雲棲大會：數據安全是商業落地的重要基石

圖說：14日下午，中國社會科學院法學研究所研究員周漢華在出席雲棲大會數據安全生態專場時稱，中國個人信息保護立法與數據治理需要借鑒美國與歐盟各自長處，並走出一條獨特的道路，簡單照搬任何一家做法肯定都沒有出路

最近，全球最大的管理諮詢公司埃森哲因為伺服器配置不當，導致大量敏感數據公開。埃森哲至少4台託管在亞馬遜S3存儲服務上的雲存儲伺服器數據被暴露在網上。其企業雲平台中包括API數據、身份驗證憑證、證書、加密密鑰、客戶信息，以及能被攻擊者用來攻擊埃森哲及其客戶的數百GB數據都可以被網友隨意下載，致使其服務的數百家《財富》世界500強企業將被置於惡意攻擊的風險之中。

值得注意的是，埃森哲不是第一家出現這種數據泄密事件的公司。此前，德勤、亞馬遜等都出現過類似的數據泄露問題，其最終原因多是因為企業安全防範意識不足，伺服器缺少保護措施，讓黑客等有了可趁之機。

阿里巴巴安全部資深總監侯金剛表示：「近年來，國內外發生各種涉及個人信息安全案例，如CSDN遭受攻擊、12306網站信息泄露、徐玉玉案、Yahoo郵箱泄露案、Equifax徵信信息泄露案等，根源都是安全風險。」11月14日，中國社會科學院法學研究所研究員周漢華在杭州出席雲棲大會「數據經濟 生態共建——數據安全可持續發展」分論壇時稱，大數據發展繞不開個人信息保護問題，實現兩者之間的平衡是數據治理的關鍵。

如何保障數據安全？已成為政府、企業和個人都尤為關注的現象級問題。

雲棲大會數據安全生態專場當天，阿里巴巴集團安全部資深總監侯金剛就此宣布稱，阿里將基於數據安全能力成熟度模型(Data Security Maturity Model, DSMM)推出「數據安全合作夥伴計劃」，希望通過與合作夥伴的協同，共享阿里在數據安全方面的經驗與能力，幫助各企業、行業建立和提升體系化的數據安全能力，以實現全行業生態的可持續發展。

首批17家合作夥伴共推DSMM

阿里巴巴安全部資深總監侯金剛表示，全面提升數據安全水平刻不容緩

數據安全是大數據技術落地、場景價值發揮的前提和保障。無論在什麼行業做生意，最終都是數據的生意，阿里巴巴一直在數據安全方面不斷實踐並貢獻自己的經驗。2014年，阿里就率先提出數據安全能力成熟度模型(DSMM)概念，並於2015年將數據安全經驗「標準化」，去年DSMM開始在產業圈落地實踐。

直到今年，包括德勤華永會計師事務所(特殊普通合夥)、安永(中國)企業諮詢有限公司、杭州閃捷信息科技有限公司和立信會計師事務所(特殊普通合夥)等在內的17家安全領域知名諮詢機構、專業服務公司，與阿里聯手展開深度合作，為更多有大數據管理和保護意識、重視大數據價值的組織，提供數據安全專業服務。

在數據安全生態圈中，評估諮詢機構、認證機構和產品解決方案等服務機構，都會根據DSMM各維度標準，評估組織的數據安全能力級別，並通過專業的產品和服務，對需要提升數據安全能力的組織進行專項或綜合性服務，集聚專業的力量提高整個產業生態圈的數據安全水平。

數據安全合作夥伴計劃，希望通過與評估諮詢、認證、產品解決方案等合作夥伴的協同，圍繞數據安全能力成熟度模型，幫助各企業、行業建立和提升體系化的數據安全能力

DSMM是阿里根據多年數據安全實踐經驗提煉而成，圍繞數據採集、存儲、傳輸、處理、交換、銷毀的六個數據生命周期，在數據安全組織建設、制度流程、技術工具、人員能力四大維度，不斷提升自身數據安全能力積累沉澱而成，阿里希望將數據安全能力建設的經驗積極推廣到生態圈，協同專業的服務商參與，使更多企業受益，共同促進國家大數據經濟的健康發展。

目的旨在要解決大數據環境下的數據安全管理問題，即專註提升組織機構在業務運營中應對數據安全風險的能力，發現數據安全能力短板、查漏補缺，最終使有數據安全需求的所有組織機構，都能基於統一標準來評估和提升其數據安全能力，甚至是促進大數據產業及數據經濟發展。

阿里巴巴數據安全高級專家潘亮透露，DSMM適用範圍非常廣泛，從現已落地使用的企業來看，涵蓋了銀行、互聯網金融、證券等金融行業，以及百貨零售、電器銷售等零售行業，也包括體育、音樂、視頻等文娛行業，乃至乳製品製造、冶金、電力、物流及互聯網+新型企業等產業領域。

據阿里巴巴集團標準化總監朱紅儒介紹，DSMM除了正在制定國家標準外，阿里也在ITU-T牽頭制定《Security reference architecture for lifecycle management of e-commerce business data》的國際標準，同時在ISO牽頭制定《Big data security capability maturity model》的國際標準研究項目，還在CCSA牽頭制定行業標準《面向互聯網的數據安全能力技術框架》，DSMM今年年底有望正式成為國家標準，向全行業推行。

釘釘、南方電網獲評數據安全標杆企業

從標準架構來看，DSMM會就企業組織建設、制度流程、技術工具和人員能力四個關鍵能力維度，至少30多個安全域進行全方位考核評估，最終將組織機構的數據安全能力劃分「非正式執行」、「計劃跟蹤」、「充分定義」、「量化控制」和「持續優化」，一級至五級的能力成熟等級。

一級是最低等級為「非正式執行」，意味組織的數據安全工作來自於被動需求或隨機展開，並未主動開展數據安全工作。三級是各個企業的基礎目標。等級越高，代表被測評的企業組織機構數據安全管理能力越強。

「只有具備了三級的數據安全能力，才意味這家企業或組織機構能針對數據安全風險進行了全面有效的控制。」會議當天，中國信息通信研究院就基於DSMM的測評，發布了一份「大數據時代數據安全通用最佳實踐」(下稱《報告》)。

《報告》結果認為，依據DSMM對一些目標企業機構的評估發現，目前國內組織機構的數據安全水位線普遍偏低。

但其中，釘釘和南方電網的數據安全能力測評結果較好，也因此被評為數據安全標杆企業亮相雲棲大會現場。

釘釘智能移動辦公平檯面市於2015年，以淘寶、天貓、支付寶等積累的多年安全經驗為前提，建立了強大的移動辦公生態保障體系，為4300萬中小企業提供「簡單、高效、安全」的服務。

第三方評估專家介紹稱，釘釘和南方電網在數據安全方面依照上述數據安全管理方法展開了相關工作，通過技術創新和大數據運營，有效地對平台運營過程中數據安全進行了防護。

且釘釘不僅通過了中國公安部的「信息系統安全等級保護」三級認證，還是2016年杭州G20峰會安全保障的唯一溝通協同平台。

阿里巴巴釘釘的數據安全負責人羅鋒介紹說，釘釘最大的亮點在於其數據安全保密性高。據稱，釘釘除了自身固有的分散式數據存儲加密系統，還引入了一種獨特的安全服務模式——第三方加密。

「密鑰由第三方託管，相當於給企業數據又加了一把鎖，雙重保險箱保障只有用戶才能打開數據。」羅峰強調，釘釘是企業的釘釘，數據是屬於用戶企業的，既不屬於阿里巴巴，也不屬於釘釘，「我們始終保障只有用戶企業才能打開數據。」

阿里協同合作夥伴構建雲數據安全防護牆

基於數據生命周期的雲數據安全產品體系

對測評結果偏低或不符合標準要求的組織機構，該如何提升數據安全水位的問題，阿里巴巴也協同合作夥伴提出了自己的解決方案。

目前，阿里雲已在與合作夥伴共同打造了一套基於DSMM的數據安全解決方案體系。該體系從單點的數據安全產品模式，進化到多個產品之間相互聯動的解決方案體系，能更好滿足企業各個維度對數據安全的保護。

現階段方案主要還是針對專有雲的數據安全解決方案，後續會陸續開展公有雲及其他方面的數據安全解決方案建設。

解決方案覆蓋了企業的三個方面需求。首先是合規性遵從需求，解決方案會幫助企業更好遵從網路安全法、等級保護、數據安全能力成熟度模型等法規標準對企業數據安全能力的要求。

其次，專有雲、混合雲數據安全治理需求，能讓客戶清晰了解雲上有多少數據、存儲在哪、數據的敏感級別、數據安全的風險，以及對哪些用戶可以訪問什麼級別的數據，哪些用戶訪問了不該訪問的數據等。

再者，數據安全交換需求，保障雲上多方數據交換安全，並實現數據流出雲邊界時的許可權控制、審計及脫敏功能。

「如家的數據已經到一定體量，對外流通的需求也越來越多，但依舊缺少整體的數據安全解決方案支持，這套體系化的解決方案正好符合我們的需求，我們期待能與阿里有更深入的合作。」 基於阿里協同合作夥伴首次提出的雲數據安全解決方案，合作夥伴首旅如家酒店集團IT資深副總裁王波在參加分論壇時如是說。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！