观点｜数据安全需要化繁为简

　　

　　文 / 原点安全CEO 左英男

　　随着金融业数字化转型的深入，金融数据逐步从信息化资产转变为数据生产要素，其重要性日益凸显。与之相应的，金融机构的数据安全管理工作也越来越重要。一方面，金融机构需要处理大量敏感数据，包括客户的个人信息、财务数据和交易信息等；金融机构自身的商业机密和机构资产信息也是需要保护的重要目标。一旦这些敏感数据泄露，就会对客户和金融机构本身造成严重的影响，如金融欺诈、信誉受损以及法律责任等。此外，金融机构还需要遵守相关法律法规和监管要求，如《网络安全法》《数据安全法》《个人信息保护法》《金融机构数据管理办法》《商业银行网络安全管理办法》等，这进一步增加了金融机构在数据安全方面的责任和复杂性。

　　数据安全管理工作繁琐复杂

　　金融行业数据安全管理针对数据生命周期中的采集、传输、存储、使用、删除、销毁等多环节开展。数据生命周期安全框架(见图1)，给数据安全工作开展提供了清晰明确的整体思路。包括遵循数据安全原则，以数据安全分级为基础；建立覆盖数据生命周期全过程的安全防护体系；建立健全数据安全组织架构和明确信息系统运维环节中的数据安全需求等。

　　

　　图1 数据生命周期安全框架

　　然而在实际的数据安全建设中，很多企业却发现理论框架和技术措施落地建设之间存在巨大的落差。

　　金融机构业务复杂度高，不同业务系统中存在大量不同类型的敏感数据。敏感数据的复杂度导致其可见性差，传统的数据发现技术手段效果不佳，高敏感暗数据多，机构缺乏充分的发现和分析能力；金融机构业务迭代快速，敏感数据的变化也比较频繁，金融机构难以实时感知到这种变化，给敏感数据的保护带来更大难度；数据安全分类分级的成果难以直接通过技术手段实现保护和利用，导致工作割裂，需要寻找更有效的技术手段来实现数据的保护和利用。

　　金融机构数据使用环节多，往往涉及到不同的部门和系统之间的数据共享和交换。企业里能够接触敏感数据的人，也不再只是研发测试运维人员，还包括数据分析业务部门的风控人员、精准营销人员、数据分析师等等。这对数据管理部门造成了巨大的压力，既要满足业务部门快速获取数据的需求，同时又要兼顾数据安全合规要求。

　　金融机构现有的数据保护措施繁杂。由于历史原因，金融机构产生了各种孤岛式、异构的数据库，相应的数据保护技术措施往往也是分散的，难以协同联动，更难以形成统一的数据安全策略。数据安全与业务紧密耦合，使得协同难度增大，运维、数据、安全、应用和合规团队之间的业务执行界面不清晰，数据业务变化多端，很难快速满足安全合规的要求。

　　如何在满足金融业务需求的基础上，提升数据保护能力，保障金融数据安全流动，降低数据安全保护手段实施的难度与复杂度，已成为当前亟待解决的问题。

　　破局新理念：数据访问安全层

　　原点安全认为解决数据安全管理的复杂问题需要创新的数据技术架构，传统单点产品技术能力已不足以应对。为发现和保护敏感数据，该技术架构应该尽可能贴近数据源，以提高数据识别准确度和保护效果的有效性。同时，该技术架构应该具备分层解耦的能力，将数据安全与业务应用解耦，使跨部门与组织的协同更容易实现。显而易见，该技术架构应该能力集成，实现多种数据安全能力以满足多种业务需求。

　　

　　图2 数据访问安全层示意

　　基于这样的思考，原点安全提出了一个全新的技术架构理念——“数据访问安全层“(Data Access Security Layer)。数据访问安全层是位于访问数据的工具、应用与数据源之间的一层安全技术架构，用于实现数据源中敏感数据的访问控制和交付控制，旨在保护敏感数据免受未经授权的访问、篡改、泄露、破坏和过度暴露。

　　数据访问安全层提供的数据安全基础能力包括但不限于：敏感数据发现、分类分级标识、数据访问控制、数据动态脱敏、数据安全审计等；并能够根据具体的业务场景和需求，通过合适的安全策略编排这些数据安全基础能力，保护敏感数据的安全性和合规性，同时提高了敏感数据的可追溯性和可审计性，能够更好地监控敏感数据的访问和使用情况。

　　一体化数据安全平台uDSP

　　正是基于“数据访问安全层”这一创新的技术架构理念，原点安全基于云原生技术栈开发了“一体化数据安全平台 unified Data Security Platform”（以下简称uDSP），提供从敏感数据发现、识别、保护、监督到治理的一体化协同技术保护措施，满足数据安全与个人信息保护合规要求，把繁琐、繁重的数据安全管理工作变得更加简单、高效，化繁为简。

　　

　　图3 一体化数据安全平台uDSP

　　核心能力与适用场景

　　1.核心能力

　　■ 敏感数据目录：是uDSP产品的核心功能，基于敏感数据智能识别引擎，可以自动识别和标注敏感数据类型和安全级别，从安全视角梳理敏感数据资产，其他产品功能都是围绕敏感数据目录展开的。

　　

　　图4 核心能力示意

　　■ 数据访问控制：针对自定义的数据集以及用户/用户组，配置并执行访问控制策略，能够允许、拒绝或告警特定用户对特定数据集的访问，实现精细化的权限控制。

　　■ 数据动态脱敏：能够按照应用场景配置脱敏算法和脱敏规则组合，通过配置脱敏策略实现敏感数据的动态脱敏，无需改造业务应用。

　　■ 访问认证代理：通过虚拟账号口令代替数据源真实账号口令的用户访问认证代理机制，降低数据源口令的泄露风险，提升管控与追溯能力。

　　■ 数据流转轨迹：全面精准地记录应用层数据活动的上下文信息，自动构建端到端、全链路的敏感数据流动轨迹；并支持钻取式分析，为进一步的安全风险分析建立基础信息。

　　■ 访问自助授权：支持与外部权限审批流程系统的集成，提供预授权、审批授权等自助模式，并自动化配置授权策略，极大降低运维人员的授权策略运维工作量。

　　■ 数据安全审计：全面审计数据访问活动，详细记录应用用户访问数据的日志，支持云原生数据库审计日志和平台日志的自动融合。

　　这些数据保护能力通过uDSP产品的一体化数据安全策略编排、整合为一个整体，满足各种应用场景下的数据保护需求。同时，uDSP产品的一体化日志审计和安全运营中心，能够根据客户的运营需求定制化分析模型和报表，帮助企业数据安全管理人员及时发现针对重要数据和敏感数据的外部攻击、内部人员威胁和数据使用异常，开展数据泄露事件的追踪溯源。

　　2.适用场景

　　一体化数据安全平台（uDSP）广泛适用于安全部门、数据部门与合规部门的多项业务；诸如数据库运维安全管控、多云混合场景数据库审计、数据分析应用动态脱敏、数据共享API监控审计、个人信息保护合规、数据出境安全评估等应用场景。

　　

　　图5 适用部门及场景示意

　　一体化，让数据安全化繁为简

　　一体化数据安全平台（uDSP）能够帮企业实现：

　　1.应用覆盖一体化

　　uDSP应用能够一体化覆盖各种角色的人员、在多种场景下使用各类应用和工具访问数据的管控场景。

　　2.数据覆盖一体化

　　uDSP应该能够一体化支持各种孤岛式建设、异构、跨生态系统的数据库，例如开源数据库MySQL、PGSQL，传统的Oracle、SQL Server，Hadoop大数据系统等。

　　3.安全场景一体化

　　企业与数据安全相关的业务场景都能在uDSP平台上实现，而无需再借助其他产品工具。例如个人信息保护合规、数据跨境安全合规、数据安全分类分级、数据访问权限治理、数据使用合规治理等安全场景。

　　4.业务协同一体化

　　数据安全工作与合规部门、业务部门、数据管理部门、IT运维部门的工作密切相关，uDSP能够帮助企业完成这类协同工作，提高工作效率。

　　一体化数据安全平台uDSP，可以为金融机构在多云、混合云环境中的敏感数据配置实施统一的数据安全保护策略，实现从敏感数据发现、识别、保护、监督到治理的一体化协同保护措施，满足数据安全与个人信息保护合规要求，简化数据安全管理，让企业的数据更安全，合规更高效。

　　举报/反馈