在DataphinV3.11版本中,我们支持了构建多级安全分类体系的能力,用于支持客户定制和使用行业化的数据分类分级体系。
同时我们支持了识别特征的管理,可以使用内置的手机、姓名等识别特征;也在安全模型中内置了通用行业模型,便于客户直接应用,实现对大部分个人敏感数据和部分业务数据的识别和保护。
一、场景介绍
场景1:证券行业的客户,需要遵循国家发行的证券期货业数据分类分级指引
证券行业的客户,在构建自己公司的数据安全分类体系的时候,需要参考并遵守国标的证券期货业数据分类分级指引。指引中对于数据分类的要求如下:
中华人民共和国金融行业标准——证券期货业数据分类分级指引
可以看到完整的数据分类体系,有多级的业务+数据分类的划分,每一级分类又可以细分为多级子分类。因此为了能更好的按照国标建设企业的数据分类体系,就需要用到多级数据分类体系的能力。
场景2:针对通用行业的个人隐私数据保护,能够开箱即用,快速进行数据识别和保护
客户内部没有专业的数据安全管理团队,但也需要快速实现对敏感数据的保护。这时候可以引用Dataphin安全模块内置模型中的数据分类,快速实现敏感数据的保护。
Dataphin内置的安全分类模型
二、如何使用Dataphin多级数据分类构建业务安全体系
使用Dataphin构建业务安全体系概念图
在构建企业自己的安全体系之前,最先要做好的,就是梳理企业的业务场景。即我们目前都有哪些数据,哪些是敏感数据,数据之间的关系是怎么样的,应该怎么样识别和管理。
完成数据分类体系的设计后,下一个问题就是,如何将规划好的数据分类体系,和实际的数据处理流程联系起来。这里有两种办法:
1、人工打标:通过人工打标的方式,梳理全局的敏感数据的分类,然后通过手动打标的方式,将人工打标的结果,上传到Dataphin
2、自动打标:梳理敏感数据的特征,将敏感数据的特征沉淀到Dataphin的安全模块,通过Dataphin的自动识别的能力,识别出全局的敏感数据
实际使用中,也可以两种方式混用,如通过人工梳理核心敏感数据手动进行打标,然后使用自动识别能力进行全部资产的扫描补充。
不管是通过手动上传还是通过自动识别,我们都可以得到敏感数据的识别结果,然后我们就可以通过数据分类对应的脱敏规则,实现对敏感数据的脱敏保护。
三、产品能力介绍
1、行业数据分类能力
1.1、数据分类的管理
进入安全-数据分类的页面,就可以对数据分类进行管理。
可以按照业务分类层级逐级查看数据分类,并可以新建、编辑和删除数据分类。也可以通过数据分类页面查看当前识别到的有效字段数,并快速配置脱敏规则。
1.2、数据分类的定义
创建数据分类的时候,需要思考以下问题:
数据分类所属目录,也就是对应什么业务场景;
数据分类所对应的分级,也就是这类数据的敏感程度,后续应该用什么样的管控力度;
识别特征和高级识别配置,也就是用什么方式来自动识别出该分类;这里也可以不填任何识别方式,不填写的话自动识别会忽略该分类,只能用于手动打标。
数据分类的优先级,即当多个分类同时打标同一个字段时,仲裁的优先级,1为最高优先级。
2、内置模型
2.1、当前Dataphin内置了通用的数据分类模型,包含了大部分常见的个人信息的识别方式和敏感等级,方便客户开箱即用,快速构建敏感数据保护体系。
2.2、安全管理员可以直接在企业的数据分类体系中,引用内置模型中的数据分类,帮助企业构建更加完善的敏感数据保护体系。
3、内置特征管理
3.1、对于有明确特征的一类数据,可以抽象成识别特征进行统一的管理。这样在后续创建数据分类的时候可以多次引用,通过自动识别快速打标敏感数据。
3.2、创建识别特征
创建识别特征时,可以通过字段内容扫描、字段名称、字段描述、数据类型等多种方式进行判断,如想创建一个中国手机号的识别特征,可以使用如下的配置:
4、数据分类的应用场景
构建好数据安全体系后,数据分类会在以下场景中进行透出:
4.1、数据识别结果:即字段的最终打标结果,用户可以在该页面确认打标结果是否准确,也可以手动上传或者修改打标结果。
4.2、数据脱敏保护:可以在脱敏规则页面,给数据分类配置动态脱敏规则,实现数据开发过程中的敏感数据保护;也可以配置默认脱敏策略,对高敏数据一键配置脱敏。
4.3、资产目录查看:可以在资产目录查看到表中字段的分类分级信息
4.4、权限申请、审批和审计:可以在权限申请、审批和审计流程中查看表的分类分级,防止高敏感数据被意外申请;同时也可以在权限审批策略配置中,禁止申请高敏感数据的权限,从而更好的保护敏感数据
四、结语
支持多级数据分类之后,用户对敏感数据的分类会更加清晰和有层次,也更加贴近各行各业的国标和行标,能够更好的将企业已经规划的数据分类体系,应用到实际的产品管控数据建设流程。同时,内置模型也更好的帮助用户解决了冷启动的问题,帮助用户能够快速的构建核心的数据安全识别体系。
建议升级到3.11的新版本之后,用户可以结合企业的实际业务诉求和新的产品能力,优化已有的数据安全体系,从而更好的保护企业敏感数据。
以上就是对本次通过Dataphin的多级数据分类能力构建业务安全体系的讲解,更多历史内容详见:
数据安全最佳实践(4):数据脱敏场景如何进行where、join关联
