導讀 本文主題為打造全鍊路資料隐私合規平台,文中将探讨數字化轉型背景下資料隐私合規的重要性,以及如何深層的思考和了解使用者訴求,用創新的方式為企業資料隐私合規管理建構一個底層核心的重要能力-全鍊路資料隐私合規平台。
文章主要包括以下三部分:
1. 背景介紹
2. 建構全鍊路資料隐私合規平台
3. 回顧和總結
分享嘉賓|李曉文 紅途科技 解決方案專家
編輯整理|李曉 網易
出品社群|DataFun
01
背景介紹
首先介紹全鍊路資料隐私的背景。
1. 2022 年大資料十大關鍵詞-資料安全在列
上圖是 2022 大資料産業峰會上釋出的 “2022 大資料十大關鍵詞”,十大關鍵詞涉及資料從計算機語言到成為生産要素的全生命周期,這個周期從資料資源化、資料治理、資料資産化、資料開發應用、資料流通到資料要素市場,安全層面的“資料安全合規、資料分類分級”也已列入了十大關鍵詞。而更早之前的《DAMA 資料管理知識體系指南》一書中的資料管理架構中,也将資料安全作為了成熟的資料管理知識領域之一。可以看到,無論是理論還是實踐落地,都強調了目前組織持續發展的過程中資料隐私合規對于保障資料要素實作有價值流通的重要性。
2. 國内資料安全合規整體邁入新階段
随着 2021 年《資料安全法》、《個人資訊保護法》的頒布實施,标志着資料安全進入了依法建設的強監管時代。2022 年 1 月 12 日央行印發《金融科技發展規劃( 2022-2025 年)》,資料要素是《規劃》中新增的核心内容,資料要素被更新為金融業的生産要素,随着數字經濟時代到來,金融各行業紛紛在進行數字化轉型,在大資料的加持下,金融市場的估值定價、資産配置和風險管理等市場基礎性功能無時無刻不依賴着資料。從 2020 年開始,央行、銀保監會等金融部門,開始密集釋出有關資料安全保護的規範規定,同時也加大了處罰力度。
金融行業随着數字化的轉型,擁有海量資料,也承載資料的處理、分析和使用功能,而資料洩露、濫用、篡改等威脅的影響逐漸從機構内轉移擴大至機構間和行業間。如何在滿足金融業務基本需求的基礎上,強化資料保護能力,保障金融資料安全流動,已成為目前亟待解決的問題。
3. 金融資料安全 - 資料生命周期安全規範
上圖是金融資料安全資料生命周期的規範,展現了資料安全架構。從《資料生命周期安全規範》的安全架構可以看到,需以資料安全分級為基礎,建立覆寫資料生命周期全過程的安全防護體系,并通過建立健全資料安全組織架構和明确資訊系統運維環節中的資料安全需求,全面加強金融行業資料安全保護能力。
4. 資料隐私合規面臨的多種難點
經過分析和總結,金融機構在開展業務和經營管理活動的過程中主要會面臨以下四個方面的難點:
(1)立法深化,面臨挑戰
随着立法的深化和監管要求的密集出台,如何快速的跟進和解讀法律法規的具體要求?有着不同行業背景的合規部門、業務部門、安全部門如何能夠更好的協同以帶來更大的價值?與此同時合規是一個動态的過程,如何伴随業務持續營運?
(2)底盤不清,治理不足
假如在社交媒體上出現兜售資料的新聞,這個新聞指向的公司如何在第一時間回答這樣的問題:公司是否真的存在資料洩露,如果沒有,怎麼證明?而面向監管要回答:資料在哪裡?如何采集的,如何流轉和存儲的?如何基于法律法規、行業規範和企業内部的标準做了分類分級,并持續動态的管理和保護資料資産?如果沒有對資料資産全面的治理能力,很難去答這些的問題。
(3)風險複雜,強化技術
網絡安全的核心本質是和漏洞及脆弱性的對抗,而資料安全基于網絡安全保障基礎之上,要明确梳理出有什麼資料、在哪裡和如何使用。是在網絡安全複雜的基礎上又增加了多重的複雜性,既有外部攻擊帶來的資料暴露,又有内部違規帶來的資料洩露,對資料的保密性、完整性和可用性均會帶來破壞。
(4)完善機制,有效閉環
資料在交換、使用和流轉的過程中實作了它的價值,這個過程中需要持續完善資料隐私合規的保護機制和預警機制,確定及時發現、分析和處置事件真正閉環,以在持續營運的過程中優化治理的能力和提升成熟度。
--
02
建構全鍊路資料隐私合規平台
1. 資料隐私合規科技能力架構
上圖展示了資料隐私合規平台的科技能力架構,以滿足組織戰略發展、資料合規需求和滿足資料安全需求為治理目标,須從點到線到面的建構資料隐私合規體系,以深度保障資料的長效價值。
其中,基于全鍊路繪制出資料流轉地圖,以實作對資料及資料流經對象也就是承載資料資産的資料庫、應用和使用者資産的資料隐私治理,并以此為底盤,實作事前保合規,事中管風險,事後可審計的多層次資料隐私合規的技術體系。
2. 資料隐私治理:梳理全域資料屬性、流轉及使用情況,全面掌握資料資産
資料來自于很多對象,有的來自于應用,有的來自于移動 APP,也有的來自于 IOT 裝置。在産生或者是采集之後,為了實作自身的價值,資料會流經不同的應用、服務和接口,存儲到不同的資料庫,甚至彙總到資料湖,進而被其它一些業務系統所調用。
數字化轉型過程中企業應用出現了資料流轉“無邊界”的趨勢,資料在采集和産生後會流轉到資料中心、雲上甚至是境外。資料隐私全鍊路實時記錄資料的流轉過程,并繪制出一個完整的、細顆粒資料流轉地圖。每一條資料流轉地圖一旦被梳理清楚後,資料處于什麼狀态,經曆了哪些不同的節點,就會一目了然。資料隐私治理是對全域資料屬性、流轉及使用情況全面的梳理,以全面掌握資料資産。
主要包括四大功能:
(1)資料發現
基于全鍊路的資料追蹤技術,發現 API 側的資料,資料庫、數倉、大資料平台等的資料。
(2)資料流轉地圖
自動繪制資料流轉地圖形成 API 級的流轉傳輸鍊路,包括鍊路上的應用、資料和資料庫。
(3)資料的分類分級
通常企業在開展資料分類分級時一般由安全部門組織業務部門梳理業務系統、資料、資料庫、表和字段等等,這是一個相對漫長和痛苦的過程,如果大家認知和了解不一緻,容易造成分級了解和定義的不同,或高或低都會影響到後續保護措施的落地,而且每次梳理都會花很長的時間。但業務是動态發展的,是以資料資産的類别和級别也伴随業務發展而改變,如果依賴于人工,這樣的資料資産梳理和分類分級很難實作真正意義上标準化和動态管理,而花費大量的時間,耗時耗力的梳理結果還不一定好。
基于資料鍊路發現的資産并進行資料的分類分級,除了大家通常了解的結構化和非結構化的資料,這裡提出兩個新的理念,一個是有特征資料,一個是無特征資料。有特征資料是通過關鍵字、正則、語義分析等可以識别出的資料,比如手機、身份證我們可以稱作有特征資料,而有特征資料大部分是和個人隐私有關的;無特征資料以企業經營資料為主,不能被傳統模式識别,比如支付方式、訂單金額等,而無特征資料難以通過傳統工具或方法進行有效的識别。是以需要突破傳統資料識别方法局限,通過創新的方式提供工具供業務人員在應用側對無特征資料比如經營資料進行打标,進而幫助使用者更快更完整的進行經營資料的資産管理。
另外平台提供的一次打标和全鍊路指派的能力,介于很多資料并不是單純存在于某一個系統中,有不同系統間的調用及資料流轉過程。在調用的過程中,可以看到資料在很多應用、服務、API、資料庫表字段都有存儲,同一個資料在不同的資料庫表的字段名可能不一樣,采用資料庫掃描的方式需要不斷重複進行打标,而通過全鍊路資料流轉追蹤技術,假設一個系統已有一個資料的輸入,當同一資料在不同系統之間進行調用存儲時,隻要在其中任一系統打标,這類資料流經的服務、API 和存儲的所有庫表字段就會同時完成打标,而這個打标過程能夠真正落地實作統一的分類分級,是可營運基本保障。
(4)資産管理
不僅僅要管理資料本身,還要對資料的載體或通路主體的資産,包括賬号、應用、服務、API、資料庫資産進行動态持續管理。
3. 資料隐私風險管理:多元監測,及時發現資料安全風險
資料隐私合規平台可以進行多元的檢測以及時發現資料安全的風險,如何進行多元的檢測呢?以往在分析資料安全事件時,會基于某個切面來做,比如說基于使用者的行為可以做一些 UEBA 的分析,應用前的 WAF。資料庫有資料庫防火牆,但是很難把幾者關聯其來,但是基于資料流轉的全鍊路能力,我們可以綜合使用者、應用、資料庫、資料關聯起來分析,也就是基于多元進行分析,基于記錄在平台上的使用者賬号、使用者使用的浏覽器及其版本等相關的資訊,進行超過百維以上關聯資料的分析,無論是内部違規或者外部攻擊行為,可以形成更準确的風險告警。
上圖中羅列了三大類主要的風險,分别是資料面臨的異常通路行為風險、應用面臨的攻擊風險,以及使用者面臨的賬戶風險。基于資料鍊路的能力,可以進行單維或多元聚合分析出的風險,進而可以管理組織内部的工單,以有效的完成風險事件的響應閉環。
4. 資料隐私處理記錄:高效實作處理活動記錄,建構四層審計、雙向溯源
資料隐私處理記錄的能力,即建構四層審計和雙向溯源的能力。通常審計溯源是要基于各類的日志源,如果是新的系統,日志記錄的能力可能随系統伴生,但存量應用系統需要埋點改造并付出一定的成本,如果有了全鍊路處理活動的記錄能力,即可動态的采集使用者通路行為的路徑,可以快速全面的支撐溯源或定位。
雙向溯源是指以人追數和以數追人。平台記錄的資産資訊、通路鍊路即通過哪些接口做了查詢、資料庫執行了什麼 SQL 語句,請求響應記錄了哪些資料等資訊均可有力的支撐到溯源驗證。
--
03
回顧和總結
全鍊路資料隐私合規平台是以法律法規為依據,以資料隐私治理為基礎來滿足合規的全場景,幫助企業在合規層面建構核心競争力,為品牌價值賦能。
上圖中,資料隐私治理以記錄和追蹤資料流轉過程的每一個節點為核心目标,以清晰的知道每一個資料到底從哪裡來、如何流轉、如何存儲、如何使用以及如何共享,形成全自動化可跟蹤的鍊路,進而可全面的進行多元風險的分析和管理以及四層管理審計和雙向溯源。其中資料隐私營運産品即将釋出,敬請期待。
随着國家大資料戰略的不斷推動和深化,做好資料隐私合規治理勢在必行,如何在已有的、複雜的業務環境和系統中因地制宜的建構組織自己的資料安全體系,無論是甲方還是乙方都任重道遠。紅途科技,兼具甲方和乙方背景,洞悉客戶痛點,洞察前沿技術,轉換客戶的目标為我們的目标,在這個複雜環境中建構資料隐私合規的能力,以最大程度降低大資料時代安全威脅的不确定和不可控。
以上就是今天分享的内容,謝謝大家。
▌分享嘉賓
▌DataFun2023線下大會火熱報名中
第四屆DataFunCon資料智能創新與實踐大會将于⏰ 7月21-22日在北京召開,會議主題為新基建·新征程,聚焦資料智能四大體系:資料架構、資料效能、算法創新、智能應用。你将領略到資料智能技術實踐最前沿的景觀。
點選圖檔可檢視大會詳情,歡迎大家點選連結報名參會
DataFunCon2023(北京站):資料智能創新與實踐大會 �-�百格活動