关键词:
作者:王振东
来源:绿盟科技 战略规划部
摘要
数据中台是大数据业务体系数据规约化建设的核心场景,数据中台既搭建大量数据归集的相关设施,又针对数据开展大量治理、运维、分析、加工、共享、开放等交互事务,数据暴露面、人员接触面、数据流程等风险契机陡增。全方位全场景的中台安全体系建设,既是数据中台数据安全的保障,也是未来涵盖政府、企业等各行业大数据体系建设中安全保障的立足点。
关键词:数据中台、业务中台、数据仓库、数据湖区、数据集市、数据业务化
1
为何要构建数据中台安全
在我国乃至全球范围内的数字化社会转型大潮的今天,中台的建设在业务需求上和技术支撑上已经成为当下的主流。其中数据作为数字化的核心价值资产,相应地,数据中台同样也是中台体系的核心支柱。基于业务和安全相辅相生的真实现状诉求来考量,以中台建设为业务背景的安全配套也是必不可少的,所以数据中台的安全或者中台的数据安全建设已经逐渐成为数字化转型大形势下的安全趋势之一。
中台的数据安全体系该如何构建?数据安全聚焦数据和场景,那么中台的数据安全聚焦的则是在数据中台的应用场景和业务逻辑下数据的安全保障体系的构建。因此,我们从数据中台的业务逻辑来开启建设思路的探讨,共同找寻数据中台中数据和安全的结合点。
1.1数据中台通用业务逻辑
图 1.1 数据中台通用业务逻辑
顾名思义,数据中台是聚焦在数据层面来提供“中台”能力的这样一个架构体系,但这个架构并非完全静态化的,除静态部署的相关设施和组件,数据中台体系是承接业务数据化和数据业务化的中心枢纽,其中除数据本身以外,承载的也是支撑业务运行和更新迭代的数据流转过程。当前数字化转型大潮下的数据安全更多围绕的正是数据动态流转的安全,所以关注数据中台业务逻辑,是因为“以数据中台价值为目标的建设过程和场景应用”才是安全建设防护的核心对象。
本质上数据中台和业务中台是紧密关联的,数据中台提供“数据业务化”的支撑给业务中台,业务中台提供“业务数据化”反哺给数据中台,相互促进优化。从数据安全防护的聚焦点出发,充分保障数据中台的数据、数据环境以及数据应用模式的安全,业务中台的数据安全也能够随之得到有效支撑。
1.2数据中台安全关注点
数字化转型新形势下的数据安全重点聚焦的是数据的动态流转安全,但在充分考虑体系化建设和防护效果的基础上,数据中台的安全防护对象应涵盖了数据中台建设和应用过程中的所有相关对象,如基础设施安全、运维过程安全、数据处理安全、数据应用安全以及数据价值兑现(数据交易)的过程安全。
接下来我们将从这些关注点逐步剖析数据中台业务过程中的安全风险和诉求。
2
数据中台常见风险识别
2.1基础设施
数据中台体系的建设,关键动作是对归集数据的统一治理,归集数据则来源于相关业务方数据在中心库的汇聚,汇聚的支撑则需要构建相应的设施以承载归集数据和治理数据的存储。
数据湖区是结构化数据、半结构化数据、非结构化数据的异构共存区域,故中心库集群通常基于各种开源组件架构的大数据平台,但仍存在关系型数据库、文件存储服务器等设施共存的可能,甚至在一些特定行业领域会应用各种多媒体存储设施。此外,存储服务宿主的服务器、运维管理的主机等设施也是不可少的。由此可见,相关设施作为安全防护需考量的对象,其自身安全性、数据导入导出安全、传输通道和过程可靠性等,均需要全面考虑如漏洞、弱口令、主机木马、病毒、拖库、撞库等安全风险。
2.2数据运维
数据进入湖区,经过治理后形成各种主题库/专题库的数据仓库,针对数据湖区、数据仓库中存放数据的日常运维,数据治理过程的编目、梳理等服务介入,大量数据访问行为和数据共享开放的业务需求场景中,因业务的需要致使数据治理、维护在得到人工服务推进的同时也存在着数据暴露面放大、人员接触面增多的变化,给人员提供了大量获取数据便利的同时,也埋下了大量安全风险隐患。
数据治理是提升数据质量和价值的必经之路,但是如果完全因业务需要而驱动数据以明文暴露式的流动是有极大风险的,所以针对不同人员、不同级别/类别的数据,应用必要的安全措施也是必不可少的。
2.3数据处理及应用
数据在治理、BI分析、开发测试、应用到人工智能、机器学习等使用过程中,数据的流转是否合理,是否在有效权限下被使用,是否被有效监控和检测等,这些场景中很可能在用户尚未知晓数据安全风险发生时,大量敏感数据已经外泄,甚至重要数据被篡改后仍在被使用。
所以在数据的处理和应用过程中,每个场景下对数据的访问行为以及数据流转的去向都需要充分监控起来,因为从当前已公开的数据泄漏事件原因调查分析的统计结果看,超八成的事件是源于内部或内外勾结方式造成的,由此现状呈现出的是大量数据访问的不轨意图和数据异常流转都是在合法合理权限范围内执行新的风险特征。所以,让数据的访问和流转以零信任视角被全天候全方位监控是十分必要的。
此外,数据风险发生后才被发现再去溯源定位是难以满足数据安全诉求的,因为数据已经泄漏,而泄漏出去的数据将会面临无限扩散和肆意非法利用且不可回收的局面,所以对于事中的感知乃至事前的预判和预防都是针对数据中台的安全建设需要重点考虑的。
2.4数据业务化
鉴于数据中台和业务中台在实际建设中的紧密关联性,数据中台对业务中台的业务支持以及业务前台对数据+业务双中台的依赖决定了上述对象之间都是不能割裂开来做安全防护的。因为数据中台形成的数据集市最终是要把数据给到业务中台,给到业务前台,所以从数据流转路线看,安全的防护范围中应涵盖到承载大量业务应用的业务前台。
业务前台往往因其应用方式的多样化,可能涵盖了门户网站,定制业务的集成接口服务,应用程序或是数据开放环境等设施对象。中台体系、业务应用、基础设施等作为一个整体,安全建设应充分考虑整体策略一致性的保证和“木桶效应”的规避,因此针对业务前台中不同的对象应有对应的安全机制、原则、技术手段和统一的策略,以防止业务前台中的对象成为被攻击的目标,并以此为入口拖走数据。
3
数据中台下安全体系的构建思路
3.1数据安全建设思路
数据中台下数据安全建设是一个体系化的大工程,应该充分考虑以数据生命周期为主线的各阶段安全过程并分层分步骤规划目标和路径。参考国际权威理论指引可见,Gartner的DCAP,NIST CSF的IPDRR,以及真实场景的实践反馈,数据安全最基础的一环就是摸清家底——数据资产的盘点和管理。得益于数据中台搭建中的数据治理过程,基于数据的层层标准化治理和分类分级,安全建设已经站上了较高的台阶,更多需要聚焦的是敏感数据访问和针对敏感数据防护应如何制定安全策略。
另外数据安全的建设需要梳理清楚一个逻辑:数据安全的建设是否完全基于数据治理的基础,另行搭建数据层面的安全措施?还是先设置安全保障基础后才能开始治理数据?
对于安全和业务不建议强行划分先后,尤其数据的业务和安全是构建相互平衡的体系,让安全为数据业务保驾护航,让数据业务充分发展,充分兑现数据价值。
综上所述,数据中台的数据安全体系构建中,敏感数据的安全管理能力是贯穿支撑整个中台体系建设过程安全和所有应用场景安全的基座与支柱。无论是针对数据库、大数据平台等基础设施的防护,还是数据运维场景、BI分析、数据处理访问的风险控制,精确到数据层面的权限策略和相应措施,都是把数据安全做到位、做彻底的关键。
下面我们一起来看一下在数据中台下搭建数据安全体系时如何落实这一理念和思路。
3.2数据安全构建路线
数据中台安全体系架构
结合我们前文提到的理念和数据中台业务逻辑中识别的风险及防护对象,数据安全体系建设思路如上架构图所示:
敏感数据资产化的管理能力,是贯穿始终的核心和关键,“发现识别->分类分级->权限策略”和IPDRR架构的“Identification”理念高度契合。同时可视化技术也是资产化管理的有效手段,为整个体系的安全目标打好数据资产可见、可管、可控的扎实基础。
结合数据中台业务逻辑的风险识别分析,我们也把能力架构拆分响应,先从基础设施的防护做起,基础设施/组件的漏洞发现、配置核查,基础数据库的防护,服务主机终端的加固防泄漏,传输安全等能力来保障基础环境和设施的安全。
依据数据中台的建设逻辑,数据的运维层面,我们结合敏感数据管理策略,应用运维堡垒机、脱敏、加密、水印等技术保障简单业务场景下的数据安全访问,并沉淀可审计、可追溯的能力基础——日志和水印。
数据被分析、处理、应用的场景下,面对在BI分析过程中、在数据开发测试中、在应用到人工智能、机器学习等使用过程中,数据的流转是否合理,是否在有效权限下被使用,是否被有效监控、检测等需求和痛点问题时,因场景的复杂多元,安全也需要更多的数据、更智能的技术、更多维的视角来支撑。
数据中台安全体系中通过探针、终端、边界的能力联动,针对应用系统日志、安全审计日志、数据访问和流转的流量日志等安全大数据的采集和建仓形成支撑解决问题和风险的核心基座。基于敏感数据权限策略贯穿牵引和全场景零信任的权限管控,通过UEBA、NTA等技术支撑多维数据分析、多环节数据关联、多路径行为监控能力的应用,有效实现敏感数据异常流转感知、敏感数据访问行为识别和监控。多源采集数据同样支撑着对已发生数据安全风险事件的追溯定位和风险预警后的处置决策,采集数据的分析充分和运营能力结合,融合SOAR的自适应编排响应处置能力快速实现风险闭环。
此外,前文我们提到,数据中台安全的边界是要延展到业务前台的,针对Web应用的防护和防篡改,集成接口服务的接口流量监控检测,开发测试环境主机自身及应用的终端防泄漏,数据开放的风险控制,ISV的终端和网络边界防泄漏等能力响应都是数据中台下数据安全体系中不可缺少的。
最后回归到安全建设的效果保障上,技术和策略的应用是需要不断稽核、校正和优化的,所以数据场景的咨询评估、数据运营、数据安全运营等服务在数据安全领域都是必不可少的,无论对象是数据中台还是数据平台。安全运营是充分发挥产品能力价值和持续保障安全效果的最直接有效的手段,同样也是提升产品能力和智能化程度的有效指引。
4
总结
除了前面已经提到的“Identification”,我们从基础设施安全、数据运维安全、数据服务安全在数据中台的安全体系中来看,契合的刚好是IPDRR的“Protection”,而数据处理及应用安全更多体现的是“Detection”,同时结合运营服务刚好完整闭合了“Response”这一环。
另外,在数字化和人工智能时代,传统安全的防护能力并不会因大数据创新应用的普及化就过时了。因为在数据的全生命周期安全为目标的发展路线上,敏感数据的资产化管理穿针引线,贯穿整个体系架构中的每一层每一环,既能深入到让数据库的防护也踏踏实实落到数据层面的字段粒度乃至内容粒度,也广泛覆盖到数据的处理场景安全、使用场景安全、应用场景安全等点到面的拉通,每一种安全能力都各司其职守卫一方并互联互通。
往期推荐
点分享
点收藏
点点赞
点在看
浅谈企业中台商业模式及建设思路
浅谈企业中台商业模式及建设思路文章目录浅谈企业中台商业模式及建设思路前言企业中台的定义和能力企业中台的商业故事企业中台的商业模式构建企业中台时不同的企业初衷企业中台的价值主张企业中台的目标客户企业中台... 查看详情
浅谈企业中台商业模式及建设思路
浅谈企业中台商业模式及建设思路文章目录浅谈企业中台商业模式及建设思路前言企业中台的定义和能力企业中台的商业故事企业中台的商业模式构建企业中台时不同的企业初衷企业中台的价值主张企业中台的目标客户企业中台... 查看详情
浅谈数据仓库架构设计
1.数据中台与DW/BI/DSS个人认为数据中台本质上是一种新的适配大数据技术发展的新的“数据仓库-决策支持(商业智能)”架构。这个架构是构建在传统的架构基础之上,对传统架构的一种新的发展。数据中台从企业的... 查看详情
如何快速构建自己的数据中台知识体系
最近订阅学习了郭老师的《数据中台实战课》专栏,一口气学完后,做了一些总结笔记分享给大家,希望会对你有所帮助!总结的文章我会分为上下两篇来写,先讲原理,再谈实践,从原理到技术,最后到实践。这样大家也能跟... 查看详情
数据中台建设:数据体系建设
文章目录数据体系建设一、数据标签层二、如何构建数据标签层1、确定构建标签对象2、设计标签类目3、标签表实现数据体系建设数据中台是企业数据汇集地,但并不是简单的数据堆积,而是进行分层建模,数据... 查看详情
数据中台架构体系理解
目前,大部分企业更倾向于数据集中采集、存储,并应用分层建设。这种方式一方面有利于应用系统的快速部署,另一方面也保证了数据的集中管理与运营,体现数据的资产、资源属性。数据中台的出现弥... 查看详情
企业中台服务:数据中台业务中台构建起数据闭环运转的运营体系
随着大数据技术和业务不断发展,将企业的核心能力以数字化形式沉淀到平台,形成以企业服务为中心,以业务中台和数据中台构建起数据闭环运转的运营体系,供企业更高效地进行业务探索和创新,以数字化资产... 查看详情
数据中台体系规划建设
数据中台是企业数据汇聚地,企业的一切数据都汇聚到数据中台,企业业务所需的数据总能在数据中台找到。但数据中台中的数据并不是简单地堆积,各种系统产生的原始数据堆积在一起导致使用成本非常高,这类数据只能在某... 查看详情
数据中台建设思路:“用建治”vs“建治用”
传统数据架构建设思路—“建治用” 传统的数据架构建设模式并不注重与业务部门具体情况的结合,只是单纯地遵循数据“建治用”的思路—先构建数据架构,然后对数据进行治理,最后考虑数据的具体应用。比如,企业会... 查看详情
7.数据中台---数据开发:数据体系建设(代码片段)
7.1 数据体系规划 各种系统产生的原始数据堆积在一起导致使用成本非常高,这类数据只能在某些数据技术基础非常好的部门使用,而且会经常出现 命名不一、口径不一的问题,从而导致整个企业的数据无法真正用起来。数据... 查看详情
数据中台02:数据中台架构
一、数据中台总体架构图前面我们通过理论层面对数据中台有了一定的了解,下面我们通过架构层面来详细看一下数据中台的设计。数据中台是位于底层存储计算平台与上层的数据应用之间的一整套体系。数据中台屏蔽掉底... 查看详情
元宇宙企业大比拼:云宇宙数据中台:iwemeta.com
开放数据中台开发数据中台、物联网平台、区块链平台、深度学习平台、标签管理系统、舆情监控系统数据采集、数据中台、数据决策、数据治理、数据管理工具我们开放数据中台、标签管理系统、物联网平台、舆情监控系统、... 查看详情
浅谈编程思路以及感想
学了很长时间的编程,有什么心得和体会?编程中最复杂的莫过于构建复杂的数据结构,因为我们在学习数据结构的时候,好多数据结构都比较成熟,有很多时候,你都没有现成的数据结构去套,你能将其表示出来吗?所以一定... 查看详情
从技术流到实战派:数据中台建设路径探索
导读:数据中台要想成功,靠的是3分工具、7分实施、12分运营。作者:数澜科技来源:数澜(ID:DTWAVE)《关于构建更加完善的要素市场化配置体制机制的意见》《关于加快推进国有企业数字化转型工... 查看详情
架构漫谈-数据治理核心思路及解决方案探讨
文章目录Pre背景和挑战数据治理的框架和核心内容数据战略组织管理制度体系流程管理绩效管理标准体系质量体系安全体系平台工具人工智能是大数据治理核心方向小结Pre数据治理是企业大数据基础,企业级数据平台助力企业数... 查看详情
dataphin功能:集成——如何将业务系统的数据抽取汇聚到数据中台
简介: 数据集成是简单高效的数据同步平台,致力于提供具有强大的数据预处理能力、丰富的异构数据源之间数据高速稳定的同步能力,为数据中台的建设打好坚实的数据基座。数据中台是当下大数据领域最前沿的... 查看详情
数据中台产品的一些思路
数据中台系统的一些思路。*引言*企业借助于大数据/数据湖项目,一般同时需要完善对企业数据的梳理:对企业数据资产数据盘点,完善数据治理相关流程。对内便于数据用户使用数据。对外满足部监管对多种数据口径要求。基... 查看详情
爱奇艺数据中台建设方案
数据中台的产生:数据工作的痛点、数据中台的产生、中台的实质爱奇艺数据中台的定义:理解数据中台、数据中台的发展历程、输出和定位爱奇艺数据中台的建设:中台建设、Pingback体系、数仓体系、数仓平台、离... 查看详情