摘要:隨着國家大數據戰略的不斷推動和深化,做好數據安全治理成爲了極大挑戰。我們很難在繁多的數據安全能力中去構建適合自己安全體系,業界也缺乏具有指導建設意義的數據安全產品。
什麼是數據?可以是音樂,時間,1234,也可以是硬盤,系統,二進制……維基百科上定義:數據是通過觀測得到的數字性的特徵或信息。更專業地說,數據是一組關於一個或多個人或對象的定性或定量變量。
信息技術日新月異,科學技術磅礴發展。數據已經成爲和水、電之類同等重要的戰略物資,是企業的核心資產和賴以生存的命脈。隨着國家大數據戰略的不斷推動和深化,做好數據安全治理成爲了極大挑戰。我們很難在繁多的數據安全能力中去構建適合自己安全體系,業界也缺乏具有指導建設意義的數據安全產品。
2020年3月,國標GB/T 37988-2019《信息安全技術 數據安全能力成熟度模型》明確指出數據安全的管理需要基於以數據爲中心的管理思路,從組織機構業務範圍內的數據生命週期的角度出發,結合組織機構各類數據業務發展後所體現出來的安全需求,開展數據安全保障。
華爲雲數據安全中心集結華爲雲核心數據保護能力
華爲雲數據安全中心(Data Security Center,簡稱DSC)是華爲雲今年打造的重磅服務,從數據的全生命週期出發,圍繞數據採集、傳輸、存儲、處理使用、交換和銷燬各個階段構建。今天雲上的數據安全能力其實一直是分散在各個服務之中,例如VPN、安全組、SSL證書以及諸如ECS、RDS、OBS等集成的加密能力。數據安全中心致力於彙總分散的數據安全能力,從租戶出發提供統一視角。
數據安全是一個管道,整體的安全能力是由每個階段的安全能力共同組成的,換言之,如果某一個階段做的很強,而另一個階段沒有任何保護措施,那麼對於整體數據安全狀態來說也是於事無補。下面筆者就具體的每個階段進行解讀。
數據採集:是指組織機構內部系統中新生成數據,以及從外部收集數據的階段。這個階段的安全性重在識別和預防,識別出新採集的數據中是否存在敏感信息,泄露後是否存在風險,以及決定要以什麼樣的技術手段保護敏感數據等。華爲雲數據安全中心通過構建自動化數據識別引擎,在數據生成的時候就能呈現整體風險,支持200種數據格式,支持結構化數據、非結構化數據,真正做到場景全覆蓋。
數據傳輸:是指數據在組織機構內部從一個實體通過網絡流動到另一個實體的階段。這個階段的安全性重在認證與加密,數據傳輸過程中最常見的是竊聽、嗅探和中間人攻擊,他們的共同特點都是利用了傳輸通道的不安全性,即未做認證校驗和報文信息未加密等,因此開啓SSL/TLS加密通信和公私有證書身份校驗(證書的鏈接)能夠有效防止此階段的數據安全風險。數據安全中心通過聯動VPN、雲連接、證書等服務,持續監測傳輸通道狀態。
數據存儲:是指數據以任何數字格式進行物理存儲或雲存儲的階段。這個階段的安全是保證數據的可用性以及通過權限的合理訪問。數據安全中心在這個階段主要監控OBS桶內文件的加密狀態,OBS的文件支持默認透明加密,雲上密文存儲,保證雲上數據安全。
數據處理使用:是指組織機構在內部針對數據進行計算、分析、可視化等操作的階段。數據是流動的,很多風險是在數據流轉的過程中產生的,通過對數據使用行爲分析,我們可以預先識別一些可能的泄露事件。舉個例子,一位員工即將離職,離職前批量下載公司機密文件,希望能夠帶到下個公司。這類批量下載的行爲就是一個異常的行爲,與該員工固有的工作軌跡產生偏差。數據安全中心通過構建深度學習行爲識別能力,提前識別出異常行爲並及時告警,把數據泄露事件阻擊在源頭。
數據交換:是指數據由組織機構與外部組織機構及個人交互的階段。數據的交換意味着數據會流出系統或組織內部,難以管控,因此在流出前需要控制數據泄露的風險。華爲雲數據安全中心提供數據脫敏和水印的能力,保證數據在交換過程中能夠對敏感信息進行脫敏處理,也能夠對交換數據流、文件、圖片等打上水印信息,確保數據泄露溯源。
數據銷燬:是指通過對數據及數據的存儲介質通過相應的操作手段,是數據徹底消除且無法通過任何手段恢復的過程。華爲雲在客戶內容數據的銷燬階段,會對指定的數據及其所有副本進行全面的清除。 當客戶確認刪除操作後,華爲雲首先刪除客戶與數據之間的索引關係,並在將內存、 塊存儲等存儲空間進行重新分配前進行清零操作,確保相關的數據和信息不可還原。 對於物理存儲介質報廢的情況,華爲雲通過對存儲介質進行消磁、折彎或破碎等方式 進行數據清除,確保其上的數據無法恢復。
解決企業的數據擔憂,滿足安全合規。瞭解更多華爲雲數據安全中心服務詳情,可免費申請公測。