如何保障企业数据资产的全生命周期安全?看这篇就够了
摘要:随着国家大数据战略的不断推动和深化,做好数据安全治理成为了极大挑战。我们很难在繁多的数据安全能力中去构建适合自己安全体系,业界也缺乏具有指导建设意义的数据安全产品。
什么是数据?可以是音乐,时间,1234,也可以是硬盘,系统,二进制……维基百科上定义:数据是通过观测得到的数字性的特征或信息。更专业地说,数据是一组关于一个或多个人或对象的定性或定量变量。
信息技术日新月异,科学技术磅礴发展。数据已经成为和水、电之类同等重要的战略物资,是企业的核心资产和赖以生存的命脉。随着国家大数据战略的不断推动和深化,做好数据安全治理成为了极大挑战。我们很难在繁多的数据安全能力中去构建适合自己安全体系,业界也缺乏具有指导建设意义的数据安全产品。
2020年3月,国标GB/T 37988-2019《信息安全技术 数据安全能力成熟度模型》明确指出数据安全的管理需要基于以数据为中心的管理思路,从组织机构业务范围内的数据生命周期的角度出发,结合组织机构各类数据业务发展后所体现出来的安全需求,开展数据安全保障。
华为云数据安全中心集结华为云核心数据保护能力
华为云数据安全中心(Data Security Center,简称DSC)是华为云今年打造的重磅服务,从数据的全生命周期出发,围绕数据采集、传输、存储、处理使用、交换和销毁各个阶段构建。今天云上的数据安全能力其实一直是分散在各个服务之中,例如VPN、安全组、SSL证书以及诸如ECS、RDS、OBS等集成的加密能力。数据安全中心致力于汇总分散的数据安全能力,从租户出发提供统一视角。
数据安全是一个管道,整体的安全能力是由每个阶段的安全能力共同组成的,换言之,如果某一个阶段做的很强,而另一个阶段没有任何保护措施,那么对于整体数据安全状态来说也是于事无补。下面笔者就具体的每个阶段进行解读。
数据采集:是指组织机构内部系统中新生成数据,以及从外部收集数据的阶段。这个阶段的安全性重在识别和预防,识别出新采集的数据中是否存在敏感信息,泄露后是否存在风险,以及决定要以什么样的技术手段保护敏感数据等。华为云数据安全中心通过构建自动化数据识别引擎,在数据生成的时候就能呈现整体风险,支持200种数据格式,支持结构化数据、非结构化数据,真正做到场景全覆盖。
数据传输:是指数据在组织机构内部从一个实体通过网络流动到另一个实体的阶段。这个阶段的安全性重在认证与加密,数据传输过程中最常见的是窃听、嗅探和中间人攻击,他们的共同特点都是利用了传输通道的不安全性,即未做认证校验和报文信息未加密等,因此开启SSL/TLS加密通信和公私有证书身份校验(证书的链接)能够有效防止此阶段的数据安全风险。数据安全中心通过联动VPN、云连接、证书等服务,持续监测传输通道状态。
数据存储:是指数据以任何数字格式进行物理存储或云存储的阶段。这个阶段的安全是保证数据的可用性以及通过权限的合理访问。数据安全中心在这个阶段主要监控OBS桶内文件的加密状态,OBS的文件支持默认透明加密,云上密文存储,保证云上数据安全。
数据处理使用:是指组织机构在内部针对数据进行计算、分析、可视化等操作的阶段。数据是流动的,很多风险是在数据流转的过程中产生的,通过对数据使用行为分析,我们可以预先识别一些可能的泄露事件。举个例子,一位员工即将离职,离职前批量下载公司机密文件,希望能够带到下个公司。这类批量下载的行为就是一个异常的行为,与该员工固有的工作轨迹产生偏差。数据安全中心通过构建深度学习行为识别能力,提前识别出异常行为并及时告警,把数据泄露事件阻击在源头。
数据交换:是指数据由组织机构与外部组织机构及个人交互的阶段。数据的交换意味着数据会流出系统或组织内部,难以管控,因此在流出前需要控制数据泄露的风险。华为云数据安全中心提供数据脱敏和水印的能力,保证数据在交换过程中能够对敏感信息进行脱敏处理,也能够对交换数据流、文件、图片等打上水印信息,确保数据泄露溯源。
数据销毁:是指通过对数据及数据的存储介质通过相应的操作手段,是数据彻底消除且无法通过任何手段恢复的过程。华为云在客户内容数据的销毁阶段,会对指定的数据及其所有副本进行全面的清除。 当客户确认删除操作后,华为云首先删除客户与数据之间的索引关系,并在将内存、 块存储等存储空间进行重新分配前进行清零操作,确保相关的数据和信息不可还原。 对于物理存储介质报废的情况,华为云通过对存储介质进行消磁、折弯或破碎等方式 进行数据清除,确保其上的数据无法恢复。
解决企业的数据担忧,满足安全合规。了解更多华为云数据安全中心服务详情,可免费申请公测。