Dataphin核心功能（四）:安全——基于数据权限分类分级和敏感数据保护，保障企业数据安全

简介：《数据安全法》的发布，对企业的数据安全使用和管理提出了更高的要求。Dataphin提供基于数据分级分类和数据脱敏的敏感数据识别和保护能力，助力企业建立合规的数据安全体系，保障企业数据安全。本篇，我们就来聊聊Dataphin的数据安全能力。

作者：龙裔

​

1、企业的数据安全挑战

“2021年6月10日，经第十三届全国人民代表大会常务委员会第二十九次会议审议，通过了《中华人民共和国数据安全法》（简称‘《数据安全法》’），该法将于2021年9月1日起施行。”

近几年，随着消费者个人意识的崛起和对隐私的重视，数据安全成为了一个越来越热门的话题，国家也陆续发布了一些相关规定，来规范数据的采集和使用。而《数据安全法》的正式发布，标志着数据的开发利用和数据的安全保障正式进入法律范畴，从而对企业的数据安全管控提出了更高的要求。

在企业的发展过程中，如果不重视敏感数据的保护，不重视数据安全体系的建设，那么一旦发生了敏感数据泄漏事件，轻则企业口碑受损，业务受影响；重则会直接触法律，受到主管部门的处罚和制裁。对企业来说，可以考虑以下措施，来构建合规的数据体系：

1、树立全面的数据合规理念。对数据安全相关的法律法规进行关注和及时响应，同时建立企业内部的安全合规团队，对企业数据安全的方方面面进行安全设计和审计。

2、事前：做好数据分类分级和敏感数据保护。基于法律法规、主管部门要求和自身行业和业务的需要，建立企业的数据分类分级制度，并对敏感数据制定相应的保护策略。

3、事中：做好风险审计和风险识别。成立专门的数据安全小组，定期开展数据安全的风险评估，及时发现风险，消灭风险。

4、事后：做好事故追溯和补救措施，加固安全措施。出现安全事故后，要立即追责，同时视影响的严重程度，上报主管部门，并即时进行止损，将影响降低到最小。

本文，我们重点关注一下数据资产安全能力，资产安全为Dataphin提供了数据生命周期中统一的敏感数据识别与保护能力。通过数据分类分级、敏感数据识别、敏感数据脱敏等措施，帮助客户建立完善的数据安全体系，确保数据使用的安全合规。

2、Dataphin的数据安全能力

数据安全如此重要，当然不能只靠人来治理，而需要有一套成熟的产品和流程来进行安全的管控。这时候，企业一般面临着自建系统和采购第三方安全系统的决策问题。

选择企业自己建设数据安全产品，存在较多的弊端：

1、消耗大量的研发资源，且后续需要不断投入资源进行维护升级

2、在产品的设计和实现上可能存在漏洞，导致安全隐患

3、存在生产和实际存在偏差，导致无法落地到实际生产中的情况。比如数据安全产品和数据生产平台结合不紧密；产品功能没有满足国家的数据安全标准等。

对比企业自建数据安全产品，使用Dataphin数据安全产品，存在以下优势：

1、Dataphin数据安全能力齐全，开箱即用，帮助您低成本的快速构建数据安全体系

2、Dataphin数据安全能力和数据开发过程紧密结合，确保数据开发全链路上的数据安全

3、Dataphin实时跟踪政策和行业动态，不断升级安全能力，保障您的企业一直享受先进技术的保护

4、Dataphin有完善的专家咨询和专业化服务，帮助您更好的在企业构建数据安全体系

Dataphin作为智能数据构建与管理平台，作为企业数字化转型中的核心引擎，对数据生产和管理过程中的数据安全，当然十分重视。Dataphin提供了完整的产品能力，来保障数据建设中的数据安全，并且整个安全体系和数据研发生产紧密结合，确保数据从进入Dataphin开始，到从Dataphin输出的全链路，都安全可控。

​

图1：Dataphin安全概览

Dataphin安全能力图解

在Dataphin的能力大图上，安全模块出现在资产管理模块，但在实际的安全体系中，从系统的底座安全、研发过程的数据处理安全、到数据资产的管理、数据消费的安全，都会涉及到并提供安全保障。

当前Dataphin提供了以下安全能力来确保客户的数据安全：

1、底座安全：保障底层的系统安全和网络安全，这一部分主要由云底座提供安全保障。在底座的安全措施之外，Dataphin提供了租户隔离、网络控制、敏感信息安全加密存储等安全功能，确保系统的底层安全。

2、平台安全（权限）：在Dataphin内部，提供了完整的角色体系，以及权限申请与审批功能。让企业能够实现精细化授权管理，可以对用户执行最小粒度的授权和管控，防止权限漏洞。

3、数据安全：Dataphin提供了数据分类分级、敏感数据识别和脱敏功能，来保障数据流转过程中的数据安全。通过敏感数据保护功能，在不改变底层数据的情况下，保障日常流转中展示的数据都是加密脱敏后的数据，确保敏感数据不泄漏。

4、安全服务：为了更好的帮助客户建设数据安全体系，Dataphin还集成了众多生态产品、专家服务和文档服务，保障客户建立起完善的数据安全体系。

​

图2：Dataphin安全能力图解（简化版）

上图是Dataphin安全能力的整体图解，为了方便理解，简化了模块内部的详细功能。可以看到，Dataphin对整个数据的生产和管理体系，进行了全方位的数据安全保障。

3、Dataphin数据安全应用场景

首先，我们先看一下数据安全模块的应用场景，从而对数据安全的价值有一个更直观的认知。以下是通过Dataphin实现数据安全保护的一些典型的场景：

场景1：数据业务中的敏感数据保护

在日常的数据业务运转中，数仓工程师/数据研发、数据分析师/业务分析师，需要经常接触数据，包括对数据的查询、统计、修改等。在这个过程中，存在着大量的数据泄漏的风险，比如可以直接查询到用户的姓名、手机号等。虽然可以通过授权的方式，严格控制人员的数据权限，但是因为接触的是明文的敏感信息，所以仍然存在数据泄漏的风险。

而基于Dataphin的敏感数据识别和保护能力，可以让敏感数据在日常的流转和查询中，对外展示的始终是脱敏之后的数据，如姓名【张三】显示为【*三】，手机【18612345678】显示为【186****5678】，确保数据在流转过程中，不会异常泄漏。

场景2：脱敏白名单的灵活运用

前面两个场景简单介绍了在正常场景下对数据的保护，那在有些场景下，有需要看到最原始的数据，那么就需要用到脱敏白名单的功能，在特定的时间，对特定的用户或者角色开放原始数据。

场景1：对于企业中一些比较敏感的数据，比如上市公司的财务数据，特殊人员（如高层级的员工、公司宏观决策支持分析师）在一定时间段（比如公司财报发布前一个月）是可以看到明文，但是一般人员或这些人员其他时间不可以，就可以通过设置脱敏的白名单及有效时间来实现。

场景2：对于电商每天的销售额，正常情况下不能展示真实数字，一般都是脱敏展示为***元，但是在双十一等特殊场景，需要显示真实销售额用于宣传的情况下，可以开启为期一天的白名单，可以看到当天的销售额数据。

4、如何使用Dataphin实现敏感保护

那么如何利用Dataphin的安全能力，来保障企业的数据安全呢？

在Dataphin中，实现敏感数据保护，主要可以分为以下三个步骤：

1、识别敏感数据：即设定数据分类、数据分级、识别规则等内容

2、设置敏感数据保护方式：为识别的敏感数据选择合适的脱敏算法、设定脱敏规则

3、数据消费：在即席查询、开发数据写生产等场景进行数据消费时脱敏

通过Dataphin实现数据安全体系建设的详细过程可以参考：如何基于Dataphin实现敏感数据保护

​

图3：Dataphin数据安全核心操作流程图

5、未来展望

虽然当前Dataphin已经有了比较完善的数据安全体系，但是基于客户需求的多样性以及对政策的研究与响应，未来会陆续支持以下功能和优化，从而帮助客户更好的构建数据安全体系，实现业务发展的安全与合规。

1、数据安全审计：提供安全审计功能，详细的记录用户对敏感数据的每一次查询、下载操作，从而发现风险操作，进行事故追责和体系优化。

2、风险自动发现与告警：基于规则和算法，自动发现异常的用户操作，并进行告警提示，及时发现风险、阻断风险，将数据风险的影响最小化

3、更多业务场景中的安全脱敏：支持数据集成和数据服务过程中的数据脱敏，确保数据的每一次消费和使用都安全可控，将敏感数据泄漏的风险从源头消灭。

4、集成更多的生态产品和专家服务，帮助客户更好的建立起可持续、可运营、有效率、有效果的数据安全体系。

在新的法律环境和数据安全的挑战下，Dataphin也会不断想客户所想，以创造更大的客户价值为己任，持续增强数据安全能力，来帮助客户建立完善的数据安全体系，为客户的业务发展保驾护航。

原文链接

本文为阿里云原创内容，未经允许不得转载。

​