近年来,在信息技术支撑下,数据经济驱动着全球各经济体的经济总量不断增加,"数据安全"也已上升到我国国家安全战略高度。政府部门和企业持续加大在数据治理、数据存储、数据保护、数据加密等方面的重视程度和投资力度。
一、概念介绍
首先需要介绍一下什么是数据安全。针对数据安全,我们要解决的问题是,在整个数据生命周期中,从采集到销毁过程中所面临的全部数据安全挑战。换句话说,数据安全就是保障数据从采集到销毁的全生命周期中的一切操作符合国家和公司的安全法规。
数据全生命周期是指数据从采集到销毁的全过程,通常包括以下几个阶段:
数据采集:数据从客户端(APP/网页)中以日志的形式进行收集的过程;
数据传输:数据通过高速通道快速集成到服务器存储介质中的过程;
数据存储:包括各类硬件存储介质和一系列数仓建模规范;
数据加工:数据提取/转化/合并/去重等操作过程;
数据交换:数据从各类冷/热存储引擎中搬来搬去的过程;
数据治理:通过产品技术手段规范数据的完整性、准确性、时效性等特性的过程;
数据应用:数据应用到分析、展示、算法画像等领域的过程;
数据销毁:数据删除销毁的过程。
二、安全目标
上图中的数据安全建设目标是参考亚马逊的定义,即数据安全会经历三个阶段:不信任外网→不信任内网→零信任,其含义为:
不信任外网:公司的资产和数据只对内部员工开放,外部员工没有经过公司身份认证无法访问公司的数据;
不信任内网:对于公司内部的数据会进行分级分类,根据公司内部员工的职责、岗位和分类去细分权限;
零信任:数据在不经过数据所有人或产权人授权的情况下,无人能够拿到这个数据。
目前绝大部分公司能做好外网隔离,即不信任外网,已是非常不容易,也是性价比最高的建设目标。
三、实现工具及技术
1、身份认证
通过第三方电子认证方式进行身份认证,保证了前期身份鉴别流程的安全可信和数字证书加密及认证强度符合国家相关法律法规要求。对于等保三级及以上的信息系统一般采用带有加密算法芯片的介质证书,或采用基于国密算法的多因子认证技术。