阿里首推“数据安全合作伙伴计划” 构建数据安全生态

本文涉及的产品
云原生大数据计算服务 MaxCompute,5000CU*H 100GB 3个月
数据安全中心,免费版
云原生大数据计算服务MaxCompute,500CU*H 100GB 3个月
简介: 云栖大会数据安全生态专场当天,阿里巴巴集团安全部资深总监侯金刚就此宣布称,阿里将基于数据安全能力成熟度模型(Data Security Maturity Model, DSMM)推出“数据安全合作伙伴计划”,希望通过与合作伙伴的协同,共享阿里在数据安全方面的经验与能力,帮助各企业、行业建立和提升体系化的数据安全能力,以实现全行业生态的可持续发展。


image


“近年来,国内外发生各种涉及个人信息安全案例,如CSDN遭受攻击、12306网站信息泄露、徐玉玉案、Yahoo邮箱泄露案、Equifax征信信息泄露案等,根源都是安全风险。”10月14日,中国社会科学院法学研究所研究员周汉华在杭州出席云栖大会“数据经济 生态共建——数据安全可持续发展”分论坛时称,大数据发展绕不开个人信息保护问题,实现两者之间的平衡是数据治理的关键。

如何保障数据安全,已成为政府、企业和个人都尤为关注的现象级问题。

云栖大会数据安全生态专场当天,阿里巴巴集团安全部资深总监侯金刚就此宣布称,阿里将基于数据安全能力成熟度模型(Data Security Maturity Model, DSMM)推出“数据安全合作伙伴计划”,希望通过与合作伙伴的协同,共享阿里在数据安全方面的经验与能力,帮助各企业、行业建立和提升体系化的数据安全能力,以实现全行业生态的可持续发展。

首批17家合作伙伴共推DSMM


image
阿里巴巴安全部资深总监侯金刚表示,全面提升数据安全水平刻不容缓。

数据安全是大数据技术落地、场景价值发挥的前提和保障。阿里巴巴一直在数据安全方面不断实践并贡献自己的经验。2014年,阿里就率先提出数据安全能力成熟度模型(DSMM)概念,并于2015年将数据安全经验“标准化”,去年DSMM开始在产业圈落地实践。

直到今年,包括德勤华永会计师事务所(特殊普通合伙)、安永(中国)企业咨询有限公司、杭州闪捷信息科技有限公司和立信会计师事务所(特殊普通合伙)等在内的17家安全领域知名咨询机构、专业服务公司,与阿里联手展开深度合作,为更多有大数据管理和保护意识、重视大数据价值的组织,提供数据安全专业服务。

在数据安全生态圈中,评估咨询机构、认证机构和产品解决方案等服务机构,都会根据DSMM各维度标准,评估组织的数据安全能力级别,并通过专业的产品和服务,对需要提升数据安全能力的组织进行专项或综合性服务,集聚专业的力量提高整个产业生态圈的数据安全水平。


image


数据安全合作伙伴计划,希望通过与评估咨询、认证、产品解决方案等合作伙伴的协同,围绕数据安全能力成熟度模型,帮助各企业、行业建立和提升体系化的数据安全能力。

DSMM是阿里根据多年数据安全实践经验提炼而成,围绕数据采集、存储、传输、处理、交换、销毁的六个数据生命周期,在数据安全组织建设、制度流程、技术工具、人员能力四大维度,不断提升自身数据安全能力积累沉淀而成,阿里希望将数据安全能力建设的经验积极推广到生态圈,协同专业的服务商参与,使更多企业受益,共同促进国家大数据经济的健康发展。

DSMM旨在解决大数据环境下的数据安全管理问题,即专注提升组织机构在业务运营中应对数据安全风险的能力,发现数据安全能力短板、查漏补缺,最终使有数据安全需求的所有组织机构,都能基于统一标准来评估和提升其数据安全能力,甚至是促进大数据产业及数据经济发展。

阿里巴巴数据安全高级专家潘亮透露,DSMM适用范围非常广泛,从现已落地使用的企业来看,涵盖了银行、互联网金融、证券等金融行业,以及百货零售、电器销售等零售行业,也包括体育、音乐、视频等文娱行业,乃至乳制品制造、冶金、电力、物流及互联网+新型企业等产业领域。

据阿里巴巴集团标准化总监朱红儒介绍,DSMM除了正在制定国家标准外,阿里也在ITU-T牵头制定《Security reference architecture for lifecycle management of e-commerce business data》的国际标准,同时在ISO牵头制定《Big data security capability maturity model》的国际标准研究项目,还在CCSA牵头制定行业标准《面向互联网的数据安全能力技术框架》,DSMM今年年底有望正式成为国家标准,向全行业推行。

钉钉、南方电网获评数据安全标杆企业

从标准架构来看,DSMM会就企业组织建设、制度流程、技术工具和人员能力四个关键能力维度,至少30多个安全域进行全方位考核评估,最终将组织机构的数据安全能力划分“非正式执行”、“计划跟踪”、“充分定义”、“量化控制”和“持续优化”,一级至五级的能力成熟等级。

一级是最低等级为“非正式执行”,意味组织的数据安全工作来自于被动需求或随机展开,并未主动开展数据安全工作。三级是各个企业的基础目标。等级越高,代表被测评的企业组织机构数据安全管理能力越强。

“只有具备了三级的数据安全能力,才意味这家企业或组织机构能针对数据安全风险进行了全面有效的控制。”会议当天,中国信息通信研究院就基于DSMM的测评,发布了一份“大数据时代数据安全通用最佳实践”(下称《报告》)。

《报告》结果认为,依据DSMM对一些目标企业机构的评估发现,目前国内组织机构的数据安全水位线普遍偏低。但其中,钉钉和南方电网的数据安全能力测评结果较好,也因此被评为数据安全标杆企业亮相云栖大会现场。

钉钉智能移动办公平台面市于2015年,以淘宝、天猫、支付宝等积累的多年安全经验为前提,建立了强大的移动办公生态保障体系,为4300万中小企业提供“简单、高效、安全”的服务。

第三方评估专家介绍称,钉钉和南方电网在数据安全方面依照上述数据安全管理方法展开了相关工作,通过技术创新和大数据运营,有效地对平台运营过程中数据安全进行了防护。钉钉不仅通过了中国公安部的“信息系统安全等级保护”三级认证,还是2016年杭州G20峰会安全保障的唯一沟通协同平台。

阿里巴巴钉钉的数据安全负责人罗锋介绍说,钉钉最大的亮点在于其数据安全保密性高。据称,钉钉除了自身固有的分布式数据存储加密系统,还引入了一种独特的安全服务模式——第三方加密。

“密钥由第三方托管,相当于给企业数据又加了一把锁,双重保险箱保障只有用户才能打开数据。”罗峰强调,钉钉是企业的钉钉,数据是属于用户企业的,既不属于阿里巴巴,也不属于钉钉,“我们始终保障只有用户企业才能打开数据。”

阿里协同合作伙伴构建云数据安全防护墙


image
基于数据生命周期的云数据安全产品体系

对测评结果偏低或不符合标准要求的组织机构,该如何提升数据安全水位的问题,阿里巴巴也协同合作伙伴提出了自己的解决方案。

目前,阿里云已在与合作伙伴共同打造了一套基于DSMM的数据安全解决方案体系。该体系从单点的数据安全产品模式,进化到多个产品之间相互联动的解决方案体系,能更好满足企业各个维度对数据安全的保护。

现阶段方案主要还是针对专有云的数据安全解决方案,后续会陆续开展公有云及其他方面的数据安全解决方案建设。解决方案覆盖了企业的三个方面需求。首先是合规性遵从需求,解决方案会帮助企业更好遵从网络安全法、等级保护、数据安全能力成熟度模型等法规标准对企业数据安全能力的要求。

其次,专有云、混合云数据安全治理需求,能让客户清晰了解云上有多少数据、存储在哪、数据的敏感级别、数据安全的风险,以及对哪些用户可以访问什么级别的数据,哪些用户访问了不该访问的数据等。

再者,数据安全交换需求,保障云上多方数据交换安全,并实现数据流出云边界时的权限控制、审计及脱敏功能。

“如家的数据已经到一定体量,对外流通的需求也越来越多,但依旧缺少整体的数据安全解决方案支持,这套体系化的解决方案正好符合我们的需求,我们期待能与阿里有更深入的合作。” 基于阿里协同合作伙伴首次提出的云数据安全解决方案,合作伙伴首旅如家酒店集团IT资深副总裁王波在参加分论坛时如是说。

来源:阿里技术
原文链接

相关文章
|
2月前
|
存储 安全 算法
网络安全与信息安全:构建数字世界的坚固防线在数字化浪潮席卷全球的今天,网络安全与信息安全已成为维系社会秩序、保障个人隐私与企业机密的关键防线。本文旨在深入探讨网络安全漏洞的成因与影响,解析加密技术如何筑起数据安全的屏障,并强调提升公众安全意识的重要性,共同绘制一幅数字时代安全防护的蓝图。
本文聚焦网络安全与信息安全领域,通过剖析网络安全漏洞的多样形态及其背后成因,揭示其对个人、企业乃至国家安全的潜在威胁。随后,详细阐述了加密技术的原理、分类及应用,展现其在保护数据安全方面的核心作用。最后,强调了提升全民网络安全意识的紧迫性,提出具体策略与建议,旨在构建一个更加安全、可靠的数字环境。
|
1月前
|
人工智能 安全 大数据
CDGA|数据要素与数据安全:携手构建可信数据生态的深远探讨
数据要素与数据安全是数字经济时代不可分割的双生子。只有在保障数据安全的前提下,才能充分发挥数据要素的价值,推动数字经济持续健康发展。构建可信数据生态,需要政府、企业、社会组织及广大公众的共同努力,形成合力,共同应对挑战,共创数字经济的美好未来。
|
2月前
|
存储 安全 数据库
双重防护,无懈可击!Python AES+RSA加密方案,构建最强数据安全堡垒
【9月更文挑战第11天】在数字时代,数据安全至关重要。AES与RSA加密技术相结合,构成了一道坚固防线。AES以其高效性保障数据加密,而RSA则确保密钥安全传输,二者相辅相成,提供双重保护。本文通过Python代码示例展示了这一加密方案的魅力,强调了其在实际应用中的重要性和安全性。使用HTTPS等安全协议传输加密密钥和密文,确保数据在数字世界中自由流通而无忧。
60 1
|
3月前
|
存储 安全 数据库
双重防护,无懈可击!Python AES+RSA加密方案,构建最强数据安全堡垒
【8月更文挑战第3天】在数字时代,数据安全至关重要。Python AES+RSA加密方案提供了一种强大且可靠的数据保护方式。AES以高效安全著称,适用于大量数据的快速加密;RSA作为非对称加密技术,确保了密钥传输的安全性。二者结合形成“内外兼修”的加密策略:AES加密数据内容,RSA保护AES密钥,共同构建起数据安全的双重保险。通过示例代码展示了这一加密流程,强调了加密后密钥与密文的安全传输和存储的重要性。在实际应用中,应采用HTTPS等安全协议进行传输,并将数据安全存储于加密的数据库或文件系统中。
80 12
|
3月前
|
安全 Nacos 数据库
【技术安全大揭秘】Nacos暴露公网后被非法访问?!6大安全加固秘籍,手把手教你如何保护数据库免遭恶意篡改,打造坚不可摧的微服务注册与配置中心!从限制公网访问到启用访问控制,全方位解析如何构建安全防护体系,让您从此告别数据安全风险!
【8月更文挑战第15天】Nacos是一款广受好评的微服务注册与配置中心,但其公网暴露可能引发数据库被非法访问甚至篡改的安全隐患。本文剖析此问题并提供解决方案,包括限制公网访问、启用HTTPS、加强数据库安全、配置访问控制及监控等,帮助开发者确保服务安全稳定运行。
345 0
|
4月前
|
存储 运维 监控
数据安全性能:构建坚固防线,守护信息资产
在数字化时代,数据安全至关重要,影响企业运营稳定、客户信任及法规合规。本文强调数据安全性能的重要性,探讨面临的挑战(内部威胁、外部攻击等),提出关键防护措施(访问控制、数据加密、安全审计等),并介绍最佳实践(制定策略、采用新技术、应急响应等),助力企业构建坚固防线,守护信息资产。
206 0
|
6月前
|
弹性计算 人工智能 安全
大数据时代,如何基于机密虚拟化技术构建数据安全的“基石”
2023年10月31日-11月2日,2023云栖大会在中国杭州·云栖小镇举行,阿里云弹性计算产品专家唐湘华、阿里云高级安全专家刘煜堃、蚂蚁集团高级技术专家肖俊贤三位嘉宾在【云服务器 & 计算服务】专场中共同带来题为《大数据时代,如何基于机密虚拟化技术构建数据安全的“基石”》的主题演讲,从ECS产品安全体系及机密计算介绍、基于机密虚拟机的数据保护解决方案、蚂蚁机密PaaS最佳实践三大角度为大家做了全面的分享。
|
运维 分布式计算 监控
带你读《构建企业级好数据(Dataphin智能数据建设与治理白皮书)》——1. 用中台方法论构建与治理企业级好数据概览
带你读《构建企业级好数据(Dataphin智能数据建设与治理白皮书)》——1. 用中台方法论构建与治理企业级好数据概览
479 0
|
安全 数据处理 数据安全/隐私保护
数据安全最佳实践(7):通过多级安全分类构建业务安全体系【Dataphin V3.11】
在DataphinV3.11版本中,我们支持了构建多级安全分类体系的能力,用于支持客户定制和使用行业化的数据分类分级体系。 同时我们支持了识别特征的管理,可以使用内置的手机、姓名等识别特征;也在安全模型中内置了通用行业模型,便于客户直接应用,实现对大部分个人敏感数据和部分业务数据的识别和保护。
948 1
|
存储 数据采集 机器学习/深度学习
《阿里云云通信短信服务安全白皮书》——安全架构——四、 数据安全
《阿里云云通信短信服务安全白皮书》——安全架构——四、 数据安全
203 0