一.  為何要構建資料中臺安全

近幾年來，“中臺”一詞在企業社會數字化轉型中被不斷提起，今天，綠盟君將與大家一起討論如何構建中臺的資料安全體系。資料安全聚焦資料，那麼中臺的資料安全聚焦的便是在資料中臺下如何構建資料安全體系，或者直接稱之為“資料安全中臺”。

首先我們從資料中臺的業務邏輯入手，共同找尋資料中臺中資料和安全的結合點。

1.1  資料中臺通用業務邏輯

圖 1.1  資料中臺通用業務邏輯

上圖中沒有出現任何“中臺”字眼，那麼它和資料中臺有什麼關係呢？顧名思義，資料中臺必然是聚焦在資料層面提供中臺能力的存在，但只論“存在”二字難免有些狹隘的把資料中臺靜態化了，資料安全更關注的是動態的資料流轉，所以我們關注資料中臺業務邏輯，是因為“以資料中臺價值為目標的建設過程和場景應用”才是安全建設防護的核心物件。

這也是我們為什麼在“中臺資料安全”概念中為何不圈定業務中臺進來。本質上資料中臺和業務中臺就是緊耦合的關係，資料中臺提供“資料業務化”的支撐給業務中臺，業務中臺提供“業務資料化”反哺給資料中臺，相互促進最佳化。防護好了資料中臺的資料安全，業務中臺的資料安全隨之明朗。

1.2  資料中臺安全關注點

資料安全固然聚焦資料的流轉，但在體系化的理念加持下防護的物件必然涉及資料中臺建設和應用過程中的一切，基礎設施安全、運維過程安全、資料處理安全、資料應用安全以及資料價值發揮的過程安全。

接下來我們將從這些關注點逐步剖析資料中臺業務過程中的安全風險和訴求。

二.  資料中臺常見風險識別

2.1  基礎設施

資料中臺的建設，通常始於資料的匯聚，匯聚的過程中先暫且不關注各資料來源的原始資料庫和匯聚方式，但到了資料湖區，歸集資料的儲存則是不能繞開的核心環節。

資料湖區的中心庫源於各種開源元件架構的大資料平臺、關係型資料庫、檔案儲存伺服器等基礎設施，甚至在一些特定行業領域會應用各種多媒體儲存設施。除此之外儲存服務宿主的伺服器、運維管理的主機等設施都必不可少。

硬體伺服器、主機、開源元件、資料庫以及資料匯入匯出的傳輸通道和過程，通常容易出現漏洞、弱口令、主機木馬、病毒、拖庫、撞庫等風險，這些風險並不會因為進入數字化時代而消弭，而是每時每刻都不能被忽略。

2.2  資料運維

資料進入湖區，經過治理後形成各種主題庫/專題庫的資料倉儲，針對資料湖區、資料倉儲中存放資料的日常運維，資料治理過程的編目、梳理等服務介入，處處都是大量資料訪問行為和資料外流的真實現狀，大量的人員深度接觸資料的場景中，業務的需要致使資料治理、維護在得到人工服務推進的同時也給人員提供了大量獲取資料的便利。

資料治理是提升資料質量和價值的必經之路，但是如果完全因業務需要而驅動資料在“外人”面前裸奔是有極大風險的，所以針對不同人員、不同級別/類別的資料，應用必要的安全措施也是必不可少的。

2.3  資料處理及應用

資料在治理過程中、在BI分析過程中、在資料開發測試中、在應用到人工智慧、機器學習等使用過程中，資料的流轉是否合理、是否在有效許可權下被使用、是否被有效監控和檢測等，這些場景中在未發現資料洩露之前很可能在上面的一系列過程中無論資料owner還是服務提供方誰都說不清到底發生過什麼，和會發生什麼。

所以在資料的處理和應用過程中，每個場景、每個對資料的訪問行為和每個資料流轉的去向都是不可信的。

此外，資料的風險也不能單單滿足於事後發現再去定位回溯追蹤，事中的感知乃至事前的預判和預防都是需要主動去碰撞的。

2.4  資料業務化

前面提到資料中臺和業務中臺的緊耦合性，意味著資料中臺對業務中臺的業務支援以及業務前臺對資料&業務雙中臺的依賴都是不能割裂的。因為資料中臺形成的資料集市最終是要把資料給到業務中臺，給到業務前臺，所以從資料流轉鏈路看，這個邊界很有必要圈住業務前臺——通常是業務應用系統。

無論是入口網站也好，定製業務的整合介面服務也好，還是應用程式或是資料開放環境等基礎設施，如果Web防護的不好、介面安全機制不完備、開放原則和許可權策略不明確等等，這些物件都會成為被攻擊的目標，也會成為被拖走資料的入口，如果忽略了這一環，中臺加固的再好依舊改變不了資料洩露的現實。

三.  資料中臺下綠盟資料安全構建思路

3.1  資料安全建設思路

資料安全建設應該走一條什麼樣的路線？Gartner的DCAP，NIST CSF的IPDR，以及真實場景的實踐反饋，無一例外都指明資料安全最基礎的一環就是摸清家底——資料資產的管理。得益於資料中臺資料治理過程，基於資料的層層標準化治理和分類分級切分，安全已經站在了較高的臺階，更多需要聚焦的是敏感資料和針對敏感資料應如何制定安全策略。

可能這裡會讓人產生一個邏輯上的疑問——到底是先讓資料治理把資料理順，之後再搭建資料層面的安全策略，還是先設定安全的門檻然後才能動手治理資料？

其實原則很簡單，安全和業務不應有先後，需要尋找的是平衡，莫不如讓安全出面來治理資料，讓安全為資料治理保駕護航，狹隘一點姑且將其也稱之為“資料安全治理”。

綜上所述，做好資料中臺的資料安全體系構建，敏感資料的管理能力是貫穿安全防護整個中臺建設過程和所有應用場景的大前提。無論是針對資料庫、大資料平臺等基礎設施的防護，還是資料運維場景、BI分析、資料處理訪問的風險控制，精確到資料層面的許可權策略和相應措施，都是把資料安全做到位，做徹底的關鍵。

下面我們一起來看一下綠盟科技在資料中臺下搭建資料安全體系時如何兌現這一理念和思路。

3.2  綠盟資料安全體系構建路線

圖 3.1  綠盟資料中臺安全體系架構

結合前文提到的理念和資料中臺業務邏輯中識別的風險及防護物件，我們的思路如上圖所示：

敏感資料資產化的管理能力，是貫穿始終的核心和關鍵，“發現識別->分類分級->許可權策略”和IPDR架構的“Identification”理念高度契合。同時視覺化技術也是資產化管理的有效手段，為整個體系的安全目標打好資料資產可見、可管、可控的紮實基礎。

結合資料中臺業務邏輯的風險識別分析，我們把能力架構分層次的摞了一下，先從基礎設施的防護做起，基礎設施/元件的漏洞發現、配置核查，基礎資料庫的防護，服務主機終端的加固防洩漏，傳輸安全等能力來保障基礎環境和設施的安全。

依據資料中臺的建設邏輯，資料的運維層面，結合敏感資料管理策略，應用運維堡壘機、脫敏、加密、水印等技術保障簡單業務邏輯場景下的資料安全訪問，並沉澱可審計、可追溯的能力基礎——日誌和水印。

到了資料被分析、處理、應用的場景下，面對在BI分析過程中、在資料開發測試中、在應用到人工智慧、機器學習等使用過程中，資料的流轉是否合理，是否在有效許可權下被使用，是否被有效監控和檢測等需求和痛點問題時，因場景的複雜多元，安全也需要更多的資料、更智慧的技術、更多維的視角來支撐。

綠盟資料安全體系中以ISOP-DS平臺為牽引，透過探針、終端、邊界的產品聯動，針對應用系統日誌、安全審計日誌、資料訪問和流轉的流量日誌等安全大資料的採集和建倉形成支撐解決問題和風險的核心基座。基於敏感資料許可權策略貫穿牽引和全場景零信任的許可權管控，透過UEBA、NTA等技術支撐多維資料分析、多環節資料關聯、多路徑行為監控能力的應用，有效實現敏感資料異常流轉感知、敏感資料訪問行為識別和監控。多源採集資料同樣支撐著對已發生資料安全風險事件的追溯定位和風險預警後的處置決策，採集資料的分析充分和ISOP-DS的運營工作臺結合，融合Soar的自適應編排響應處置能力快速實現風險閉環。

此外，前文提到資料中臺安全的邊界是要延展到業務前臺的，針對Web應用的防護和防篡改，整合介面服務的介面流量監控檢測，開發測試環境主機自身及應用的終端防洩漏，資料開放的風險控制，ISV的終端和網路邊界防洩漏……同樣都是資料中臺下資料安全體系中不可缺少的一環。

最後，還是回到安全行業的那句老話上——“安全三分靠產品七分靠服務”。資料場景的諮詢評估、資料運營、資料安全運營等服務在資料安全領域都是必不可少的，無論物件是資料中臺還是資料平臺。安全運營是充分發揮產品能力價值和持續保障安全效果的最直接有效的手段，同樣也是提升產品能力和智慧化程度的有效指引。

四.  小結

除了前面已經提到的“Identification”，我們從基礎設施安全、資料運維安全、資料服務安全在資料中臺的安全體系中來看，契合的剛好是IPDR的“Protection”，而資料處理及應用安全更多體現的是“Detection”，同時結合運營服務剛好完整閉合了“Response”這一環。

值得一提的是，傳統安全的防護能力並非到了大資料場景和數字化時代、人工智慧時代就過時了，在我們的核心理念中，敏感資料的資產化管理來穿針引線，貫穿整個體系架構中的每一層每一環，形成點到面的拉通覆蓋，讓資料庫的防護也踏踏實實落到資料層面，欄位粒度乃至內容粒度，那麼每一種安全的能力都不是一個人在戰鬥。

五.  綠盟資料安全產品系列

綠盟資料安全團隊，致力於融合平臺、產品、服務等能力構建體系化資料安全解決方案，從頂層設計規劃、諮詢評估到產品落地、綜合運營保障，全方位保障資料全生命週期安全。

目前綠盟科技已經形成集：資料安全智慧運營平臺（ISOP-DS）、敏感資料發現於風險評估系統（IDR）、資料防洩漏系統（網路DLP+終端DLP+郵件DLP+儲存DLP）、資料庫審計（DAS）、資料庫防火牆（DAS-FW）、資料脫敏系統（DMS）、零信任系統\全流量探針（UTS）等全系列資料安全產品，並提供資料安全合規評估、資料安全管理體系建設諮詢、資料分類分級、個人資訊保安影響評估、資料安全駐場運營、資料安全遠端專家諮詢等服務。

專業的資料安全專家團隊，成熟的產品、服務模式，才能提供前沿安全的資料體驗。

資料安全智慧運營平臺（ISOP-DS）

結合探針與大資料智慧分析能力，提供資料資產管理、資料風險監控、資料事件閉環處理、資料安全綜合態勢能力。

敏感資料發現於風險評估系統（IDR）

捍衛資料安全的第一步！全網資料資產測繪，智慧資料分類分級，實時資料流轉測繪，平臺元件安全掃描。

資料防洩漏系統（網路DLP+終端DLP+郵件DLP+儲存DLP）

敏感資訊定位，洩露風險防控、安全事件取證。

資料庫審計（DAS）

資料操作異常實時發現，資料風險事件閉環追蹤。

資料庫防火牆（DAS-FW）

攻擊風險可防，非法訪問可控、可疑行為可審。

資料脫敏系統（DMS）

一款能量化敏感資料重識別風險，同時做到敏感資料可用不可見、所需方可見的集脫敏資料風險評估、動態脫敏、靜態脫敏功能於一體的產品。

零信任系統

基於認證授權、鏈路加密等技術的的零信任訪問安全系統，可建立統一的使用者可信訪問控制通道，透過持續驗證、動態多層級、細粒度的授權控制，打造基於使用者、裝置、應用、API的動態可信訪問安全。並支援與資料安全運營平臺對接提供完整基於資料與人員許可權的管控能力。