資料護航 安全立方—海泰方圓資料安全治理立體式框架

科技資訊社發表於2022-12-21

1. 發展資料安全是必然趨勢

2022年6月,在中央全面深化改革委員會第二十六次會議上,總書記強調,“資料基礎制度建設事關國家發展和安全大局,要維護國家資料安全,保護個人資訊和商業秘密,促進資料高效流通使用、賦能實體經濟,統籌推進資料產權、流通交易、收益分配、安全治理,加快構建資料基礎制度體系”。指出要建立資料產權制度,推進公共資料、企業資料、個人資料分類分級確權授權使用,建立資料資源持有權、資料加工使用權、資料產品經營權等分置的產權執行機制,健全資料要素權益保護制度。

同時,國家層面持續加強資料安全戰略指引、頂層設計和政策發力,資料安全重視程度持續上升,將資料安全和個人資訊保護提升到了國家戰略高度,大力推動加強資料安全保護,維護公民、組織的資料合法權益。海泰方圓認為,發揮資料的基礎資源作用和創新引擎作用,推進資料資源開放和開發利用是時代的必然趨勢。

2. 展望資料安全的發展需求

隨著各行業的資訊化水平快速發展,資料作為核心資產的價值也越發凸顯,為了保障政企單位資訊化的發展成果和實現資料驅動業務的數字化治理,資料資產需要透過合理的處理手段保證其安全,由於應用互聯互通更廣泛、資料融合和共享程度更高、網路接入方式更多樣化,政企單位普遍面臨如下需求:

1) 加強整體統籌規劃。依據資料安全相關法律法規、標準規範等國家和行業合規要求,結合資料安全現狀,規劃、建設資料安全能力體系的資料安全治理總體框架,解決碎片化、被動式的安全建設思路帶來“資料孤島”問題。

2) 細化資料安全策略設定。需要實現安全保護和高效利用的兼顧,從資料價值、資料型別和重要程度多個維度對組織資料資產進行分類分級,並根據影響程度採取不同的管控措施。

3) 提高安全治理自動化水平。需要針對重要資料資產建立常態化的安全運營機制,透過自動化的監測技術手段,管控資料流動風險。

4) 整合多種資料安全保護手段。在資料全週期中採用有效的資料安全保護技術,集中管理資料加密、資料脫敏、資料庫審計等安全工具,實現資料安全聯防聯控。

鑑於以上需求,海泰方圓融合多年的密碼技術積累和政企資料服務經驗,創新推出了資料安全治理“立體式”框架。

3. 海泰方圓資料安全治理“立體式”框架

資料安全的內涵不僅侷限於安全技術層面,還需要圍繞資料全生命週期的安全,涉及全流程制度制定、體系化技術實現等一系列工作集合。根據資料安全的實際需求和當前發展狀況,目前已經有很多資料安全的模型體系。海泰方圓資料安全立體式框架參考DGI框架、IBM框架,並結合DSMM模型,將零散的資料需求容納集中,從資料分類分級維度,資料生命週期維度和資料安全技術維度對資料進行安全治理。資料立體式框架覆蓋“資料全生命週期”的採集、傳輸、儲存、處理、交換、銷燬六個環節,並圍繞各個週期資料安全的脆弱性,根據面臨的各種風險制定針對性的解決方案。實現以資料驅動發展,提升資料資產價值,同時為“讓資料使用更安全”奠定資料治理基礎。

資料護航 安全立方—海泰方圓資料安全治理立體式框架

3.1. 資料分類分級維度

資料資產保護的核心在於資料分類分級。以資料分類分級為基礎,對資料進行等級劃分,從而為組織資料的匯聚、開放和共享安全策略制定提供支撐的過程。

資料護航 安全立方—海泰方圓資料安全治理立體式框架

參照《網路安全標準實踐指南-網路資料分類分級指引》,海泰方圓提出資料分類分級治理思路:

資料分類是資料分類分級保護的前提。資料分類按照一定的原則和方法對資料進行區分和歸類,主要目的是便於資料管理和使用。資料分類是資料保護工作中的一個關鍵部分,是建立統一、準確、完善的資料架構的基礎。

在完成資料分類後,資料處理者應當遵循資料分級的基本原則,制定個性化的資料分級保護策略。資料分級指在資料分類的基礎上,採用規範、明確的方法區分資料的重要性和敏感度差異,將資料從非敏感到非常敏感分為五個級別,從而為組織資料的開放和共享安全策略制定提供支撐的過程。

3.2. 資料生命週期維度

圍繞著資料採集、傳輸、儲存、處理、交換、銷燬全生命週期進行全面建設,以提高全方位資料安全治理能力。

資料護航 安全立方—海泰方圓資料安全治理立體式框架

(1) 資料採集安全

針對不同安全級別的資料,採取不同的安全保護,防止敏感資訊被損毀、誤用和非授權訪問,保障敏感資訊的保密性、完整性和可用性。必要時應採取加密技術保證採集過程中的資料不被洩露。相關技術包括身份認證、訪問控制、資料分類分級、資料脫敏等。

(2) 資料傳輸安全

資料傳輸安全是指為防止傳輸過程中的資料洩漏而採取的防護措施。資料傳輸安全防護包括資料機密性、完整性和真實性保護,傳輸資料機密性保護用於保證資料傳輸時不被非法獲取,傳輸資料完整性保護用於保護資料傳輸時不被非法篡改,傳輸資料真實性保護用於保護傳輸資料來源的真實可靠。透過IPSec/SSL VPN綜合安全閘道器將密碼運算過程封裝在其內部完成,為應用程式的安全遠端接入服務,企業各分支機構區域網之間的端對端資料安全傳輸、安全訪問,提供資料真實性、完整性保護等安全保障。

(3) 資料儲存安全

資料儲存特別是敏感資訊儲存的安全在資料生命週期中佔有很重要的位置,資料建立以後如果沒有進行安全的儲存,則極易引發洩露和丟失。資料儲存應確保在安全的環境中,在需要的情況下還應該加密儲存,同時還需要防止儲存的敏感資料被篡改。相關技術方法包括資料加密和數字簽名以及資料儲存備份等。

(4) 資料處理安全

資料只有經過分析處理,才能將其中有價值的知識挖掘出來,同時,需要在保護隱私前提下對資料進行分析處理,限制對大資料中敏感知識的挖掘。處理包括資料脫敏等防洩漏技術方法。

資料脫敏處理的執行範疇依據國家和本行業資料安全法規的規定,包括針對敏感資訊、個人資訊、客戶資料等在資料生命週期相關環節中的脫敏要求和去標識化要求。執行點包括但不限於對資料在處理、使用、訪問、分享時的竊取、濫用風險防護,和對開發、測試、運維、分析等非生產環境或外包環境中的敏感、隱私資料保護。

(5) 資料交換安全

資料是國家重要的基礎性戰略資源,然而,資料濫用等問題,嚴重阻礙了資料共享使用的發展。一方面,在資料使用環節,資料的查詢、訪問過程中,不嚴格的許可權訪問將導致資料洩漏;另一方面,在資料共享開放環節,資料資源跨部門、跨域共享使用,不可避免地導致資料被各使用方儲存使用,其中任何一個使用方措施不當,都可能導致資料洩漏。如何保證資料的使用安全?這方面方法主要集中在安全訪問控制、隱私保護等技術方面。

訪問控制是資料安全的一個基本組成部分,它規定了哪些人可以訪問和使用資料資源。透過身份驗證和授權,訪問控制策略可以確保使用者的真實身份,並且擁有訪問資料的相應許可權。

隱私保護技術包括安全多方計算、同態加密、差分隱私、機密計算等技術,透過隱私計算技術可實現資料的“可用不可見”,保證資料在使用的同時不洩漏隱私資訊。

(6) 資料銷燬安全

資料的安全銷燬也是資料安全的一個重要環節。資料銷燬應保證資料無法還原,並且具備安全審計能力,應提供資料銷燬過程的安全審計功能,審計覆蓋到各系統每個使用者,對資料銷燬過程中的重要使用者行為和重要安全事件保留審計日誌並進行審計。資料庫審計系統透過對資料庫操作、訪問使用者,及外部應用使用者的審計,來幫助使用者事後生成合規報告、事故追根溯源,同時透過大資料搜尋技術提供高效查詢審計報告,定位事件原因,以便日後查詢、分析、過濾,實現加強內外部資料庫網路行為的監控與審計,提高資料資產安全。

3.3. 資料安全技術維度

資料安全治理“立體式”框架以資料為中心,融合多種安全技術,構建全方位的資料安全技術體系。透過N種場景中每一個具體、明確的資料安全技術點,對資料安全進行監管並滿足合規需求。完善的資料安全技術點能夠為資料安全提供可行性保障,企業在技術工具的佈局與應用方面加強資料安全技術規劃,防護佈局由多個“點”形成多個維度,進一步構成“立體式”架構。

密碼技術是網路安全的基礎和核心,是解決網路與資訊保安問題最有效、最可靠、最經濟的手段。 海泰方圓能夠提供全品類的密碼軟硬體產品,能夠提供統一的、完整的、可擴充套件的密碼服務,實現對資料的真實性、機密性、完整性保護和對操作行為的抗抵賴。在資料安全領域,密碼技術用於滿足資料全生命週期的儲存、應用、共享流通等各個環節的安全需求,併兼顧資料安全性與可用性的平衡。

(1) 資料全週期安全管控平臺透過NLP技術為企業提供安全支撐

資料資產梳理和分類分級是資料安全治理的基礎環節。 海泰方圓資料全週期安全管控平臺聚焦於資料的細顆粒度安全保護,全面掌握全域敏感資料資產分類、分級及分佈情況,利用NLP技術有效監控敏感資料流轉路徑和動態流向,透過集中化資料安全管控策略管理,實現資料分佈、流轉、訪問過程中的態勢呈現和風險識別。

(2) 隱私計算服務系統利用同態加密技術實現資料“可用不可見”

使用同態加密技術,使用者對密文進行運算後再解密得到的結果與直接對明文進行運算得到的結果一致,能夠避免第三方在運算過程中需要解密密文而導致的使用者敏感資訊洩露,是解決多方安全計算問題的重要手段。 海泰方圓隱私計算服務系統基於同態加密技術,提供了基礎數學運算能力和複雜場景的多方聯合計算能力,確保處理的過程中資料全程保持加密狀態,實現資料“可用不可見”,適用於解決多組織聯合資料運算和分析情況下的資料安全問題。

(3) 資料脫敏系統基於保留格式加密技術保護企業敏感資料

保留格式加密是一種特殊的對稱密碼演算法,其特徵表現為加密後的密文與明文具有相同的格式,密文與明文處於相同的訊息空間。 海泰方圓資料脫敏系統利用保留格式加密技術,能夠在保留原有資料的有效資訊特徵的情況下,透過對部分資料進行遮蔽、替換、混淆等方法,對資料中敏感資訊進行資料的變形,實現敏感隱私資料的可靠保護。

(4) 資料庫加密系統採用資料透明加密技術滿足等保合規要求

資料透明加密技術是指對使用者來說無需更改現有的應用系統和操作習慣。當使用者透過應用程式訪問資料庫時,得到的是明文資料,而未授權的使用者透過非法手段訪問資料庫得到的都是密文資料。 海泰資料庫加密系統為資料庫資料提供加密儲存、訪問控制增強、應用訪問安全、三權分立等功能。系統提供主動的資料安全防禦機制,防止明文儲存引起的資料洩密、突破邊界防護的外部駭客攻擊和內部高許可權使用者的資料竊取行為,同時防止繞開合法應用系統直接訪問資料庫的外部攻擊和竊取,從根本上解決資料庫資料的儲存安全問題。

透過構建資料安全治理立體式框架,逐步有序地打通了資料堵點,實現了資料的匯聚、共享、開放,構成全面的、立體的資料安全環境。

結束語:

海泰方圓緊跟國家戰略和行業發展趨勢,基於多年的密碼能力,在保障資料安全的前提下,持續打造並不斷沉澱安全產品和服務能力,為使用者提供數全週期安全管控、資料安全態勢感知、資料加密、資料脫敏、資料庫審計、國密瀏覽器等全方位資料安全保護服務。


來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/70014391/viewspace-2928971/,如需轉載,請註明出處,否則將追究法律責任。

相關文章