1.云數據保護技術實現
隨著數字化轉型的不斷深入,各行各業所產生和擁有的數據越來越多。為便于數據的應用,人們往往建設數據平臺、數據湖以存儲和處理數據,使得數據更加集中。匯集的大數據用于支撐決策,進行運營分析、風險預警,數據的價值越來越得到顯現,數據保密變得越來越重要。數據應用的水平已經成為衡量一個單位數字化轉型程度的重要指標。與此同時,數據被泄密、被竊取的事件時有發生,勒索病毒給一些企業帶來了損失。2023年國家先后頒布施行了《數據安全法》和《個人信息保護法》,國家在數據安全和隱私保護方面的監管力度進一步加大,企業面臨法律合規風險。
本文就數據安全體系建設提出思路和方法,結合華為云介紹自身數據安全和隱私保護實踐,并介紹華為云所具有的數據安全服務。
2.數據安全體系的建設思路
保護數據安全和個人隱私,是建設整個網絡安全( )體系的核心內容,與此同時,保障數據安全應該從全局視角進行系統性地考慮,對數據的全生命周期進行有效管理,不應該孤立的、狹義的來考慮數據安全。比如僅考慮一些數據加密、脫敏的措施是不夠的。
2.1 數據的分級
做好數據安全的基本措施就是數據分級。數據往往是已經分類的,如財務數據、研發數據、辦公數據、生產數據等,從安全視角看,數據的分等級更加重要。數據分等級的目的是識別出需要重點保護的敏感數據,即識別出本單位的“寶貝”。真正的寶貝是少數,不能都是寶貝,做數據安全也不能像撒胡椒面一樣對所有的數據做無差別的同等級防護,那樣會造成敏感數據防護不到位,其他數據的安全防護過度,影響了效率和共享。一般來說,一個單位的敏感數據應不超過10%的比例。識別出敏感數據后,就應采取一條重要的安全策略:敏感數據,安全第一,效率第二;其他數據效率第一,安全第二。這樣就兼顧了安全和效率。
數據安全的分級,需要由數據安全部門和業務部門配合進行,數據安全部門制定總體規則,包括本單位的數據從安全角度應該分為幾級,如何定義,以及總體上哪些數據應該被定為敏感數據,應進行枚舉和舉例。具體到哪些文檔、哪些數據被定為哪一級,應該是業務主管和業務人員說了算,因為只有他們知道哪些數據、文檔是“寶貝”。如果數據安全部門認為定級出現偏差,可以和業務部門溝通,最終達成一致,形成本單位的敏感數據清單。
2.2 數據安全風險識別
數據安全的風險,主要包括被泄密、被竊取和被破壞的風險。被泄密風險,主要是指內部人員無意或有意地將數據泄露出去。被竊取主要是指外部人員出于商業目的或經濟利益對他人的數據進行非法獲取。數據被破壞的原因包括系統或硬件故障、受到攻擊造成數據被篡改或不可用、被勒索病毒加密等。
識別數據安全風險,一個比較有效的手段是進行數據流分析。識別出敏感數據后,可以沿著敏感數據的存儲點出發,沿著數據流轉的路徑識別安全脆弱點和風險,這是一個數據“被訪問的路徑”,也可以從互聯網入口出發,從外向內梳理,一直到敏感數據源,這是一個“被攻擊的路徑”。將數據流分析得到的風險匯集起來并進行排序、歸類,然后根據風險級別給出安全加固和改進措施建議,進而給出可落地的實施方案和下一步工作計劃。
2.3 數據全生命周期安全保護
數據全生命周期,主要包括數據采集、存儲、流轉、銷毀等環節。數據安全能力成熟度模型DSMM將其分為數據采集安全、數據傳輸安全、數據存儲安全、數據處理安全、數據交換安全、數據銷毀安全和通用安全7個方面。其他一些部門、標準定義的數據安全過程大致上類似,實際使用時選擇一種定義即可。數據安全體系的建設應該覆蓋數據的全生命周期,不同的階段采取不同的安全措施。
考慮數據全生命周期管理,除了數據本身外數據安全體系建設思路及華為云實踐,一個重要的因素是人,就是數據由誰生成,誰會接觸和使用數據,誰會處理和流轉數據,誰會存儲數據,誰會銷毀數據,誰可能會越權接觸到數據等。另一個因素是環境,即數據存儲在哪里,如在電腦、手機、服務器、郵箱或外部供應商等,數據是集中存儲的還是分散存儲的,物理安全方面有哪些保護措施等。
3.華為云數據安全建設實踐
華為云作為華為自身、各行各業乃至國際用戶的技術底座,其安全可靠非常重要。除此之外,華為公司服務全球30億以上的人口,支持全球170多個國家和地區的1500多張運營商網絡的穩定運行,華為公司還有大量的手機、PAD、智能手表等終端產品用戶。華為公司明確把數據安全和隱私保護作為公司的最高綱領。多年來,華為在全球范圍內一直保持著良好的數據安全(保障客戶的安全)記錄,我們在數據安全上的實踐得到客戶的認可。華為建立了完善的隱私保護框架和治理體系,遵從適用的隱私保護法律法規,包括歐盟已經生效的GDPR和中國的《個人信息保護法》等。華為專門設立數據安全與隱私保護辦公室負責相關工作。
3.1 華為云安全可信建設
華為云已在全球29個區域部署75個可用區(),覆蓋170多個國家和地區,新的節點還在不斷建設中。我們認為,安全、穩定、高質量是客戶信任華為云的根本,是華為云的生命線,也是華為云的競爭力所在,因此高度重視華為云的安全可信,努力打造全球最安全、最穩定、最可靠的云。華為認為,只有依靠可信的組織實現可信的過程,才有可能打造出真正可信的產品。華為云在組織可信、過程可信、產品可信三個維度上踐行可信要求,通過構建自上而下的可信組織,提升所有開發、運維和運營人員的可信意識與能力,將人員、制度和技術應用到內外部過程中,不斷推出、更新和完善值得信賴的產品、解決方案和服務。
● 組織可信:堅持數據中立的原則,通過管理體系牽引,將可信根植于企業中,從企業戰略、組織文化、風險管理到供應鏈與生態,建立起全面合規、透明穩定的內控機制。
● 過程可信:建立、實施、保持一套從產品研發、運行維護到客戶服務的全業務流程管理體系,并持續改進,確保流程嚴謹完備、過程可追溯。
● 產品可信:提供一整套以可信云基礎設施與產品為基石的、滿足客戶需求并能快速應對內外部環境和業務變化的云服務。
華為云在保證自身產品安全可信的基礎上,通過全棧的服務和解決方案,把華為云積累的可信能力釋放出來,幫助客戶實現安全可信。詳細內容可以參閱《華為云可信白皮書》。
3.2 華為云數據安全服務體系
華為云從基礎設施安全、租戶安全、運維安全、運營安全和合規安全等方面構建完善的安全防護體系,華為云目前已經通過了全球100多項合規認證。華為云通過構建7層防線+1個中心來保障和守護客戶的數據安全。這7層安全防線包括:物理安全防線、身份認證防線、網絡防線、應用防線、主機防線、數據防線、運維防線,1個中心是指基于華為云腦構建的統一安全運營中心。可以看出,華為云是通過縱深防御的思路來保護數據安全的,并不僅僅是考慮數據本身。
華為云致力于打造覆蓋全生命周期的數據安全服務產品,覆蓋數據湖、存儲池、數據庫三大數據載體,從采集、傳輸、存儲、使用、交換、銷毀等環節提供各類云安全服務。華為云當前提供的數據安全服務包括數據安全中心DSC、數據庫安全DBSS、數據加密服務DEW、云證書管理服務CCM、SSL證書管理服務SCM、密鑰管理服務KMS等,詳情可查看華為云服務網站。華為云通過自研與生態合作相結合的方式,不斷豐富數據安全與隱私保護相關的云服務產品,通過數據安全咨詢+專業實施服務+數據安全服務產品相結合,為客戶打造基于華為云的、端到端的數據安全與隱私保護方案。
免責聲明:本文系轉載自其它媒體,版權歸原作者所有;旨在傳遞信息,不代表本站的觀點、立場和對其真實性負責。如需轉載,請聯系原作者。如果來源標注有誤或侵犯了您的合法權益等其他原因不想在本站發布,來信即刪。
