基于資料分類分級和敏感資料保護，保障企業資料安全

1、企業的資料安全挑戰

“2021年6月10日，經第十三屆全國人民代表大會常務委員會第二十九次會議審議，通過了《中華人民共和國資料安全法》（簡稱‘《資料安全法》’），該法将于2021年9月1日起施行。”

近幾年，随着消費者個人意識的崛起和對隐私的重視，資料安全成為了一個越來越熱門的話題，國家也陸續釋出了一些相關規定，來規範資料的采集和使用。而《資料安全法》的正式釋出，标志着資料的開發利用和資料的安全保障正式進入法律範疇，進而對企業的資料安全管控提出了更高的要求。

在企業的發展過程中，如果不重視敏感資料的保護，不重視資料安全體系的建設，那麼一旦發生了敏感資料洩漏事件，輕則企業口碑受損，業務受影響；重則會直接觸法律，受到主管部門的處罰和制裁。對企業來說，可以考慮以下措施，來建構合規的資料體系：

1、樹立全面的資料合規理念。對資料安全相關的法律法規進行關注和及時響應，同時建立企業内部的安全合規團隊，對企業資料安全的方方面面進行安全設計和審計。

2、事前：做好資料分類分級和敏感資料保護。基于法律法規、主管部門要求和自身行業和業務的需要，建立企業的資料分類分級制度，并對敏感資料制定相應的保護政策。

3、事中：做好風險審計和風險識别。成立專門的資料安全小組，定期開展資料安全的風險評估，及時發現風險，消滅風險。

4、事後：做好事故追溯和補救措施，加強安全措施。出現安全事故後，要立即追責，同時視影響的嚴重程度，上報主管部門，并即時進行止損，将影響降低到最小。

本文，我們重點關注一下資料資産安全能力，資産安全為Dataphin提供了資料生命周期中統一的敏感資料識别與保護能力。通過資料分類分級、敏感資料識别、敏感資料脫敏等措施，幫助客戶建立完善的資料安全體系，確定資料使用的安全合規。

2、Dataphin的資料安全能力

資料安全如此重要，當然不能隻靠人來治理，而需要有一套成熟的産品和流程來進行安全的管控。這時候，企業一般面臨着自建系統和采購第三方安全系統的決策問題。

選擇企業自己建設資料安全産品，存在較多的弊端：

1、消耗大量的研發資源，且後續需要不斷投入資源進行維護更新

2、在産品的設計和實作上可能存在漏洞，導緻安全隐患

3、存在生産和實際存在偏差，導緻無法落地到實際生産中的情況。比如資料安全産品和資料生産平台結合不緊密；産品功能沒有滿足國家的資料安全标準等。

對比企業自建資料安全産品，使用Dataphin資料安全産品，存在以下優勢：

1、Dataphin資料安全能力齊全，開箱即用，幫助您低成本的快速建構資料安全體系

2、Dataphin資料安全能力和資料開發過程緊密結合，確定資料開發全鍊路上的資料安全

3、Dataphin實時跟蹤政策和行業動态，不斷更新安全能力，保障您的企業一直享受先進技術的保護

4、Dataphin有完善的專家咨詢和專業化服務，幫助您更好的在企業建構資料安全體系

Dataphin作為智能資料建構與管理平台，作為企業數字化轉型中的核心引擎，對資料生産和管理過程中的資料安全，當然十分重視。Dataphin提供了完整的産品能力，來保障資料建設中的資料安全，并且整個安全體系和資料研發生産緊密結合，確定資料從進入Dataphin開始，到從Dataphin出去的全鍊路，都安全可控。比起自建安全産品，選擇購買Dataphin往往是一個更明智的決定。

圖1：Dataphin安全概覽

Dataphin安全能力圖解

目前Dataphin提供了以下安全能力來確定客戶的資料安全：

1、底座安全：保障底層的系統安全和網絡安全，這一部分主要由阿裡雲底座提供安全保障。在底座的安全措施之外，Dataphin提供了租戶隔離、網絡控制、敏感資訊安全加密存儲等安全功能，確定系統的底層安全。

2、平台安全（權限）：在Dataphin内部，提供了完整的角色體系，以及權限申請與審批功能。讓企業能夠實作精細化授權管理，可以對使用者執行最小粒度的授權和管控，防止權限漏洞。

3、資料安全：Dataphin提供了資料分類分級、敏感資料識别和脫敏功能，來保障資料流轉過程中的資料安全。通過敏感資料保護功能，在不改變底層資料的情況下，保障日常流轉中展示的資料都是加密脫敏後的資料，確定敏感資料不洩漏。

4、安全服務：為了更好的幫助客戶建設資料安全體系，Dataphin還內建了衆多生态産品、專家服務和文檔服務，保障客戶建立起完善的資料安全體系。

圖2：Dataphin資料安全能力圖解

可以看到，Dataphin對整個資料的生産和管理體系，進行了全方位的資料安全保障。這裡我們重點看一下本次文章的核心内容：基于資料分類分級和敏感資料保護的資料安全子產品。

3、Dataphin資料安全應用場景

首先，我們先看一下資料安全子產品的應用場景，進而對資料安全的價值有一個更直覺的認知。以下是通過Dataphin實作資料安全保護的一些典型的場景：

場景1：資料業務中的敏感資料保護

在日常的資料業務運轉中，數倉工程師/資料研發、資料分析師/業務分析師，需要經常接觸資料，包括對資料的查詢、統計、修改等。在這個過程中，存在着大量的資料洩漏的風險，比如可以直接查詢到使用者的姓名、手機号等。雖然可以通過授權的方式，嚴格控制人員的資料權限，但是因為接觸的是明文的敏感資訊，是以仍然存在資料洩漏的風險。

而基于Dataphin的敏感資料識别和保護能力，可以讓敏感資料在日常的流轉和查詢中，對外展示的始終是脫敏之後的資料，如姓名【張三】顯示為【*三】，手機【18612345678】顯示為【186****5678】，確定資料在流轉過程中，不會異常洩漏。

場景2：脫敏白名單的靈活運用

前面兩個場景簡單介紹了在正常場景下對資料的保護，那在有些場景下，有需要看到最原始的資料，那麼就需要用到脫敏白名單的功能，在特定的時間，對特定的使用者或者角色開放原始資料。

場景1：對于企業中一些比較敏感的資料，比如上市公司的财務資料，特殊人員（如高層級的員工、公司宏觀決策支援分析師）在一定時間段（比如公司财報釋出前一個月）是可以看到明文，但是一般人員或這些人員其他時間不可以，就可以通過設定脫敏的白名單及有效時間來實作。

場景2：對于電商每天的銷售額，正常情況下不能展示真實數字，一般都是脫敏展示為***元，但是在雙十一等特殊場景，需要顯示真實銷售額用于宣傳的情況下，可以開啟為期一天的白名單，可以看到當天的銷售額資料。

4、如何使用Dataphin實作敏感保護

那麼如何利用Dataphin的安全能力，來保障企業的資料安全呢？

在Dataphin中，實作敏感資料保護，主要可以分為以下三個步驟：

1、識别敏感資料：即設定資料分類、資料分級、識别規則等内容

2、設定敏感資料保護方式：為識别的敏感資料選擇合适的脫敏算法、設定脫敏規則

3、資料消費：在即席查詢、開發資料寫生産等場景進行資料消費時脫敏

具體的操作步驟，可以參考

如何基于Dataphin實作敏感資料保護（以消費者隐私保護為例）

。

圖3：Dataphin資料安全核心操作流程圖

5、未來展望

雖然目前Dataphin已經有了比較完善的資料安全體系，但是基于客戶需求的多樣性以及對政策的研究與響應，未來會陸續支援以下功能和優化，進而幫助客戶更好的建構資料安全體系，實作業務發展的安全與合規。

1、資料安全審計：提供安全審計功能，詳細的記錄使用者對敏感資料的每一次查詢、下載下傳操作，進而發現風險操作，進行事故追責和體系優化。

2、風險自動發現與告警：基于規則和算法，自動發現異常的使用者操作，并進行告警提示，及時發現風險、阻斷風險，将資料風險的影響最小化

3、更多業務場景中的安全脫敏：支援資料內建和資料服務過程中的資料脫敏，確定資料的每一次消費和使用都安全可控，将敏感資料洩漏的風險從源頭消滅。

4、內建更多的生态産品和專家服務，幫助客戶更好的建立起可持續、可營運、有效率、有效果的資料安全體系。

在新的法律環境和資料安全的挑戰下，Dataphin也會不斷想客戶所想，以創造更大的客戶價值為己任，持續增強資料安全能力，來幫助客戶建立完善的資料安全體系，為客戶的業務發展保駕護航。