華為云|如何保障企業(yè)數(shù)據(jù)資產(chǎn)的全生命周期安全？看這篇就夠了

什么是數(shù)據(jù)？可以是音樂，時(shí)間，1234，也可以是硬盤，系統(tǒng)，二進(jìn)制……維基百科上定義：數(shù)據(jù)是通過觀測(cè)得到的數(shù)字性的特征或信息。更專業(yè)地說，數(shù)據(jù)是一組關(guān)于一個(gè)或多個(gè)人或?qū)ο蟮亩ㄐ曰蚨孔兞俊?/span>

信息技術(shù)日新月異，科學(xué)技術(shù)磅礴發(fā)展。數(shù)據(jù)已經(jīng)成為和水、電之類同等重要的戰(zhàn)略物資，是企業(yè)的核心資產(chǎn)和賴以生存的命脈。隨著國(guó)家大數(shù)據(jù)戰(zhàn)略的不斷推動(dòng)和深化，做好數(shù)據(jù)安全治理成為了極大挑戰(zhàn)。我們很難在繁多的數(shù)據(jù)安全能力中去構(gòu)建適合自己安全體系，業(yè)界也缺乏具有指導(dǎo)建設(shè)意義的數(shù)據(jù)安全產(chǎn)品。

2020年3月，國(guó)標(biāo)GB/T 37988-2019《信息安全技術(shù)數(shù)據(jù)安全能力成熟度模型》明確指出數(shù)據(jù)安全的管理需要基于以數(shù)據(jù)為中心的管理思路，從組織機(jī)構(gòu)業(yè)務(wù)范圍內(nèi)的數(shù)據(jù)生命周期的角度出發(fā)，結(jié)合組織機(jī)構(gòu)各類數(shù)據(jù)業(yè)務(wù)發(fā)展后所體現(xiàn)出來的安全需求，開展數(shù)據(jù)安全保障。

華為云數(shù)據(jù)安全中心集結(jié)華為云核心數(shù)據(jù)保護(hù)能力

華為云數(shù)據(jù)安全中心（Data Security Center，簡(jiǎn)稱DSC）是華為云今年打造的重磅服務(wù)，從數(shù)據(jù)的全生命周期出發(fā)，圍繞數(shù)據(jù)采集、傳輸、存儲(chǔ)、處理使用、交換和銷毀各個(gè)階段構(gòu)建。今天云上的數(shù)據(jù)安全能力其實(shí)一直是分散在各個(gè)服務(wù)之中，例如VPN、安全組、SSL證書以及諸如ECS、RDS、OBS等集成的加密能力。數(shù)據(jù)安全中心致力于匯總分散的數(shù)據(jù)安全能力，從租戶出發(fā)提供統(tǒng)一視角。

數(shù)據(jù)安全是一個(gè)管道，整體的安全能力是由每個(gè)階段的安全能力共同組成的，換言之，如果某一個(gè)階段做的很強(qiáng)，而另一個(gè)階段沒有任何保護(hù)措施，那么對(duì)于整體數(shù)據(jù)安全狀態(tài)來說也是于事無補(bǔ)。下面筆者就具體的每個(gè)階段進(jìn)行解讀。

數(shù)據(jù)采集：是指組織機(jī)構(gòu)內(nèi)部系統(tǒng)中新生成數(shù)據(jù)，以及從外部收集數(shù)據(jù)的階段。這個(gè)階段的安全性重在識(shí)別和預(yù)防，識(shí)別出新采集的數(shù)據(jù)中是否存在敏感信息，泄露后是否存在風(fēng)險(xiǎn)，以及決定要以什么樣的技術(shù)手段保護(hù)敏感數(shù)據(jù)等。華為云數(shù)據(jù)安全中心通過構(gòu)建自動(dòng)化數(shù)據(jù)識(shí)別引擎，在數(shù)據(jù)生成的時(shí)候就能呈現(xiàn)整體風(fēng)險(xiǎn)，支持200種數(shù)據(jù)格式，支持結(jié)構(gòu)化數(shù)據(jù)、非結(jié)構(gòu)化數(shù)據(jù)，真正做到場(chǎng)景全覆蓋。

數(shù)據(jù)傳輸：是指數(shù)據(jù)在組織機(jī)構(gòu)內(nèi)部從一個(gè)實(shí)體通過網(wǎng)絡(luò)流動(dòng)到另一個(gè)實(shí)體的階段。這個(gè)階段的安全性重在認(rèn)證與加密，數(shù)據(jù)傳輸過程中最常見的是竊聽、嗅探和中間人攻擊，他們的共同特點(diǎn)都是利用了傳輸通道的不安全性，即未做認(rèn)證校驗(yàn)和報(bào)文信息未加密等，因此開啟SSL/TLS加密通信和公私有證書身份校驗(yàn)（證書的鏈接）能夠有效防止此階段的數(shù)據(jù)安全風(fēng)險(xiǎn)。數(shù)據(jù)安全中心通過聯(lián)動(dòng)VPN、云連接、證書等服務(wù)，持續(xù)監(jiān)測(cè)傳輸通道狀態(tài)。

數(shù)據(jù)存儲(chǔ)：是指數(shù)據(jù)以任何數(shù)字格式進(jìn)行物理存儲(chǔ)或云存儲(chǔ)的階段。這個(gè)階段的安全是保證數(shù)據(jù)的可用性以及通過權(quán)限的合理訪問。數(shù)據(jù)安全中心在這個(gè)階段主要監(jiān)控OBS桶內(nèi)文件的加密狀態(tài)，OBS的文件支持默認(rèn)透明加密，云上密文存儲(chǔ)，保證云上數(shù)據(jù)安全。

數(shù)據(jù)處理使用：是指組織機(jī)構(gòu)在內(nèi)部針對(duì)數(shù)據(jù)進(jìn)行計(jì)算、分析、可視化等操作的階段。數(shù)據(jù)是流動(dòng)的，很多風(fēng)險(xiǎn)是在數(shù)據(jù)流轉(zhuǎn)的過程中產(chǎn)生的，通過對(duì)數(shù)據(jù)使用行為分析，我們可以預(yù)先識(shí)別一些可能的泄露事件。舉個(gè)例子，一位員工即將離職，離職前批量下載公司機(jī)密文件，希望能夠帶到下個(gè)公司。這類批量下載的行為就是一個(gè)異常的行為，與該員工固有的工作軌跡產(chǎn)生偏差。數(shù)據(jù)安全中心通過構(gòu)建深度學(xué)習(xí)行為識(shí)別能力，提前識(shí)別出異常行為并及時(shí)告警，把數(shù)據(jù)泄露事件阻擊在源頭。

數(shù)據(jù)交換：是指數(shù)據(jù)由組織機(jī)構(gòu)與外部組織機(jī)構(gòu)及個(gè)人交互的階段。數(shù)據(jù)的交換意味著數(shù)據(jù)會(huì)流出系統(tǒng)或組織內(nèi)部，難以管控，因此在流出前需要控制數(shù)據(jù)泄露的風(fēng)險(xiǎn)。華為云數(shù)據(jù)安全中心提供數(shù)據(jù)脫敏和水印的能力，保證數(shù)據(jù)在交換過程中能夠?qū)γ舾行畔⑦M(jìn)行脫敏處理，也能夠?qū)粨Q數(shù)據(jù)流、文件、圖片等打上水印信息，確保數(shù)據(jù)泄露溯源。

數(shù)據(jù)銷毀：是指通過對(duì)數(shù)據(jù)及數(shù)據(jù)的存儲(chǔ)介質(zhì)通過相應(yīng)的操作手段，是數(shù)據(jù)徹底消除且無法通過任何手段恢復(fù)的過程。華為云在客戶內(nèi)容數(shù)據(jù)的銷毀階段，會(huì)對(duì)指定的數(shù)據(jù)及其所有副本進(jìn)行全面的清除。當(dāng)客戶確認(rèn)刪除操作后，華為云首先刪除客戶與數(shù)據(jù)之間的索引關(guān)系，并在將內(nèi)存、塊存儲(chǔ)等存儲(chǔ)空間進(jìn)行重新分配前進(jìn)行清零操作，確保相關(guān)的數(shù)據(jù)和信息不可還原。對(duì)于物理存儲(chǔ)介質(zhì)報(bào)廢的情況，華為云通過對(duì)存儲(chǔ)介質(zhì)進(jìn)行消磁、折彎或破碎等方式進(jìn)行數(shù)據(jù)清除，確保其上的數(shù)據(jù)無法恢復(fù)。

解決企業(yè)的數(shù)據(jù)擔(dān)憂，滿足安全合規(guī)。了解更多華為云數(shù)據(jù)安全中心服務(wù)詳情，可免費(fèi)申請(qǐng)公測(cè)：https://www.huaweicloud.com/product/dsc.html