摘要:数据中台是一个新生事物,但由于具备强大的数据连接、弹性和兼容性潜力令众多高性能应用成为可能,使其迅速成为业界IT架构的最优实践。在多层次、多维度数据安全的保障下,围绕“规划、治理、整合、共享”四步,将企业海量、多维的数据资产进行梳理、整合、分析、确保整个公司数据一致性和可复用性,向后提供高性能的数据吞吐能力,向前提供快速响应的数据访问服务,最终实现数据资产的价值最大化。本文研究了企业数据中台架构及相关的安全性问题,并探讨了数据安全生命周期在数据中台里的关键技术运用。
关键词:数据中台;企业服务;网络安全;数据安全
1、概述
“数据中台” 这一概念是由阿里巴巴首次提出,也称为共享服务平台(Shared Platform as Service,SPAS)。由于数据中台在应对业务高峰、大规模数据的线性可扩展问题、复杂业务系统的解耦问题等方面的出色表现而逐步进入互联网公司的视野,成为在业务技术、组织架构、管理模式等方面变革的“颠覆性技术”之一。通过为数据驱动业务的智能,达到各方高效协同,从而快速响应市场,有效提升客户感知和服务效率,确保企业的赢利能力和竞争力。
中台是前台与后台之间一个可有可无的部分,而是实现链接前台用户与后台核心资源。在操作中中台层可以将前台系统中的通用业务能力“沉降”,为前台“减肥”,实施“大中台,小前台”战略,提升前台的响应能力和响应速度,支撑各种微应用的快速生成;又可以将后台系统中需要频繁变化或是需要被前台直接使用的业务能力“提取”,赋予这些业务能力更强的灵活度和更低的变更成本,从而为前台提供更强大的支援。在互联网时代,商业竞争的核心力就是对于用户响应力的比拼,而中台可以加强企业在以用户为中心的现代商业战争中这一至关重要的能力,而对于中台技术的成熟应用会对提升用户响应力起到事半功倍的效用。
目前,国内互联网对中台的研究集中在数据中台与业务中台两个维度。数据中台通常指通过数据技术,对海量数据进行采集、计算、存储、加工,同时统一标准和口径形成标准数据存储,形成大数据资产层,为内部和外部提供高效服务;业务中台则是将业务与业务逻辑进行隔离,通过制定标准和规范清晰描述企业拥有的各类服务、数据和功能,减少沟通成本,提升协作效率, 让各条业务线都具备整个公司的核心能力,向各业务方提供能够快速,低成本创新的能力。数据中台与业务中台的区别在于解耦的要素、标准的指向和能力生成的目标等方面。
2、数据中台架构及安全风险
2.1数据中台架构
通常数据中台的架构由四个层次组成,即数据基础层、数据模型层、数据服务层和数据应用层。数据中台是驱动企业智慧运营的大脑和运营中枢,是企业核心数据资产的管理者和调度者。 从数据中台结构中可以看出,将企业的核心数据能力以多维服务的形式加以沉淀,从而有效解决各业务部门重复造轮子的问题,降低创新成本。数据基础层为数据中台提供基础性数据来源,包括从企业后台映射、引接和过渡的各类结构化、非结构化、半结构化数据。数据模型层实现基础数据的按需转换、整合和抽象,使杂乱无章的原始数据按照一定的规则整编后形成高质量分类数据供更高层次使用。数据服务层按照应用要求进行服务封装,同时屏蔽具体的数据模型和规则。在大型互联网企业中,数据如果不服务化,就无法规模化,随着企业运营的深入服务层成为数据中台的性能瓶颈。数据应用层面向各层次、不用角色的人员需求,提供经过二次封装的、更贴合实际业务的数据应用,同时满足个性化数据产品打造的要求。数据中台的特点是高内聚、低耦合,职责边界清晰、易于集成,追求数据完整性、业务可运营,在不断的架构优化整合中,“大中台、小前台”模式成为主流。
2.2数据中台安全风险
数据中台体现了互联网的敏捷、解耦、集中等时代特征,但在安全方面也面临着全新的挑战。
在数据资产、资源和服务大范围集中到数据中台、业务访问频繁调用数据中台、企业后台直接对接数据中台的场景下,如何确保数据中台的正常运行和可靠保障,存在以下几方面的安全风险。一是,完整性问题。 数据中台需要对接大量的数据源,因此确保数据的未经篡改的真实性成为一大挑战,如何证明数据来源可信、数据在传输过程未经改变,是决定数据在融合和转换质量的重要因素。二是,机密性问题。企业数据中台往往存储着大量企业的敏感、隐私和商业秘密数据,这些数据除了指定的管理者或其它特权人员外应禁止访问。通过密码对数据进行加密是防止非授权访问的基础解决方案,但针对不同的人员和应用进行不同级别的防护是更为复杂和困难的需求。三是,可用性问题。包括数据中台基础设施的可用性,数据服务的可用性和数据内容的可用性几个层面,不同方面的可用性会受到网络攻击、管理模式、安全策略、内部人员和操作规程等因素制约,从而对整个数据中台的表现造成一定的影响。
3、数据中台安全关键技术
3.1数据安全传输
数据在从数据源移动至数据中台,或在数据中台的各个服务组件间移动的时候面临窃听、篡改或内部人员恶意访问的风险。如果未经保护的数据在非授权的操作控制下发生了变化,而这种变化又没有被安全机制记录,那么所有的数据服务和数据应用将面临如同虚假数据安全生产一样的被动局面。数据安全传输的相关技术包括双向认证、TLS、SSL等。
3.2数据安全汇聚
数据安全汇聚主要关注不同安全等级、不同格式内容、不同访问要求的数据在融合和集中过程的安全问题,如果处理不当导致敏感数据与普通数据合并、或者企业机密数据被授予的不适当的权限,都会使数据中台在使用过程中经受致命性的伤害和打击。数据安全汇聚的相关技术包括数据内容校验、数据安全分级、数据安全隔离等。
3.3数据安全服务。
数据安全服务关注数据访问者在调用数据服务过程中双方的安全,使得用户与服务提供方能够互相信任,并且以安全可靠的方式实现服务的按需供应和交付。数据安全服务的相关技术包括基于属性的访问控制、多因子身份鉴别、服务安全质量基线、数据脱敏等。
3.4数据安全存储
数据安全存储关注数据在静止状态下的物理及逻辑安全,即数据不会因偶而的小型故障或错误而导致大范围损害和丢失,以及非法使用者无法以直接读取存储介质的方式访问数据内容等。 数据安全存储的相关技术包括数据加密、数据冗余备份、数据快速恢复、数据多方安全计算等。
3.5数据安全监管
数据安全监管是对数据的生产、使用等过程进行跟踪和审计,通过数据挖掘、分析和知识发现的方法,对数据安全进行粒度的监察、防护、管理,补救避免因安全策略和控制手段不到位引发的数据越权访问、泄露、破坏和丢失等风险威胁,保证数据安全每一个防护环节的正确性的有效性,使得数据安全能力切实发挥。
结语:数据中台通常指通过数据技术,对海量数据进行采集、计算、存储、加工,同时统一标准和规范形成标准数据存储,形成大数据资产层,为内部和外部提供高效服务的新型数据服务平台, 由于其在运行中的出色表现而为许多公司关注和选用。
参考文献:
[1]朱红甫.打造企业数据中台推进企业智慧运营[J].通信企业管理,2018(02):32-33.
[2]车品觉.建设数据中台,赋能创新改革[J]. 新经济导刊,2018(10):22-24.
[3]沈进波.基于SOA技术架构的多并发异构业务系统中台技术设计[J].电子技术与软件工程 ,2019(08):168-171.
[4]徐刚.基于企业中台的全渠道场景化营运研究[J].信息通信,2017(08):268-269.