明朝萬達喻波:5G時代資料安全與資料治理
當人類從IT時代走向DT時代,當社會從傳統網際網路時代演進到大資料時代,資料迎來爆發式增長。DT時代的業務也將圍繞資料進行,在商業化的視角下,如何讓資料變得更有價值,如何把握資料安全重視度上升帶來的機遇?
1月18日下午,億歐於北京舉辦“商業視角下的資料應用安全——2019年億歐企業服務產業升級與創新”沙龍, 明朝萬達高階副總裁兼首席技術官喻波 出席此次沙龍,為大家分享:《5G時代資料安全與資料治理》。
演講內容如下:
20年資訊科技的發展,可以看到一個很有意思的事情,如果從資料的角度來看, 一方面是資料呈爆炸性的趨勢在增長,但是另外一個方面,資料使用的曲線跟資料增長的曲線是完全不匹配的 , 大量的資料躺在大家的資源庫裡,一方面無法辨明資料價值,另一方面又不能把它挖出來,這個時候我們分析當中的差異點點在什麼地方,是這個資料力度的問題導致了矛盾的產生。
什麼叫資料力度問題呢?我們最開始在建設這個資訊系統的時候,並沒有想到資料才是價值,我們想到的可能業務是價值,流程是價值,資料只是忠實地記錄你業務中的資訊,這個時候當你把它給別人用或者統計分析的時候,你會發現你記錄資料的力度是不夠的,或者產生了矛盾,這個時候使用和儲存這兩個中間的矛盾就出來了。
未來十年、二十年資料爆炸的趨勢是不變的,特別是隨著大資料、雲端計算的應用,以及5G時代到來以後,萬物互聯成為一個現實,或者成為一種可能。在這個時代下大家產生的資料會比以往多的多,同時由於這個技術的發展,很多實體經濟,之前壓根沒有想過用IT化做操作的實體都會用資料化的方式做建設,這個時候資料累計的量比以前增大很多。
還是回到這個問題,我們資料到底應該怎麼用。 在資料使用過程中,安全是必不可少的一個內容。 資料安全有兩個階段的發展,第一個階段就是我自己一個系統自己玩就可以了,這個時候只需要關注這個資料在系統裡的安全性,但顯然現在已經不是這個時代了,沒有一個數據可以脫離系統單獨的存在。資料的時代已經改變了,是互聯互通互動的模式,以前的安全防護的機制完全不適用了。這個時候我們就不能再把我們安全的視角僅限於在我們系統內部了,我們一定要站到更高的維度觀賞整個生命週期的問題。
我們在最開始的使用場景裡面,我們只需要關注一些物理安全、主機安全就可以了,但是隨著資料的流動,就不能簡簡單單這麼看,所以我們提出來資料安全應該怎麼做呢?資料安全應該是跟著資料走的,資料到哪,安全就到哪,我們關注更多的是資料。
這個時候我們提出來怎麼樣建立一個以保障資料安全使用為目標的體系,這個體系是資料安全治理體系,是跨學科的體系,主要涉及到的層面,第一個包括安全合規的要求,最近也是各種法律出臺。第二個是資料安全保護本身的內容。第三個很重要的是資料安全治理體系,就是我們的資料治理體系是整個裡面很核心的內容。
我們來看一下資料安全治理體系到底有哪些部分組成,首它融合了資料和安全兩個業務領域,不單單是一個領域的問題。第二個它的體系構建主要是涵蓋了管理和技術的兩個部分,同時通過組織構建,資產梳理,策略制定,過程控制、行為稽核等。
首先第一個它是資料和安全融合的業務領域,為什麼叫融合的業務領域呢?舉個簡單的例子:
比如我們在金融機構裡面想保護一些使用者的隱私,使用者隱私可能是一些銀行帳號,在單系統裡面一般怎麼做?大家梳理一下資料,看一下里面銀行帳號應該保護。但實際上這是個很核心的問題,這個銀行帳號是怎麼來的,到底是具有什麼樣的屬性,可能是很重要的賬號,可能是VIP,也可能是最簡單基礎的儲戶的,這個價值是不同的,保護力度也是不一樣的。單系統裡做不了這個事情,必須要通過資料來源的分析,先找到這個賬號的安全屬性,才能結合起來知道怎麼做。這涉及了資料和安全兩個領域。
第二個是體系的實現路徑,第一個要資產梳理,第二個是策略制定。從技術上來講就會有各種各樣的技術,這個大家比較清楚了。
我們公司做金融做的比較多,來看一下這幾個過程到底是怎麼做的。第一個在資料資產梳理這個階段,首先第一個是法規的依從性,現在《網路安全法》、《等級保護2.0》,這個過程做的是安全和合規之間的關係到底是什麼,也就是說這個其實是我們的合規性要求。第二個我們要梳理的問題就是這些資料使用的部門和崗位,哪些崗位在用哪些資料,這個時候我們梳理完了以後得到一個人和資料的關係。第三個要做的是對資料整個生命週期的狀態進行一個分析,這個時候能看到分佈狀態,在哪些系統裡面用,會做什麼樣的處理,這個時候會得到資料和處理使用之間的關係。最後把這些資料進行一個總結,得到了一個數據資產,這個資產拿來幹什麼?其實是分析資料和服務之間的關係,有了這幾個關係以後,我們對資料資產有數了。
下一步就是策略地制定,每一個企業都會有不同的,根據威脅的風險和內容成熟度的評估,形成了一系列的制度。制度就是指導著過程控制和行為稽核的部分。這個部分其實相對比較傳統,從事前的評估到事中的控制,一直到事後的稽核都有相關的技術方式進行。最後由於資料和系統都是不停地變換過程中,所以我們要不停地評估、完善和改善。
前面講了一些理論,最後有一個案例跟大家分享一下,所謂的以資料治理為安全到底在做什麼。大家都知道金融業、證券、保險這三個行業,有很大的資料互通的想法和需求。但是由於安全的要求和自身的考慮來講,很少有機構會把資料放出來,第一他會擔心資料放出去對方能不能行,第二個資料的影響,這個時候我們基於這個需求建立一個平臺,這個平臺主要的目的就是為了銀行業的這幾類機構能夠安全的互動資料,滿足他資料互動的業務場景,這個時候首先第一個我們做的事情並不是去搭平臺做技術,我們首先第一個做資料治理的工作,我們根據人民銀行的一些標準,我們把相關的資料分成九個基礎的主題。
比如說交易、產品,包括一些統計資料口徑,分為了幾個主題,根據資料不同的主題分了不同的安全等級,我們最終梳理出了五百多項的原資料,我們把原資料目錄給到機構以後,他們會看原資料目錄裡面哪些他有,就可以給別人提供,他就會形成自己的共享資源,這些金融機構一共給了三百多項共享資源出來。有了這些共享資源以後,我想去看別人的資源怎麼辦?我會從現實上來講籤一個合同,我們用了智慧合約的方式在我們平臺上籤署智慧合約,簽署了合約以後就可以通過合約里約定的方式使用資料,這個實際上是從資料治理角度我們最終用這種方式實現。
那麼從技術上怎麼實現呢?
第一個我們部署了獨立於三類機構的資料安全共享的中心,然後在每個機構需要做資料共享或者資料提供者的時候部署一個子中心。馬上在安全共享中心裡面,我們把所有機構需要提供出來的資源做了一個統一的目錄,同時你需要使用這些資料,在我這兒籤一個合約,從電子化的角度把你的業務明確下來。後期的使用比較簡單,一個公司如果需要使用另一個公司資料的時候,他可以拿著這個鑑定,他看到了我需要的資料,以什麼樣的方式提供,他就可以把敏感的資料改掉,或者通過加密的方式,確保某些資料不能隨意的外洩,再通過電子的方式回給資料的請求方,這個資料中所有的行為和使用的反饋,都會給到共享中心來進行改進後一步的措施。通過這種方式可以看出來資料安全的體系建立起來了,從資料治理開始,到資料安全的使用,到整個過程的監管都已經有了。
當人類從IT時代走向DT時代,當社會從傳統網際網路時代演進到大資料時代,資料迎來爆發式增長。DT時代的業務也將圍繞資料進行,在商業化的視角下,如何讓資料變得更有價值,如何把握資料安全重視度上升帶來的機遇?
1月18日下午,億歐將於北京舉辦 “商業視角下的資料應用安全——2019年億歐企業服務產業升級與創新” 沙龍,現場會有信通院、國科嘉和、華為雲、國舜股份、明朝萬達等企業的創始人、資深專家和投資人出席並進行主題分享,新年我們約一場活動?
報名連結:
https://www.iyiou.com/post/ad/id/767
本文已標註來源和出處,版權歸原作者所有,如有侵權,請聯絡我們。