「数智开发平台DanaStudio V5.0」正式发布!助力构建数据安全治理体系

前 言

随着各行业数字化转型加速推进,数据的价值正在被人们越来越多的认知提及。国家亦出台多项政策,明确数据要素的基础性、战略性地位,要求加强数据资源整合、应用于安全管理,提升数据资源价值。

数据安全风险与数字经济发展如影随形,推进科学有效的数据安全治理,才能确保数据的有效保护与合法利用,保障数字经济的持续健康发展。

当前,传统的信息安全更多关注的是网络安全、终端安全、系统安全等基础设施领域,而大数据场景的业务具备系统融合、数据融合、标准融合、应用统一等特点,数据安全的管理需要渗入到数据归集、数据治理、数据管理、数据共享、数据应用等全生命周期流程中。

只有进行深度的安全监测与合规管控,才能保障大数据场景下的数据可信、可用、可开放,这也对大数据工程建设中的工具栈提出了更高的数据安全保障要求。

近日,德拓信息大数据工具栈之一的数智开发平台DanaStudio V5.0正式对外发布!其立足于德拓信息在政务、金融、教育、公安、交通、传媒等行业的数据开发场景,致力于大数据工程的工具化快速交付和开发,对项目需求和客户价值不断探索,将数据安全理念融入到产品的开发设计中,打造了基于大数据生产流程的数据安全架构体系。

构建数据安全建设体系

DanaStudio V5.0构建的数据安全架构体系主要包括「数据通用安全能力」「数据全生命周期安全」两大方向,从技术保障、通用能力、数据全生命周期等多个方面、多个层次保障数据流动的安全,确保数据在“采集、存储、管理、应用”等各个环节的安全。

安全技术保障

DanaStudio 作为大数据建设中的重要平台工具,安全技术层面围绕系统架构进行分层式安全闭环管理,确保系统基础的运行安全,保障上层应用设施的数据安全:

系统层面采用「稳定系统版本」与「定期漏洞修复」确保安全性;

接口层面通过加密与校验机制确保接口数据的防盗止泄与访问安全;

应用层通过「证书加密」、「页面水印」来保障终端使用安全;

数据层采用「分布式集群存储」与「传输加密」以保障数据隐私性和完整性;

平台设施层通过「用户管理」与「网络管理」确保其网络与主机安全,从五级分层构筑数据安全架构的通用安全技术保障。

基础安全保障

从数据安全的基础保障上出发,DanaStudio划分以下六种能力项,作为系统基础能力保障数据安全:

「鉴别访问」

旨在通过平台权限体系与定期令牌,禁止未认证的访问请求,防范用户仿冒风险。

「权限管控」

通过提供灵活而细致的用户权限管理机制,确保用户在系统中的功能操作、数据操作、资源操作权限不越界。

「日志审计」

日志审计的安全目标则是自动记录所有的访问请求,提供事后审计分析,当安全事件发生时,快速定位到责任人及问题发生原因。

「监测预警」&「应急恢复」

通过对平台资源的常态化监控,在环境或组件故障的第一时间感知、告警,并结合应急恢复中系统数据任务及应用服务的自恢复能力,确保系统运行的健壮性,提供数据安全有力保障。

「分级分类」

分级分类是数据安全管理的核心命题,也是贯穿数据安全治理的通用安全能力。在数据安全治理的实际操作中,需要对数据进行有效的分层管理,避免一刀切的控制方式。

同时,辅以编目、标签的管理方式对数据进行资源切分、敏感等级、开放审核的精细化分类,使得数据在治理共享和安全保障之间获得平衡。

数据全生命周期安全

要保障数据在“采集、存储、管理、应用”等各个环节的安全,就必须对数据全流转过程进行规范和约束。

DanaStudio 搭建了面向数据全生命周期的安全管理体系,包含「数据采集安全」、「数据传输安全」、「数据存储安全」、「数据处理安全」、「数据共享安全」和「数据销毁安全」,有效降低与管控数据安全风险。

> 数据采集安全

数据采集安全是整个数据安全生命周期的第一个过程,后续工作也都将以此为基础展开。

对数据来源安全的管理,主要是对数据源统一管理、分类和标识,便于必要时刻的追踪和溯源。

建立统一、规范的数据采集流程,以保证各类异构数据源在采集流程的操作统一性、记录完整性、数据一致性。

> 数据传输安全

旨在管控数据在网络传输阶段的安全,这也是常发生数据安全事故的阶段,如数据泄露、数据窃取、数据篡改。

DanaStudio在数据传输中使用双层加密手段,确保敏感数据的传输不被截取,及即使被截取后也无法解析获取数据内容。

平台支持界面化的加密设置,几步操作即可开启多种加密策略,如SFTP加密传输、SSL端到端认证。

> 数据存储安全

数据存储安全是数据中心建设安全和组织管理安全的重要部分,涉及数据完整性、保密性和可用性三个方面。

╸ DanaStudio数据存储引擎采用分布式存储架构,保证数据资产数据的高效访问:

   * 支持多副本备份策略,保证资产数据的可靠不丢失;

   * 具备弹性扩展计算与存储的特性,满足数据资产的增减场景;

╸ 支持对数据资产中的敏感表、字段进行不同敏感等级的标记,便于数据的分级分类管理;

╸ 系统通过认证鉴权、权限管理机制,以保证资源数据的操作安全性。

> 数据处理安全

数据处理阶段包括对数据的清洗、质检、加工、分析等过程,此阶段对于数据的接触最深入,相应的安全风险也较大。

DanaStudio在数据处理安全方面,核心聚焦在敏感数据的管理能力,通过敏感数据识别、标记存储、脱敏处理等手段贯穿整个大数据的安全建设过程。

平台支持管理敏感数据的识别规则与识别模板,在数据治理过程中,按照字段名、字段注释、字段内容三种途径识别出敏感数据,打上不同敏感等级标识,并在资产中展示。

相应的,敏感数据的共享使用常需要脱敏处理。平台支持按照数据分类分级要求对脱敏规则进行定义,如替换、截取、加密和自定义脱敏算法,在数据的落地输出阶段有选择性的对敏感数据进行脱敏处理,贴近业务合规性安全要求。

> 数据共享安全

数据共享阶段涉及数据对外提供服务,数据安全风险高,重要程度不言而喻。

DanaStudio采取严格的安全保护措施以保障共享开放数据的完整性、保密性和可用性,防止数据丢失、篡改、假冒和泄露,以常见的数据共享方式为例:

「API服务共享」

采用HTTPS保障数据加密传输过程,通过Token认证、黑/白名单与流量管控机制,实现对数据使用者的身份鉴别和访问控制,防止恶意的网络攻击与流量攻击。

「离线文件共享」

通过文件强密码锁,保证数据有效的访问控制;

支持文件水印策略,既保持数据的原始特征不受影响,又具备在数据泄漏后追溯到源头信息。

「库表推送共享」

库表推送共享具备与数据采集同等级的安全策略。同时,各类数据共享方式中,均支持定义需共享数据范围和数据审批流程,确保所共享数据没有超出业务使用的授权范围。此外,提供详细的共享日志记录,为数据安全事件的处置、应急响应和事后调查提供有力帮助。

其他新特性

DanaStudio V5.0在构建数据安全架构体系之外,还包含以下新特性:

╸ 初步具备数据流计算能力,新增实时元数据管理与计算模块

╸ 新增数据推送接口,可对接API流数据采集场景

╸ 增强数据采集效率,支持批量创建增量采集任务

╸ 完善任务调度机制,支持配置固定频率调度策略

╸ 丰富产品生态,兼容银河麒麟操作系统,适配达梦、优炫、MaxCompute数据库

DanaStudio秉持效能工具的理念,坚持自主研发、安全可控的技术驱动路线,提供工具化、无代码化、自动化、全流程化的数智开发平台,降低大数据项目实施建设的技术成本,聚焦场景化的数据价值挖掘。

写在最后

伴随着数据经济的不断深入,以及智联网、人工智能、工业互联等前沿科技的持续探索,作为数据要素核心基础建设的大数据领域更尤为重要。

让数据的质量更加准确完整,安全合规,从而释放出数据的无限潜能,挖掘出更多有价值的数据应用,赋能给更多的领域与客户,将会是德拓信息大数据工具栈在未来相当长时间内的战略目标。