從2017年網絡安全法的生效，到去年《數據安全法》的重磅出爐，我國及相關部門共頒布123部數據安全相關法律法規及行業標準；技術方面，大量數據安全相關技術處于發展期，仍有較大的創新空間；行業方面，越來越多的企業面臨著安全問題和合規問題。

那么，安全中心作為有數數據開發及治理平臺的關鍵組成部分，如何進行數據保護？本文將為您介紹我們在數據保護上的探索與實踐。

在數字經濟蓬勃發展的今天，數據成為國家基礎性戰略資源、重要生產要素。由此也滋生了許多牟取暴利的黑色產業鏈，個人信息泄露事件有增無減。基于此，無論是國家機關還是企事業單位，都在加緊數據安全體系的建設，建立完善數據安全管理制度和技術保護機制。

敏感數據是指泄漏后可能會給社會或個人帶來嚴重危害的數據。包括個人隱私數據，如姓名、身份證號碼、住址、電話、銀行賬號、郵箱、密碼、醫療信息、教育背景等；也包括企業或社會機構不適合公布的數據，如企業的經營情況，企業的網絡結構、IP地址列表等。

如果負責存儲和發布這些信息的企業無法保證數據隱私，他們就會面臨嚴重的財務、法律或問責風險，同時在用戶信任方面蒙受巨大損失。

我們的數據保護模塊由安全等級、敏感類型、脫敏規則、數據識別、數據脫敏（靜態脫敏、動態脫敏） 5大模塊組成，實現了數據分級分類->敏感字段發現->脫敏規則定義->敏感數據脫敏 的數據保護全流程。

2.1 敏感數據分級分類

為了規范公司各類信息數據的管理，確保各類數據在存儲、傳輸、使用時均受到合理的保護，明確數據泄露時的應急處理機制和流程，最好的方式是建立起數據分類分級管理制度。

定義什么樣的數據是敏感數據：由于不同行業和公司的行業特性及實際情況不同，敏感數據分級和分類的劃分不同。各企業需要根據國家標準和自己的行業標準，自定義符合何種特質的數據屬于敏感類型。

定義敏感數據分別屬于哪個安全等級：對數據進行分類之后，為了進一步對數據進行管理并滿足合規要求，需要定義數據所屬的安全等級。按照法律要求、價值，對泄露和修改的敏感數據的敏感類型進行安全等級的劃分。對不同的字段，進行分級分類的標識，綜合字段的安全等級還可得出表級的安全等級。

2.2 敏感數據識別

識別哪個字段是敏感字段/識別字段安全等級：定義好數據的敏感類型和安全等級之后，就需要知道哪個表中的哪個字段為這些敏感類型或高安全等級。由于數據的數量龐大，人工去發現并標注數據會花費大量的人力和時間成本，面對海量數據往往不知從何下手，這樣無疑是低效且容易出錯的。安全中心建設起敏感數據自動發現的能力，用戶可通過創建的識別任務的方式，在指定的庫表范圍中，自動識別敏感數據并生成識別結果。

數據治理團隊會定期發起數據識別任務，進行敏感數據的自動發現。基于敏感類型，可以自動推薦相應的安全等級。將安全等級作為判定治理過程中各種流程審批鏈路及判定風險行為的依據。后續針對敏感數據提供相應的安全防護，包括且不局限于：敏感數據脫敏、訪問控制、加密傳輸和存儲、安全共享等。

2.3 動態脫敏

對于數據分析師、數倉開發等人員，在數據地圖、自助分析等場景下對于明文存儲的數據也有即席查詢的需求。如果直接查詢明文數據容易導致數據泄露，管理員會為高敏感的數據配置即席查詢場景下的動態脫敏。對于不同的數據，靈活地采用不同的脫敏規則和算法，如遮蓋、哈希、加密等。

動態脫敏，還應有兩種配置方式。第一種方式是基于敏感類型配置脫敏，如，在指定的庫表范圍內，將所有身份證號和手機號配置脫敏；另一種方式則是直接明確將脫敏規則指定到相應的庫表字段上。

在配置了動態脫敏后，對于有查看明文數據的需求的用戶，可將其配置脫敏白名單，即可查詢明文數據。（部分操作是由項目賬號執行，目前安全中心已將項目賬號都預置成白名單）

2.4 靜態脫敏

靜態脫敏為在數據傳輸中進行脫敏規則配置，一次性完成大批量數據脫敏處置，通常用于將生產環境中的敏感數據交付至開發、測試或者外發環境的情況。某證券行業的企業，內部就分為生產集群和測試集群，生產集群的明文數據在傳輸過程中進行靜態脫敏，脫敏后的數據存儲到測試集群中。對于低權限的員工，只能在測試集群對脫敏后的數據進行開發。

實踐一：敏感數據分級分類的應用

(1）定義和發現敏感類型和安全等級

在安全中心的數據保護模塊，可以對敏感類型和安全等級進行定義，并將敏感類型與安全等級相關聯。在元數據注冊的流程中也可以進行安全等級設置，通常是對表的每個字段設置具體的安全等級，最終表的安全等級取其字段的最高安全等級。

當業務發生變化而導致元數據的安全等級也變化時，業務人員可在數據地圖表詳情頁發起元數據治理工單，申請治理原因為安全等級變更；也可以由數據治理人員在元數據列表發起安全等級變更申請。安全等級變更申請審核通過后，經過發布就能將元數據安全等級改為最新等級，呈現在數據地圖表詳情頁。

在安全中心的數據識別模塊，可以選擇需要識別的庫表范圍，通過敏感數據識別的方式從大量業務表中識別出里面存在的敏感字段，并標記出該字段的安全等級。

(2)安全等級與權限管理的打通

在定義好安全等級以后，下一步就是要對表權限和列權限做嚴格控制。要在組織內部定義好針對不同角色和用戶可以擁有權限的等級范圍，針對高安全等級的表和列提高權限申請時審批的門檻，加長審批鏈路。

同時，安全中心還在探索基于標簽權限管理的能力，敏感類型和安全等級都可以作為授權的標簽，基于這個安全等級直接給用戶進行授權。

(3）安全等級與審計的打通

審計作為安全中心一個重要的能力，需要覆蓋平臺功能的操作審計及數據的操作審計。而對于敏感數據的操作，更要引起格外的關注。對于特定敏感類型或高安全等級的數據，實現查詢或修改等敏感操作要給予及時發現和預警。

首先，要在審計日志中對表的訪問行為做審計，及時記錄用戶的操作。其次，要支持從安全等級和敏感類型兩個維度配置風險告警規則，及時發現數據安全風險。

案例二：數據的動態脫敏

(1）靈活配置脫敏規則

對于不同庫表或敏感類型的數據，適用的脫敏算法也有所不同。常用的有遮蓋、MD5、AES等脫敏算法，目前安全中心內置了12種不同的脫敏算法。而在算法的基礎上，增加一些個性化的配置，則構成了脫敏規則。

有些場景下，需要將生產環境的數據傳輸到開發測試庫來進行問題排查，將數據明文存儲到非生產環境無疑是不安全的。此時就需要在傳輸中配置脫敏，而開發人員并不關注數據本身的業務含義，通常可選用哈希等進行脫敏。而數據分析人員，需要保留部分信息來進行分析，如通過學校信息統計大學生源省份，信息“河北省秦皇島市第一中學”，就可以采用遮蓋脫敏保留前三位字符脫敏成“河北省********”進行分析。如果系統內置算法仍不滿足業務方靈活的需求，也可進行自定義UDF的調用。

(2）配置數據識別任務，根據敏感類型配置動態脫敏

在進行數據識別任務中，我們可以發現敏感的字段給他們賦予敏感類型和安全等級的標簽。緊隨其后的下一步操作，就是要將這些字段與我們定義好的脫敏規則關聯起來，在生產環境下訪問時，實時地進行脫敏。

在新增識別任務時，可以選擇是否對識別出來的敏感類型配置脫敏，并為每種敏感類型匹配上脫敏規則。在生成數據識別結果后，可修改脫敏規則或批量確認脫敏規則，確認后即可生效。

(3）手動根據字段配置動態脫敏

作為根據敏感類型自動配置脫敏的補充，如果明確知道具體哪個庫或表的字段需要脫敏，則可以去手動選擇字段配置脫敏規則。

(4）配置動態脫敏白名單

數據保護的動態脫敏功能，能有力的保護敏感數據在對外展示和輸出時是脫敏的密文數據。但在某些特殊場景下，對于特定的人和數據范圍，應當可支持其查看明文數據。例如，對于某些國家和法律法規要求范圍之外的，公司級別的敏感數據，如公司資產數據、負債數據等，高管人員及財務人員需有權查看明文數據。再如，線上數據開發任務，需要明文數據進行運算。

脫敏白名單功能則可有效解決以上的需求場景，在權限配置的白名單配置中，首先選擇需要配置的白名單資源范圍即庫表范圍，最后選擇白名單的賬號范圍，可以是具體的用戶，也可以配置到角色。

(5）真實脫敏案例展示

表tuomin有name、email、address、phone、idcard五個字段，并建立地址、手機號敏感類型。

通過數據識別任務為表的敏感類型? “地址” 配置脫敏規則“ 地址遮蓋脫敏”、敏感類型? “手機號” 配置脫敏規則“ 手機號遮蓋脫敏”；通過手動配置脫敏為字段 “Email” 配置脫敏規則“ 郵箱地址遮蓋脫敏”。

進入數據地圖找到表tuomin 進行數據預覽，可看到相應字段已被脫敏。

為當前帳號配置字段phone的脫敏白名單，再進入數據地圖進行預覽時，則可以看到phone字段的明文數據。

案例三：數據的靜態脫敏

具體來說靜態脫敏是每次任務運行時，將對來源表的敏感字段按照配置的脫敏規則進行脫敏處置，再寫入到去向表之中，全過程涉及數據傳輸和安全中心兩個子產品的聯動。和動態脫敏一樣，需要在安全中心中進行敏感類型的定義和脫敏規則的配置。然后在新建和編輯數據傳輸時，可選擇是否開啟脫敏。

在傳輸任務中進行脫敏規則、掃描條數和掃描匹配率的配置。可根據選擇的脫敏規則、掃描條數、掃描匹配率去識別敏感字段，并根據脫敏規則所指定的脫敏算法展示脫敏樣例。每次傳輸任務運行時，將對來源表的敏感字段按照配置的脫敏算法進行脫敏處置，去向表中存儲脫敏后的數據。

傳輸任務運行后，可以再前往安全中心進行運行靜態脫敏結果的查看。

目前，有數數據開發及治理平臺的數據保護功能，已在數十家內外部客戶落地投入使用。我們將在未來進一步探索數據安全相關的能力，把數據安全貫穿數據質量全過程，為數據的全生命周期安全保駕護航。