摘要:云棲大會數據安全生態專場當天,阿里巴巴集團安全部資深總監侯金剛就此宣布稱,阿里將基于數據安全能力成熟度模型(Data Security Maturity Model, DSMM)推出“數據安全合作伙伴計劃”,希望通過與合作伙伴的協同,共享阿里在數據安全方面的經驗與能力,幫助各企業、行業建立和提升體系化的數據安全能力,以實現全行業生態的可持續發展。
“近年來,國內外發生各種涉及個人信息安全案例,如CSDN遭受攻擊、12306網站信息泄露、徐玉玉案、Yahoo郵箱泄露案、Equifax征信信息泄露案等,根源都是安全風險。”10月14日,中國社會科學院法學研究所研究員周漢華在杭州出席云棲大會“數據經濟 生態共建——數據安全可持續發展”分論壇時稱,大數據發展繞不開個人信息保護問題,實現兩者之間的平衡是數據治理的關鍵。
如何保障數據安全,已成為政府、企業和個人都尤為關注的現象級問題。
云棲大會數據安全生態專場當天,阿里巴巴集團安全部資深總監侯金剛就此宣布稱,阿里將基于數據安全能力成熟度模型(Data Security Maturity Model, DSMM)推出“數據安全合作伙伴計劃”,希望通過與合作伙伴的協同,共享阿里在數據安全方面的經驗與能力,幫助各企業、行業建立和提升體系化的數據安全能力,以實現全行業生態的可持續發展。
首批17家合作伙伴共推DSMM
阿里巴巴安全部資深總監侯金剛表示,全面提升數據安全水平刻不容緩。
數據安全是大數據技術落地、場景價值發揮的前提和保障。阿里巴巴一直在數據安全方面不斷實踐并貢獻自己的經驗。2014年,阿里就率先提出數據安全能力成熟度模型(DSMM)概念,并于2015年將數據安全經驗“標準化”,去年DSMM開始在產業圈落地實踐。
直到今年,包括德勤華永會計師事務所(特殊普通合伙)、安永(中國)企業咨詢有限公司、杭州閃捷信息科技有限公司和立信會計師事務所(特殊普通合伙)等在內的17家安全領域知名咨詢機構、專業服務公司,與阿里聯手展開深度合作,為更多有大數據管理和保護意識、重視大數據價值的組織,提供數據安全專業服務。
在數據安全生態圈中,評估咨詢機構、認證機構和產品解決方案等服務機構,都會根據DSMM各維度標準,評估組織的數據安全能力級別,并通過專業的產品和服務,對需要提升數據安全能力的組織進行專項或綜合性服務,集聚專業的力量提高整個產業生態圈的數據安全水平。
數據安全合作伙伴計劃,希望通過與評估咨詢、認證、產品解決方案等合作伙伴的協同,圍繞數據安全能力成熟度模型,幫助各企業、行業建立和提升體系化的數據安全能力。
DSMM是阿里根據多年數據安全實踐經驗提煉而成,圍繞數據采集、存儲、傳輸、處理、交換、銷毀的六個數據生命周期,在數據安全組織建設、制度流程、技術工具、人員能力四大維度,不斷提升自身數據安全能力積累沉淀而成,阿里希望將數據安全能力建設的經驗積極推廣到生態圈,協同專業的服務商參與,使更多企業受益,共同促進國家大數據經濟的健康發展。
DSMM旨在解決大數據環境下的數據安全管理問題,即專注提升組織機構在業務運營中應對數據安全風險的能力,發現數據安全能力短板、查漏補缺,最終使有數據安全需求的所有組織機構,都能基于統一標準來評估和提升其數據安全能力,甚至是促進大數據產業及數據經濟發展。
阿里巴巴數據安全高級專家潘亮透露,DSMM適用范圍非常廣泛,從現已落地使用的企業來看,涵蓋了銀行、互聯網金融、證券等金融行業,以及百貨零售、電器銷售等零售行業,也包括體育、音樂、視頻等文娛行業,乃至乳制品制造、冶金、電力、物流及互聯網+新型企業等產業領域。
據阿里巴巴集團標準化總監朱紅儒介紹,DSMM除了正在制定國家標準外,阿里也在ITU-T牽頭制定《Security reference architecture for lifecycle management of e-commerce business data》的國際標準,同時在ISO牽頭制定《Big data security capability maturity model》的國際標準研究項目,還在CCSA牽頭制定行業標準《面向互聯網的數據安全能力技術框架》,DSMM今年年底有望正式成為國家標準,向全行業推行。
釘釘、南方電網獲評數據安全標桿企業
從標準架構來看,DSMM會就企業組織建設、制度流程、技術工具和人員能力四個關鍵能力維度,至少30多個安全域進行全方位考核評估,最終將組織機構的數據安全能力劃分“非正式執行”、“計劃跟蹤”、“充分定義”、“量化控制”和“持續優化”,一級至五級的能力成熟等級。
一級是最低等級為“非正式執行”,意味組織的數據安全工作來自于被動需求或隨機展開,并未主動開展數據安全工作。三級是各個企業的基礎目標。等級越高,代表被測評的企業組織機構數據安全管理能力越強。
“只有具備了三級的數據安全能力,才意味這家企業或組織機構能針對數據安全風險進行了全面有效的控制。”會議當天,中國信息通信研究院就基于DSMM的測評,發布了一份“大數據時代數據安全通用最佳實踐”(下稱《報告》)。
《報告》結果認為,依據DSMM對一些目標企業機構的評估發現,目前國內組織機構的數據安全水位線普遍偏低。但其中,釘釘和南方電網的數據安全能力測評結果較好,也因此被評為數據安全標桿企業亮相云棲大會現場。
釘釘智能移動辦公平臺面市于2015年,以淘寶、天貓、支付寶等積累的多年安全經驗為前提,建立了強大的移動辦公生態保障體系,為4300萬中小企業提供“簡單、高效、安全”的服務。
第三方評估專家介紹稱,釘釘和南方電網在數據安全方面依照上述數據安全管理方法展開了相關工作,通過技術創新和大數據運營,有效地對平臺運營過程中數據安全進行了防護。釘釘不僅通過了中國公安部的“信息系統安全等級保護”三級認證,還是2016年杭州G20峰會安全保障的唯一溝通協同平臺。
阿里巴巴釘釘的數據安全負責人羅鋒介紹說,釘釘最大的亮點在于其數據安全保密性高。據稱,釘釘除了自身固有的分布式數據存儲加密系統,還引入了一種獨特的安全服務模式——第三方加密。
“密鑰由第三方托管,相當于給企業數據又加了一把鎖,雙重保險箱保障只有用戶才能打開數據。”羅峰強調,釘釘是企業的釘釘,數據是屬于用戶企業的,既不屬于阿里巴巴,也不屬于釘釘,“我們始終保障只有用戶企業才能打開數據。”
阿里協同合作伙伴構建云數據安全防護墻
基于數據生命周期的云數據安全產品體系
對測評結果偏低或不符合標準要求的組織機構,該如何提升數據安全水位的問題,阿里巴巴也協同合作伙伴提出了自己的解決方案。
目前,阿里云已在與合作伙伴共同打造了一套基于DSMM的數據安全解決方案體系。該體系從單點的數據安全產品模式,進化到多個產品之間相互聯動的解決方案體系,能更好滿足企業各個維度對數據安全的保護。
現階段方案主要還是針對專有云的數據安全解決方案,后續會陸續開展公有云及其他方面的數據安全解決方案建設。解決方案覆蓋了企業的三個方面需求。首先是合規性遵從需求,解決方案會幫助企業更好遵從網絡安全法、等級保護、數據安全能力成熟度模型等法規標準對企業數據安全能力的要求。
其次,專有云、混合云數據安全治理需求,能讓客戶清晰了解云上有多少數據、存儲在哪、數據的敏感級別、數據安全的風險,以及對哪些用戶可以訪問什么級別的數據,哪些用戶訪問了不該訪問的數據等。
再者,數據安全交換需求,保障云上多方數據交換安全,并實現數據流出云邊界時的權限控制、審計及脫敏功能。
“如家的數據已經到一定體量,對外流通的需求也越來越多,但依舊缺少整體的數據安全解決方案支持,這套體系化的解決方案正好符合我們的需求,我們期待能與阿里有更深入的合作。” 基于阿里協同合作伙伴首次提出的云數據安全解決方案,合作伙伴首旅如家酒店集團IT資深副總裁王波在參加分論壇時如是說。
