标準應用 | 數據共享、發(fā)布環節安全管理的實踐應用

以下文章來源于CCIA數據安全工作委員會(huì)，作者吳陽

近年來，随著(zhe)大數據、雲計算、人工智能(néng)等數字技術的廣泛應用，業務系統中的數據呈現爆炸式增長(cháng)，數據已經(jīng)發(fā)展成(chéng)爲信息化時(shí)代下新的生産要素，數據作爲企業無形資産的潛在價值逐漸得到提升，然而數據隻有在不斷流動使用中才會(huì)産生巨大的價值，數據流轉通常經(jīng)過(guò)數據傳輸、數據存儲、數據處理、數據交換等過(guò)程，需在保障數據安全的前提下開(kāi)展上述活動過(guò)程，爲此，我國(guó)出台了一系列法律規範數據流轉使用過(guò)程中的安全性：

《網絡安全法》

第三十六條要求“網絡運營者應當采取技術措施和其他必要措施，确保公民個人信息安全，防止其收集的公民個人信息洩露、毀損、丢失”。

《數據安全法》

第一條提出“規範數據處理活動，保障數據安全，促進(jìn)數據開(kāi)發(fā)利用，保護個人、組織的合法權益，維護國(guó)家主權、安全和發(fā)展利益”的立法目的；

第七條提出“國(guó)家保護個人、組織與數據有關的權益，鼓勵數據依法合理有效利用，保障數據依法有序自由流動，促進(jìn)以數據爲關鍵要素的數字經(jīng)濟發(fā)展”。

《數據安全法》提出了針對(duì)數據流轉環節的安全原則和法律依據，也就(jiù)是說(shuō)，在保障數據相關權益的前提下，國(guó)家鼓勵數據有序流動并對(duì)數據進(jìn)行合法利用。

GB/T 37988-2019《信息安全技術 數據安全能(néng)力成(chéng)熟度模型》提出了數據安全能(néng)力的成(chéng)熟度模型架構，并將(jiāng)數據所經(jīng)曆的生存周期劃分爲6個階段：數據采集、數據傳輸、數據存儲、數據處理、數據交換、數據銷毀，規定了每個階段的安全過(guò)程域與相應的能(néng)力成(chéng)熟度等級劃分。

GB/T 37988-2019定義的數據生存周期與《數據安全法》定義的數據處理活動過(guò)程關系如下：

本文我們針對(duì)GB/T 37988-2019《信息安全技術 數據安全能(néng)力成(chéng)熟度模型》标準中的數據交換階段的安全要求，從具體應用角度出發(fā)，結合标準内容展示實踐中的示範案例。

01條款解讀

應用标準 GB/T 37988-2019《信息安全技術 數據安全能(néng)力成(chéng)熟度模型》

02實踐案例

案例背景：

“十四五”時(shí)期，我國(guó)開(kāi)啓了全面(miàn)建設社會(huì)主義現代化國(guó)家的新征程，數據成(chéng)爲新的生産要素，數字技術成(chéng)爲新的發(fā)展引擎，金融業作爲典型的數據“密集型”行業，充分提升龐大數據的使用效率是助推數字業務不斷壯大的生産力要素。

爲了赢得競争和進(jìn)行快速的業務創新，以銀行業爲代表的金融業越來越強調服務的敏捷供應，因此，對(duì)于IT保障來說(shuō)，通過(guò)DevOps和持續交付實現敏捷開(kāi)發(fā)，保證上層業務和服務的快速叠代，成(chéng)爲普遍的選擇。在這(zhè)個過(guò)程中，測試環境和數據成(chéng)爲敏捷開(kāi)發(fā)對(duì)測試影響的最重要的挑戰之一。咨詢公司 Capgemini發(fā)布的2018年WQR（World Quality Report）全球質量報告顯示，58%的受訪者表示仍然在使用手動的方式生成(chéng)測試數據。因此，生産數據如何自動化完成(chéng)數據交換階段的安全共享與發(fā)布，是解決敏捷開(kāi)發(fā)與數據供應的關鍵問題。

具體到以銀行業爲首的金融機構在數據使用方面(miàn)一直在不斷探索，而基于CDM技術的敏捷數據管理方案，在針對(duì)銀行内部生産數據經(jīng)過(guò)共享交換區域實現閉環式數據發(fā)布與共享的場景有較好(hǎo)的效果，且在多家大型金融客戶現場部署并長(cháng)時(shí)間穩定運行，比較适用于金融行業的數據使用管理。

數據資産在未來金融科技創新發(fā)展中處于重要地位，金融數據全生命周期管理體系需要更加完備，數據安全和個人隐私需要具備有效的隐私保護手段，綜合以上要求，針對(duì)外部組織提供數據或進(jìn)行數據交換時(shí)，可采用數據管理與數據脫敏的聯合方案，貫穿組織内部到外部的數據安全發(fā)布與使用。

基于CDM技術的敏捷數據管理方案實踐

當前市面(miàn)上的CDM技術産品主要分爲三類：

1、以存儲爲核心提供的CDM，雖然能(néng)夠提供快照和克隆功能(néng)，但很難實現跨異構存儲，構建企業級規則驅動的副本數據平台，并缺乏豐富的數據交換階段的共享與發(fā)布服務能(néng)力，無法提供自動化、自服務等功能(néng)。

2、塊級CDP技術提供的CDM功能(néng)，利用CDP技術所創建的副本數據，是一種(zhǒng)磁盤快照技術，無法保證數據的一緻性，并且同一時(shí)間的磁盤快照隻能(néng)挂載一份，難以滿足多應用場景的數據共享與發(fā)布需求。

3、端到端的CDM：把單純面(miàn)向(xiàng)恢複的應用場景，變成(chéng)了面(miàn)向(xiàng)數據使用包括但不限于數據共享、數據發(fā)布、數據分發(fā)的應用場景，通過(guò)副本數據在各個業務環節的即時(shí)可用，爲更多的數據共享業務場景提供數據支撐。

金融行業爲提升敏捷開(kāi)發(fā)的效率，通常選擇更注重數據服務的端到端的CDM方案，在生産到準生産環境、生産到開(kāi)發(fā)測試環境的數據發(fā)布，以及組織内部到外部的數據提供或數據交換等業務場景應用。

基于CDM技術的敏捷數據管理方案，通過(guò)一份原始數據副本，可快速創建出多個虛拟數據副本，這(zhè)些虛拟數據副本相對(duì)原始存儲幾乎不占用任何存儲空間，且整個發(fā)布動作可以在分鍾級完成(chéng)。也就(jiù)是說(shuō)，該方案在通過(guò)獲取一份生産數據作爲黃金副本的情況下，可對(duì)外發(fā)布多份虛拟數據用于準生産、測試環境等場景的數據交付，每一份虛拟數據都(dōu)是獨立的，并且是可讀寫的，數據在經(jīng)過(guò)變更後(hòu)，可通過(guò)快照進(jìn)行狀态保存，多個快照之間可以任意切換，這(zhè)種(zhǒng)數據發(fā)布方式比傳統拷貝的方式，方便快捷、耗時(shí)短，且虛拟數據集中存放在數據存儲池中，通過(guò)數據挂載方式交付給目标環境使用，實現了數據快速交付與管理，并且實現了數據的集中管控。

圖片來源：上訊信息

CDM方案還(hái)設置了數據共享交換區域，數據提供方與接收方的數據樹狀拓撲結構，可以詳細展示共享數據的來源、所屬存儲池、接收目标的關聯關系，通過(guò)可視化拓撲圖全局預覽數據交換階段數據發(fā)布的詳細情況，便于排查數據共享内容合規性與共享路徑的安全性。

針對(duì)向(xiàng)組織外部提供數據或數據交換的需求，則需要在數據發(fā)布之前進(jìn)行敏感數據的脫敏處理，通過(guò)應用專業的數據脫敏産品，保障數據發(fā)布後(hòu)的隐私安全，防止核心數據洩露，同時(shí)需要保證脫敏後(hòu)數據的邏輯關系保持、高仿真度、可用性。

數據作爲金融業服務的核心資源，數據安全已經(jīng)成(chéng)爲金融信息科技重點的監管領域，央行和金融行業監管部門不斷下發(fā)關于金融創新和金融數據安全的監管要求。通過(guò)基于CDM技術的敏捷數據管理方案的建設，既滿足金融機構對(duì)數據流動價值的挖掘需求，也符合國(guó)家對(duì)金融數據使用與監控的安全性要求。

（本文作者：上海韋獅信息技術有限公司吳陽）