大数据场景数据保护.pdf

大数据场景数据保护

应用场景

大数据相关业务在企业中的应用越来越广泛，例如业务风控、精准营销、实时

报表、监管上报等，大数据部门本身也存在数据治理、数据分析、数据开发、

数据集成、数据共享等多种业务场景，企业的数据使用场景变得比以往更加复

杂，访问数据的人员角色也越来越多，呈现出数据大众化的趋势。大数据平台

汇聚了企业的核心数据，敏感数据在不同的工具、应用和人员之间流转频繁，

数据泄露和违规使用的风险越来越大，企业亟需加强大数据场景的敏感数据保

护。企业的数据管理部门也面临着两难境地：一方面要快速便捷地提供数据的

访问，一方面又要满足数据安全合规要求。

痛点需求

数据分类分级成果与数据保护技术措施脱节

数据治理团队花费大量人力物力完成了数据资产盘点和分类分级工作，并且标

记了敏感数据类型和安全级别，但是数据分类分级的成果很难与数据保护技术

手段衔接，造成数据安全管理制度与技术措施的脱节。

BI数据分析系统数据保护技术措施落地困难

BI系统的数据安全能力较弱，并且缺失统一管理的敏感数据清单，依赖BI系

统自身的数据安全能力实施数据脱敏、权限管控等保护措施，会出现策略数量

庞大且变更频繁的问题，策略管理运维复杂度高。同时，数据分析师承担安全

策略配置管理职责也会导致权责不清，管控手段落地困难。

数据开发、数据运维等高权限场景缺乏管控

数据开发、治理、集成和运维人员拥有高权限的数据源账号和访问凭据，日常

工作中能够接触大量的敏感数据，容易造成数据越权访问、敏感数据泄露等问

题，数据脱敏保护、数据安全审计等技术手段缺失。同时，数据开发运维人员

普遍存在数据源账号共享使用的问题，发生数据安全事件时无法追溯到真实个

人身份。

数据服务API场景缺乏敏感数据保护技术手段

数据服务平台为企业内部或外部提供的数据服务API涉及大量敏感数据的访问

和传输，往往成为敏感数据保护的盲区。由于技术手段缺乏或者API改造的代

价太高，数据安全管理团队无法准确掌握有哪些数据服务API资产，涉及哪些

敏感数据的访问，也很难落实数据服务API访问控制、敏感数据动态脱敏、敏

感数据访问监控和安全审计等技术措施。

解决方案

原点安全一体化数据安全平台uDSP能够为数据分析、数据开发、数据运维、数

据服务API等多个大数据业务场景提供一站式敏感数据保护技术方案，提高数

据安全管理效率，提升数据安全管理水平，满足合规监管要求。

无缝衔接数据分类分级成果和技术保护措施

通过开放API对接数据分类分级成果，构建统一视图、实时更新的敏感数据目

录。以敏感数据目录为核心无缝衔接数据保护技术措施，针对敏感数据配套差

异化的安全策略，提供细粒度、精细化的数据权限管控、数据动态脱敏、数据

安全审计、数据风险分析等安全能力。

BI数据分析系统个性化敏感数据保护

针对BI数据分析系统的业务特点，基于BI系统数据源代理账号和BI系统应用

账号，实现细粒度的数据脱敏和数据权限管控策略，满足数据分析业务的个性

化数据保护需求，针对BI系统快速落地数据保护技术措施，满足合规监管要

求。

数据开发和运维场景共享账号治理与数据保护

通过uDSP的用户认证代理，隐藏数据源的真实账号和访问凭据，数据开发运维

人员使用个人代理账号和访问凭据即可访问数据源，实现数据源访问的专人专

户和数据权限的统一管理。同时，在数据开发运维人员使用数据库运维工具、

SQL查询工具、数据集成和开发工具时实现敏感数据的动态脱敏与安全审计。

数据服务API实时监测与敏感数据访问管控

自动化识别盘点数据服务API资产，标记涉敏API的敏感数据类型和安全级

别。实时监控API活动及敏感数据流转链路，及时发现数据使用异常行为并告

警。根据数据安全管理要求，配置涉敏API访问控制和数据动态脱敏策略。

全链路数据安全审计和数据风险监测预警

记录并留存敏感数据的全链路访问日志，包括用户真实身份、应用账号、代理

账号、数据库工具、数据库账号、数据库/表、敏感数据字段等，满足数据安全

审计合规要求。同时，能够从数据访问异常行为风险视角进行快速分析，实时

监测数据安全风险，及时发现风险问题并告警，辅助开展排查定位和追踪溯

源。