数据安全最佳实践(3):数据集成加解密

本文涉及的产品
智能数据建设与治理Dataphin,200数据处理单元
简介: 随着《个保法》《数安法》的发布,法律对企业的数据安全使用和管理提出了更高的要求。数据集成是数据业务中的一个重要场景,不仅可能涉及到多方数据,并且一般集成数据体量巨大。不论是基于法律的要求还是对业务数据的保护,集成过程中的数据安全都是十分重要的。Dataphin提供基于数据集成的数据加解密服务,提供常用的商密和国密算法,并支持密钥的权限管理和使用审计,确保客户数据集成链路上的数据安全。

背景

随着《个保法》《数安法》的发布,法律对企业的数据安全使用和管理提出了更高的要求。数据集成是数据业务中的一个重要场景,不仅可能涉及到多方数据,并且一般集成数据体量巨大。不论是基于法律的要求还是对业务数据的保护,集成过程中的数据安全都是十分重要的。

Dataphin提供基于数据集成的数据加解密服务,提供常用的商密和国密算法,并支持密钥的权限管理和使用审计,确保客户数据集成链路上的数据安全。


加解密功能介绍

Dataphin的集成加解密的整体方案,主要包括以下功能:

1、密钥管理。支持密钥生成、外部密钥注册、密钥权限管理、密钥使用审计等。

2、数据集成加密。数据集成过程中,支持调用加密算法和密钥对数据进行加密。

3、数据集成解密。数据集成过程中,支持调用解密算法和密钥对数据进行脱敏。

4、完整加解密算法库。支持常用商密(对称加解密:AES、DES;非对称加解密:RSA)、国密(对称加解密:SM2;非对称加解密:SM4)算法。


加解密使用场景

数据加解密的使用场景很多,可以根据需要灵活选择,以下是几种典型场景:

1、上游数据库加密,数据上云的时候需要统一恢复为明文。需要和之前加密的参数一致进行解密。

2、上游数据库是明文,数据上云的时候需要对敏感字段进行解密。

3、下游数据库需要进行权限管控,需要输出加密后的数据,下游数据库自己进行解密

4、下游数据库是受信任数据库,需要输出解密后的明文到下游。


Dataphin加解密使用流程

1、密钥注册

1.1、进入密钥管理页面,查找已有密钥或者注册新密钥

image.png

1.2、注册一个给固定业务使用的新密钥。

注册一个密钥本质上可以在很多业务场景下使用。不过为了数据安全考虑,建议一个特定的场景下就一个密钥,不同的业务使用不同的密钥。

密钥支持系统生成和自定义两种注册方式。如果需要和外部进行数据交换,双方协商密钥的场景下,可以使用自定义注册密钥功能。

image.png

2、数据集成加密

在数据集成中调用加密组件对数据进行加密,配置完成后的完整链路如下:

image.png

2.1、配置明文数据输入

image.png

2.2、进行加密组件配置

加密配置步骤1:选择加密字段

image.png

加密配置步骤2:配置加密方式

需要注意一下两点:

1、加解密过程中的配置需要对齐,如加解密算法、密钥(对称加密是同一个密钥、非对称加密是同一个密钥对)、高级配置

2、涉及到数据交换的场景,一定要仔细确认下双方的高级配置是否一致。因为不同平台的默认配置(如密钥长度填充)可能规则不一致,导致加密数据最终无法解密。

*高级配置主要涉及到加密模式、密钥填充等参数,正常情况下使用默认值即可,内外部数据交换的场景需要仔细核对高级配置是否一致。

image.png

2.3、配置加密数据输出

image.png

2.4、查询加密后的结果数据,可以看到数据已经成功加密

image.png

3、数据集成解密

数据解密的整体配置与加密相同,配置完成后效果如下:

image.png

3.1、进行解密组件配置

解密配置步骤1:选择要解密的字段

image.png

解密配置步骤2:配置解密方式

*需要注意和加密的算法、密钥、高级配置(本案例未开启)一致

image.png

3.2、查看解密后的明文数据

可以看到本来加密的total_pay数据已经被解密为明文

image.png


结语

本期我们介绍了Dataphin提供的基于数据集成的数据加解密功能,确保客户数据集成链路上的数据安全。结合之前的如何基于Dataphin实现敏感数据保护(以消费者隐私保护为例)中介绍的敏感数据识别 + 动态脱敏功能,可以覆盖从数据上云、数据研发、数据应用的完整的敏感数据保护功能,确保全链路的数据安全。

相关文章
|
3月前
|
监控 安全 数据安全/隐私保护
确保数据安全与隐私保护的数据治理最佳实践
【8月更文第13天】随着数据成为企业最重要的资产之一,数据安全和隐私保护变得至关重要。本文将探讨数据治理中的一些最佳实践,并提供具体的代码示例来说明如何实施这些策略。
688 4
|
运维 监控 安全
|
安全 数据处理 数据安全/隐私保护
数据安全最佳实践(7):通过多级安全分类构建业务安全体系【Dataphin V3.11】
在DataphinV3.11版本中,我们支持了构建多级安全分类体系的能力,用于支持客户定制和使用行业化的数据分类分级体系。 同时我们支持了识别特征的管理,可以使用内置的手机、姓名等识别特征;也在安全模型中内置了通用行业模型,便于客户直接应用,实现对大部分个人敏感数据和部分业务数据的识别和保护。
948 1
|
安全 调度 数据安全/隐私保护
数据安全最佳实践(6):敏感数据实时识别与批量保护【Dataphin V3.9】
在DataphinV3.9版本中,我们支持了敏感数据实时识别的能力,能够实时发现敏感数据并进行保护,形成了手动上传+周期识别+实时识别的完整敏感数据识别体系。 同时,我们在DataphinV3.9版本中,支持了给敏感数据批量配置脱敏策略,可以给没有单独配置脱敏策略的敏感数据进行批量的脱敏保护,从而确保敏感数据不泄露。
数据安全最佳实践(6):敏感数据实时识别与批量保护【Dataphin V3.9】
|
安全 数据管理 数据处理
数据安全最佳实践(5):手动指定敏感数据【Dataphin V3.8】
在基于数据分类分级和敏感数据保护,保障企业数据安全、如何基于Dataphin实现敏感数据保护(以消费者隐私保护为例)中,我们讲了通过对敏感数据进行分类分级的识别和通过脱敏进行敏感数据的保护。这里面最基础的工作,就是完成敏感数据的识别,并尽量保证数据识别的准确性。 Dataphin V3.8在原来按照规则自动识别敏感数据的基础之上,新增了手动指定敏感数据的能力,方便快速指定核心敏感数据和批量进行敏感数据管理。
数据安全最佳实践(5):手动指定敏感数据【Dataphin V3.8】
|
大数据 数据安全/隐私保护
《大数据时代数据安全防 护通用最佳实践》电子版地址
大数据时代数据安全防 护通用最佳实践
81 0
《大数据时代数据安全防 护通用最佳实践》电子版地址
|
存储 分布式计算 安全
阿里巴巴云数据仓库 MaxCompute 数据安全最佳实践
MaxCompute作为企业级SaaS模式云数据仓库,正在为客户业务及其数据提供持续的安全保护。 MaxCompute 近期对产品的安全能力进行了全面升级 ,结合数据生命周期,针对数据误用、数据滥用、数据泄露、数据丢失等典型数据风险场景,构建全生命周期的数据安全防护体系。
18017 3
阿里巴巴云数据仓库 MaxCompute 数据安全最佳实践
|
SQL 安全 算法
数据安全最佳实践(4):数据脱敏场景如何进行where、join关联
Dataphin在3.6版本上线了脱敏等级功能,就可以完美实现脱敏分级的需求:对于绝密数据,采用底层脱敏,防止数据碰撞,保护更彻底;对于一般保护数据,可以采用仅展示脱敏的方法,既能满足正常的分析需求,又能防止意外和批量的数据泄露。
数据安全最佳实践(4):数据脱敏场景如何进行where、join关联
|
存储 安全 双11
数据安全最佳实践(2):数据脱敏白名单的使用
我们已经了解到在Dataphin中利用数据安全能力对敏感数据进行保护,可以确保对外展示的数据都是脱敏的。那么是不是脱敏之后就永远无法看到敏感数据了?在一些必须要要小范围公开数据的时候,该怎么办呢?这时候就要用到脱敏白名单的能力了。
数据安全最佳实践(2):数据脱敏白名单的使用
|
安全 算法 测试技术
数据安全最佳实践(1):数据研发链路上的数据安全保护
数据安全作为合规管控的管理诉求,必然会对数据的使用和开发造成影响,我们下面简单看下以下两个场景:代码查询、生产数据写开发环境/测试环境数据准备。
数据安全最佳实践(1):数据研发链路上的数据安全保护