更新时间:2022-04-22 GMT+08:00
分享

概述

企业在进行数据治理时,应当做好以下几个方面的管理,以防止数据泄露。

  1. 做好数据分级管理。综合国家安全、公众权益、个人隐私和企业合法利益等因素,制定数据分级标准,基于全局数据资产目录将数据进行分级。
  2. 做好精细化授权。针对不同等级数据采取差异化的控制措施,实现数据精细化管理。授权要遵循“用户授权、最小够用、全程防护”原则。
  3. 做好数据共享管理。规范数据共享流程,确保数据使用方在依法合规、保障安全前提下,根据业务需要申请使用数据。数据所有方按规则审核确定数据使用范围、共享方式等,通过数据交换机制实现数据有序流转和安全应用。
  4. 做好审计和风险识别。做好数据使用记录,做到数据使用行为能全流程回溯审计。充分评估潜在风险,建立动态实时的风险识别和报警机制,及时发现风险和处置风险。
  5. 做好数据全生命周期安全管理。加强数据全生命周期安全管理,严防用户数据的泄露、篡改和滥用。比如:采集环节,要向被采集用户进行明示,明确告知采集和使用的目的、方式以及范围,在获取用户授权后方可采集;在存储环节,通过特征提取、标记化等技术将原始信息进行脱敏,并与关联性较高的敏感信息进行安全隔离、分散存储,严控访问权限,降低数据泄露风险;在使用环节,借助模型运算、多方安全计算等技术,在不归集、不共享原始数据前提下,仅向外提供脱敏后的计算结果。

数据安全为数据湖提供数据生命周期内统一的数据使用保护能力。通过敏感数据识别、分级分类、隐私保护、资源权限控制、数据加密传输、加密存储以及数据风险识别等措施,帮助您建立安全预警机制,增强整体安全防护能力,让数据可用不可得和安全合规。

数据安全组件当前仅在上海一发布,后续会逐渐在其他区域上线。

使用场景

在某集团内部,不同部门间的敏感数据隔离,出于数据安全考虑要求员工只能看到所在部门的数据。这时候需要针对不同用户或者角色增加数据访问权限控制,防止越权使用行为。

从某些角度来看,根据输入参数在上层接口中对返回结果集进行过滤也能达到限制访问的目的,但是这不仅增加了数据使用接口开发的难度,而且混淆了数据控制者和数据处理者的职责。原则上,数据控制者需要定义数据使用权限,数据处理者按照指示使用数据。数据安全更多的面向的数据控制者。通过数据安全,数据控制者可以根据不同的用户或角色定义不同的数据行为使用策略,而不需要根据不同的使用角色实现不同的接口访问策略。从数据保护的角度来看,直接从存储引擎侧定义访问控制策略也能更好的起到权限控制的作用。

特点优势

  • 相比于大数据组件自带的权限访问控制,数据安全融合了不同的大数据组件,如HDFS、HBASE、HIVE、YARN、STORM、KAFKA等,给用户带来了统一的权限配置入口,极大的提高了易用性和可维护性。
  • 华为云上的大数据组件统一管理,如MRS,DLI等,并且具备多集群管理能力。
  • 丰富的审计能力,包括授权行为审计和数据使用行为审计。

功能介绍

数据安全包括如下功能:

  • 访问权限管理

    访问权限管理通过创建权限策略实现对资源的访问控制。

  • 敏感数据识别

    敏感数据识别通过用户创建或内置的数据识别规则和规则组自动发现敏感数据并进行分级分类。

  • 隐私保护管理

    隐私保护通过数据静态脱敏、数据水印两种方式实现敏感数据保护的功能。

限制说明

数据安全组件不支持对接MRS非安全集群或存算分离的场景。

分享:

    相关文档

    相关产品

close