資料安全治理的技術挑戰
摘要: 實施資料安全治理的組織,一般都具有較為發達和完善的資訊化水平,資料資產龐大,涉及的資料使用方式多樣化,資料使用角色繁雜,資料共享和分析的需求剛性,要滿足資料有效使用的同時保證資料使用的安全性,需要極強的技術支撐。 資料安全治理面臨資料狀況梳理、敏感資料訪問與管...
實施 ofollow,noindex">資料安全治理 的組織,一般都具有較為發達和完善的資訊化水平,資料資產龐大,涉及的資料使用方式多樣化,資料使用角色繁雜,資料共享和分析的需求剛性,要滿足資料有效使用的同時保證資料使用的安全性,需要極強的技術支撐。
資料安全治理 面臨資料狀況梳理、敏感資料訪問與管控、資料治理稽核三大挑戰。
資料安全治理 面臨的挑戰
資料安全狀況梳理技術挑戰
組織需要確定敏感性資料在系統內部的分佈情況,其中的關鍵問題在於如何在成百上千的資料庫和儲存檔案中明確敏感資料的分佈;組織需要確定敏感性資料是如何被訪問的,如何掌握敏感資料在被什麼系統、什麼使用者以什麼樣的方式訪問;組織需要迅速確定當前的賬號和授權狀況,清晰化、視覺化、報表化的明確敏感資料在資料庫和業務系統中的訪問賬號和授權狀況,明確當前權控是否具備適當的基礎。
資料訪問管控技術挑戰
在敏感資料訪問和管控技術方面,細分至五個方面的挑戰:
(1)如何將敏感資料訪問的審批在執行環節有效落地
對於敏感資料的訪問、對於批量資料的下載要進行審批制度,這是資料治理的關鍵;但工單的審批若是在執行環節無法有效控制,訪問審批制度僅僅是空中樓閣。
(2)如何對突破權控管理的黑客技術進行防禦
基於資料庫的許可權控制技術,在基於漏洞的攻擊的基礎上將很容易被突破。
(3)如何在保持高效的同時實現儲存層的加密
基於檔案層和硬碟層的加密將無法與資料庫的權控體系結合,對運維人員無效;如何實現儲存加密、許可權控制和快速檢索的整體解決,是這一問題的關鍵,只有這樣的儲存加密才能保證安全的同時資料剋用。
(4)如何實現保持業務邏輯後的資料脫敏
對於測試環境、開發環境和BI分析環境中的資料需要對敏感資料模糊化,但模糊化的資料保持與生產資料的高度模擬,是實現安全有可用的基礎。
(5)如何實現資料提取分發後的管控
資料的共享是資料的基本使用屬性,但資料的複製是沒有痕跡的;資料分發後如何保證資料不回被流轉到失控的環境,或者被複制後可溯源,這是資料提取分發管理的關鍵。
資料安全的稽核和風險發現挑戰
1、如何實現對賬號和許可權變化的追蹤
定期地對賬號和許可權變化狀況進行稽核,是保證對敏感資料的訪問在既定策略和規範內的關鍵;但如何對成百上千個業務系統和資料庫中的賬號與許可權的變化狀況進行追蹤的關鍵。
2、如何實現全面的日誌審計
在新的網路安全法出臺後全面的資料訪問審計要求,日誌儲存要求6個月;在新的等保中要求,雲的提供商和使用者都必須實現全面的日誌記錄。全面審計工作對各種通訊協議、雲平臺的支撐,1000億資料以上的儲存、檢索與分析能力上,均形成挑戰。全面的審計是檢驗 資料安全治理 中的策略是否在日常的執行中沒切實落地的關鍵。
3、如何快速實現對異常行為和潛在風險的發現與告警
資料治理中,有一個關鍵要素就是發現非正常的訪問行為和系統中存在的潛在漏洞問題。如何對日常行為進行建模,在海量資料中快速發現異常行為和攻擊行為避免系統面臨大規模失控的關鍵。
只有深刻了解 資料安全治理 過程中所面臨的一系列技術難題和挑戰,我們才能針對這些問題不斷尋求應對方法,做到對症下藥。我們將在後續文章中,重點針對這些技術關卡給出相應的技術支撐思路。