当人类从IT时代走向DT时代,当社会从传统互联网时代演进到大数据时代,数据迎来爆发式增长。DT时代的业务也将围绕数据进行,在商业化的视角下,如何让数据变得更有价值,如何把握数据安全重视度上升带来的机遇?
1月18日下午,于北京举办“商业视角下的数据应用安全——2019年企业服务产业升级与创新”沙龙, 明朝万达高级副总裁兼首席技术官喻波出席此次沙龙,为大家分享:《5G时代数据安全与数据治理》。
演讲内容如下:
20年信息科技的发展,可以看到一个很有意思的事情,如果从数据的角度来看,一方面是数据呈爆炸性的趋势在增长,但是另外一个方面,数据使用的曲线跟数据增长的曲线是完全不匹配的,大量的数据躺在大家的资源库里,一方面无法辨明数据价值,另一方面又不能把它挖出来,这个时候我们分析当中的差异点点在什么地方,是这个数据力度的问题导致了矛盾的产生。
什么叫数据力度问题呢?我们最开始在建设这个信息系统的时候,并没有想到数据才是价值,我们想到的可能业务是价值,流程是价值,数据只是忠实地记录你业务中的信息,这个时候当你把它给别人用或者统计分析的时候,你会发现你记录数据的力度是不够的,或者产生了矛盾,这个时候使用和存储这两个中间的矛盾就出来了。
未来十年、二十年数据爆炸的趋势是不变的,特别是随着大数据、云计算的应用,以及5G时代到来以后,万物互联成为一个现实,或者成为一种可能。在这个时代下大家产生的数据会比以往多的多,同时由于这个技术的发展,很多实体经济,之前压根没有想过用IT化做操作的实体都会用数据化的方式做建设,这个时候数据累计的量比以前增大很多。
还是回到这个问题,我们数据到底应该怎么用。在数据使用过程中,安全是必不可少的一个内容。数据安全有两个阶段的发展,第一个阶段就是我自己一个系统自己玩就可以了,这个时候只需要关注这个数据在系统里的安全性,但显然现在已经不是这个时代了,没有一个数据可以脱离系统单独的存在。数据的时代已经改变了,是互联互通交互的模式,以前的安全防护的机制完全不适用了。这个时候我们就不能再把我们安全的视角仅限于在我们系统内部了,我们一定要站到更高的维度观赏整个生命周期的问题。
我们在最开始的使用场景里面,我们只需要关注一些物理安全、主机安全就可以了,但是随着数据的流动,就不能简简单单这么看,所以我们提出来数据安全应该怎么做呢?数据安全应该是跟着数据走的,数据到哪,安全就到哪,我们关注更多的是数据。
这个时候我们提出来怎么样建立一个以保障数据安全使用为目标的体系,这个体系是数据安全治理体系,是跨学科的体系,主要涉及到的层面,第一个包括安全合规的要求,最近也是各种法律出台。第二个是数据安全保护本身的内容。第三个很重要的是数据安全治理体系,就是我们的数据治理体系是整个里面很核心的内容。
我们来看一下数据安全治理体系到底有哪些部分组成,首它融合了数据和安全两个业务领域,不单单是一个领域的问题。第二个它的体系构建主要是涵盖了管理和技术的两个部分,同时通过组织构建,资产梳理,策略制定,过程控制、行为稽核等。
首先第一个它是数据和安全融合的业务领域,为什么叫融合的业务领域呢?举个简单的例子:
比如我们在金融机构里面想保护一些用户的隐私,用户隐私可能是一些银行帐号,在单系统里面一般怎么做?大家梳理一下数据,看一下里面银行帐号应该保护。但实际上这是个很核心的问题,这个银行帐号是怎么来的,到底是具有什么样的属性,可能是很重要的账号,可能是VIP,也可能是最简单基础的储户的,这个价值是不同的,保护力度也是不一样的。单系统里做不了这个事情,必须要通过数据源的分析,先找到这个账号的安全属性,才能结合起来知道怎么做。这涉及了数据和安全两个领域。
第二个是体系的实现路径,第一个要资产梳理,第二个是策略制定。从技术上来讲就会有各种各样的技术,这个大家比较清楚了。
我们公司做金融做的比较多,来看一下这几个过程到底是怎么做的。第一个在数据资产梳理这个阶段,首先第一个是法规的依从性,现在《网络安全法》、《等级保护2.0》,这个过程做的是安全和合规之间的关系到底是什么,也就是说这个其实是我们的合规性要求。第二个我们要梳理的问题就是这些数据使用的部门和岗位,哪些岗位在用哪些数据,这个时候我们梳理完了以后得到一个人和数据的关系。第三个要做的是对数据整个生命周期的状态进行一个分析,这个时候能看到分布状态,在哪些系统里面用,会做什么样的处理,这个时候会得到数据和处理使用之间的关系。最后把这些数据进行一个总结,得到了一个数据资产,这个资产拿来干什么?其实是分析数据和服务之间的关系,有了这几个关系以后,我们对数据资产有数了。
下一步就是策略地制定,每一个企业都会有不同的,根据威胁的风险和内容成熟度的评估,形成了一系列的制度。制度就是指导着过程控制和行为稽核的部分。这个部分其实相对比较传统,从事前的评估到事中的控制,一直到事后的稽核都有相关的技术方式进行。最后由于数据和系统都是不停地变换过程中,所以我们要不停地评估、完善和改善。
前面讲了一些理论,最后有一个案例跟大家分享一下,所谓的以数据治理为安全到底在做什么。大家都知道金融业、证券、保险这三个行业,有很大的数据互通的想法和需求。但是由于安全的要求和自身的考虑来讲,很少有机构会把数据放出来,第一他会担心数据放出去对方能不能行,第二个数据的影响,这个时候我们基于这个需求建立一个平台,这个平台主要的目的就是为了银行业的这几类机构能够安全的交互数据,满足他数据交互的业务场景,这个时候首先第一个我们做的事情并不是去搭平台做技术,我们首先第一个做数据治理的工作,我们根据人民银行的一些标准,我们把相关的数据分成九个基础的主题。
比如说交易、产品,包括一些统计数据口径,分为了几个主题,根据数据不同的主题分了不同的安全等级,我们最终梳理出了五百多项的原数据,我们把原数据目录给到机构以后,他们会看原数据目录里面哪些他有,就可以给别人提供,他就会形成自己的共享资源,这些金融机构一共给了三百多项共享资源出来。有了这些共享资源以后,我想去看别人的资源怎么办?我会从现实上来讲签一个合同,我们用了智能合约的方式在我们平台上签署智能合约,签署了合约以后就可以通过合约里约定的方式使用数据,这个实际上是从数据治理角度我们最终用这种方式实现。
那么从技术上怎么实现呢?
第一个我们部署了独立于三类机构的数据安全共享的中心,然后在每个机构需要做数据共享或者数据提供者的时候部署一个子中心。马上在安全共享中心里面,我们把所有机构需要提供出来的资源做了一个统一的目录,同时你需要使用这些数据,在我这儿签一个合约,从电子化的角度把你的业务明确下来。后期的使用比较简单,一个公司如果需要使用另一个公司数据的时候,他可以拿着这个鉴定,他看到了我需要的数据,以什么样的方式提供,他就可以把敏感的数据改掉,或者通过加密的方式,确保某些数据不能随意的外泄,再通过电子的方式回给数据的请
友情链接