如何基於Dataphin實現敏感資料保護

我們來看一個最常見的案例：消費者隱私資料保護。

場景介紹

近幾年，隨著消費者個人意識的崛起和對隱私的重視，資料安全成為了一個越來越熱門的話題，國家也陸續釋出了一些相關規定，來規範資料的採集和使用。在企業的發展過程中，如果不重視敏感資料的保護，不重視資料安全體系的建設，那麼一旦發生了敏感資料洩漏事件，輕則企業口碑受損，業務受影響；重則會直接觸法律，受到主管部門的處罰和制裁。

而在企業領域的敏感資訊中，個人敏感資訊是絕對的大頭，包括個人的身份資訊（姓名、身份證號碼）、聯絡方式（手機、郵箱、地址）、個人財產資訊、生物識別資訊等等，都屬於個人敏感資料。這些資料一旦洩漏，對使用者的個人生活以及對企業的業務執行，都會產生非常大的損害，所以在企業的業務運轉中，要對消費者的個人隱私資料進行脫敏保護。

 

圖片：支付寶中，對使用者姓名與使用者賬號的脫敏保護

 

主要流程

首先，我們回顧一下在Dataphin上，實現敏感資料保護的主要流程：

在Dataphin中，實現敏感資料保護，主要可以分為以下三個步驟：

1、識別敏感資料：即設定資料分類、資料分級、識別規則等內容

2、設定敏感資料保護方式：為識別的敏感資料選擇合適的脫敏演算法、設定脫敏規則

3、資料消費：在即席查詢、開發資料寫生產等場景進行資料消費時脫敏

詳細步驟

接下來，我們以使用者敏感資訊中，最常見的使用者姓名為例，展示如何一步步的首先使用者姓名的識別和脫敏保護。

1、識別敏感資料

假設我們已經建立好了資料分類和資料分級（Dataphin會內建通用的分類和分級標準，支援開箱即用），我們直接進入新建識別規則的模擬步驟：

新建一個【使用者姓名】的識別規則；

掃描範圍選擇【全部】；

掃描方式選擇【內建識別】-【名字】（如果使用者姓名的欄位都叫【name】，也可以配置正則規則【^name$】）；

資料分類選擇【個人資料（C）】；

資料分級選擇【機密資料（L3）】（根據自己企業的情況靈活調衡）；

優先順序選擇【3】（中間優先順序，根據自己企業的情況靈活調整）；

配置完成識別規則後，我們可以觸發一次【手動規則掃描】，或者等到第二天，系統會自動執行一次全域性掃描。最終敏感資料識別的結果，都可以在【識別記錄】頁面看到：

2、設定敏感資料保護方式

識別到敏感資料之後，下一步就是給敏感資料設定合適的保護方式，從而保證資料不洩漏。

Dataphin當前內建了多種遮蓋脫敏規則（如【張三】，顯示成【*三】）、雜湊脫敏規則（如【張三】，顯示為【615DB57AA314529AAA0FBE95B3E95BD3】），可以滿足大部分業務場景下的資料保護需求，並在未來支援加解密演算法和使用者自定義脫敏演算法。

這裡建議大家根據業務需求，選擇合適的演算法。比如對於使用者姓名，在大部分的業務場景中（如支付寶轉賬），都是不能顯示完整的名稱，但是可以顯示一部分，用於身份確認，這樣就可以選擇內建的【中文姓名】的脫敏演算法

選擇好合適的脫敏演算法之後，我們就可以配置動態脫敏規則了，還是以使用者姓名為例：

新建一個【使用者姓名脫敏】的脫敏規則；

繫結已經建好的敏感資料識別規則【使用者姓名】；

應用場景選擇【寫開發表】、【即席查詢】；

脫敏方式選擇【遮蓋掩碼-中文姓名】；

生效範圍選擇【全部】

 

至此，我們的敏感資料識別和保護就已經完全配置完成了，接下來在資料消費的過程中，就可以對資料進行保護了。

3、資料消費

下面已即席查詢為例，展示敏感資料識別和脫敏的效果：

可以看到，我們開始往表格裡寫入的資料是【張三】，因為寫入了敏感資料【name】欄位，也就是【使用者姓名】，所以在資料讀取的時候，系統自動的進行了脫敏，操作的同學只能夠看到【*三】，從而防止敏感資料洩漏，保護了資料安全。

結語

上面通過使用者姓名這樣一個非常很簡單的案例，串講了整個敏感資料識別和脫敏的主流程，相信能幫助您理解整個資料安全保護的機制；而在主流程之外，還有資料分類分級的制定、稽核識別記錄並手動修改、脫敏白名單等流程。同時，在企業實際的資料安全保護中，還有更多的系統工作要做，比如制定符合企業的資料分類分級體系、建立完整的資料識別體系等等。