資產(chǎn)安全概述
資產(chǎn)安全為Dataphin提供了數(shù)據(jù)生命周期中統(tǒng)一的敏感數(shù)據(jù)識別與保護能力。通過數(shù)據(jù)分類分級、敏感數(shù)據(jù)識別、敏感數(shù)據(jù)脫敏等措施,幫助客戶建立完善的數(shù)據(jù)安全體系,確保數(shù)據(jù)使用的安全合規(guī)性。
前提條件
已購買資產(chǎn)安全增值服務(wù),詳情請參見開通Dataphin。
應(yīng)用場景
基于Dataphin實現(xiàn)數(shù)據(jù)安全保護的一些典型的場景:
場景1:業(yè)務(wù)數(shù)據(jù)中敏感數(shù)據(jù)保護
您可以使用資產(chǎn)安全的敏感數(shù)據(jù)識別和保護功能,脫敏明文敏感數(shù)據(jù),保證業(yè)務(wù)數(shù)據(jù)安全。例如,姓名張三脫敏后*三。
場景2:開發(fā)環(huán)境數(shù)倉建設(shè)
敏感數(shù)據(jù)從生產(chǎn)環(huán)境寫入開發(fā)環(huán)境過程中,您可以使用資產(chǎn)安全內(nèi)置的敏感數(shù)據(jù)識別規(guī)則和脫敏規(guī)則,自動實現(xiàn)敏感數(shù)據(jù)的脫敏,確保敏感數(shù)據(jù)始終保留在高權(quán)限的生產(chǎn)環(huán)境,不會泄露到開發(fā)環(huán)境。
場景3:脫敏白名單的靈活運用
您可以使用資產(chǎn)安全的脫敏白名單功能,實現(xiàn)特定時間、特定的用戶可以看到最原始的數(shù)據(jù)。例如:
在某一時間段內(nèi),公司高管需要查看明文的財務(wù)數(shù)據(jù),您可以將該高管設(shè)置在脫敏白名單中及設(shè)定有效時間段。
在電商領(lǐng)域中,某些特殊場景下需要顯示真實銷售額用于宣傳,您可以開啟將某個用戶設(shè)置在脫敏白名單中及設(shè)定有效的時間段,這樣就可以看到某天的銷售額數(shù)據(jù)。
功能優(yōu)勢
內(nèi)置資源多:Dataphin內(nèi)置了對數(shù)據(jù)的分級分類、敏感數(shù)據(jù)識別規(guī)則及脫敏算法,能夠快速構(gòu)建基本的數(shù)據(jù)安全體系。
識別脫敏支持靈活自定義:識別規(guī)則支持按照范圍、優(yōu)先級靈活自定義,同時支持手動修改,可以建立多層級多領(lǐng)域的識別規(guī)則體系;脫敏規(guī)則支持調(diào)用多種脫敏算法,同時支持算法參數(shù)的自定義,滿足不同場景下數(shù)據(jù)脫敏的需求。
密切結(jié)合生產(chǎn)開發(fā)場景:在開發(fā)生產(chǎn)過程中,資產(chǎn)安全與數(shù)據(jù)流轉(zhuǎn)場景緊密結(jié)合,保障在Dataphin數(shù)據(jù)開發(fā)周期中的數(shù)據(jù)安全。
相關(guān)概念
模塊 | 概念 | 概念解釋 |
敏感數(shù)據(jù)識別 | 數(shù)據(jù)分級 | 數(shù)據(jù)分級是對數(shù)據(jù)的敏感等級的設(shè)定,用于對數(shù)據(jù)的敏感等級進行區(qū)分。Dataphin內(nèi)置了L1(對外公開)-L4(絕密數(shù)據(jù))的通用數(shù)據(jù)分級;同時也支持客戶根據(jù)企業(yè)情況進行自定義分級。 |
數(shù)據(jù)分類 | 數(shù)據(jù)分類是對數(shù)據(jù)使用領(lǐng)域的設(shè)定,用于輔助對數(shù)據(jù)的敏感程度進行區(qū)分(例如公司業(yè)務(wù)數(shù)據(jù)較敏感,但是生產(chǎn)車間的傳感器數(shù)據(jù)不敏感)。Dataphin內(nèi)置了公司數(shù)據(jù)(如公司財務(wù)報告)、業(yè)務(wù)數(shù)據(jù)(如業(yè)務(wù)客戶數(shù)量)、個人數(shù)據(jù)(如消費者隱私數(shù)據(jù))三種數(shù)據(jù)分類;同時也支持客戶根據(jù)企業(yè)情況進行自定義分級。 | |
識別規(guī)則 | 識別規(guī)則是自動化識別敏感字段的策略。因為在實際的生產(chǎn)過程中,往往會有上千張表,上萬個字段,這么多字段全部通過人工標(biāo)注敏感程度并不現(xiàn)實。Dataphin提供了基于規(guī)則自動識別敏感字段的功能,可以基于字段的名稱或者字段的內(nèi)容,自動識別出敏感字段。同時,識別規(guī)則還支持設(shè)置規(guī)則優(yōu)先級、掃描范圍等細節(jié)設(shè)定,讓能更好的建立完整的識別規(guī)則體系。 | |
識別記錄 | 識別記錄模塊記錄了所有識別規(guī)則執(zhí)行后的結(jié)果,即某個字段命中了哪條規(guī)則,屬于什么分級分類的敏感數(shù)據(jù)。同時,對個別需要特殊處理的字段,支持手動修改識別規(guī)則,確保識別結(jié)果準(zhǔn)確可用。 | |
敏感數(shù)據(jù)保護 | 脫敏規(guī)則 | 脫敏規(guī)則設(shè)定了對識別出的敏感字段的保護方式,目前支持遮蓋脫敏和哈希脫敏的方式。當(dāng)前,脫敏規(guī)則和識別規(guī)則是一一綁定的。如果需要在不同的項目里對同一類字段(如姓名)做不同處理,可以在生效范圍上進行限制。 |
脫敏算法 | 脫敏算法模塊可以看到目前支持的所有脫敏算法,主要包括遮蓋脫敏(如張三,脫敏為*三)、哈希脫敏(如加鹽MD5)兩大類算法。 | |
動態(tài)脫敏 | 不改變底層數(shù)據(jù)的存儲,只在數(shù)據(jù)進行消費時,進行數(shù)據(jù)的脫敏。典型應(yīng)用場景:數(shù)據(jù)分析場景的即席查詢、數(shù)據(jù)開發(fā)場景的生產(chǎn)數(shù)據(jù)寫開發(fā)、數(shù)據(jù)消費里的數(shù)據(jù)服務(wù)等。 | |
靜態(tài)脫敏 | 直接修改底層數(shù)據(jù)的存儲,數(shù)據(jù)存儲時就已經(jīng)是加密或者脫敏過的,例如常見的pn_md5。典型應(yīng)用場景:數(shù)據(jù)集成時對敏感數(shù)據(jù)加密、數(shù)倉分層建設(shè)時對應(yīng)用層數(shù)據(jù)脫敏等。 | |
動態(tài)脫敏白名單 | 應(yīng)用于特定的場景下,需要暫時對一些用戶開放真實數(shù)據(jù)的查詢權(quán)限,完成特定的業(yè)務(wù)目標(biāo)。典型應(yīng)用場景:數(shù)據(jù)研發(fā)進行問題排查、特定時期(如雙十一)公開銷售額數(shù)據(jù)等。 |
資產(chǎn)安全使用流程
管理數(shù)據(jù)分類、管理數(shù)據(jù)分級
定義數(shù)據(jù)的分類、分級。
創(chuàng)建、配置及手動觸發(fā)識別規(guī)則
Dataphin支持用戶自定義識別敏感數(shù)據(jù)的規(guī)則。識別規(guī)則配置完成后,每天凌晨會定時掃描數(shù)據(jù),您也可以手動觸發(fā)識別規(guī)則立即掃描數(shù)據(jù),幫助您有效構(gòu)建數(shù)據(jù)安全體系。
查看識別規(guī)則的識別結(jié)果。
選擇Dataphin內(nèi)合適的脫敏算法。
為敏感字段配置脫敏規(guī)則。
注意事項
使用資產(chǎn)安全進行脫敏敏感數(shù)據(jù)的同時,會影響敏感數(shù)據(jù)的開發(fā)、查詢及分析。當(dāng)前,主要影響的場景說明如下:
數(shù)據(jù)查詢
例如,在本地生活服務(wù)商中,某地區(qū)的訂單出現(xiàn)了大量投訴,但因脫敏保護只能看到市級別的地址,無法看到投訴來自哪些街道,影響了業(yè)務(wù)的開展。
生產(chǎn)數(shù)據(jù)寫開發(fā)環(huán)境、測試環(huán)境數(shù)據(jù)準(zhǔn)備
例如,腳本任務(wù)需要識別手機號的位數(shù),但該腳本任務(wù)中的數(shù)據(jù)表選擇了MD5脫敏算法,將11位的手機號變成了32位,導(dǎo)致腳本任務(wù)無法識別手機號位數(shù)。
因此,在使用資產(chǎn)安全的過程中,您需要結(jié)合安全法規(guī)及業(yè)務(wù)場景綜合評估,以保證業(yè)務(wù)正常開展的同時保證資產(chǎn)合規(guī)安全。