“大数据”被广泛应用于各个领域,并作为基础支撑技术与前沿技术深入融合创新。同时,随着大数据应用的深入发展,数据的多样化、广泛化、复杂化,对数据安全保护也提出了新的要求。近日,nEqual CTO 卢亿雷 受邀参加了“2018第五届中国国际大数据大会”,并发表了以“构建企业数据安全体系架构”为主题的演讲。他谈到,“在数字化进程中,互联网和科技的高速发展,随之而来的数据安全问题也越来越被重视起来,这关乎每个人的利益与隐私。对企业来说,做数据服务、大数据、互联网等行业,只有在合规的体系下,才能保证数据的安全,业务发展才会庞大。其中,数据安全是企业的核心能力。”
大数据大会(China International Big Data Summit简称:CBDS)自2014年起,已成功举办三届,为大数据产业呈现了数场演讲发言,为推动大数据产业发展发挥重要作用,成为行业内覆盖全产业链,集聚众智的品牌产业交流合作平台。本届大会以“实体融合新动能数字经济新发展”为主题,聚焦传统产业数字化转型升级,加快培育壮大以创新为主要引领和支撑的数字经济,加速数字经济产业创新及成果落地,深化数字经济国际合作,助力构筑国家在全球数字经济发展中的主导力和话语权。
nEqual CTO 卢亿雷
无论是中国的《网络安全法》,还是欧盟的 GDPR,大数据时代下的“数据保护”主要分为从用户角度出发的隐私数据,以及从商业角度出发的投资战略和行业地域交易等数据。个人信息保护的基本原则有6个方面:权责一致原则,目的明确原则,选择同意原则,最少够用原则,公开透明原则,确保安全原则。
企业在运营过程中,应做到七个层次的安全设施,包括多层次的安全团队建设、网络安全、基础设施安全、合规的内控、访问控制,安全运营相关等。
卢亿雷提出了“数据安全管理方法”:第一,企业需要做中心的统一化管理思路,即管理要求并提供要求;第二,通过监控手段的方式,针对问题进行治理和数据管控;第三,对数据进行适当加密;第四,数据的使用环境必须是可控的、安全的;第五,保证数据传播时有合法合规的源头。
另外,从技术的角度来看,企业在数据保护方面需制定一套完整的数据安全技术架构。
1.身份认证,包括企业的主机认证。必须保证公司所有的产品线,每个产品相互之间也已经过安全认证;
2.访问控制。企业需要保证每条产品线只能用一个数据源。另外,对白名单的访问,即同一数据只能给某个产品使用,不能给其他产品使用;
3.数据加密。加密是一个很重要的环节,它里面是保护的数据是绝对安全的。共分为三点:第一是传输加密,无论是内网传输还是 TTL 方式,都需要加密;第二是对静态数据加密,包括日志相关、数据库等系统的加密;第三是对敏感数据做脱敏,通过中间部分加密,包括有确定性加密(Deterministic encryption) ,保序加密(Order-preserving encryption) ,保留格式加密(Format-preserving encryption) ,同态加密(Homomorphic encryption) ,同态秘密共享(Homomorphic secret sharing) 等五种加密方式,具体有泛化技术、抑制技术、扰乱技术和有损技术的方式,来保证数据的安全可靠性;
4.数据完整性。企业必须保证数据存在一个地方以后,不管是十年还是一百年不能被损坏。另外,数据在传输的过程中也是需要保证其完整性的;
5.安全审计。数据库绝对不允许删除和修改。对于用户、数据、主机访问日志的记录,可以保证数据被攻击或者突破时候的识别问题;
6.数据可靠性。除了做到前面几部分以外,关键服务热备、数据冗余存储、机房异地灾备问题也需要企业加强重视。
基于数据和智能技术为核心的“智慧商业”在不久的未来都将触手可及,而数据安全问题也是像 nEqual 这样的公司一直在持续关注的领域。nEqual 正在积极打造多方位的安全保障,从制度安全、计算安全、存储安全、传输安全,到产品和服务安全的一系列技术支持,巩固数据管理、连接、分析等的安全保障,将为企业数据安全保驾护航。
免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。