10月14日下午,中国社会科学院法学研究所研究员周汉华在出席云栖大会数据安全生态专场时称,中国个人信息保护立法与数据治理需要借鉴美国与欧盟各自长处,并走出一条独特的道路,简单照搬任何一家做法肯定都没有出路。
“近年来,国内外发生各种涉及个人信息安全案例,如CSDN遭受攻击、12306网站信息泄露、徐玉玉案、Yahoo邮箱泄露案、Equifax征信信息泄露案等,根源都是安全风险。”周汉华在云栖大会“数据经济生态共建——数据安全可持续发展”分论坛时称,大数据发展绕不开个人信息保护问题,实现两者之间的平衡是数据治理的关键。
如何保障数据安全?已成为政府、企业和个人都尤为关注的现象级问题。
云栖大会数据安全生态专场当天,阿里巴巴集团安全部资深总监侯金刚就此宣布称,阿里将基于数据安全能力成熟度模型(Data Security Maturity Model, DSMM)推出“数据安全合作伙伴计划”,希望通过与合作伙伴的协同,共享阿里在数据安全方面的经验与能力,帮助各企业、行业建立和提升体系化的数据安全能力,以实现全行业生态的可持续发展。
首批17家合作伙伴共推DSMM
阿里巴巴安全部资深总监侯金刚表示,全面提升数据安全水平刻不容缓。
数据安全是大数据技术落地、场景价值发挥的前提和保障。阿里巴巴一直在数据安全方面不断实践并贡献自己的经验。2014年,阿里就率先提出数据安全能力成熟度模型(DSMM)概念,并于2015年将数据安全经验“标准化”,去年DSMM开始在产业圈落地实践。
直到今年,包括德勤华永会计师事务所(特殊普通合伙)、安永(中国)企业咨询有限公司、杭州闪捷信息科技有限公司和立信会计师事务所(特殊普通合伙)等在内的17家安全领域知名咨询机构、专业服务公司,与阿里联手展开深度合作,为更多有大数据管理和保护意识、重视大数据价值的组织,提供数据安全专业服务。
在数据安全生态圈中,评估咨询机构、认证机构和产品解决方案等服务机构,都会根据DSMM各维度标准,评估组织的数据安全能力级别,并通过专业的产品和服务,对需要提升数据安全能力的组织进行专项或综合性服务,集聚专业的力量提高整个产业生态圈的数据安全水平。
数据安全合作伙伴计划,希望通过与评估咨询、认证、产品解决方案等合作伙伴的协同,围绕数据安全能力成熟度模型,帮助各企业、行业建立和提升体系化的数据安全能力。
DSMM是阿里根据多年数据安全实践经验提炼而成,围绕数据采集、存储、传输、处理、交换、销毁的六个数据生命周期,在数据安全组织建设、制度流程、技术工具、人员能力四大维度,不断提升自身数据安全能力积累沉淀而成,阿里希望将数据安全能力建设的经验积极推广到生态圈,协同专业的服务商参与,使更多企业受益,共同促进国家大数据经济的健康发展。
目的旨在要解决大数据环境下的数据安全管理问题,即专注提升组织机构在业务运营中应对数据安全风险的能力,发现数据安全能力短板、查漏补缺,最终使有数据安全需求的所有组织机构,都能基于统一标准来评估和提升其数据安全能力,甚至是促进大数据产业及数据经济发展。
阿里巴巴数据安全高级专家潘亮透露,DSMM适用范围非常广泛,从现已落地使用的企业来看,涵盖了银行、互联网金融、证券等金融行业,以及百货零售、电器销售等零售行业,也包括体育、音乐、视频等文娱行业,乃至乳制品制造、冶金、电力、物流及互联网+新型企业等产业领域。
据阿里巴巴集团标准化总监朱红儒介绍,DSMM除了正在制定国家标准外,阿里也在ITU-T牵头制定《Security reference architecture for lifecycle management of e-commerce business data》的国际标准,同时在ISO牵头制定《Big data security capability maturity model》的国际标准研究项目,还在CCSA牵头制定行业标准《面向互联网的数据安全能力技术框架》,DSMM今年年底有望正式成为国家标准,向全行业推行。
钉钉、南方电网获评数据安全标杆企业
从标准架构来看,DSMM会就企业组织建设、制度流程、技术工具和人员能力四个关键能力维度,至少30多个安全域进行全方位考核评估,最终将组织机构的数据安全能力划分“非正式执行”、“计划跟踪”、“充分定义”、“量化控制”和“持续优化”,一级至五级的能力成熟等级。
一级是最低等级为“非正式执行”,意味组织的数据安全工作来自于被动需求或随机展开,并未主动开展数据安全工作。三级是各个企业的基础目标。等级越高,代表被测评的企业组织机构数据安全管理能力越强。
“只有具备了三级的数据安全能力,才意味这家企业或组织机构能针对数据安全风险进行了全面有效的控制。”会议当天,中国信息通信研究院就基于DSMM的测评,发布了一份“大数据时代数据安全通用最佳实践”(下称《报告》)。
《报告》结果认为,依据DSMM对一些目标企业机构的评估发现,目前国内组织机构的数据安全水位线普遍偏低。
但其中,钉钉和南方电网的数据安全能力测评结果较好,也因此被评为数据安全标杆企业亮相云栖大会现场。
钉钉智能移动办公平台面市于2015年,以淘宝、天猫、支付宝等积累的多年安全经验为前提,建立了强大的移动办公生态保障体系,为4300万中小企业提供“简单、高效、安全”的服务。
第三方评估专家介绍称,钉钉和南方电网在数据安全方面依照上述数据安全管理方法展开了相关工作,通过技术创新和大数据运营,有效地对平台运营过程中数据安全进行了防护。
且钉钉不仅通过了中国公安部的“信息系统安全等级保护”三级认证,还是2016年杭州G20峰会安全保障的唯一沟通协同平台。
阿里巴巴钉钉的数据安全负责人罗锋介绍说,钉钉最大的亮点在于其数据安全保密性高。据称,钉钉除了自身固有的分布式数据存储加密系统,还引入了一种独特的安全服务模式——第三方加密。
“密钥由第三方托管,相当于给企业数据又加了一把锁,双重保险箱保障只有用户才能打开数据。”罗峰强调,钉钉是企业的钉钉,数据是属于用户企业的,既不属于阿里巴巴,也不属于钉钉,“我们始终保障只有用户企业才能打开数据。”
阿里协同合作伙伴构建云数据安全防护墙
对测评结果偏低或不符合标准要求的组织机构,该如何提升数据安全水位的问题,阿里巴巴也协同合作伙伴提出了自己的解决方案。
目前,阿里云已在与合作伙伴共同打造了一套基于DSMM的数据安全解决方案体系。该体系从单点的数据安全产品模式,进化到多个产品之间相互联动的解决方案体系,能更好满足企业各个维度对数据安全的保护。
现阶段方案主要还是针对专有云的数据安全解决方案,后续会陆续开展公有云及其他方面的数据安全解决方案建设。
解决方案覆盖了企业的三个方面需求。首先是合规性遵从需求,解决方案会帮助企业更好遵从网络安全法、等级保护、数据安全能力成熟度模型等法规标准对企业数据安全能力的要求。
其次,专有云、混合云数据安全治理需求,能让客户清晰了解云上有多少数据、存储在哪、数据的敏感级别、数据安全的风险,以及对哪些用户可以访问什么级别的数据,哪些用户访问了不该访问的数据等。
再者,数据安全交换需求,保障云上多方数据交换安全,并实现数据流出云边界时的权限控制、审计及脱敏功能。
“如家的数据已经到一定体量,对外流通的需求也越来越多,但依旧缺少整体的数据安全解决方案支持,这套体系化的解决方案正好符合我们的需求,我们期待能与阿里有更深入的合作。”基于阿里协同合作伙伴首次提出的云数据安全解决方案,合作伙伴首旅如家酒店集团IT资深副总裁王波在参加分论坛时如是说。