在《基於資料分類分級和敏感資料保護,保障企業資料安全》一文中,我們講解了Dataphin中資產安全的主要應用場景和基本概念,那麼如何利用Dataphin的安全能力,來保障企業的資料安全呢?
我們來看一個最常見的案例:消費者隱私資料保護。
場景介紹
近幾年,隨著消費者個人意識的崛起和對隱私的重視,資料安全成為了一個越來越熱門的話題,國家也陸續釋出了一些相關規定,來規範資料的採集和使用。在企業的發展過程中,如果不重視敏感資料的保護,不重視資料安全體系的建設,那麼一旦發生了敏感資料洩漏事件,輕則企業口碑受損,業務受影響;重則會直接觸法律,受到主管部門的處罰和制裁。
而在企業領域的敏感資訊中,個人敏感資訊是絕對的大頭,包括個人的身份資訊(姓名、身份證號碼)、聯絡方式(手機、郵箱、地址)、個人財產資訊、生物識別資訊等等,都屬於個人敏感資料。這些資料一旦洩漏,對使用者的個人生活以及對企業的業務執行,都會產生非常大的損害,所以在企業的業務運轉中,要對消費者的個人隱私資料進行脫敏保護。
圖片:支付寶中,對使用者姓名與使用者賬號的脫敏保護
主要流程
首先,我們回顧一下在Dataphin上,實現敏感資料保護的主要流程:
在Dataphin中,實現敏感資料保護,主要可以分為以下三個步驟:
1、識別敏感資料:即設定資料分類、資料分級、識別規則等內容
2、設定敏感資料保護方式:為識別的敏感資料選擇合適的脫敏演算法、設定脫敏規則
3、資料消費:在即席查詢、開發資料寫生產等場景進行資料消費時脫敏
詳細步驟
接下來,我們以使用者敏感資訊中,最常見的使用者姓名為例,展示如何一步步的首先使用者姓名的識別和脫敏保護。
1、識別敏感資料
假設我們已經建立好了資料分類和資料分級(Dataphin會內建通用的分類和分級標準,支援開箱即用),我們直接進入新建識別規則的模擬步驟:
新建一個【使用者姓名】的識別規則;
掃描範圍選擇【全部】;
掃描方式選擇【內建識別】-【名字】(如果使用者姓名的欄位都叫【name】,也可以配置正則規則【^name$】);
資料分類選擇【個人資料(C)】;
資料分級選擇【機密資料(L3)】(根據自己企業的情況靈活調衡);
優先順序選擇【3】(中間優先順序,根據自己企業的情況靈活調整);
配置完成識別規則後,我們可以觸發一次【手動規則掃描】,或者等到第二天,系統會自動執行一次全域性掃描。最終敏感資料識別的結果,都可以在【識別記錄】頁面看到:
2、設定敏感資料保護方式
識別到敏感資料之後,下一步就是給敏感資料設定合適的保護方式,從而保證資料不洩漏。
Dataphin當前內建了多種遮蓋脫敏規則(如【張三】,顯示成【*三】)、雜湊脫敏規則(如【張三】,顯示為【615DB57AA314529AAA0FBE95B3E95BD3】),可以滿足大部分業務場景下的資料保護需求,並在未來支援加解密演算法和使用者自定義脫敏演算法。
這裡建議大家根據業務需求,選擇合適的演算法。比如對於使用者姓名,在大部分的業務場景中(如支付寶轉賬),都是不能顯示完整的名稱,但是可以顯示一部分,用於身份確認,這樣就可以選擇內建的【中文姓名】的脫敏演算法
選擇好合適的脫敏演算法之後,我們就可以配置動態脫敏規則了,還是以使用者姓名為例:
新建一個【使用者姓名脫敏】的脫敏規則;
繫結已經建好的敏感資料識別規則【使用者姓名】;
應用場景選擇【寫開發表】、【即席查詢】;
脫敏方式選擇【遮蓋掩碼-中文姓名】;
生效範圍選擇【全部】
至此,我們的敏感資料識別和保護就已經完全配置完成了,接下來在資料消費的過程中,就可以對資料進行保護了。
3、資料消費
下面已即席查詢為例,展示敏感資料識別和脫敏的效果:
可以看到,我們開始往表格裡寫入的資料是【張三】,因為寫入了敏感資料【name】欄位,也就是【使用者姓名】,所以在資料讀取的時候,系統自動的進行了脫敏,操作的同學只能夠看到【*三】,從而防止敏感資料洩漏,保護了資料安全。
結語
上面通過使用者姓名這樣一個非常很簡單的案例,串講了整個敏感資料識別和脫敏的主流程,相信能幫助您理解整個資料安全保護的機制;而在主流程之外,還有資料分類分級的制定、稽核識別記錄並手動修改、脫敏白名單等流程。同時,在企業實際的資料安全保護中,還有更多的系統工作要做,比如制定符合企業的資料分類分級體系、建立完整的資料識別體系等等。