從2017年網(wǎng)絡(luò)安全法的生效，到去年《數(shù)據(jù)安全法》的重磅出爐，我國及相關(guān)部門共頒布123部數(shù)據(jù)安全相關(guān)法律法規(guī)及行業(yè)標(biāo)準(zhǔn)；技術(shù)方面，大量數(shù)據(jù)安全相關(guān)技術(shù)處于發(fā)展期，仍有較大的創(chuàng)新空間；行業(yè)方面，越來越多的企業(yè)面臨著安全問題和合規(guī)問題。

那么，安全中心作為有數(shù)數(shù)據(jù)開發(fā)及治理平臺的關(guān)鍵組成部分，如何進行數(shù)據(jù)保護？本文將為您介紹我們在數(shù)據(jù)保護上的探索與實踐。

在數(shù)字經(jīng)濟蓬勃發(fā)展的今天，數(shù)據(jù)成為國家基礎(chǔ)性戰(zhàn)略資源、重要生產(chǎn)要素。由此也滋生了許多牟取暴利的黑色產(chǎn)業(yè)鏈，個人信息泄露事件有增無減。基于此，無論是國家機關(guān)還是企事業(yè)單位，都在加緊數(shù)據(jù)安全體系的建設(shè)，建立完善數(shù)據(jù)安全管理制度和技術(shù)保護機制。

敏感數(shù)據(jù)是指泄漏后可能會給社會或個人帶來嚴(yán)重危害的數(shù)據(jù)。包括個人隱私數(shù)據(jù)，如姓名、身份證號碼、住址、電話、銀行賬號、郵箱、密碼、醫(yī)療信息、教育背景等；也包括企業(yè)或社會機構(gòu)不適合公布的數(shù)據(jù)，如企業(yè)的經(jīng)營情況，企業(yè)的網(wǎng)絡(luò)結(jié)構(gòu)、IP地址列表等。

如果負(fù)責(zé)存儲和發(fā)布這些信息的企業(yè)無法保證數(shù)據(jù)隱私，他們就會面臨嚴(yán)重的財務(wù)、法律或問責(zé)風(fēng)險，同時在用戶信任方面蒙受巨大損失。

我們的數(shù)據(jù)保護模塊由安全等級、敏感類型、脫敏規(guī)則、數(shù)據(jù)識別、數(shù)據(jù)脫敏（靜態(tài)脫敏、動態(tài)脫敏） 5大模塊組成，實現(xiàn)了數(shù)據(jù)分級分類->敏感字段發(fā)現(xiàn)->脫敏規(guī)則定義->敏感數(shù)據(jù)脫敏 的數(shù)據(jù)保護全流程。

2.1 敏感數(shù)據(jù)分級分類

為了規(guī)范公司各類信息數(shù)據(jù)的管理，確保各類數(shù)據(jù)在存儲、傳輸、使用時均受到合理的保護，明確數(shù)據(jù)泄露時的應(yīng)急處理機制和流程，最好的方式是建立起數(shù)據(jù)分類分級管理制度。

定義什么樣的數(shù)據(jù)是敏感數(shù)據(jù)：由于不同行業(yè)和公司的行業(yè)特性及實際情況不同，敏感數(shù)據(jù)分級和分類的劃分不同。各企業(yè)需要根據(jù)國家標(biāo)準(zhǔn)和自己的行業(yè)標(biāo)準(zhǔn)，自定義符合何種特質(zhì)的數(shù)據(jù)屬于敏感類型。

定義敏感數(shù)據(jù)分別屬于哪個安全等級：對數(shù)據(jù)進行分類之后，為了進一步對數(shù)據(jù)進行管理并滿足合規(guī)要求，需要定義數(shù)據(jù)所屬的安全等級。按照法律要求、價值，對泄露和修改的敏感數(shù)據(jù)的敏感類型進行安全等級的劃分。對不同的字段，進行分級分類的標(biāo)識，綜合字段的安全等級還可得出表級的安全等級。

2.2 敏感數(shù)據(jù)識別

識別哪個字段是敏感字段/識別字段安全等級：定義好數(shù)據(jù)的敏感類型和安全等級之后，就需要知道哪個表中的哪個字段為這些敏感類型或高安全等級。由于數(shù)據(jù)的數(shù)量龐大，人工去發(fā)現(xiàn)并標(biāo)注數(shù)據(jù)會花費大量的人力和時間成本，面對海量數(shù)據(jù)往往不知從何下手，這樣無疑是低效且容易出錯的。安全中心建設(shè)起敏感數(shù)據(jù)自動發(fā)現(xiàn)的能力，用戶可通過創(chuàng)建的識別任務(wù)的方式，在指定的庫表范圍中，自動識別敏感數(shù)據(jù)并生成識別結(jié)果。

數(shù)據(jù)治理團隊會定期發(fā)起數(shù)據(jù)識別任務(wù)，進行敏感數(shù)據(jù)的自動發(fā)現(xiàn)。基于敏感類型，可以自動推薦相應(yīng)的安全等級。將安全等級作為判定治理過程中各種流程審批鏈路及判定風(fēng)險行為的依據(jù)。后續(xù)針對敏感數(shù)據(jù)提供相應(yīng)的安全防護，包括且不局限于：敏感數(shù)據(jù)脫敏、訪問控制、加密傳輸和存儲、安全共享等。

2.3 動態(tài)脫敏

對于數(shù)據(jù)分析師、數(shù)倉開發(fā)等人員，在數(shù)據(jù)地圖、自助分析等場景下對于明文存儲的數(shù)據(jù)也有即席查詢的需求。如果直接查詢明文數(shù)據(jù)容易導(dǎo)致數(shù)據(jù)泄露，管理員會為高敏感的數(shù)據(jù)配置即席查詢場景下的動態(tài)脫敏。對于不同的數(shù)據(jù)，靈活地采用不同的脫敏規(guī)則和算法，如遮蓋、哈希、加密等。

動態(tài)脫敏，還應(yīng)有兩種配置方式。第一種方式是基于敏感類型配置脫敏，如，在指定的庫表范圍內(nèi)，將所有身份證號和手機號配置脫敏；另一種方式則是直接明確將脫敏規(guī)則指定到相應(yīng)的庫表字段上。

在配置了動態(tài)脫敏后，對于有查看明文數(shù)據(jù)的需求的用戶，可將其配置脫敏白名單，即可查詢明文數(shù)據(jù)。（部分操作是由項目賬號執(zhí)行，目前安全中心已將項目賬號都預(yù)置成白名單）

2.4 靜態(tài)脫敏

靜態(tài)脫敏為在數(shù)據(jù)傳輸中進行脫敏規(guī)則配置，一次性完成大批量數(shù)據(jù)脫敏處置，通常用于將生產(chǎn)環(huán)境中的敏感數(shù)據(jù)交付至開發(fā)、測試或者外發(fā)環(huán)境的情況。某證券行業(yè)的企業(yè)，內(nèi)部就分為生產(chǎn)集群和測試集群，生產(chǎn)集群的明文數(shù)據(jù)在傳輸過程中進行靜態(tài)脫敏，脫敏后的數(shù)據(jù)存儲到測試集群中。對于低權(quán)限的員工，只能在測試集群對脫敏后的數(shù)據(jù)進行開發(fā)。

實踐一：敏感數(shù)據(jù)分級分類的應(yīng)用

(1）定義和發(fā)現(xiàn)敏感類型和安全等級

在安全中心的數(shù)據(jù)保護模塊，可以對敏感類型和安全等級進行定義，并將敏感類型與安全等級相關(guān)聯(lián)。在元數(shù)據(jù)注冊的流程中也可以進行安全等級設(shè)置，通常是對表的每個字段設(shè)置具體的安全等級，最終表的安全等級取其字段的最高安全等級。

當(dāng)業(yè)務(wù)發(fā)生變化而導(dǎo)致元數(shù)據(jù)的安全等級也變化時，業(yè)務(wù)人員可在數(shù)據(jù)地圖表詳情頁發(fā)起元數(shù)據(jù)治理工單，申請治理原因為安全等級變更；也可以由數(shù)據(jù)治理人員在元數(shù)據(jù)列表發(fā)起安全等級變更申請。安全等級變更申請審核通過后，經(jīng)過發(fā)布就能將元數(shù)據(jù)安全等級改為最新等級，呈現(xiàn)在數(shù)據(jù)地圖表詳情頁。

在安全中心的數(shù)據(jù)識別模塊，可以選擇需要識別的庫表范圍，通過敏感數(shù)據(jù)識別的方式從大量業(yè)務(wù)表中識別出里面存在的敏感字段，并標(biāo)記出該字段的安全等級。

(2)安全等級與權(quán)限管理的打通

在定義好安全等級以后，下一步就是要對表權(quán)限和列權(quán)限做嚴(yán)格控制。要在組織內(nèi)部定義好針對不同角色和用戶可以擁有權(quán)限的等級范圍，針對高安全等級的表和列提高權(quán)限申請時審批的門檻，加長審批鏈路。

同時，安全中心還在探索基于標(biāo)簽權(quán)限管理的能力，敏感類型和安全等級都可以作為授權(quán)的標(biāo)簽，基于這個安全等級直接給用戶進行授權(quán)。

(3）安全等級與審計的打通

審計作為安全中心一個重要的能力，需要覆蓋平臺功能的操作審計及數(shù)據(jù)的操作審計。而對于敏感數(shù)據(jù)的操作，更要引起格外的關(guān)注。對于特定敏感類型或高安全等級的數(shù)據(jù)，實現(xiàn)查詢或修改等敏感操作要給予及時發(fā)現(xiàn)和預(yù)警。

首先，要在審計日志中對表的訪問行為做審計，及時記錄用戶的操作。其次，要支持從安全等級和敏感類型兩個維度配置風(fēng)險告警規(guī)則，及時發(fā)現(xiàn)數(shù)據(jù)安全風(fēng)險。

案例二：數(shù)據(jù)的動態(tài)脫敏

(1）靈活配置脫敏規(guī)則

對于不同庫表或敏感類型的數(shù)據(jù)，適用的脫敏算法也有所不同。常用的有遮蓋、MD5、AES等脫敏算法，目前安全中心內(nèi)置了12種不同的脫敏算法。而在算法的基礎(chǔ)上，增加一些個性化的配置，則構(gòu)成了脫敏規(guī)則。

有些場景下，需要將生產(chǎn)環(huán)境的數(shù)據(jù)傳輸?shù)介_發(fā)測試庫來進行問題排查，將數(shù)據(jù)明文存儲到非生產(chǎn)環(huán)境無疑是不安全的。此時就需要在傳輸中配置脫敏，而開發(fā)人員并不關(guān)注數(shù)據(jù)本身的業(yè)務(wù)含義，通常可選用哈希等進行脫敏。而數(shù)據(jù)分析人員，需要保留部分信息來進行分析，如通過學(xué)校信息統(tǒng)計大學(xué)生源省份，信息“河北省秦皇島市第一中學(xué)”，就可以采用遮蓋脫敏保留前三位字符脫敏成“河北省********”進行分析。如果系統(tǒng)內(nèi)置算法仍不滿足業(yè)務(wù)方靈活的需求，也可進行自定義UDF的調(diào)用。

(2）配置數(shù)據(jù)識別任務(wù)，根據(jù)敏感類型配置動態(tài)脫敏

在進行數(shù)據(jù)識別任務(wù)中，我們可以發(fā)現(xiàn)敏感的字段給他們賦予敏感類型和安全等級的標(biāo)簽。緊隨其后的下一步操作，就是要將這些字段與我們定義好的脫敏規(guī)則關(guān)聯(lián)起來，在生產(chǎn)環(huán)境下訪問時，實時地進行脫敏。

在新增識別任務(wù)時，可以選擇是否對識別出來的敏感類型配置脫敏，并為每種敏感類型匹配上脫敏規(guī)則。在生成數(shù)據(jù)識別結(jié)果后，可修改脫敏規(guī)則或批量確認(rèn)脫敏規(guī)則，確認(rèn)后即可生效。

(3）手動根據(jù)字段配置動態(tài)脫敏

作為根據(jù)敏感類型自動配置脫敏的補充，如果明確知道具體哪個庫或表的字段需要脫敏，則可以去手動選擇字段配置脫敏規(guī)則。

(4）配置動態(tài)脫敏白名單

數(shù)據(jù)保護的動態(tài)脫敏功能，能有力的保護敏感數(shù)據(jù)在對外展示和輸出時是脫敏的密文數(shù)據(jù)。但在某些特殊場景下，對于特定的人和數(shù)據(jù)范圍，應(yīng)當(dāng)可支持其查看明文數(shù)據(jù)。例如，對于某些國家和法律法規(guī)要求范圍之外的，公司級別的敏感數(shù)據(jù)，如公司資產(chǎn)數(shù)據(jù)、負(fù)債數(shù)據(jù)等，高管人員及財務(wù)人員需有權(quán)查看明文數(shù)據(jù)。再如，線上數(shù)據(jù)開發(fā)任務(wù)，需要明文數(shù)據(jù)進行運算。

脫敏白名單功能則可有效解決以上的需求場景，在權(quán)限配置的白名單配置中，首先選擇需要配置的白名單資源范圍即庫表范圍，最后選擇白名單的賬號范圍，可以是具體的用戶，也可以配置到角色。

(5）真實脫敏案例展示

表tuomin有name、email、address、phone、idcard五個字段，并建立地址、手機號敏感類型。

通過數(shù)據(jù)識別任務(wù)為表的敏感類型? “地址” 配置脫敏規(guī)則“ 地址遮蓋脫敏”、敏感類型? “手機號” 配置脫敏規(guī)則“ 手機號遮蓋脫敏”；通過手動配置脫敏為字段 “Email” 配置脫敏規(guī)則“ 郵箱地址遮蓋脫敏”。

進入數(shù)據(jù)地圖找到表tuomin 進行數(shù)據(jù)預(yù)覽，可看到相應(yīng)字段已被脫敏。

為當(dāng)前帳號配置字段phone的脫敏白名單，再進入數(shù)據(jù)地圖進行預(yù)覽時，則可以看到phone字段的明文數(shù)據(jù)。

案例三：數(shù)據(jù)的靜態(tài)脫敏

具體來說靜態(tài)脫敏是每次任務(wù)運行時，將對來源表的敏感字段按照配置的脫敏規(guī)則進行脫敏處置，再寫入到去向表之中，全過程涉及數(shù)據(jù)傳輸和安全中心兩個子產(chǎn)品的聯(lián)動。和動態(tài)脫敏一樣，需要在安全中心中進行敏感類型的定義和脫敏規(guī)則的配置。然后在新建和編輯數(shù)據(jù)傳輸時，可選擇是否開啟脫敏。

在傳輸任務(wù)中進行脫敏規(guī)則、掃描條數(shù)和掃描匹配率的配置。可根據(jù)選擇的脫敏規(guī)則、掃描條數(shù)、掃描匹配率去識別敏感字段，并根據(jù)脫敏規(guī)則所指定的脫敏算法展示脫敏樣例。每次傳輸任務(wù)運行時，將對來源表的敏感字段按照配置的脫敏算法進行脫敏處置，去向表中存儲脫敏后的數(shù)據(jù)。

傳輸任務(wù)運行后，可以再前往安全中心進行運行靜態(tài)脫敏結(jié)果的查看。

目前，有數(shù)數(shù)據(jù)開發(fā)及治理平臺的數(shù)據(jù)保護功能，已在數(shù)十家內(nèi)外部客戶落地投入使用。我們將在未來進一步探索數(shù)據(jù)安全相關(guān)的能力，把數(shù)據(jù)安全貫穿數(shù)據(jù)質(zhì)量全過程，為數(shù)據(jù)的全生命周期安全保駕護航。