标准应用 | 数据共享、發(fā)布环节安全管理的实践应用

以下文章来源于CCIA数据安全工作委员會(huì)，作者吴阳

近年来，随著(zhe)大数据、云计算、人工智能(néng)等数字技术的區雨广泛应用，业务系统中的数据呈现爆炸式增長(cháng)，数据已經(jī對大ng)發(fā)展成(chéng)为電時信息化時(shí)代下新的生产要素，数据作为企业无形资产的潜在价值逐渐得到提升高費，然而数据只有在不断流动使用中才會(huì)产生巨大的价值，数据流转公有通常經(jīng)過(guò)数据传输、数据存储、数据处理、数据嗎喝交换等過(guò)程，需在保障数据安全的前提下開(kāi)展上述活暗月动過(guò)程，为此，我國(g如爸uó)出台了一系列法律规范数据流转使師機用過(guò)程中的安全性：

《网络安全法》

第三十六条要求“网络运营者应当采取門讀技术措施和其他必要措施，确保公民个人信息安全，防止其收集的公金都民个人信息泄露、毁损、丢失”。

《数据安全法》

第一条提出“规范数据处理活动，保障数据安全，促說市進(jìn)数据開(kāi)發(fā)利用，保护个人、線影组织的合法权益，维护國(guó)家主权、安全和發(fā)展利益”也筆的立法目的；

第七条提出“國(guó)家保护个山站人、组织与数据有关的权益，鼓励数据依法合理鄉自有效利用，保障数据依法有序自由流动，促進(jìn)以数据为关键要素的数字術公經(jīng)济發(fā)展”有計。

《数据安全法》提出了针對(duì)数据流拍得转环节的安全原则和法律依据，也就(jiù)年廠是說(shuō)，在保障数据相关权益的用窗前提下，國(guó)家鼓励数据有序流动并對(duì)数据進(jì知鄉n)行合法利用。

GB/T 37988-2019《信息安全技术 数南低据安全能(néng)力成(chéng)熟度模型》提出了数据安全能(néng)化都力的成(chéng)熟度模型架构，并間靜將(jiāng)数据所經(jīng)历的生存大店周期划分为6个阶段：数据采集、数据传输、数据兒光存储、数据处理、数据交换、数据销毁，规定了每站山个阶段的安全過(guò)程域与相应的能(néng)力成(金都chéng)熟度等级划分。

GB/T 37988-2019定睡電义的数据生存周期与《数据安全法》定义的数笑購据处理活动過(guò)程关系如下：

本文我们针對(duì)GB/T 37話子988-2019《信息安全技术 個金数据安全能(néng)力成(chéng)熟度模型你兒》标准中的数据交换阶段的安全要求，从具体应用為妹角度出發(fā)，结合标准内容展示实践中的示范案例。

01条款解读

应用标准 GB/T 37988-2019《信息安全技术 数据安全能(néng)上要力成(chéng)熟度模型》

02实践案例

案例背景：

“十四五”時(shí)期，我國(guó)開(那輛kāi)启了全面(miàn)建设社會(huì)主义现代化國習請(guó)家的新征程，数据成(chéng)为新的生产要素在腦，数字技术成(chéng)为新的發(fā)展引擎，金融业作为典上員型的数据“密集型”行业，充分提升庞大数据的使用效率是助離得推数字业务不断壮大的生产力要素。

为了赢得竞争和進(jìn)行快速的业务创新，以银行业为代新森表的金融业越来越强调服务的敏捷供应，因此，對(duì)于IT保障来說(s我月huō)，通過(guò)DevOps和持续交銀著付实现敏捷開(kāi)發(fā)，保证上层业务和服务的快速道是迭代，成(chéng)为普遍的选择。在這(zhè)个過雜長(guò)程中，测试环境和数据成(chéng)公微为敏捷開(kāi)發(fā)對(duì)测试影响的妹腦最重要的挑战之一。咨询公司 Capgem區城ini發(fā)布的2018年WQR（World Quality Repo好房rt）全球质量报告显示，58%的受访者表示仍然在使用手动的方業黃式生成(chéng)测试数据。因樂員此，生产数据如何自动化完成(chéng)数据交换阶段的安全科唱共享与發(fā)布，是解决敏捷草空開(kāi)發(fā)与数据供应的关键问校器题。

具体到以银行业为首的金融机构在数据使用方面(miàn)一直在不嗎相断探索，而基于CDM技术的敏捷数据管理方案，在针對(duì如樂)银行内部生产数据經(jīng)司問過(guò)共享交换区域实现闭环式数据市書發(fā)布与共享的场景有较好(hǎo)的效果還年，且在多家大型金融客户现场部署并長(cháng)時(shí)间稳定运行，比较拿微适用于金融行业的数据使用管理。

数据资产在未来金融科技创新發(fā)展中处于重要地位，金融数据全生命周期管理体視木系需要更加完备，数据安全和个人隐私需要具备有問村效的隐私保护手段，综合以上要求，针對(duì)外部组銀討织提供数据或進(jìn)行数据交换時(shí)，可采用数据管理与数据脱街校敏的联合方案，贯穿组织内部到外部的数据安全發(紙技fā)布与使用。

基于CDM技术的敏捷数据管理方案实践

当前市面(miàn)上的CDM技术产品主要分为三类：

1、以存储为核心提供的CDM，虽然能去自(néng)够提供快照和克隆功能(少分néng)，但很难实现跨异构存储，构建企业级规则驱黑下动的副本数据平台，并缺乏丰富的数据交换阶段的些離共享与發(fā)布服务能(né用唱ng)力，无法提供自动化、自服务等功能(néng)。

2、块级CDP技术提供的CDM功能(néng)，利用行煙CDP技术所创建的副本数据，是一種(zh場家ǒng)磁盘快照技术，无法保证数据的一致性，并且同一時(shí)间的磁盘快照能喝只能(néng)挂载一份，难以满足多应用场景的数据共享藍報与發(fā)布需求。

3、端到端的CDM：把单纯面(miàn)向(靜愛xiàng)恢复的应用场景，变成現是(chéng)了面(miàn)向(xiàng)数据使用包括但不限于数据共家得享、数据發(fā)布、数据分發(fā)的应用场景，通過(guò)副本数据在各个會地业务环节的即時(shí)可用，为更多的数据共享业务场景黃學提供数据支撑。

金融行业为提升敏捷開(kāi)發(fā)的效率，通常选择更注重数据哥媽服务的端到端的CDM方案，在生产到准生产环房老境、生产到開(kāi)發(fā)测试环境的数据發(fā來雪)布，以及组织内部到外部的数据提供或数据交换等业务场景应用。

基于CDM技术的敏捷数据管理方案，通過(guò)一份呢媽原始数据副本，可快速创建出多个虚拟数据副本，這得鄉(zhè)些虚拟数据副本相對(duì)原始存储几乎不話從占用任何存储空间，且整个發(fā)布动作可以在分钟级完成(ch些們éng)。也就(jiù)是說(shuō)，该方案在通過(guò)获取一光又份生产数据作为黄金副本的情况下，可對(duì)外發(fā)布多份虚拟数麗相据用于准生产、测试环境等场景的数据交付，每一份虚拟数視錢据都(dōu)是独立的，并且是可读写的，数据在經(jīng)過(guò)变更後公媽(hòu)，可通過(guò)快畫著照進(jìn)行状态保存，多个快照之间可以任意切换，這(zhè)種鄉話(zhǒng)数据發(fā)布方式比山到传统拷贝的方式，方便快捷、耗時(shí)短，且虚拟数低師据集中存放在数据存储池中，通過(gu媽雜ò)数据挂载方式交付给目标环境使用，实现了数据快速交付票飛与管理，并且实现了数据的集中管控。

图片来源：上讯信息

CDM方案還(hái)设置了数据共享交换区域，数据提供方与接收方的鄉北数据树状拓扑结构，可以详细展示共享数据的来源、所属存储池、接收目标的也爸关联关系，通過(guò)可视化他業拓扑图全局预览数据交换阶段数据發(fā)布的详细情况，便于排查数据共享數拿内容合规性与共享路径的安全性。

针對(duì)向(xiàng)水信组织外部提供数据或数据交换的需求，则化拿需要在数据發(fā)布之前進(jìn)行門高敏感数据的脱敏处理，通過(guò)应用专业的数据脱敏产品，保時道障数据發(fā)布後(hòu)的隐私安全，防止核心数据泄露，同時(黃資shí)需要保证脱敏後(hòu)数据北大的逻辑关系保持、高仿真度、可用性。

数据作为金融业服务的核心资源，数据安全為服已經(jīng)成(chéng)为金融信息科技重点的监管领域，央行和金黑土融行业监管部门不断下發(fā)关于金融创新和金融数据安全的現技监管要求。通過(guò)基于CDM技术的敏捷数据管理方案的建设，既满足文雜金融机构對(duì)数据流动价值的挖什見掘需求，也符合國(guó)家對(du線但ì)金融数据使用与监控的安全性要求。

（本文作者：上海上讯信息技术股份有限公司吴阳）