以下文章來源于CCIA數(shù)據(jù)安全工作委員會，作者吳陽

近年來，隨著大數(shù)據(jù)、云計算、人工智能等數(shù)字技術的廣泛應用，業(yè)務系統(tǒng)中的數(shù)據(jù)呈現(xiàn)爆炸式增長，數(shù)據(jù)已經(jīng)發(fā)展成為信息化時代下新的生產(chǎn)要素，數(shù)據(jù)作為企業(yè)無形資產(chǎn)的潛在價值逐漸得到提升，然而數(shù)據(jù)只有在不斷流動使用中才會產(chǎn)生巨大的價值，數(shù)據(jù)流轉通常經(jīng)過數(shù)據(jù)傳輸、數(shù)據(jù)存儲、數(shù)據(jù)處理、數(shù)據(jù)交換等過程，需在保障數(shù)據(jù)安全的前提下開展上述活動過程，為此，我國出臺了一系列法律規(guī)范數(shù)據(jù)流轉使用過程中的安全性：

《網(wǎng)絡安全法》

第三十六條要求“網(wǎng)絡運營者應當采取技術措施和其他必要措施，確保公民個人信息安全，防止其收集的公民個人信息泄露、毀損、丟失”。

《數(shù)據(jù)安全法》

第一條提出“規(guī)范數(shù)據(jù)處理活動，保障數(shù)據(jù)安全，促進數(shù)據(jù)開發(fā)利用，保護個人、組織的合法權益，維護國家主權、安全和發(fā)展利益”的立法目的；

第七條提出“國家保護個人、組織與數(shù)據(jù)有關的權益，鼓勵數(shù)據(jù)依法合理有效利用，保障數(shù)據(jù)依法有序自由流動，促進以數(shù)據(jù)為關鍵要素的數(shù)字經(jīng)濟發(fā)展”。

《數(shù)據(jù)安全法》提出了針對數(shù)據(jù)流轉環(huán)節(jié)的安全原則和法律依據(jù)，也就是說，在保障數(shù)據(jù)相關權益的前提下，國家鼓勵數(shù)據(jù)有序流動并對數(shù)據(jù)進行合法利用。

GB/T 37988-2019《信息安全技術 數(shù)據(jù)安全能力成熟度模型》提出了數(shù)據(jù)安全能力的成熟度模型架構，并將數(shù)據(jù)所經(jīng)歷的生存周期劃分為6個階段：數(shù)據(jù)采集、數(shù)據(jù)傳輸、數(shù)據(jù)存儲、數(shù)據(jù)處理、數(shù)據(jù)交換、數(shù)據(jù)銷毀，規(guī)定了每個階段的安全過程域與相應的能力成熟度等級劃分。

GB/T 37988-2019定義的數(shù)據(jù)生存周期與《數(shù)據(jù)安全法》定義的數(shù)據(jù)處理活動過程關系如下：

本文我們針對GB/T 37988-2019《信息安全技術 數(shù)據(jù)安全能力成熟度模型》標準中的數(shù)據(jù)交換階段的安全要求，從具體應用角度出發(fā)，結合標準內(nèi)容展示實踐中的示范案例。

01條款解讀

應用標準 GB/T 37988-2019《信息安全技術 數(shù)據(jù)安全能力成熟度模型》

02實踐案例

案例背景：

“十四五”時期，我國開啟了全面建設社會主義現(xiàn)代化國家的新征程，數(shù)據(jù)成為新的生產(chǎn)要素，數(shù)字技術成為新的發(fā)展引擎，金融業(yè)作為典型的數(shù)據(jù)“密集型”行業(yè)，充分提升龐大數(shù)據(jù)的使用效率是助推數(shù)字業(yè)務不斷壯大的生產(chǎn)力要素。

為了贏得競爭和進行快速的業(yè)務創(chuàng)新，以銀行業(yè)為代表的金融業(yè)越來越強調(diào)服務的敏捷供應，因此，對于IT保障來說，通過DevOps和持續(xù)交付實現(xiàn)敏捷開發(fā)，保證上層業(yè)務和服務的快速迭代，成為普遍的選擇。在這個過程中，測試環(huán)境和數(shù)據(jù)成為敏捷開發(fā)對測試影響的最重要的挑戰(zhàn)之一。咨詢公司 Capgemini發(fā)布的2018年WQR（World Quality Report）全球質(zhì)量報告顯示，58%的受訪者表示仍然在使用手動的方式生成測試數(shù)據(jù)。因此，生產(chǎn)數(shù)據(jù)如何自動化完成數(shù)據(jù)交換階段的安全共享與發(fā)布，是解決敏捷開發(fā)與數(shù)據(jù)供應的關鍵問題。

具體到以銀行業(yè)為首的金融機構在數(shù)據(jù)使用方面一直在不斷探索，而基于CDM技術的敏捷數(shù)據(jù)管理方案，在針對銀行內(nèi)部生產(chǎn)數(shù)據(jù)經(jīng)過共享交換區(qū)域?qū)崿F(xiàn)閉環(huán)式數(shù)據(jù)發(fā)布與共享的場景有較好的效果，且在多家大型金融客戶現(xiàn)場部署并長時間穩(wěn)定運行，比較適用于金融行業(yè)的數(shù)據(jù)使用管理。

數(shù)據(jù)資產(chǎn)在未來金融科技創(chuàng)新發(fā)展中處于重要地位，金融數(shù)據(jù)全生命周期管理體系需要更加完備，數(shù)據(jù)安全和個人隱私需要具備有效的隱私保護手段，綜合以上要求，針對外部組織提供數(shù)據(jù)或進行數(shù)據(jù)交換時，可采用數(shù)據(jù)管理與數(shù)據(jù)脫敏的聯(lián)合方案，貫穿組織內(nèi)部到外部的數(shù)據(jù)安全發(fā)布與使用。

基于CDM技術的敏捷數(shù)據(jù)管理方案實踐

當前市面上的CDM技術產(chǎn)品主要分為三類：

1、以存儲為核心提供的CDM，雖然能夠提供快照和克隆功能，但很難實現(xiàn)跨異構存儲，構建企業(yè)級規(guī)則驅(qū)動的副本數(shù)據(jù)平臺，并缺乏豐富的數(shù)據(jù)交換階段的共享與發(fā)布服務能力，無法提供自動化、自服務等功能。

2、塊級CDP技術提供的CDM功能，利用CDP技術所創(chuàng)建的副本數(shù)據(jù)，是一種磁盤快照技術，無法保證數(shù)據(jù)的一致性，并且同一時間的磁盤快照只能掛載一份，難以滿足多應用場景的數(shù)據(jù)共享與發(fā)布需求。

3、端到端的CDM：把單純面向恢復的應用場景，變成了面向數(shù)據(jù)使用包括但不限于數(shù)據(jù)共享、數(shù)據(jù)發(fā)布、數(shù)據(jù)分發(fā)的應用場景，通過副本數(shù)據(jù)在各個業(yè)務環(huán)節(jié)的即時可用，為更多的數(shù)據(jù)共享業(yè)務場景提供數(shù)據(jù)支撐。

金融行業(yè)為提升敏捷開發(fā)的效率，通常選擇更注重數(shù)據(jù)服務的端到端的CDM方案，在生產(chǎn)到準生產(chǎn)環(huán)境、生產(chǎn)到開發(fā)測試環(huán)境的數(shù)據(jù)發(fā)布，以及組織內(nèi)部到外部的數(shù)據(jù)提供或數(shù)據(jù)交換等業(yè)務場景應用。

基于CDM技術的敏捷數(shù)據(jù)管理方案，通過一份原始數(shù)據(jù)副本，可快速創(chuàng)建出多個虛擬數(shù)據(jù)副本，這些虛擬數(shù)據(jù)副本相對原始存儲幾乎不占用任何存儲空間，且整個發(fā)布動作可以在分鐘級完成。也就是說，該方案在通過獲取一份生產(chǎn)數(shù)據(jù)作為黃金副本的情況下，可對外發(fā)布多份虛擬數(shù)據(jù)用于準生產(chǎn)、測試環(huán)境等場景的數(shù)據(jù)交付，每一份虛擬數(shù)據(jù)都是獨立的，并且是可讀寫的，數(shù)據(jù)在經(jīng)過變更后，可通過快照進行狀態(tài)保存，多個快照之間可以任意切換，這種數(shù)據(jù)發(fā)布方式比傳統(tǒng)拷貝的方式，方便快捷、耗時短，且虛擬數(shù)據(jù)集中存放在數(shù)據(jù)存儲池中，通過數(shù)據(jù)掛載方式交付給目標環(huán)境使用，實現(xiàn)了數(shù)據(jù)快速交付與管理，并且實現(xiàn)了數(shù)據(jù)的集中管控。

圖片來源：上訊信息

CDM方案還設置了數(shù)據(jù)共享交換區(qū)域，數(shù)據(jù)提供方與接收方的數(shù)據(jù)樹狀拓撲結構，可以詳細展示共享數(shù)據(jù)的來源、所屬存儲池、接收目標的關聯(lián)關系，通過可視化拓撲圖全局預覽數(shù)據(jù)交換階段數(shù)據(jù)發(fā)布的詳細情況，便于排查數(shù)據(jù)共享內(nèi)容合規(guī)性與共享路徑的安全性。

針對向組織外部提供數(shù)據(jù)或數(shù)據(jù)交換的需求，則需要在數(shù)據(jù)發(fā)布之前進行敏感數(shù)據(jù)的脫敏處理，通過應用專業(yè)的數(shù)據(jù)脫敏產(chǎn)品，保障數(shù)據(jù)發(fā)布后的隱私安全，防止核心數(shù)據(jù)泄露，同時需要保證脫敏后數(shù)據(jù)的邏輯關系保持、高仿真度、可用性。

數(shù)據(jù)作為金融業(yè)服務的核心資源，數(shù)據(jù)安全已經(jīng)成為金融信息科技重點的監(jiān)管領域，央行和金融行業(yè)監(jiān)管部門不斷下發(fā)關于金融創(chuàng)新和金融數(shù)據(jù)安全的監(jiān)管要求。通過基于CDM技術的敏捷數(shù)據(jù)管理方案的建設，既滿足金融機構對數(shù)據(jù)流動價值的挖掘需求，也符合國家對金融數(shù)據(jù)使用與監(jiān)控的安全性要求。

（本文作者：上海上訊信息技術股份有限公司吳陽）