围绕数据的采集、传输、存储、处理、使用、销毁等全生命周期,以数据保密性、完整性、可用性为核心目标,秉持用户授权、最小够用、专事专用、全程防护原则,基于基础通用技术和数据全生命周期安全技术构建数据安全保护技术体系是推动数据安全治理的重要途径。数据安全保护技术体系并非单一产品或平台的构建,而是覆盖数据全生命周期,结合自身使用场景的体系建设。
一、数据建设中的安全防护技术
在数据中心建设中,数据全生命周期的安全技术主要包括数据分类分级、身份认证及访问控制、日志管理、监控审计、安全及合规评估等技术工具。
01 数据分类分级相关工具平台主要实现数据资产扫描梳理、数据分类分级打标和数据分类分级管理等功能。
02 身份认证及访问控制相关工具平台,主要实现在数据全生命周期各环节中涉及的所有业务系统和管理平台的身份认证和权限管理。
03 日志管理平台收集并分析所有业务系统和管理平台的日志,并统一日志规范以支持后续的风险分析和审计等工作。
04 监控审计相关工具平台接入业务系统和管理平台,实现对数据安全风险的实时监控,并能进行统一审计。
05 安全及合规评估相关工具平台主要用于综合评估数据安全现状和合规风险。
二、数据使用中的安全防护技术
在数据使用中,数据全生命周期安全技术要贯穿数据的全生命周期,主要面对特定环节的风险管控技术保障,包括敏感数据识别、备份与恢复、数据加密、数据脱敏、数据水印、数据泄密防护、API安全管理、数据删除、介质销毁、隐私计算等技术工具。
01 敏感数据识别通过对采集的数据进行识别和梳理,发现其中的敏感数据,以便进行安全管理。
02 备份与恢复技术是防止数据破坏、丢失的有效手段,用于保证数据可用性和完整性。
03 数据加密相关工具平台通过提供常见的加密模块及密钥管理能力,落地数据的加密需求。
04 数据脱敏是通过一定的规则对特定数据对象进行变形的一类技术,用于防止数据泄露和违规使用等。
05 数据水印技术通过对数据进行处理使其承载特定信息,使得数据具备追溯数据版权所有者与分发对象等信息的能力。在数据处理过程中起到威慑及追责的作用。
06 数据泄密防护技术通过终端防泄露技术、邮件防泄露技术、网络防泄露技术,防止敏感数据资产在违反安全策略规定的情况下流出。
07 API安全管理相关工具平台提供内部接口和外部接口的安全管控和监控审计能力,保障数据传输接口安全。
08 数据删除是为保证删除数据的不可恢复,一般会采取数据多次的覆写、清除等操作。
09 介质销毁一般通过消磁机或者物理捣毁等方式对数据所在的介质进行物理销毁。
10 隐私计算是指在加密数据的前提下实现数据分析计算的技术集合,可实现数据的可用不可见,从而满足隐私安全保护、价值转化及释放。
