标準應用(use) | 數據共享、發布環節安全管理的(of)實踐應用(use)

以(by)下文章來(Come)源于(At)CCIA數據安全工作(do)委員會，作(do)者吳陽

近年來(Come)，随着大(big)數據、雲計算、人(people)工智能等數字技術的(of)廣泛應用(use)，業務系統中的(of)數據呈現爆炸式增長，數據已經發展成爲(for)信息化時(hour)代下新的(of)生(born)産要(want)素，數據作(do)爲(for)企業無形資産的(of)潛在(exist)價值逐漸得到(arrive)提升，然而數據隻有在(exist)不(No)斷流動使用(use)中才會産生(born)巨大(big)的(of)價值，數據流轉通常經過數據傳輸、數據存儲、數據處理、數據交換等過程，需在(exist)保障數據安全的(of)前提下開展上(superior)述活動過程，爲(for)此，我(I)國(country)出(out)台了(Got it)一(one)系列法律規範數據流轉使用(use)過程中的(of)安全性：

《網絡安全法》

第三十六條要(want)求“網絡運營者應當采取技術措施和(and)其他(he)必要(want)措施，确保公民個(indivual)人(people)信息安全，防止其收集的(of)公民個(indivual)人(people)信息洩露、毀損、丢失”。

《數據安全法》

第一(one)條提出(out)“規範數據處理活動，保障數據安全，促進數據開發利用(use)，保護個(indivual)人(people)、組織的(of)合法權益，維護國(country)家主權、安全和(and)發展利益”的(of)立法目的(of)；

第七條提出(out)“國(country)家保護個(indivual)人(people)、組織與數據有關的(of)權益，鼓勵數據依法合理有效利用(use)，保障數據依法有序自由流動，促進以(by)數據爲(for)關鍵要(want)素的(of)數字經濟發展”。

《數據安全法》提出(out)了(Got it)針對數據流轉環節的(of)安全原則和(and)法律依據，也就是(yes)說，在(exist)保障數據相關權益的(of)前提下，國(country)家鼓勵數據有序流動并對數據進行合法利用(use)。

GB/T 37988-2019《信息安全技術 數據安全能力成熟度模型》提出(out)了(Got it)數據安全能力的(of)成熟度模型架構，并将數據所經曆的(of)生(born)存周期劃分爲(for)6個(indivual)階段：數據采集、數據傳輸、數據存儲、數據處理、數據交換、數據銷毀，規定了(Got it)每個(indivual)階段的(of)安全過程域與相應的(of)能力成熟度等級劃分。

GB/T 37988-2019定義的(of)數據生(born)存周期與《數據安全法》定義的(of)數據處理活動過程關系如下：

本文我(I)們(them)針對GB/T 37988-2019《信息安全技術 數據安全能力成熟度模型》标準中的(of)數據交換階段的(of)安全要(want)求，從具體應用(use)角度出(out)發，結合标準内容展示實踐中的(of)示範案例。

01條款解讀

應用(use)标準 GB/T 37988-2019《信息安全技術 數據安全能力成熟度模型》

02實踐案例

案例背景：

“十四五”時(hour)期，我(I)國(country)開啓了(Got it)全面建設社會主義現代化國(country)家的(of)新征程，數據成爲(for)新的(of)生(born)産要(want)素，數字技術成爲(for)新的(of)發展引擎，金融業作(do)爲(for)典型的(of)數據“密集型”行業，充分提升龐大(big)數據的(of)使用(use)效率是(yes)助推數字業務不(No)斷壯大(big)的(of)生(born)産力要(want)素。

爲(for)了(Got it)赢得競争和(and)進行快速的(of)業務創新，以(by)銀行業爲(for)代表的(of)金融業越來(Come)越強調服務的(of)敏捷供應，因此，對于(At)IT保障來(Come)說，通過DevOps和(and)持續交付實現敏捷開發，保證上(superior)層業務和(and)服務的(of)快速叠代，成爲(for)普遍的(of)選擇。在(exist)這(this)個(indivual)過程中，測試環境和(and)數據成爲(for)敏捷開發對測試影響的(of)最重要(want)的(of)挑戰之一(one)。咨詢公司 Capgemini發布的(of)2018年WQR（World Quality Report）全球質量報告顯示，58%的(of)受訪者表示仍然在(exist)使用(use)手動的(of)方式生(born)成測試數據。因此，生(born)産數據如何自動化完成數據交換階段的(of)安全共享與發布，是(yes)解決敏捷開發與數據供應的(of)關鍵問題。

具體到(arrive)以(by)銀行業爲(for)首的(of)金融機構在(exist)數據使用(use)方面一(one)直在(exist)不(No)斷探索，而基于(At)CDM技術的(of)敏捷數據管理方案，在(exist)針對銀行内部生(born)産數據經過共享交換區域實現閉環式數據發布與共享的(of)場景有較好的(of)效果，且在(exist)多家大(big)型金融客戶現場部署并長時(hour)間穩定運行，比較适用(use)于(At)金融行業的(of)數據使用(use)管理。

數據資産在(exist)未來(Come)金融科技創新發展中處于(At)重要(want)地(land)位，金融數據全生(born)命周期管理體系需要(want)更加完備，數據安全和(and)個(indivual)人(people)隐私需要(want)具備有效的(of)隐私保護手段，綜合以(by)上(superior)要(want)求，針對外部組織提供數據或進行數據交換時(hour)，可采用(use)數據管理與數據脫敏的(of)聯合方案，貫穿組織内部到(arrive)外部的(of)數據安全發布與使用(use)。

基于(At)CDM技術的(of)敏捷數據管理方案實踐

當前市面上(superior)的(of)CDM技術産品主要(want)分爲(for)三類：

1、以(by)存儲爲(for)核心提供的(of)CDM，雖然能夠提供快照和(and)克隆功能，但很難實現跨異構存儲，構建企業級規則驅動的(of)副本數據平台，并缺乏豐富的(of)數據交換階段的(of)共享與發布服務能力，無法提供自動化、自服務等功能。

2、塊級CDP技術提供的(of)CDM功能，利用(use)CDP技術所創建的(of)副本數據，是(yes)一(one)種磁盤快照技術，無法保證數據的(of)一(one)緻性，并且同一(one)時(hour)間的(of)磁盤快照隻能挂載一(one)份，難以(by)滿足多應用(use)場景的(of)數據共享與發布需求。

3、端到(arrive)端的(of)CDM：把單純面向恢複的(of)應用(use)場景，變成了(Got it)面向數據使用(use)包括但不(No)限于(At)數據共享、數據發布、數據分發的(of)應用(use)場景，通過副本數據在(exist)各個(indivual)業務環節的(of)即時(hour)可用(use)，爲(for)更多的(of)數據共享業務場景提供數據支撐。

金融行業爲(for)提升敏捷開發的(of)效率，通常選擇更注重數據服務的(of)端到(arrive)端的(of)CDM方案，在(exist)生(born)産到(arrive)準生(born)産環境、生(born)産到(arrive)開發測試環境的(of)數據發布，以(by)及組織内部到(arrive)外部的(of)數據提供或數據交換等業務場景應用(use)。

基于(At)CDM技術的(of)敏捷數據管理方案，通過一(one)份原始數據副本，可快速創建出(out)多個(indivual)虛拟數據副本，這(this)些虛拟數據副本相對原始存儲幾乎不(No)占用(use)任何存儲空間，且整個(indivual)發布動作(do)可以(by)在(exist)分鍾級完成。也就是(yes)說，該方案在(exist)通過獲取一(one)份生(born)産數據作(do)爲(for)黃金副本的(of)情況下，可對外發布多份虛拟數據用(use)于(At)準生(born)産、測試環境等場景的(of)數據交付，每一(one)份虛拟數據都是(yes)獨立的(of)，并且是(yes)可讀寫的(of)，數據在(exist)經過變更後，可通過快照進行狀态保存，多個(indivual)快照之間可以(by)任意切換，這(this)種數據發布方式比傳統拷貝的(of)方式，方便快捷、耗時(hour)短，且虛拟數據集中存放在(exist)數據存儲池中，通過數據挂載方式交付給目标環境使用(use)，實現了(Got it)數據快速交付與管理，并且實現了(Got it)數據的(of)集中管控。

圖片來(Come)源：乐泾达软件科技

CDM方案還設置了(Got it)數據共享交換區域，數據提供方與接收方的(of)數據樹狀拓撲結構，可以(by)詳細展示共享數據的(of)來(Come)源、所屬存儲池、接收目标的(of)關聯關系，通過可視化拓撲圖全局預覽數據交換階段數據發布的(of)詳細情況，便于(At)排查數據共享内容合規性與共享路徑的(of)安全性。

針對向組織外部提供數據或數據交換的(of)需求，則需要(want)在(exist)數據發布之前進行敏感數據的(of)脫敏處理，通過應用(use)專業的(of)數據脫敏産品，保障數據發布後的(of)隐私安全，防止核心數據洩露，同時(hour)需要(want)保證脫敏後數據的(of)邏輯關系保持、高仿真度、可用(use)性。

數據作(do)爲(for)金融業服務的(of)核心資源，數據安全已經成爲(for)金融信息科技重點的(of)監管領域，央行和(and)金融行業監管部門不(No)斷下發關于(At)金融創新和(and)金融數據安全的(of)監管要(want)求。通過基于(At)CDM技術的(of)敏捷數據管理方案的(of)建設，既滿足金融機構對數據流動價值的(of)挖掘需求，也符合國(country)家對金融數據使用(use)與監控的(of)安全性要(want)求。

（本文作(do)者：上海乐泾达软件科技有限公司吳陽）