以元数据为基础,也就是都是以数据治理成果为基础来推进的。
9.3.2 数据安全隐私分层分级管控策略
在数据安全隐私管理政策一致性上,全球网络安全与隐私保护办公室和公司信息安全部发布了整体的管理策略,对整个信息安全管理、隐私保护治理体系进行了分层映射,共同管理,如图9-5所示。
从公司层面,通过对整体内外部安全隐私管理政策的解读,将内部信息密级维度分为五类,要求组织间共享时一致遵从。
1)外部公开:指可以在公司外部公开发布的信息,不属于保密信息。
2)内部公开:指可以在全公司范围内公开,但不应向公司外部扩散的信息。
3)秘密:是公司较为重要或敏感的信息,其泄露会使公司利益遭受损害,且影响范围较大。
4)机密:是公司非常重要或敏感的信息,其泄露会使公司利益遭受较大损害,且影响范围广泛。
5)绝密:是公司最重要或敏感的信息,其泄露会使公司利益遭受巨大损害,且影响范围巨大。
基于业务管理的诉求,以内部信息密级维度为基础,从资产的维度增加两类划分,进行针对性管理。
1)核心资产:对应绝密信息,特指公司真正具有商业价值的信息资产。
2)关键资产:属于机密信息,特指对我司在消费者BG、5G领域领先战略竞争对手,在市场竞争中获胜起决定性作用的信息资产。基于对GDPR的解读和企业内部的管理需求,将涉及潜在隐私管控需求的数据分为五类进行管理。
1)个人数据:与一个身份已被识别或者身份可被识别的自然人(数据主体)相关的任何信息。
2)敏感个人数据:指在个人基本权利和自由方面极其敏感,一旦泄露可能会造成人身伤害、财务损失、名誉损害、身份盗窃或欺诈、歧视性待遇等的个人数据。通常情况下,敏感个人数据包括但不限于可以揭示种族或血统、政治观点、宗教或哲学信仰、工会成员资格的数据,用于唯一识别自然人的基因数据、生物数据(如指纹),与自然人的健康、性取向相关的数据。
3)商业联系个人数据:指自然人基于商业联系目的提供的可识别到个人的数据。
4)一般个人数据:除敏感个人数据、商业联系人以外的个人数据,作为一般个人数据。
5)特种个人数据:GDPR法律中明文确定的特殊种类个人数据,严禁物理入湖,严禁共享及分析。
9.3.3 数据底座安全隐私分级管控方案
数据底座是“数据随需共享”的关键。在数据底座建设工作开始之前,业务经常面临的一个问题是,在做数据分析洞察时数据获取难,甚至有时即使知道数据在哪儿也拿不到。
例如某经营单元在构建其自身的经营分析指标沙盘时,需要用到61项指标。但由于数据获取没有明确的规则,需要逐个向各数据Owner索取相应授权,造成了“自己产生的数据自己无权访问”的现象。导致以上问题的原因就在于,公司虽然发布了数据共享的政策,但由于政策未完全落地,数据授权和权限控制机制不完善,导致数据获取需要通过邮件等方式层层审批,尤其是跨业务领域的数据获取需求,往往需要审批一二个月,极大地影响了业务决策的效率。
但是在数据底座建设好以后,我们又面临另一个重大问题,那就是在大量的数据汇聚到数据底座之后,如何才能保证这些数据的安全?当前在数据底座中已有超过数万个逻辑数据实体,上百万张物理表,如果没有完善的安全管理措施,这些数据一旦泄露将会是一个巨大的灾难。
所以公司数据底座从建设起,就与公司安全、隐私治理体系之间建立了紧密的关系,在遵从公司安全隐私管理策略的同时,数据底座根据需要,发布相关操作流程、规范,指导数据工作。在应用数据安全与隐私保护框架和方法基础上,构建了数据底座的安全隐私五个子方案包。
1)数据底座安全隐私管理政策:说明数据底座的责任边界,数据风险标识标准、数据加工、存储、流转规范。
2)数据风险标识方案:平台提供的数据标识能力。
3)数据保护能力架构:数据底座分级存储架构能力。
4)数据组织授权管理:数据在组织内共享的规则。
5)数据个人权限管理:个人访问数据的权限管理方案。数据底座的安全隐私保护方案如图9-6所示。
在数据安全方面,根据公司信息保密规定,数据底座安全管理总体原则与数据管理原则是一致的,即“核心资产安全优先,非核心资产效率优先”。数据安全管理的基本原则如图9-7所示。
数据安全规范主体包括三部分。
1)数据密级分级标准:数据定密的标准,包括外部公开、内部公开、秘密、机密、绝密五个等级。
2)存储保护的基线:描述每一个级别的数据资产的存储要求以及入湖原则。
3)流转审批层级:描述每一个级别的数据资产在申请数据共享时应该经过哪些控制审批。一般控制审批流程下,内部公开数据不需要审批,在流程中自动存档并知会数据消费方直属主管。秘密数据由消费方直属主管审批即可,机密数据需要数据生成方和消费方双方数据Owner共同审批。
在隐私保护方面,根据公司隐私保护总体纲领文件和数据底座自身的特点,发布了数据底座隐私保护规定,总体原则是“个人数据原则上不入湖,并尽可能脱敏处理”。数据底座隐私保护管理原则如图9-8所示。
隐私保护规范主体包括三部分。
1)个人数据分类、分级标准:非个人数据、商业联系个人数据、一般个人数据、敏感个人数据,共4个级别。
2)个人数据保护基线:根据个人数据分级,敏感个人数据、一般个人数据、商业联系人分别需要做不同程度的数据保护,其中法律明文规定的特种个人数据严禁入湖。
3)流转审批层级:隐私审批层级基本与安全一致,但新增了隐私专员的介入,以专家评审身份,参与控制数据流转业务,判别数据消费的目的限制以及最小化授权。
9.3.4 分级标识数据安全隐私
在明确数据分类分级标准的基础上,还需要有具体的平台支撑数据风险标识。这就包括传统的元数据人工标识方案以及通过规则、AI自动推荐方案。
1)人工识别数据风险。数据安全隐私分级标识必须基于元数据管理平台,在平台中构建对数据字段级别的风险标识。
2)基于规则与AI的自动识别。在数字时代,随着数据资产的膨胀,数据风险标识工作量非常巨大,字段的数量是数据表数量的100倍有余,依靠人工的方式无法识别全面,需要通过工具,基于规则(正则表达式)以及AI机器学习的方式,构建自动推荐、识别风险标识的能力。
在数字时代,数据的安全隐私也得到了越来越多企业的重视,这其中也包括非数字原生企业,因为这类企业手中的生产工艺和研发数据中往往包含大量的专利成果和机密配方,而识别数据资产、管理元数据、标识安全隐私,只是“安全合规”共享数据的第一步。
9.4 “静”“动”结合的数据保护与授权管理
9.4.1 静态控制:数据保护能力架构
在充分识别数据风险并标识数据安全隐私后,数据底座产品还需要提供不同程度的数据保护能力。数据保护能力包括存储保护、访问控制、可追溯三种,每种保护能力都面向不同的业务管理需求,如图9-9所示。
1. 存储保护
存储保护能力包括面向表级管理的高防区隔离、透明加密和基于字段级的对称加密和静态脱敏。
1)高防区隔离:高防区隔离就是我们通过在数据底座独立部署单独的防火墙以及配合流向控制、堡垒机等措施,对高密资产重点防护。关键要点就是有独立的防火墙,并且内部区分脱敏开发区以及明文业务访问区,让数据开发人员在脱敏区工作。高防区数据经过审核后才能发布到明文区,给业务部门使用。
2)透明加密:透明加密就是对表空间进行加解密,进入表空间的表自动加密,有权限的应用读取表空间的表时就自动解密。主要用于防止黑客把库文件搬走。
3)对称加密:对称加密指应用对数据字段应用对称加密算法进行加密,需要配合统一的密钥管理服务使用。
4)静态脱敏:首先需要从技术角度制定出脱敏标准。脱敏不是单一的技术能力,而是多种脱敏算法的合集,包括加噪、替换、模糊等,每种数据类型应该有不同的脱敏标准。我们在ETL集成工具中增加脱敏API能力,可以对具体的字段进行脱敏,每类数据字段都依据脱敏标准执行。
2. 访问控制
静态脱敏用于存储保护,而动态脱敏则是一项基于身份的访问控制。通常Web应用都是使用自己的菜单和角色权限进行职责分离,对于数据权限,很难做到字段级别的控制。而动态脱敏可以对某些数据表、数据字段根据身份进行脱敏,从而做到更细颗粒度的保护。
3. 可追溯
在可追溯方面,业界有比较成熟的数据水印技术。简单来说,是直接改动数据,在数据行、数据列中增加水印,不影响数据的关联与计算,适用于核心资产或敏感个人数据。一旦发生泄露,可以溯源定责。
9.4.2 动态控制:数据授权与权限管理
对数据的保护,只是采取合理和适当的措施保护信息资源,但是数据在组织内部肯定是要流动的,需要被加工、消费,需要创造价值。而脱离业务流,脱离生产、决策的数据,是死的字节,不能称其为数据资产。
1. 数据授权管理
数据授权和数据权限是两个不同的概念。数据授权主要是面向组织,指数据Owner对组织授予数据访问权的过程,让数据与组织绑定,为组织提供长期的数据订阅权限。数据授权包含两个场景。
1)数据加工授权:由于数据主题联接资产建设中需要跨组织进行数据联接、加工、训练需要转移数据而发生的数据授权场景。
2)数据消费授权:由于业务用户数据的分析需要订阅数据服务而发生的数据授权场景。
数据授权管理要基于数据风险标识和数据保护能力,既能在数据流转中落实安全隐私控制策略,让数据安全隐私政策落地,又能作为数据架构治理的抓手,融入架构审核,避免重复建设。
2. 数据权限管理
数据权限管理是基于访问管控规范,对授予的数据访问权限进行管理的过程。面向个人和面向与岗位绑定的综合管理者的管理策略不同。
面向个人,指业务制定数据访问管控规范,授予个人数据访问权限的过程,具有与个人绑定、短期有效的特点。基于消费数据类型的差异,个人数据权限分为两大场景(如图9-10所示)。
1)业务分析师获取数据资产(原材料场景)。
2)业务用户获取报告访问权限(成品场景)。
基于企业IAM(身份识别与访问管理)和IDM(账号权限管理),结合数据分级管理机制,让数据权限随人员流动而改变,并统一规则、集中管控高风险数据,实现对个人权限授予、销权、调动全生命周期集中管控。
而对于综合管理者,引用人力资源管理岗的信息,当管理者被任命或者调动交接后,会执行相应的授权和销权操作。这个过程是全自动的,无须管理层的操作,在有效权限管理的基础上提升了用户在权限管理下进行数据消费的效率和体验,如图9-11所示。
为打造“安全合规”的数据可控共享能力,我们践行了数据安全隐私管理不仅仅是一套IT工具组合的思路,基于安全隐私的两个公司级治理文件,通过“数据底座共享与安全管理规定”和“数据底座的隐私保护规定”,落实管理要求,分别建设了数据标识、存储保护、授权控制、访问控制的能力。同时平台调用了传统IT安全措施,通过态势感知、堡垒机、日志服务等,结合数据安全治理方法与传统的IT安全手段,做好数据的内外合规,形成完整的数据安全与隐私保护,实现让数据使用更安全这一目标。数据安全与隐私保护能力架构如图9-12所示。
9.5 本章小结
数字技术正在构建一个全新世界。在数字时代这个大风暴中,数据的安全隐私管理无异于风暴之眼,纷乱的外部因素与企业自身特定的安全威胁正在共同影响着整体安全隐私态势,既要求企业可以减轻安全威胁,避免内外安全隐私风险带来的信誉损失和经济损失,又要求企业最大化利用数据、共享数据,面向大数据和机器学习,达成业务目标,发挥数据价值。所以数据保护和数据共享作为一对矛盾体,将不断引入新的理念。国际数据空间技术、“链条控制”转向“集中管控”、构建基于元数据管理的影响小、非介入式的公司级数据安全隐私保护平台,都会在数字时代不断演进,不断发展。