瓴羊旗下开发云核心产品Dataphin(智能数据建设与治理),一直在探索数据安全管理能力的产品化最佳实践,即如何帮助企业利用产品工具能力,基于法律法规、主管部门要求和自身行业和业务的需要,建立起规范的分级分类制度,并对敏感数据制定相应的保护策略。企业通过Dataphin构建起合规的数据安全体系,将数据安全风险降至最低,让数据资产在安全合规的基础上,得到最大的价值释放。
在权威组织「DAMA国际」发布的数据治理框架中,数据安全是十分重要的组成部分。在Dataphin的数据治理相关功能版块中,数据安全也至关重要。Dataphin和DAMA都认为,数据安全应包括安全策略和过程的规划、建立与执行,为数据和信息资产提供正确的身份验证、授权、访问和审计。
与数据管理的其他职责类似,数据安全最好在企业级层面开展。如果缺乏协同努力,业务单元各自寻找安全需求解决方案,那么将会导致总成本的增加,同时还可能由于不一致的保护措施而降低安全性。使用Dataphin开展企业级的数据安全管理,将使整个工作流程更加严谨和高效。
综上所述,在企业内部,一个完整的数据安全管理工作流,会分为事前制定规范、事中执行管控和事后审查优化三个核心阶段。企业在识别自身的数据安全需求后,需要制定企业管理规范,然后可以借助Dataphin的工具化能力,高效开展敏感数据保护、权限体系管控、以及研发安全保护的全链路安全管理工作。
一、更全面的数据分类分级
要进行具体的安全管理工作,首先要对组织数据进行分类分级,以便识别需要保护的数据。整个流程包括以下步骤:
业务上:
1)识别敏感数据资产并分类分级。有一些数据资产和敏感数据(包括个人身份识别、医疗数据、财务数据等)需要根据所属行业和组织类型等进行分类分级。
2)识别敏感数据在业务流程中如何使用。需要对业务流程进行分析,如敏感数据可能在数据加工、数据分析、数据下载等场景被访问,需要确定在什么条件下允许哪些访问。
3)确定敏感数据保护方案。针对梳理出来的敏感数据,和数据访问场景,结合用户身份权限,制定完善的敏感数据保护方案。
技术上:
1)在企业中定位敏感数据。这取决于数据存储的位置,其安全要求可能有所不同。大量敏感数据存储在单一位置,如果这个位置遭到破坏,那么将会带来极高的风险。
2)确定保护每项资产的方法。根据数据内容和技术类型不同,确保采取针对性的安全措施。
数据分级是对数据敏感等级的设定,数据分类是对数据使用领域的设定,辅助区分数据的敏感程度。瓴羊Dataphin内置了多个满足国家和行业分类要求的数据分级分类模型,包括分类层级、数据分类和数据分级信息,供企业安全管理团队借鉴引用,全面融合外部政策要求和内部管理规范。
除了引用内置分类分级模型以外,企业也可以通过Dataphin安全模块中的数据分类分级能力进行分级分类创建及管理。
点击Dataphin新建数据分类,在弹出框填写相关信息,以及数据敏感程度等级后,选择识别特征、优先级和扫描方式,点击确定就完成了新建数据分类。完成数据分类后,可以在数据分类页面查看目前的数据分类情况和详细信息。
进入到Dataphin分级页面,可以查看系统中的数据分级,及每个数据分级的详细信息。点击新建数据分级,就可以快速完成自定义的数据分级创建,操作十分简单快捷。
二、更智能的敏感数据保护
在DAMA出品的数据治理经典教材《DMBOK2》中也提到,除了对数据本身进行分类分级外,还需对外部威胁和内部风险(由员工和流程产生)进行评估。许多数据的丢失或暴露是由于员工对高度敏感的信息缺乏认识或者绕过安全策略视而不见造成的。
因此,企业可以借助Dataphin的敏感数据识别及脱敏能力,对数据的采、建、管、用全流程进行安全保障。
通过Dataphin可以配置敏感数据识别规则,系统会根据识别规则配置的数据分类和数据分级,自动对字段打标生成识别结果,也可以用EXCEL上传识别结果或手动添加识别结果。识别出敏感数据之后,就可以配置脱敏规则保护敏感数据了。
在Dataphin的安全模块中,可以在脱敏算法页面查看相关算法说明、算法函数的使用介绍和数据脱敏实现方式。并通过Dataphin的敏感数据脱敏能力(包含静态脱敏和动态脱敏),对企业的数据资产开展安全保护。
Dataphin的数据静态脱敏能力是在数据开发和集成页面完成,直接对底层数据进行脱敏。动态脱敏是指不改变底层数据,只有在做数据开发查询等操作的时候,做脱敏处理保证数据安全。当需要进行数据问题排查等特殊场景需要展示具体数据,可以通过Dataphin的动态脱敏白名单功能实现。
三、更精细的权限体系管控
数据安全需求和过程分为4个方面:访问(Access)、审计(Audit)、验证(Authentication)和授权(Authorization)。为了有效遵守数据法规,还增加了一个E,即权限(Entitlement)。数据分类、访问权限、角色组、用户和密码是实施策略和满足4A的一些常用手段。
企业数据资产管理员可以借助Dataphin的用户角色体系、权限申请/审批/审计等功能,对权限进行精细化管控,为企业不同的岗位角色配置不同的数据权限,将权限体系与安全规范深度结合。
同时企业数据资产管理员可以利用Dataphin定义不同的权限申请/审批流程,并对可能不合规的流程开展审计工作。有了Dataphin,企业数据资产管理员能够拥有更清晰的全盘视角,持续对数据安全进行监控和风险分析,将人为引发的数据安全风险降到最低。
四、隐私计算保障数据流通安全
数据资产在流程场景中,往往可以发挥出更大的价值,但之前企业困于安全保护技术的限制,对于数据流通存在的数据泄漏和安全监管风险无法处理。比如,在外部数据流通场景,明文数据容易被不法之徒窃取。这个时候,企业就可以使用Dataphin进行数据集成加解密,或者启用隐私计算这类安全保护措施。
Dataphin隐私计算能力基于时下最流行的隐私计算技术,如多方安全计算、联邦学习、同态加密、差分隐私等技术路线,帮助企业在各类数据流通场景实现价值释放。企业数据不需要出域,即可实现多方数据价值交换,在数据传输流通场景真正实现数据可用不可见,不仅免去企业安全隐忧,还能让数据激发出更多的价值。
五、确保全链路数据安全
在数据建设过程中,Dataphin不仅能提供租户空间、项目空间等能力支持多种隔离场景,还会在开发等链路中根据数据工程师角色权限,全程进行自动化的脱敏保护,对数据研发生产的全链路进行严格的安全规范约束。
以上安全能力经多方权威机构测评认证,确保企业的数据从进入Dataphin到输出,全链路安全可控,让企业在数据安全体系建设的过程中,享受到Dataphin更实时和全面的安全保障。
未来,Dataphin将融合DAMA数据治理理论框架,持续围绕数据质量、数据标准、数据安全、资源成本等领域提升Dataphin数据治理产品化能力,帮助企业更高效地开展数据治理工作,取得显著成果。
精彩评论