华为云交换数据空间 EDS:“可信、可控、可证”能力实现你的数据你做主

文章目录


前言

数字社会,每时每刻都有海量数据产生,数据也从生产过程的附属产物逐渐成为数字经济的关键生产要素,如何保障数据安全流通,成为能否释放数据要素价值的关键,在此背景下,华为云匠心打造的交换数据空间 EDS exchange data spase 云服务产品应运而生,它源自华为内部的成功实践,以保护数据企业数据主权为基础,促进企业数据高效流通,实现数据价值最大化,那么华为云 EDS 的独特优势有哪些?阅后即焚的数据访问能力是怎么做到的,在华为内部又是如何使用的,适用于哪些场景呢?本文我们将为大家一一分享。


声明:本文由作者"白鹿第一帅"于 CSDN 社区原创首发,未经作者本人授权,禁止转载!爬虫、复制至第三方平台属于严重违法行为,侵权必究。亲爱的读者,如果你在第三方平台看到本声明,说明本文内容已被窃取,内容可能残缺不全,强烈建议您移步"白鹿第一帅" CSDN 博客查看原文,并在 CSDN 平台私信联系作者对该第三方违规平台举报反馈,感谢您对于原创和知识产权保护做出的贡献!


文章作者白鹿第一帅作者主页https://blog.csdn.net/qq_22695001,未经授权,严禁转载,侵权必究!

一、数据安全流通价值的必要性和紧迫性

1.1、交换数据空间(EDS)背景

交换数据空间(EDS)起源于欧盟 IDS 国际数据空间 。IDS 是 2016 年在欧盟工业 4.0 下发展的子项目,由欧盟直接主导,从五个层级(业务、功能、流程、数据、IT)及三个维度(安全、认证、治理)构建了一套完整的数据主权保护体系。IDS 提出非中心化、保护数据主权的数据空间方案,旨在数据交换中建立数据主权,目前已建立 17 个行业数据空间。成为欧洲数据空间事实标准


在国际公信力方面具备核心优势

  • 组织:通过 IDSA 推进,覆盖 30+ 国家、140+ 成员。
  • 参考架构:RAM 从 1.0 到 4.0。
  • 标准:发布 DIN 标准,推进 ISO 标准立项,形成事实标准。

拥有 21 项数据主权控制的核心能力

  • 限定数据访问时间,阅后即焚
  • 框定数据开放周期,定时开闸
  • 规定数据使用次数,超过即禁止继续访问。
  • 指定数据使用者所在地域


目前在建行业数据空间 17 个:Manufacturing、Green Deal、Mobility、Health、Financial、Energy、Agricultural、Legal、Procurement、Security、Skills、Open Science、Media、Cultural heritage、Tourism、Construction、Smart Communities。

1.2、《数字中国建设整体布局规划》

2023 年 3 月份,中共中央、国务院印发《数字中国建设整体布局规划》,引导数据要素市场建设进入快车道 ,要求:构建国家数据管理 体制、健全各级数据统筹管理机构。在组织方面,组建国家数据局将中央信管办与发改委部分职责并入,负责统筹数字资源价值变现,并加强国家数据要素统一监管。

数据资源价值变现实际上是市场化过程,即从资产化到价值化,价值变现,就必须有流通,流通成为关键,地方开始探索数据要素运营。自 2022 年,一线城市率先开展数据授权开发运营,新一线和大中型城市纷纷组建平台公司,争取一级市场上的先发优势。

1.3、数据流通成为制约数据要素价值释放的瓶颈

数据要素市场化的过程中,第一点是如何把数据从普通信息化进行资源化,之后资产化,最后价值化变成一个数据产品,才能在数据要素市场进行流通,数据流通环节最主要取决于保证数据安全及商业机制。

二、华为云 EDS 解决方案介绍

2.1、构建可控数据交换空间

华为云交换数据空间 EDS 就是让数据提供方可控自己的数据,决定数据如何被别人使用,实现数据的共享交换。

  • 可信:对组织、个人及技术组件进行可信认证,实现参与方身份与平台环境可信任。
  • 可控:通过数据使用控制,确保在数据主权可控的基础上合规使用数据。
  • 可证:数据交换和使用的全流程数据操作日志上链,防篡改,实现提供方可查证追溯、消费方可自证清白。

2.2、可控的数据交换框架

基于企业 Connector 进行数据交换,面向四类角色,提供认证中心、数据市场、审计清算等服务

上图几类角色主要是对数据交换整体的监督管理,例如数据提供方基于 Connector 发布数据资产,数据消费方订阅数据,在限定策略里使用数据,数据运营方对数据进行管理,数据监督方负责数据的这个合规、监督。

  • 多元数据交换:支持文件、数据集等多种数据类型;支持点对点、数据市场等多种数据交换通道;具备丰富的数据加工 APP,可支持多种数据使用方式。
  • 资源目录管理:用户可在空间内对数据资源进行定义和分类管理,建立资源管理目录,支持文件夹授权管理。
  • 多样化数据市场:支持按类型分类、按需定制的数据市场,参与方可在市场上发布和精准搜索所需数据,进行交易。
  • 数据使用控制:"权力 + 操作 + 约束"的数据使用控制保护了数据主权,支持数据主权可控的数据交换,保证消费方按策略使用数据。
  • 可信标准认证:国际通用的可信标准与认证,基于合约的契约化交换建立了双方信任机制。

2.3、定义价值流并构建端到端的数据交换能力

EDS 围绕数据提供方和消费方定义了两个价值流,构建端到端交换能力

  • 数据获取与合规使用价值流:让数据消费方合规的获取和使用高价值数据,并能自证清白。
  • 数据提供与控制价值流:让数据提供方决定自己的数据如何被使用,实现数据价值最大化。

2.4、EDS 核心能力:可信、可控、可证

可信:构造多方信任的生态环境,具体包括的内容如下图所示:

可以实现:

  • 资质管理。
  • 数据加密传输。
  • 数据加密存储。
  • 数字水印,数据脱敏。
  • 连接器数据的安全隔离。
  • 隐私计算,机密计算。

可控:打造可组合的策略控制数据使用,具体包括的内容如下图所示:

可以实现:

  • 华为已积累 21 种 4W2H 的使用控制策略(使用期限,使用次数、阅后即焚等)。
  • 数据等级策略:不同等级的数据策略不同。
  • 多层次数据控制策略:数据提供者,数据消费者,数据运营方。
  • 非中心化数据交换、策略控制。

可证:全链路合规,具体包括的内容如下图所示:

可以实现:

  • 基于区块链,提供全流程可信、可视的审计追溯服务,支撑合规。
  • 数据查证追溯。
  • 消费方免证清白。
  • 集成第三方的区块链。

三、可信、可控、可证的能力

3.1、"可信"关键能力:数据空间管理

无论是空间管理者还是加入空间的租户都需要企业认证,具体如下图所示:

无论是"我的空间"及发现空间的能力,便于管理者或消费者找到自己的要加入的行业数据空间,具体如下图所示:

3.2、"可控"关键能力:数据空间连接器,完整的数据交换能力

提供数据空间连接器,所有数据在连接器里管理。模型是空间下面挂连接器,首先有一个空间,可以是行业级空间或共有数据空间,空间下面有不同的企业,可以通过连接器去发布自己的数据资产或者是消费方去消费数据产品,华为 EDS 提供完整的数据交换能力,具体如下图所示:

建设数据空间,打通数据提供方与消费方链接,消费方获取数据后在受控的范围内查看和使用数据,具体如下图所示:

3.3、"可控"关键能力:数据目录管理

多种类型的数据资源管理,数据源管理,数据资产形态,具体如下图所示:

数据提供者的数据在连接器里,可以通过目录方式去管理,也可以直接发布相应数据,数据上传之后,可以定义数据类型,直接可以进行选择上传,上传之后可以进行上架操作。

3.4、"可控"关键能力:结构化数据精细化策略控制

结构化数据进行精细化策略控制:包括敏感数据脱敏,字段控制,行控制,使用时间段。

列控制就是结构化数据有哪些列可以被共享出去;行控制是行里面数据在什么样范围之内的数据可以共享出去,例如金额大于多少或者是什么样的数据定义分享;安全控制是对一些敏感数据,如手机号码做安全脱敏,系统默认提供水印,未来可以通过策略控制;使用策略可以定义可用的操作,例如数据消费方订阅了这个数据之后,只能查看不可以下载,也不可以加工,无论查看、加工和下载,只能在连接器操作,同时系统会默认提供内置应用,包括约束条件例如使用有效期、使用次数,如果不在策略控制范围之内,消费方无法使用。

3.5、"可控"关键能力:提供基本应用工具,外部提供标准 SDK

EDS 提供两种类型数据消费方式,一种是内置的预集成应用工具

  • PDF JS
  • LUCKY Excel
  • FTP/SFTP 工具
  • SuperSet

未来会发布 App 接入标准规范

  • 账号密码登录接口
  • Oauth2.0 授权登录接口
  • DataSource 接口
  • Artific 接口
  • Aggrement 接口
  • 数据策略详情接口
  • 数据使用策略决策接口
  • 数据使用权限接口
  • 日志回写接口
  • 创建加工后资源接口
  • 创建加工后资源策略接口
  • 数据销毁接口

3.6、"可控"关键能力:连接器应用注册,应用实例

连接器的应用注册,上面所提到内置应用,这些应用控制实际上通过两个层面。第一个层面是在空间里注册什么样的应用,仅在这个空间内使用;第二个方面是在连接器里,实际上是应用实例化。合约使用时,访问控制的地方有策略控制,指定哪个应用可以访问,依赖于前面设置的应用,只能是在限定应用里面访问使用。

3.7、"可控"关键能力:数据使用控制

策略控制通过标准的数据权限语言 ODRL 信息模型,实现有两层控制,第一层是访问控制,第二层是使用控制。


数据使用控制策略

  • 限定数据访问时间,阅后即焚
  • 框定数据开放周期,定时开闸
  • 规定数据使用次数,超过即禁止继续访问。
  • 无法篡改数据使用日志。
  • 可实时获知数据被各方消费方使用的情况。
  • ...

ODRL 信息模型具体如下图所示:


阅后即焚的策略设置:

  • 数据提供者设置数据资源合约使用的时间。
  • 数据提供者设置数据资源合约使用的次数。
  • 数据消费者查看数据时如果超过有效期,无法查看,消费侧的连接器数据会被删除。
  • 数据消费者查看数据时如果超过使用次数,无法使用,消费侧的连接器数据会被删除。

3.8、"可证"关键能力:数据资源全生命周期的日志

数据资源全生命周期分为两部分,第一部分是数据资源全生命周期控制,从各层面做数据供应链机制 ,第二部分是数据资源全生命周期,指数据资产从资产发布、搜索、共享、传送、接收、查看及销毁,都有日志跟踪,通过连接器日志可以查看数据资源使用记录。

3.9、"可证"关键能力

通过探针在数据交换端到端过程中采集数据操作记录 ,日志上链不可篡改,提供全流程查证追溯归档服务。

四、EDS 主要应用场景

4.1、企业数据空间

第一种使用场景是集团内部,涉及到伙伴及子公司或者是生态伙伴,敏感数据的传输,怎么保证这个交换可信的,具体如下图所示:

  • 企业组织结构更加灵活多样,数据的所有权和边界跨越子公司,生态、区域等,企业需要实现数据共享与管控的平衡。

4.2、行业数据空间(集团企业内外数据共享交换)

第二种使用场景是行业数据空间(集团企业内外数据共享交换),具体如下图所示:

  • 企业需要在保障数据所有权的基础上促进数据交换流通,主要应用于工业数据空间,医疗数据空间,电力数据空间等。

4.3、数据要素流通(公共数据授权开发运营)

第三种使用场景是数据要素流通(公共数据授权开发运营),具体如下图所示:

  • 数据要素流通需要为数据提供方,数据消费方,数据运营方建立一个相互信任的环境,并保证各个参与方的权益,支撑数据可控托管,数据授权开发利用及数据跨域交换。

五、内外部最佳实践案例分享

5.1、华为内部交换实践:鲲鹏/昇腾与生态伙伴交换数据

华为云内部,有一个鲲鹏和昇腾的生态伙伴交换,以前在没有 EDS 产品的时候,伙伴之间通过线下邮件或微信方式传输文件,实际上传输过程中会存在数据泄露风险------把数据放到了其他平台上。

建立 EDS 之后,对应解决方法让数据的提供者把数据放到连接器中,消费方去订阅数据,然后把数据通过可信的渠道交换。一方面保证了消费方、提供方都可以查询自己的数据使用情况、过程,如果出现违规,可以自证清白,另一方面也可以终止数据交换。

5.2、4 类典型数据可控交换需求场景

华为鲲鹏/昇腾与生态伙伴之间的数据交换分为四类场景,分别是高密的资料文档交换敏感业务信息共享查询多方数据联合分析 以及重要项目的互动协同,具体如下图所示:

  • 高密的资料文档交换 :主要应用于研发、销售等领域,如涉及部件相关的技术文件、研发路标规划等,为非结构化数据文件 ,如 Word、PPT、Excel、PDF 等文件,从华为向生态伙伴单向传递 。属于华为高密数据,需要严格控制使用范围(仅具体合作项目成员),只允许查看
  • 敏感业务信息共享查询 :主要应用于制造、物流、服务等领域,如华为向整机厂商供货的物流计划与状态数据为结构化数据 ,从华为向生态伙伴单向传递。属于华为受控数据,需要控制数据使用范围(伙伴采购相关岗位人员),按需即席查询
  • 多方数据联合分析 :主要应用于质量追溯、运营分析等场景,如汇聚各环节产品质量问题数据,进行质量联合追溯,为结构化、非结构化数据,需要华为与生态伙伴互相交换,并支撑端到端的质量溯及运营分析 。属于机密数据,需要严格控制数据使用范围(双方质量运营团队),允许数据整合分析
  • 重要项目的互动协同 :主要应用于能力评估协同、伙伴能力提升等场景。如华为帮助生态伙伴进行能力评估华为向生态伙伴提供评估项,生态伙伴反馈举证数据 ,基于评估结果制定提升计划,为半结构化、非结构化数据,双向多次交互。属于高度机数据,需要严格控制数据使用范围(评估项目专家团队) ,允许查看和编辑

5.3、针对政府/组织数据要素 5 个细分场景

针对政府/组织数据要素 5 个细分场景,构建可信数据空间,具体如下图所示:

  • 场景 1:已有共享交换平台。各个委办局通过 EDS 增强安全管控。
  • 场景 2:公共数据共享场景。水、电、气等公共服务部门将数据共享给政府的场景,通过 EDS 解决共享交换过程中数据安全以及解决各个参与方信任的问题。
  • 场景 3:公共数据开发利用场景。新建公共数据运营平台,授权公共数据开发利用,通过 EDS 解决数据安全和数据流通问题。
  • 场景 4:行业内的数据共享场景,建设行业级的数据共享平台,提供行业知识中心,实现产业链上下游的业务协同。
  • 场景 5:数据要素赋能云场景(数据经纪人)。为数据经纪人提供数据运营平台,包括数据市场 APP 市场等,丰富数据产品,赋能企业,繁荣市场生态。

文章作者白鹿第一帅作者主页https://blog.csdn.net/qq_22695001,未经授权,严禁转载,侵权必究!


总结

华为云交换数据空间(EDS)是一个全新的企业级数据共享平台,以数据的共享和协同为核心,真正实现数据的价值最大化。它的重要意义在于:提供安全可靠的数据交换平台:EDS 为企业提供了一个安全可靠的数据交换平台,可以有效防止数据泄露,保护数据安全。促进数据共享和协作:EDS 将企业内部、外部各种数据资源进行整合,打破各部门数据孤岛,提高数据利用率,促进数据共享和协作,使企业内部和外部的合作更加紧密和高效。实现数据价值最大化:EDS 能够将数据转化为可视化的图表和报表,帮助企业快速准确地分析数据,发现潜在价值和机会,从而实现数据价值最大化。提高企业运营效率:通过 EDS,企业可以更加高效地管理数据,减少数据管理的时间和成本,提高企业运营效率,从而更好地满足客户需求,提高企业竞争力。


我是白鹿,一个不懈奋斗的程序猿。望本文能对你有所裨益,欢迎大家的一键三连!若有其他问题、建议或者补充可以留言在文章下方,感谢大家的支持!

相关推荐
安 当 加 密12 小时前
一分钟学习数据安全——IAM系统的数据访问控制模型
数据安全·权限管理·rbac·访问控制·身份认证·访问控制模型·基于角色的访问控制模型
学步_技术3 天前
自动驾驶系列—自动驾驶数据脱敏:保护隐私与数据安全的关键技术
人工智能·机器学习·自动驾驶·数据安全·数据脱敏
cnsinda_sdc9 天前
模块化沙箱源代码加密有哪些重要指标
服务器·安全·数据安全·源代码防泄密·源代码防泄露·信创沙箱
ZHOU西口15 天前
微服务实战系列之玩转Docker(十八)
分布式·docker·云原生·架构·数据安全·etcd·rbac
安 当 加 密16 天前
【安当产品应用案例100集】029-使用安全芯片保护设备核心业务逻辑
网络·安全·信息安全·数据安全·芯片·加密技术·数据加密集成服务
乙真仙人16 天前
Data+AI━━数据安全的警钟:智能化分类分级治理
大数据·人工智能·数据安全·数字化
Ultipa18 天前
我也谈AI
人工智能·科技·数据安全·可解释性
网安加社区21 天前
网安加·百家讲坛 | 赵锐:数据安全二十载
数据安全·法律法规
BinTools图尔兹24 天前
CQ社区版 v2024.10 | 支持k8s、helm部署!
数据库·安全·k8s·helm·数据安全·数据库管理员
2201_7547131125 天前
Ping32为何是理想的加密工具?十大核心功能保障您的数据安全
数据安全·权限管理·数据防泄密·加密软件·审计·透明加密