案例：某头部车企“数据安全管控一体化”实践.pdf

某头部车企“数据安全管控一体化”实践

近年来，某头部车企在智能网联、移动出行、车联网等业务领域持续发力，并

借助云原生技术应对快速变化的业务需求，实现业务应用的快速交付和效率提

升。云原生数据库，由于其高性能、高可用、可弹性拓展、支持多场景需求等

优势，正成为该车企开展数字化转型与智能化的一大利器。

与此同时，汽车数据安全合规也成为汽车行业转型发展的重要议题，依法合规

使用数据，避免客户个人信息泄露、滥用等安全事件，成为车企发挥汽车数据

价值、提升核心竞争力的关键举措。在保障业务与数据使用效率的前提下，对

云端汽车数据进行体系化的安全管控，成为该车企当前进行数据安全工作的主

要方向。

某头部车企的数据安全现状

该车企开展数据安全管理工作的原因有三个方面：（一）是积极响应国家法律

法规与行业监管要求，如《个人信息保护法》、《智能网联汽车数据安全要

求》、《汽车数据安全管理若干规定》等，履行个人信息保护与汽车数据合规

义务；（二）是企业自身高度重视数据安全建设工作，对现存数据安全问题自

查自检，制定下一步数据安全规划；（三）是面临日益复杂的多云混合IT技

术环境，传统的数据安全产品已经难以满足统一数据安全管控的需求，企业急

需寻找云端数据安全管控的最优方案。

经过对该车企业务应用场景、技术架构、现有安全管控措施的充分调研与评

估，原点安全发现该企业的数据安全管理难题主要集中在以下三个方面：

数据库账号多人共享使用，数据库运维缺乏安全管控

该车企现有上百个数据库，数据库运维人员数十人。为每位数据库运维人员在

每个数据库中都建立单独的账号权限不现实，因为数据库账号权限的配置变更

工作量太大。因此，该车企普遍存在多人共享使用同一个数据库账号的情况。

数据库账号多人共享使用造成数据的访问权限难以实现细粒度的统一管控，敏

感数据访问存在风险敞口；同时，共享账号导致敏感数据访问行为无法关联真

实用户，一旦发生数据安全事件难以追溯，责任到人成为空话。

云日志审计成本居高不下，多云日志难以关联分析

根据网络安全等级保护合规要求，数据库审计日志保留存储时间不少于180

天。该车企大量使用云原生数据库服务，因为之前没有更合适的第三方产品技

术手段实现数据库日志审计，只能依赖云服务商提供的数据库日志审计功能，

长达180天的云日志存储服务成本一直居高不下。此外，该车企使用了多个云

服务商的数据库服务，不同云服务商提供的数据库审计日志格式和审计要素不

一致，并且散落存储在不同的云上，很难统一管理和关联分析，造成该车企缺

乏对数据访问活动的全面监测，无法有效地利用这些日志数据进行全面的数据

安全风险分析。

个人信息保护合规要求趋严，敏感数据脱敏管控手段不足

根据法律法规要求，汽车数据使用过程中涉及的敏感个人信息需采用脱敏技术

手段进行处理，以有效保护个人隐私。汽车数据包含一些特有的涉敏数据类

型，例如“VIN车辆识别代码”等数据，当其与个人信息相关联时具备对特定

个人的识别性，因此在特定使用场景中同样需要满足敏感个人信息脱敏保护要

求。一方面，汽车特有的敏感数据类型众多，分布在该车企上百个数据库的上

万张表中，准确发现和识别这些敏感数据，并进行分类分级，是进一步开展脱

敏保护技术措施的基础；另一方面，当数据库表增加新的敏感数据时，如何保

证数据脱敏策略的有效性和一致性，也是该车企缺失的敏感数据脱敏管控技术

能力。

在追求降低成本和提高数据安全管控效率的背景下，该车企开始寻求新的解决

方案。

如何进行统一、高效的数据安全管控？

为解决以上数据安全管理难题，原点安全为该车企提供了“数据安全管控一体

化”解决方案，以数据库运维安全管控、多云数据库审计日志为主要建设场

景，通过以敏感数据为中心的一体化技术措施，实现了“敏感数据实时可

控”、“访问权限灵活可管”、“操作行为安全可视”的建设目标，助力该车

企打造统一、高效的数据安全管控平台，构建云上数据的安全防线。

原点安全一体化数据安全平台uDSP架构部署图

数据安全管控一体化方案亮点：

01统一代理账号，实现精细到人的访问管控