案例 | 保护敏感性数据:如何驾驭合规新世界

  • A+
所属分类:数据科学 行业资讯

案例 | 保护敏感性数据:如何驾驭合规新世界

2015年,全球企业预计在数据安全方面斥资769亿美元。对于这一巨额的投入而言,这一数字甚至超出了大多数发展中国家的全国GDP,超过了以色列的年度国防预算,超过了整个纽约市2015年的预算。

该769亿美元的数字也是当前各大公司把数据安全性列为首要地位的一大重要指征。

随着获得数据的机会增加,也面临着数据泄露的威胁。身份盗窃资源中心(Identity Theft Resource Center)在2014年跟踪到了783起数据泄露事件。平均下来,每周有15起。

由于旧有系统无法应付现代企业需要处理和存储的大量数据,数据安全环境变得进一步复杂化。建于二十一世纪初的数据仓库和服务器系统都开始让位于Apache Hadoop等支持更优的数据规模和速度的开源平台。如此不可思议的数据类型、速度和数据量要求公司务必掌握使用数据及保证数据安全的相关技术。正如数据存储和使用发生着日新月异的变革,数据安全技术和标准也随之发生变化。

对于大数据这个崭新世界的管理既包括技术,也超越了技术本身。本白皮书将详细介绍建立数据使用和数据安全合作伙伴关系的迫切需求。本白皮书将说明满足负责任地使用数据的最新合规性标准的重要性,通过一个灵活的、与时俱进的平台来抵御潜在的安全漏洞。最后,本白皮书将依据MasterCard和Hadoop的市场领导者Cloudera公司之间前期所做的工作,详细阐述满足最新的合规性标准的五项最佳实践。

新型数据管理结构由于Hadoop及其开源方式的出现,数据管理与安全的结构已经发生了变化。在Hadoop出现之前,负责汇集、存储以及分析数据的公司都是在大型的数据仓库中完成这些流程。这些数据仓库满足了那些负责驾驭交易数据、人口统计资料、客户互动和客户数字行为的公司需求。因此,就随之产生了客户细分科学、基本数据分析和预测模型。然而,数据的孤岛性质以及存储成本限制了分析的深度。Hadoop作为一个软件平台突破了存储限制,并能够实现企业向往的现代先进分析。Cloudera公司的企业数据中心(EDH)通过充分利用Hadoop的优势,实现了不同数据集的统一,非结构化数据的添加以及支持更长历史的数据。同样重要的是,Hadoop为数据科学家提供了更多数据访问。

其基本结构如下所示:

案例 | 保护敏感性数据:如何驾驭合规新世界

“过去几十年以来一直用于企业经营活动的数据处理基础架构在面临今天的数字化现状显得不再适应了,”Cloudera公司的研究论文《优化数据管道以驱动灵活的创新》(Optimize Data Pipelines to Drive Flexible Innovation)中这样描述到。“在每一个行业中,日常互动和交易活动正向在线方向发展,并且业务服务也日趋自动化。源于各种渠道的多结构化机器生成数据的量一路飞涨,而聪明的企业希望捕捉并充分利用这些数据。随着数据量的增长和数据类型的复杂性和来源的增加,需要更长的时间来进行数据处理,而可用于报表和分析的时间却大大减少了。”

案例 | 保护敏感性数据:如何驾驭合规新世界

对于Hadoop而言,一个贴切的比喻是Hadoop就像一个电网一样。为了实现电力的传输,公司必须对安全性(合规性)以及电力(Hadoop支撑的企业数据中心)的驾驭和调节了如指掌。然而,这些功能通常并非是一个企业的核心竞争力,需要借助外部专家的力量。

数据泄露事项在当今的商业环境下,讨论数据安全性而绝口不提数据泄露是不可能的。无论是医疗保健行业、零售行业、金融服务行业,还是制造行业中的企业,合规性标准将使得不法分子泄露数据变得更加困难。然而,对于数据安全而言这并不是一剂灵丹妙药。但是,套用NBA迈阿密热火队(Miami Heat)总裁帕特•莱利(Pat Riley)的话:“遵守服从并不能保证你任何东西,但没有它,那么你连一个机会都没有。”在2015年01月的数据安全性研究中,美国电信商威瑞森通讯(Verizon)报道很多公司在达到合规要求后就不再继续遵循规定了。事实上,在2014年出现了数据泄露问题的企业中大约三分之一仍在合规期内,而且经过认证不到一年。但是,在发生数据泄露问题时,所研究的公司没有一家是完全符合合规性要求的。

不断发展的合规性标准要求具备主动的数据安全能力。对于任何可能的黑客能够接触到的所有数据而言,合规性的方式也具备等量的欺诈保护和风险度量。换句话说,技术已经创建了数据,创造了黑客入侵的能力,但同样也加强了防御能力,如果管理得当的话。

据Aite咨询公司银行业分析师Shirley Inscoe所述,“当谈到使用大数据技术来进行欺诈预防和信息安全时……大数据就派上了用场。使用Hadoop或类似的技术可以更有效地存储和分析数据,并且可以应用以前不可能的方式。使用这些方法,可以更有效地处理数据,显著降低成本和处理时间。一些大型金融机构目前正在开展先进的大数据项目,充分利用Hadoop和机器学习技术为客户整合不同产品和渠道的数据。所取得的成绩令人十分鼓舞:更快速的商家数据泄漏检测,更有效的交易欺诈分析,以及更少因误判而拒绝的沮丧客户。

最佳实践:MASTERCARD和Cloudera公司之间就合规性的合作2014年06月,MasterCard和Cloudera公司协力完成了合规性标准工作,使MasterCard公司成为第一家实现并保持Hadoop平台上合规标准的企业。具体来说,主要集中在支付卡行业(PCI)合规方面。PCI数据安全标准(PCI DSS)对于接受信用卡(无论是在线还是线下)的所有商家而言都是至关重要的。这项工作需要的最大化的专业知识以及适用于未来的最佳实践,通过MasterCard提供合规性咨询合作伙伴,通过Cloudera构建安全的企业数据中心。回顾整个过程,两家公司的高管提出其合规性旅程中相关的最佳实践:

案例 | 保护敏感性数据:如何驾驭合规新世界

文化:MasterCard在建立合规性合作伙伴关系方面首先关注的是数据安全性的文化和传统。因其安全的数据存储和保护发展历史已经超过十年,夺得这一王冠的是拥有超过22亿张全球金融卡的匿名交易数据库。用来帮助MasterCard公司实现其支付基础架构法规遵从的工具包括数据保护、访问和授权控制。这些机制和工具均已就位,从而可以确保授权用户不会滥用或误用他们对于受保护系统的访问权限。访问请求及访问授权是按照现行标准完全受控制的,并且也是完全自动进行的,同时也集成到所要求的系统中。

培训:正因为其是相当复杂且相对较新,针对内部相关人员的培训就是MasterCard – Cloudera合作伙伴关系的关键所在。因为Hadoop是开源的,有一种误解认为Hadoop不可能安全,因此内部相关者的培训就是必不可少的。在线学习、研讨会和第三方教育计划(其中一些教育计划是由PCI机构开展的)都是可以采用的培训方式。MasterCard更深层次地开发了其教育计划。MasterCard推出了一项免费的教育计划,旨在使参与者能够熟悉PCI DSS,以及使购买方、商家和服务提供商能够更好地协作实施和管理有效的合规性项目。

掌握基础知识:由于安全文化已深入人心,在MasterCard和Cloudera公司开始合作之前,这两家公司已经具备了良好的基础。两家公司都在访问控制、身份认证、授权和加密方面拥有丰富的工作经验。特别是MasterCard公司,带来了人员和流程是如何与支付技术相集成以及锁定客户数据的必要网络体系架构的知识。而Cloudera公司带来了如何在企业级别和规模保护Hadoop集群的知识。

超越技术本身:对于MasterCard公司而言,技术被视为一种达到目的的手段。MasterCard公司的团队非常了解其企业优势和未来业务目标的全面挑战。更具体地说,MasterCard公司理解这些能够付诸实施的数据对于商家、购买方和发行方的重要性。从MasterCard公司的角度来看,不安全数据所造成的后果是由其客户他们企业中的利害关系所决定的。对于他们来说,不遵守监管规定的后果可能包括罚款、监管审查和品牌损害。同时,MasterCard公司还非常强调数据泄露中员工所发挥的角色。企业员工在遵守相关监管规定中所犯下的错误可能与恶意攻击一样危险。

辨识、接受和修复安全漏洞:合规性是通过审计来进行衡量和实现。合规性审计是基于六大高级别目标和总计12项标准完成的。MasterCard和Cloudera公司都明白,发现这些标准中的漏洞并不是本项目的截止。而是有机会可以纠正那些不符合标准的事情。例如,安全系统和流程都在不断进行测试,以确保完善的安全性和合规性。该标准规定需要不断地进行测试及相应改变。

图表1:PCI数据安全标准 – 简要概览

案例 | 保护敏感性数据:如何驾驭合规新世界

结论:正如客户数据本身,合规性是一个动态过程。公司在变化,黑客在变化,标准也在变化。旨在锁定企业中促进决策制定的数据的合作伙伴关系也不是一成不变的。他们需要尽可能的灵活和专业。实现和保持合规性对于客户而言将是一个更安全的世界,对于实现这一目标的公司将是一个更丰富的世界。进入这个安全的开源世界后,数据和分析将进入一个新的层次。

有了合适的人员、流程和技术合作伙伴之后,Hadoop是一个无与伦比的数据平台。由于具备最新的合规性技术和标准,我们就拥有了一张享受大数据无尽可能的安全入场券。

via:Cloudera

南霁月
小额消费信贷用户数据
误差分位数的默示有效估计与\ 自回归时间序列的预测区间
数学建模教材(包括十大算法、matlab、lingo、spss、exce以及多种实例模型)
精选各名校数学专业考研初试试卷

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: