数据库处理龙头~星环科技(数据脱敏)
数据安全问题正不断席卷全球,解决数据安全问题已经刻不容缓,各国也在出台相关政策法规促使数据安全加速落地。
截至 2021 年,全国人大、工信部、最高法等国家机关共推出《关于加强网络信息保护的决定》《电信和互联网用户个人信息保护规定》《民法典》《中华人民共和国电子商务法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《互联网信息服务算法推荐管理规定》等法律共同编织成一张数据“保护网”。
在法律环境发生变化,对数据安全的监管越来越严格的今天,任何企业都需要尽早建设数据安全防护体系,主动做数据分类分级、权限管控、数据流向审计等,守护数据安全。
星环科技自主研发的数据安全管理平台 Transwarp Defensor ,基于 Defensor 的五大核心能力和星环科技全局数据安全策略,可以帮助企业建设以数据为中心的数据安全防护。Defensor 能够帮助企业了解内部数据敏感信息的资产地图,发现潜在风险,并监控企业重要数据的合规使用;同时,也能对企业敏感数据进行分类分级,通过数据脱敏、水印等方式对数据进行事前事后的保护,防止数据泄露或能够在数据泄露后做到可以溯源追踪。
五大核心能力:分类分级、数据脱敏、操作监测、操作审计、个人信息去标识

第一,敏感数据识别与分类分级,帮助企业全面梳理敏感资产,并绘制分类分级资产地图。Defensor 内置的分类分级标准参照,涵盖了多个行业法律法规,并与律师深度合作探讨,共同落实了大量规则;基于正则表达式、关键字内容、算法匹配、字典匹配等方式,自动扫描全局敏感数据,提供定时敏感识别扫描任务。
第二,提供数据脱敏和水印等能力,让敏感数据可以脱敏后服务业务,并在发生泄露后可以追踪溯源。平台预置多种脱敏算法,开箱即用,满足不同场景,不同安全等级的脱敏要求。当敏感数据需要对外流通时,支持在数据集中嵌入水印,当数据发生泄漏后,可以通过水印解析进行溯源。
第三,能识别敏感数据操作并进行监测,能够识别流动中的敏感数据并触发对应的管理策略。依据GB/T 35273—2020《信息安全技术个人信息安全规范》等规范定义敏感信息,配置规则适用的审计对象与数据字段,后台生成数据泄露类的告警规则,审计到敏感数据泄露,及时告警通知相关人员进行阻断。
第四,大数据平台和数据库的操作审计,避免违规操作带来的数据安全风险。平台可以通过镜像网关实现旁路审计,也可以收集大数据组件审计日志进行分析。平台支持对大数据平台的登陆、权限、数据库操作事件进行审计溯源,并预置多种审计告警规则,能对高权限操作、数据库高危操作、违规SQL、异常行为等场景实现审计告警。
第五,基于GB/T 37964-2019《信息安全技术个人信息去标识化指南》《信息安全技术个人信息去标识化效果分级评估规范》实现自动化个人信息识别、去标识化以及去标识化评级,实现企业个人信息资产保护。

一套全局数据安全防护策略

星环科技基于 Defensor 分类分级结果,星环科技形成一套全局的数据安全防护策略,能够支持业务层灵活的数据合规需求。关于数据安全防护的策略,星环科技提出了防护规则、防护策略和防护操作的概念,让策略落地更高效、更灵活、更全面。
在数据防护规则方面,星环科技定义了所有数据类型,其中包括数据的级别、识别方法、默认的安全防护操作等,开箱即用。比如手机号数据限制访问、IP 等数据需要脱敏等不同策略。还可以通过分类分级直接关联到相应的字段。比如 db1.table1.col1 的分类是 G1 等级,安全级别较低,对应的数据防护操作就是 Passthrough 直接访问,而 db1.table1.col2,分类是 G2 等级,可能是比较敏感的手机号数据,那对应的操作是 Mask ,需要脱敏访问。

Defensor 设有安全防护策略中心,在策略中心会默认一个基于安全等级的防护规则,比如G1 直接访问,G2 -G4 则需要脱敏访问、G5 是拒绝访问等,同时也能针对字段或者用户自定义安全防护策略,满足不同情况下的数据安全需求。比如某个类型的数据在不同场景下有不同的安全等级,那数据防护策略就需要灵活变化;比如高权限用户有查看明文的需求,就可以给出 Passthrough直接访问的安全防护策略,并设置一些时效;如果对一些访客用户,那么即使是安全等级比较低的数据也需要脱敏处理。可以看出,Defensor 提供的是比较灵活的安全防护策略,可以满足企业个性化数据安全防护的需求。
星环科技全局数据安全防护策略的落地实战


如上图所示,企业在进行数据安全合规改造前,数据从生产侧通过数据库直连、API网关、数据整合等方式进入到数据应用,完全不具备数据安全合规所需要的个人信息识别、敏感数据去标识化、脱敏、数据分类分级、监测数据链路上的不合规访问等能力,面临极大地数据安全合规使用的风险。
基于星环科技全局的数据安全策略。形成了右边的满足数据安全合规的企业应用数据架构。生产侧数据平台或数据库通过 Defesnor 对数据进行分类分级,并盘点出企业敏感资产,生成分类分级清单、个人资产清单、行业重要数据清单等,基于分类分级清单,生成必要的数据安全防护策略;在数据传输过程中,基于星环科技 Quark 数据库网关,提供 SQL 查询的动态脱敏,基于 Midgard API 网关,为 API 访问提供动态脱敏,基于星环科技关系型分析引擎 Inceptor 分布式脱敏引擎,提供静态脱敏能力;同时,将相关链路日志进入大数据平台安全审计软件 Audit 监测,从而做到泄敏事件的监控与告警。
基于星环科技全局数据安全防护策略改造的企业应用数据架构,为全域、全生命周期的安全防护建立最基础最可靠的安全策略中心,并能为星环科技及第三方数据平台、数据库、中间件等相关产品提供统一的数据安全策略,从而形成整体的数据防护和敏感监测等能力。
今天,Defensor 正式发布 3.1 版本, 新版本也迎来了令人期待的三大核心能力:
分类分级任务中加入了个人信息识别的支持。不仅如此,针对识别出来的个人资产,新增了个人信息去标识化这个一级菜单,确保个人资产在共享交换场景下的安全合规。
增加了数据静态脱敏的一级菜单,支持脱敏算法管理、脱敏任务管理与运维等功能,支撑企业对敏感资产脱敏的需求。
增加了数据安全策略一级菜单,支持基于分类分级结果的安全防护策略管理,可以指定不同用户针对不同级别的数据的访问策略,比如某个表的字段类型是身份证,等级是 G3。对于该字段,admin用户可以明文查询,dev用户需要脱敏。
目前 Defensor 在交通、医疗、金融、高校等多个领域有落地案例。在车联网领域,随着智能化发展,云端产生了大量个人隐私数据,为了避免个人隐私泄露,防止不合规的数据使用,某车企通过 Defensor 盘点企业个人敏感数据,对数据分类分级,按照国家数据安全标准制定企业数据使用规范,保障了企业的安全合规运营。
在银行业,某银行基于 Defensor 实现数据分类分级。行内的生产数据需要定期导入到测试环境,依靠 Defensor 的静态脱敏能力,实现大批量数据高性能脱敏到测试环境。针对数据探索与分析场景,安全人员基于 Defensor 的数据安全访问策略,配合 SQL 网关与应用 API 网关,实现数据动态脱敏,确保企业使用敏感数据安全合规。