官喻波
大數(shù)據(jù)時代和傳統(tǒng)的信息化時代有什么不同?傳統(tǒng)信息化發(fā)展初期其實并沒有形成真正的信息化,而現(xiàn)在我們利用信息技術將現(xiàn)有的業(yè)務進行處理,同時提高業(yè)務處理效率。那么我們如何關注數(shù)據(jù)特點?因為所有系統(tǒng)都是按照自洽的方式運行,所以產生數(shù)據(jù)的環(huán)境比較單一。隨著系統(tǒng)的建立,數(shù)據(jù)量逐漸增大,就會出現(xiàn)兩個趨勢:第一企業(yè)自身的數(shù)據(jù)無法支撐企業(yè)的業(yè)務發(fā)展,第二企業(yè)無法發(fā)現(xiàn)數(shù)據(jù)價值。所以系統(tǒng)的變化不能依靠單系統(tǒng),而需要的是數(shù)據(jù)驅動。
以安全的角度來看,在傳統(tǒng)的單系統(tǒng)情況下,數(shù)據(jù)資產更關注的是某些載體中的靜態(tài)安全。所謂靜態(tài)安全就是數(shù)據(jù)采集、存儲、傳輸處理等技術,都在企業(yè)自己系統(tǒng)里運行,企業(yè)只需要管理好自身的數(shù)據(jù)庫和終端即可。而在大數(shù)據(jù)時代,所有系統(tǒng)之間都是交互的,當企業(yè)采集完數(shù)據(jù)后,不一定存儲在自己的數(shù)據(jù)庫中。而這些數(shù)據(jù)可能會被其他企業(yè)進行處理,企業(yè)與企業(yè)之間甚至會把各個系統(tǒng)融合起來,存放在大數(shù)據(jù)中心,并進行模型計算產生出新的數(shù)據(jù)。所以,只有數(shù)據(jù)流動起來才會產生價值,而我們所關注的重點,就是數(shù)據(jù)資產在整個業(yè)務流動過程中的動態(tài)安全。
我們面臨的挑戰(zhàn)是什么?從安全的角度上來講,企業(yè)建立一個正常運行的系統(tǒng)很容易,若要對其進行破壞也相對簡單,安全風險可能來自方方面面,因為無論是網(wǎng)絡層、應用層、運維、開發(fā)都有可能出現(xiàn)問題。我們將安全風險管控歸為三類:第一,如何發(fā)現(xiàn)哪些數(shù)據(jù)需要管控。第二,如何分析管控發(fā)現(xiàn)的數(shù)據(jù)。第三,如何客觀評價管控的效果。我們認為在大數(shù)據(jù)時代,數(shù)據(jù)安全并不是數(shù)據(jù)問題,而是數(shù)據(jù)安全治理。而數(shù)據(jù)安全治理的第一步,就要保證數(shù)據(jù)本身的保密性和完整性。數(shù)據(jù)安全治理需要建立一個框架,然后進行要素評估,預測在商業(yè)策略中是否存在風險。第二步對數(shù)據(jù)進行分類。第三步要制定數(shù)據(jù)策略和企業(yè)策略。第四步基于數(shù)據(jù)審計和策略,進行加密和身份認證等工作,防止數(shù)據(jù)泄露。第五步將所有策略全部集中管理起來,并作用到企業(yè)傳統(tǒng)的數(shù)據(jù)庫、大數(shù)據(jù)處理平臺,以及云端的軟件等。
那么數(shù)據(jù)治理框架,需要經(jīng)歷哪些步驟?第一步,針對數(shù)據(jù)安全進行統(tǒng)籌規(guī)劃,并根據(jù)不同行業(yè)的數(shù)據(jù)建立法規(guī)。第二步,根據(jù)企業(yè)自身的業(yè)務,梳理出數(shù)據(jù)安全的要求。第三步,分析面臨的風險,形成威脅和同步清單。第四步,建立宏觀的管理策略和制度。以這四步為基礎來設計數(shù)據(jù)安全治理體系,在這個體系中,我們將技術支撐分為三部分。第一是感知體系。所謂感知體系我們可以理解為傳感器,通過該體系可得知數(shù)據(jù)的類型和存放地點。第二是分析和管控體系。當?shù)玫綌?shù)據(jù)后,該體系可以告知用戶如何對數(shù)據(jù)進行分析和管理。第三是評估體系,該體系用來評估整體效果。
基于上述體系我們就可以分步驟建設框架,包括體系設計、構建、實踐驗證、應用推廣等。我們認為數(shù)據(jù)安全并不是靜態(tài)策略,而是動態(tài)的完善過程。首先感知體系會發(fā)現(xiàn)企業(yè)業(yè)務中的重要數(shù)據(jù),之后數(shù)據(jù)會轉移到分析管控體系中進行分析管控。數(shù)據(jù)通過管控后可以繼續(xù)優(yōu)化管控體系,來發(fā)現(xiàn)被遺漏的數(shù)據(jù),同時增加到感知體系中。最后依靠評估體系評估管控效果,根據(jù)管控效果來調整分析管控體系,形成動態(tài)過程。
介紹一下我們在各環(huán)節(jié)中的安全實踐。我們認為感知體系是保證數(shù)據(jù)安全最重要的環(huán)節(jié),我們在該體系中創(chuàng)建了兩個模型,數(shù)據(jù)分類模型和數(shù)據(jù)分級模型。數(shù)據(jù)分類、分級模型從某種意義上來講是業(yè)務部門需求,比如我們根據(jù)銀行不同業(yè)務類型和業(yè)務種類,分出不同的數(shù)據(jù)進行分類。首先我們將數(shù)據(jù)進行分類,然后將數(shù)據(jù)的使用范圍進行分級,此外監(jiān)控數(shù)據(jù)的使用時間和使用時長,最后針對數(shù)據(jù)的使用用途進行技術落地。
提起資產識別大家就會想到通過數(shù)據(jù)載體、內容、環(huán)境進行靜態(tài)的資產識別,但是我們更加強調的是動態(tài)資產識別,因為大數(shù)據(jù)在流通的過程中會產生價值。在流通過程中,我們可通過識別系統(tǒng)得知數(shù)據(jù)怎樣進行流通,流通到哪些地方,包括數(shù)據(jù)與數(shù)據(jù)之間的關系等。
分析管控體系是一個相對傳統(tǒng)的體系,我們要在整個數(shù)據(jù)生命周期,包括采集、存儲、傳輸、處理、交換過程中進行分析。比如在整個分析管控體系中,我們對人的行為進行分析。我們就會根據(jù)該人物的過往的數(shù)據(jù),建立兩個基線:第一,用戶歷史行為基線。第二,同部門同職位人員的歷史基線。以這兩條基線為基礎,識別出數(shù)據(jù)安全的問題。
我們認為最難建立的體系是評估體系,評估體系主要分為兩部分:第一,我們需要找出那些數(shù)據(jù)和指數(shù),能夠真正反映出數(shù)據(jù)安全態(tài)勢。第二,在整個評估的過程中,如何將數(shù)據(jù)規(guī)劃、數(shù)據(jù)收集、數(shù)據(jù)風險分析進行反饋。那么評估指數(shù)應當怎么做?這就要從數(shù)據(jù)價值和企業(yè)的管理意圖著手,包括整個大數(shù)據(jù)體系任務的規(guī)劃。比如企業(yè)的數(shù)據(jù)資產分布指數(shù)和重要的資產流通指數(shù),這些指數(shù)都與數(shù)據(jù)安全相關,所以我們就會把這些指數(shù)全部建立起來。
(根據(jù)演講內容整理,未經(jīng)本人審核)