摘要:云棲大會數(shù)據(jù)安全生態(tài)專場當天,阿里巴巴集團安全部資深總監(jiān)侯金剛就此宣布稱苹粟,阿里將基于數(shù)據(jù)安全能力成熟度模型(Data Security Maturity Model, DSMM)推出“數(shù)據(jù)安全合作伙伴計劃”止潮,希望通過與合作伙伴的協(xié)同墨技,共享阿里在數(shù)據(jù)安全方面的經(jīng)驗與能力警没,幫助各企業(yè)刑然、行業(yè)建立和提升體系化的數(shù)據(jù)安全能力作烟,以實現(xiàn)全行業(yè)生態(tài)的可持續(xù)發(fā)展愉粤。
“近年來,國內(nèi)外發(fā)生各種涉及個人信息安全案例拿撩,如CSDN遭受攻擊衣厘、12306網(wǎng)站信息泄露、徐玉玉案压恒、Yahoo郵箱泄露案影暴、Equifax征信信息泄露案等,根源都是安全風險探赫⌒椭妫”10月14日,中國社會科學院法學研究所研究員周漢華在杭州出席云棲大會“數(shù)據(jù)經(jīng)濟 生態(tài)共建——數(shù)據(jù)安全可持續(xù)發(fā)展”分論壇時稱伦吠,大數(shù)據(jù)發(fā)展繞不開個人信息保護問題妆兑,實現(xiàn)兩者之間的平衡是數(shù)據(jù)治理的關(guān)鍵。
如何保障數(shù)據(jù)安全毛仪,已成為政府搁嗓、企業(yè)和個人都尤為關(guān)注的現(xiàn)象級問題。
云棲大會數(shù)據(jù)安全生態(tài)專場當天潭千,阿里巴巴集團安全部資深總監(jiān)侯金剛就此宣布稱谱姓,阿里將基于數(shù)據(jù)安全能力成熟度模型(Data Security Maturity Model, DSMM)推出“數(shù)據(jù)安全合作伙伴計劃”,希望通過與合作伙伴的協(xié)同刨晴,共享阿里在數(shù)據(jù)安全方面的經(jīng)驗與能力,幫助各企業(yè)路翻、行業(yè)建立和提升體系化的數(shù)據(jù)安全能力狈癞,以實現(xiàn)全行業(yè)生態(tài)的可持續(xù)發(fā)展。
首批17家合作伙伴共推DSMM
阿里巴巴安全部資深總監(jiān)侯金剛表示茂契,全面提升數(shù)據(jù)安全水平刻不容緩蝶桶。
數(shù)據(jù)安全是大數(shù)據(jù)技術(shù)落地、場景價值發(fā)揮的前提和保障掉冶。阿里巴巴一直在數(shù)據(jù)安全方面不斷實踐并貢獻自己的經(jīng)驗真竖。2014年脐雪,阿里就率先提出數(shù)據(jù)安全能力成熟度模型(DSMM)概念,并于2015年將數(shù)據(jù)安全經(jīng)驗“標準化”恢共,去年DSMM開始在產(chǎn)業(yè)圈落地實踐战秋。
直到今年,包括德勤華永會計師事務所(特殊普通合伙)讨韭、安永(中國)企業(yè)咨詢有限公司脂信、杭州閃捷信息科技有限公司和立信會計師事務所(特殊普通合伙)等在內(nèi)的17家安全領域知名咨詢機構(gòu)、專業(yè)服務公司透硝,與阿里聯(lián)手展開深度合作狰闪,為更多有大數(shù)據(jù)管理和保護意識、重視大數(shù)據(jù)價值的組織濒生,提供數(shù)據(jù)安全專業(yè)服務埋泵。
在數(shù)據(jù)安全生態(tài)圈中,評估咨詢機構(gòu)罪治、認證機構(gòu)和產(chǎn)品解決方案等服務機構(gòu)丽声,都會根據(jù)DSMM各維度標準,評估組織的數(shù)據(jù)安全能力級別规阀,并通過專業(yè)的產(chǎn)品和服務恒序,對需要提升數(shù)據(jù)安全能力的組織進行專項或綜合性服務,集聚專業(yè)的力量提高整個產(chǎn)業(yè)生態(tài)圈的數(shù)據(jù)安全水平谁撼。
數(shù)據(jù)安全合作伙伴計劃歧胁,希望通過與評估咨詢、認證厉碟、產(chǎn)品解決方案等合作伙伴的協(xié)同喊巍,圍繞數(shù)據(jù)安全能力成熟度模型,幫助各企業(yè)箍鼓、行業(yè)建立和提升體系化的數(shù)據(jù)安全能力崭参。
DSMM是阿里根據(jù)多年數(shù)據(jù)安全實踐經(jīng)驗提煉而成,圍繞數(shù)據(jù)采集款咖、存儲何暮、傳輸、處理铐殃、交換海洼、銷毀的六個數(shù)據(jù)生命周期,在數(shù)據(jù)安全組織建設富腊、制度流程坏逢、技術(shù)工具、人員能力四大維度,不斷提升自身數(shù)據(jù)安全能力積累沉淀而成是整,阿里希望將數(shù)據(jù)安全能力建設的經(jīng)驗積極推廣到生態(tài)圈肖揣,協(xié)同專業(yè)的服務商參與,使更多企業(yè)受益浮入,共同促進國家大數(shù)據(jù)經(jīng)濟的健康發(fā)展龙优。
DSMM旨在解決大數(shù)據(jù)環(huán)境下的數(shù)據(jù)安全管理問題,即專注提升組織機構(gòu)在業(yè)務運營中應對數(shù)據(jù)安全風險的能力舵盈,發(fā)現(xiàn)數(shù)據(jù)安全能力短板陋率、查漏補缺,最終使有數(shù)據(jù)安全需求的所有組織機構(gòu)秽晚,都能基于統(tǒng)一標準來評估和提升其數(shù)據(jù)安全能力瓦糟,甚至是促進大數(shù)據(jù)產(chǎn)業(yè)及數(shù)據(jù)經(jīng)濟發(fā)展。
阿里巴巴數(shù)據(jù)安全高級專家潘亮透露赴蝇,DSMM適用范圍非常廣泛菩浙,從現(xiàn)已落地使用的企業(yè)來看,涵蓋了銀行句伶、互聯(lián)網(wǎng)金融劲蜻、證券等金融行業(yè),以及百貨零售考余、電器銷售等零售行業(yè)先嬉,也包括體育、音樂楚堤、視頻等文娛行業(yè)疫蔓,乃至乳制品制造、冶金身冬、電力衅胀、物流及互聯(lián)網(wǎng)+新型企業(yè)等產(chǎn)業(yè)領域。
據(jù)阿里巴巴集團標準化總監(jiān)朱紅儒介紹酥筝,DSMM除了正在制定國家標準外滚躯,阿里也在ITU-T牽頭制定《Security reference architecture for lifecycle management of e-commerce business data》的國際標準,同時在ISO牽頭制定《Big data security capability maturity model》的國際標準研究項目嘿歌,還在CCSA牽頭制定行業(yè)標準《面向互聯(lián)網(wǎng)的數(shù)據(jù)安全能力技術(shù)框架》掸掏,DSMM今年年底有望正式成為國家標準,向全行業(yè)推行宙帝。
釘釘阅束、南方電網(wǎng)獲評數(shù)據(jù)安全標桿企業(yè)
從標準架構(gòu)來看,DSMM會就企業(yè)組織建設茄唐、制度流程、技術(shù)工具和人員能力四個關(guān)鍵能力維度,至少30多個安全域進行全方位考核評估沪编,最終將組織機構(gòu)的數(shù)據(jù)安全能力劃分“非正式執(zhí)行”呼盆、“計劃跟蹤”、“充分定義”蚁廓、“量化控制”和“持續(xù)優(yōu)化”访圃,一級至五級的能力成熟等級。
一級是最低等級為“非正式執(zhí)行”相嵌,意味組織的數(shù)據(jù)安全工作來自于被動需求或隨機展開腿时,并未主動開展數(shù)據(jù)安全工作。三級是各個企業(yè)的基礎目標饭宾。等級越高批糟,代表被測評的企業(yè)組織機構(gòu)數(shù)據(jù)安全管理能力越強。
“只有具備了三級的數(shù)據(jù)安全能力看铆,才意味這家企業(yè)或組織機構(gòu)能針對數(shù)據(jù)安全風險進行了全面有效的控制徽鼎。”會議當天弹惦,中國信息通信研究院就基于DSMM的測評否淤,發(fā)布了一份“大數(shù)據(jù)時代數(shù)據(jù)安全通用最佳實踐”(下稱《報告》)。
《報告》結(jié)果認為棠隐,依據(jù)DSMM對一些目標企業(yè)機構(gòu)的評估發(fā)現(xiàn)石抡,目前國內(nèi)組織機構(gòu)的數(shù)據(jù)安全水位線普遍偏低。但其中助泽,釘釘和南方電網(wǎng)的數(shù)據(jù)安全能力測評結(jié)果較好啰扛,也因此被評為數(shù)據(jù)安全標桿企業(yè)亮相云棲大會現(xiàn)場。
釘釘智能移動辦公平臺面市于2015年报咳,以淘寶侠讯、天貓、支付寶等積累的多年安全經(jīng)驗為前提暑刃,建立了強大的移動辦公生態(tài)保障體系厢漩,為4300萬中小企業(yè)提供“簡單、高效岩臣、安全”的服務溜嗜。
第三方評估專家介紹稱,釘釘和南方電網(wǎng)在數(shù)據(jù)安全方面依照上述數(shù)據(jù)安全管理方法展開了相關(guān)工作架谎,通過技術(shù)創(chuàng)新和大數(shù)據(jù)運營炸宵,有效地對平臺運營過程中數(shù)據(jù)安全進行了防護。釘釘不僅通過了中國公安部的“信息系統(tǒng)安全等級保護”三級認證谷扣,還是2016年杭州G20峰會安全保障的唯一溝通協(xié)同平臺土全。
阿里巴巴釘釘?shù)臄?shù)據(jù)安全負責人羅鋒介紹說捎琐,釘釘最大的亮點在于其數(shù)據(jù)安全保密性高。據(jù)稱裹匙,釘釘除了自身固有的分布式數(shù)據(jù)存儲加密系統(tǒng)瑞凑,還引入了一種獨特的安全服務模式——第三方加密。
“密鑰由第三方托管概页,相當于給企業(yè)數(shù)據(jù)又加了一把鎖籽御,雙重保險箱保障只有用戶才能打開數(shù)據(jù)《璩祝”羅峰強調(diào)技掏,釘釘是企業(yè)的釘釘,數(shù)據(jù)是屬于用戶企業(yè)的项鬼,既不屬于阿里巴巴哑梳,也不屬于釘釘,“我們始終保障只有用戶企業(yè)才能打開數(shù)據(jù)秃臣〗а茫”
阿里協(xié)同合作伙伴構(gòu)建云數(shù)據(jù)安全防護墻
基于數(shù)據(jù)生命周期的云數(shù)據(jù)安全產(chǎn)品體系
對測評結(jié)果偏低或不符合標準要求的組織機構(gòu),該如何提升數(shù)據(jù)安全水位的問題奥此,阿里巴巴也協(xié)同合作伙伴提出了自己的解決方案弧哎。
目前,阿里云已在與合作伙伴共同打造了一套基于DSMM的數(shù)據(jù)安全解決方案體系稚虎。該體系從單點的數(shù)據(jù)安全產(chǎn)品模式撤嫩,進化到多個產(chǎn)品之間相互聯(lián)動的解決方案體系,能更好滿足企業(yè)各個維度對數(shù)據(jù)安全的保護蠢终。
現(xiàn)階段方案主要還是針對專有云的數(shù)據(jù)安全解決方案序攘,后續(xù)會陸續(xù)開展公有云及其他方面的數(shù)據(jù)安全解決方案建設。解決方案覆蓋了企業(yè)的三個方面需求寻拂。首先是合規(guī)性遵從需求程奠,解決方案會幫助企業(yè)更好遵從網(wǎng)絡安全法、等級保護祭钉、數(shù)據(jù)安全能力成熟度模型等法規(guī)標準對企業(yè)數(shù)據(jù)安全能力的要求瞄沙。
其次,專有云慌核、混合云數(shù)據(jù)安全治理需求距境,能讓客戶清晰了解云上有多少數(shù)據(jù)、存儲在哪垮卓、數(shù)據(jù)的敏感級別垫桂、數(shù)據(jù)安全的風險,以及對哪些用戶可以訪問什么級別的數(shù)據(jù)粟按,哪些用戶訪問了不該訪問的數(shù)據(jù)等诬滩。
再者霹粥,數(shù)據(jù)安全交換需求,保障云上多方數(shù)據(jù)交換安全碱呼,并實現(xiàn)數(shù)據(jù)流出云邊界時的權(quán)限控制蒙挑、審計及脫敏功能。
“如家的數(shù)據(jù)已經(jīng)到一定體量愚臀,對外流通的需求也越來越多,但依舊缺少整體的數(shù)據(jù)安全解決方案支持矾利,這套體系化的解決方案正好符合我們的需求姑裂,我們期待能與阿里有更深入的合作∧衅欤” 基于阿里協(xié)同合作伙伴首次提出的云數(shù)據(jù)安全解決方案舶斧,合作伙伴首旅如家酒店集團IT資深副總裁王波在參加分論壇時如是說。
