数据安全作为大数据时代的盔甲,有着不可动摇的地位。企业和国家应在完善数据处理和分析能力的同时,加快数据安全治理能力的建设,才能让大数据驱动的新时代变得更加安全。
数据安全治理体系的建设要以数据全生命周期为核心实现数据安全的全方位治理。传统的数据安全监管方法以系统为中心,但目前数据的共享交换已经变成同一个部门、不同层级之间流动的常态化过程,所以构建数据全生命周期的监管体系势在必行。
数据安全治理整体系框架通过三个维度构建而成,包括政策法规,技术层面和安全组织人员。数据安全治理体系框架在符合政策法规及标准规范的同时,需要在技术上实现对数据的实时监管,并配合经过规范培训的安全组织人员,构成了数据安全治理整体架构的建设。
在整个体系中,核心监管的技术体现在技术架构层面包括安全运营中心、数据中心以及安全基础资源。基础安全资源通过提供最基础的技术保障的同时,安全运营中心对整个数据中心进行实时地响应控制。安全运营中心集中体现在资产的管理,合规监管,实时监测,数据安全态势以及通报预警。安全运营中心的实现是采集数据中心数据,对数据进行数据的汇聚,分析以及治理来实现对整体的实时管控。数据安全基础资源是整体技术框架的支持组件,提供最基础的技术保障的同时,以工具的形式保障数据安全。
数据安全可分为六个生命周期阶段,包括数据采集认证和风险评估,数据传输加密控制,数据存储加密,数据授权和脱敏使用,数据安全共享交换,以及数据销毁追溯与责任。
第一采集阶段,要明确采集规范,制定采集策略,完善数据采集风险评估以及保证数据采集的合规合法性。数据采集规范中要明确数据采集采集的目的,用途明确数据采集的目的、用途、方式、范围、采集源、采集渠道等内容,并对数据来源进行源鉴别和记录。制定明确的采集策略,体现在采集周期和采集内容的定义,只采集经过授权的数据并进行日志记录。对数据采集过程中的风险项进行定义形成数据采集风险评估规范包括评估方式和周期细节等。最后数据采集全过程中,需要符合相关法律法规和监管要求做到合规合法的采集。
第二数据传输阶段,使用合适的加密算法对数据进行加密传输,其中主要用到的是对称加密算法和非对称加密算法。对称加密(也叫私钥加密)指加密和解密使用相同密钥的加密算法,有时又叫传统密码算法,就是加密密钥能够从解密密钥中推算出来同时解密密钥也可以从加密密钥中推算出来。目前主要的对称加密算法有:DES、IDEA、AES、SM1(国密算法)等。非对称加密算法需要两个密钥,即公开密钥(publickey)和私有密钥(privatekey)。公开密钥与私有密钥是一对,如果用公开密钥对数据进行加密,只有用对应的私有密钥才能解密;如果用私有密钥对数据进行加密,那么只有用对应的公开密钥才能解密。因为加密和解密使用的是两个不同的密钥,所以这种算法称为非对称加密算法。常用的非对称加密算法有RSA、ECC、SM2(国密算法)。
第三数据存储阶段,制定存储介质标准和存储系统的安全防护是重要标准。存储介质标准需要覆盖存储介质的定义,质量,存储介质的收发运输,存储介质的使用记录及管理,存储介质的维修规范的制定。对存储系统的安全防护,需要包括数据备份,归档和恢复,以及对存储系统的弱点识别及维护。
第四数据处理阶段,明确数据脱敏的业务场景和统一使用适合的脱敏技术是数据处理的关键。在这一阶段,根据不同的场景统一脱敏的规则和方法,根据申请使用敏感信息的场景,申请人背景及情况,评估提供真实数据的必要性和脱敏技术的使用。脱敏技术主要分为,静态脱敏和动态脱敏。静态脱敏直接通过屏蔽、变形、替换、随机、格式保留加密(FPE)和强加密算法(如AES)等多种脱敏算法,针对不同数据类型进行数据掩码扰乱,并可将脱敏后的数据按用户需求,装载至不同环境中。导出的数据是以脱敏后的形式存储于外部存贮介质中,实际上已经改变了存储的数据内容。动态脱敏通过精确的解析SQL语句匹配脱敏条件,例如:访问IP、MAC、数据库用户、客户端工具、操作系统用户、主机名、时间、影响行数等,在匹配成功后改写查询SQL或者拦截防护返回脱敏后的数据到应用端,从而实现敏感数据的脱敏。实际上存储于生产库的数据未发生任何变化。
第五数据销毁阶段,结合场景保障销毁技术的多样化。针对不同的存储介绍和设备有其不可逆的销毁技术及流程,实现针对磁盘,光盘各类数据存储介质的不同销毁技术及流程,建立销毁监察机制严防数据销毁阶段可能出现的数据泄露问题。
在建设数据全生命周期监管的同时,为了实现监控和审计,数据分级分类是必不可少的。在数据分级分类之前,我们需要通过数据测绘来发现,敏感数据,以及数据主要存储的位置。对数据进行结构化分级分类分级,实现对数据资产安全进行敏感分级管理,并依据各级别部署相对应的数据安全策略,以保障数据资产全生命周期过程中,数据的保密性,完整性,真实性和可用性。
来源:和讯网