个体工商户可以搞网站建设,天元建设集团有限公司网站,国内外贸网站建设公司,wordpress文章数据库作者#xff1a;王振东来源#xff1a;绿盟科技 战略规划部 摘要数据中台是大数据业务体系数据规约化建设的核心场景#xff0c;数据中台既搭建大量数据归集的相关设施#xff0c;又针对数据开展大量治理、运维、分析、加工、共享、开放等交互事务#xff0c;数据暴露面、… 作者王振东来源绿盟科技 战略规划部 摘要数据中台是大数据业务体系数据规约化建设的核心场景数据中台既搭建大量数据归集的相关设施又针对数据开展大量治理、运维、分析、加工、共享、开放等交互事务数据暴露面、人员接触面、数据流程等风险契机陡增。全方位全场景的中台安全体系建设既是数据中台数据安全的保障也是未来涵盖政府、企业等各行业大数据体系建设中安全保障的立足点。关键词数据中台、业务中台、数据仓库、数据湖区、数据集市、数据业务化1为何要构建数据中台安全在我国乃至全球范围内的数字化社会转型大潮的今天中台的建设在业务需求上和技术支撑上已经成为当下的主流。其中数据作为数字化的核心价值资产相应地数据中台同样也是中台体系的核心支柱。基于业务和安全相辅相生的真实现状诉求来考量以中台建设为业务背景的安全配套也是必不可少的所以数据中台的安全或者中台的数据安全建设已经逐渐成为数字化转型大形势下的安全趋势之一。中台的数据安全体系该如何构建数据安全聚焦数据和场景那么中台的数据安全聚焦的则是在数据中台的应用场景和业务逻辑下数据的安全保障体系的构建。因此我们从数据中台的业务逻辑来开启建设思路的探讨共同找寻数据中台中数据和安全的结合点。1.1数据中台通用业务逻辑图 1.1 数据中台通用业务逻辑顾名思义数据中台是聚焦在数据层面来提供“中台”能力的这样一个架构体系但这个架构并非完全静态化的除静态部署的相关设施和组件数据中台体系是承接业务数据化和数据业务化的中心枢纽其中除数据本身以外承载的也是支撑业务运行和更新迭代的数据流转过程。当前数字化转型大潮下的数据安全更多围绕的正是数据动态流转的安全所以关注数据中台业务逻辑是因为“以数据中台价值为目标的建设过程和场景应用”才是安全建设防护的核心对象。本质上数据中台和业务中台是紧密关联的数据中台提供“数据业务化”的支撑给业务中台业务中台提供“业务数据化”反哺给数据中台相互促进优化。从数据安全防护的聚焦点出发充分保障数据中台的数据、数据环境以及数据应用模式的安全业务中台的数据安全也能够随之得到有效支撑。1.2数据中台安全关注点数字化转型新形势下的数据安全重点聚焦的是数据的动态流转安全但在充分考虑体系化建设和防护效果的基础上数据中台的安全防护对象应涵盖了数据中台建设和应用过程中的所有相关对象如基础设施安全、运维过程安全、数据处理安全、数据应用安全以及数据价值兑现数据交易的过程安全。接下来我们将从这些关注点逐步剖析数据中台业务过程中的安全风险和诉求。2数据中台常见风险识别2.1基础设施数据中台体系的建设关键动作是对归集数据的统一治理归集数据则来源于相关业务方数据在中心库的汇聚汇聚的支撑则需要构建相应的设施以承载归集数据和治理数据的存储。数据湖区是结构化数据、半结构化数据、非结构化数据的异构共存区域故中心库集群通常基于各种开源组件架构的大数据平台但仍存在关系型数据库、文件存储服务器等设施共存的可能甚至在一些特定行业领域会应用各种多媒体存储设施。此外存储服务宿主的服务器、运维管理的主机等设施也是不可少的。由此可见相关设施作为安全防护需考量的对象其自身安全性、数据导入导出安全、传输通道和过程可靠性等均需要全面考虑如漏洞、弱口令、主机木马、病毒、拖库、撞库等安全风险。2.2数据运维数据进入湖区经过治理后形成各种主题库/专题库的数据仓库针对数据湖区、数据仓库中存放数据的日常运维数据治理过程的编目、梳理等服务介入大量数据访问行为和数据共享开放的业务需求场景中因业务的需要致使数据治理、维护在得到人工服务推进的同时也存在着数据暴露面放大、人员接触面增多的变化给人员提供了大量获取数据便利的同时也埋下了大量安全风险隐患。数据治理是提升数据质量和价值的必经之路但是如果完全因业务需要而驱动数据以明文暴露式的流动是有极大风险的所以针对不同人员、不同级别/类别的数据应用必要的安全措施也是必不可少的。2.3数据处理及应用数据在治理、BI分析、开发测试、应用到人工智能、机器学习等使用过程中数据的流转是否合理是否在有效权限下被使用是否被有效监控和检测等这些场景中很可能在用户尚未知晓数据安全风险发生时大量敏感数据已经外泄甚至重要数据被篡改后仍在被使用。所以在数据的处理和应用过程中每个场景下对数据的访问行为以及数据流转的去向都需要充分监控起来因为从当前已公开的数据泄漏事件原因调查分析的统计结果看超八成的事件是源于内部或内外勾结方式造成的由此现状呈现出的是大量数据访问的不轨意图和数据异常流转都是在合法合理权限范围内执行新的风险特征。所以让数据的访问和流转以零信任视角被全天候全方位监控是十分必要的。此外数据风险发生后才被发现再去溯源定位是难以满足数据安全诉求的因为数据已经泄漏而泄漏出去的数据将会面临无限扩散和肆意非法利用且不可回收的局面所以对于事中的感知乃至事前的预判和预防都是针对数据中台的安全建设需要重点考虑的。2.4数据业务化鉴于数据中台和业务中台在实际建设中的紧密关联性数据中台对业务中台的业务支持以及业务前台对数据业务双中台的依赖决定了上述对象之间都是不能割裂开来做安全防护的。因为数据中台形成的数据集市最终是要把数据给到业务中台给到业务前台所以从数据流转路线看安全的防护范围中应涵盖到承载大量业务应用的业务前台。业务前台往往因其应用方式的多样化可能涵盖了门户网站定制业务的集成接口服务应用程序或是数据开放环境等设施对象。中台体系、业务应用、基础设施等作为一个整体安全建设应充分考虑整体策略一致性的保证和“木桶效应”的规避因此针对业务前台中不同的对象应有对应的安全机制、原则、技术手段和统一的策略以防止业务前台中的对象成为被攻击的目标并以此为入口拖走数据。3数据中台下安全体系的构建思路3.1数据安全建设思路数据中台下数据安全建设是一个体系化的大工程应该充分考虑以数据生命周期为主线的各阶段安全过程并分层分步骤规划目标和路径。参考国际权威理论指引可见Gartner的DCAPNIST CSF的IPDRR以及真实场景的实践反馈数据安全最基础的一环就是摸清家底——数据资产的盘点和管理。得益于数据中台搭建中的数据治理过程基于数据的层层标准化治理和分类分级安全建设已经站上了较高的台阶更多需要聚焦的是敏感数据访问和针对敏感数据防护应如何制定安全策略。另外数据安全的建设需要梳理清楚一个逻辑数据安全的建设是否完全基于数据治理的基础另行搭建数据层面的安全措施还是先设置安全保障基础后才能开始治理数据对于安全和业务不建议强行划分先后尤其数据的业务和安全是构建相互平衡的体系让安全为数据业务保驾护航让数据业务充分发展充分兑现数据价值。综上所述数据中台的数据安全体系构建中敏感数据的安全管理能力是贯穿支撑整个中台体系建设过程安全和所有应用场景安全的基座与支柱。无论是针对数据库、大数据平台等基础设施的防护还是数据运维场景、BI分析、数据处理访问的风险控制精确到数据层面的权限策略和相应措施都是把数据安全做到位、做彻底的关键。下面我们一起来看一下在数据中台下搭建数据安全体系时如何落实这一理念和思路。3.2数据安全构建路线数据中台安全体系架构结合我们前文提到的理念和数据中台业务逻辑中识别的风险及防护对象数据安全体系建设思路如上架构图所示敏感数据资产化的管理能力是贯穿始终的核心和关键“发现识别-分类分级-权限策略”和IPDRR架构的“Identification”理念高度契合。同时可视化技术也是资产化管理的有效手段为整个体系的安全目标打好数据资产可见、可管、可控的扎实基础。结合数据中台业务逻辑的风险识别分析我们也把能力架构拆分响应先从基础设施的防护做起基础设施/组件的漏洞发现、配置核查基础数据库的防护服务主机终端的加固防泄漏传输安全等能力来保障基础环境和设施的安全。依据数据中台的建设逻辑数据的运维层面我们结合敏感数据管理策略应用运维堡垒机、脱敏、加密、水印等技术保障简单业务场景下的数据安全访问并沉淀可审计、可追溯的能力基础——日志和水印。数据被分析、处理、应用的场景下面对在BI分析过程中、在数据开发测试中、在应用到人工智能、机器学习等使用过程中数据的流转是否合理是否在有效权限下被使用是否被有效监控、检测等需求和痛点问题时因场景的复杂多元安全也需要更多的数据、更智能的技术、更多维的视角来支撑。数据中台安全体系中通过探针、终端、边界的能力联动针对应用系统日志、安全审计日志、数据访问和流转的流量日志等安全大数据的采集和建仓形成支撑解决问题和风险的核心基座。基于敏感数据权限策略贯穿牵引和全场景零信任的权限管控通过UEBA、NTA等技术支撑多维数据分析、多环节数据关联、多路径行为监控能力的应用有效实现敏感数据异常流转感知、敏感数据访问行为识别和监控。多源采集数据同样支撑着对已发生数据安全风险事件的追溯定位和风险预警后的处置决策采集数据的分析充分和运营能力结合融合SOAR的自适应编排响应处置能力快速实现风险闭环。此外前文我们提到数据中台安全的边界是要延展到业务前台的针对Web应用的防护和防篡改集成接口服务的接口流量监控检测开发测试环境主机自身及应用的终端防泄漏数据开放的风险控制ISV的终端和网络边界防泄漏等能力响应都是数据中台下数据安全体系中不可缺少的。最后回归到安全建设的效果保障上技术和策略的应用是需要不断稽核、校正和优化的所以数据场景的咨询评估、数据运营、数据安全运营等服务在数据安全领域都是必不可少的无论对象是数据中台还是数据平台。安全运营是充分发挥产品能力价值和持续保障安全效果的最直接有效的手段同样也是提升产品能力和智能化程度的有效指引。4总结除了前面已经提到的“Identification”我们从基础设施安全、数据运维安全、数据服务安全在数据中台的安全体系中来看契合的刚好是IPDRR的“Protection”而数据处理及应用安全更多体现的是“Detection”同时结合运营服务刚好完整闭合了“Response”这一环。另外在数字化和人工智能时代传统安全的防护能力并不会因大数据创新应用的普及化就过时了。因为在数据的全生命周期安全为目标的发展路线上敏感数据的资产化管理穿针引线贯穿整个体系架构中的每一层每一环既能深入到让数据库的防护也踏踏实实落到数据层面的字段粒度乃至内容粒度也广泛覆盖到数据的处理场景安全、使用场景安全、应用场景安全等点到面的拉通每一种安全能力都各司其职守卫一方并互联互通。往期推荐一则有趣的机场广告微软云打印将直接与 OneDrive 集成等这个数据仓库竟然把淘宝和京东干翻了。。被 AI 算法“监控”的打工人点分享点收藏点点赞点在看
