5 大核心能力+1 套全局防护策略，星环科技 Defensor 构建企业数据安全护城河

随着互联网、物联网、5G 等通信技术的不断发展，全球数据量呈爆发式增长态势，数据安全问题也随之而来，仅 2022 年上半年，全球范围内就发生若干起大型组织数据泄露事件。美国支付巨头 Block 2022 年 4 月 披露了一项与投资应用 Cash App 有关的数据泄露事件，恐将影响 820 万美国用户；宜家（IKEA）加拿大公司于当地时间 5 月 6 日表示，已经将该公司大约 9.5 万名客户的个人信息数据泄露事件通报给加拿大的隐私监管机构；而知名社交平台 Facebook 母公司 Meta 近一年来，也因为数据处理和隐私安全等问题所遭受到的来自各国的罚款已超过 10 亿美元 。数据安全问题正不断席卷全球，解决数据安全问题已经刻不容缓，各国也在出台相关政策法规促使数据安全加速落地。截至 2021 年，全国人大、工信部、最高法等国家机关共推出《关于加强网络信息保护的决定》《电信和互联网用户个人信息保护规定》《民法典》《中华人民共和国电子商务法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《互联网信息服务算法推荐管理规定》等法律共同编织成一张数据“保护网”。在法律环境发生变化，对数据安全的监管越来越严格的今天，任何企业都需要尽早建设数据安全防护体系，主动做数据分类分级、权限管控、数据流向审计等，守护数据安全。星环科技自主研发的数据安全管理平台 Transwarp Defensor ，基于 Defensor 的五大核心能力和星环科技全局数据安全策略，可以帮助企业建设以数据为中心的数据安全防护。Defensor 能够帮助企业了解内部数据敏感信息的资产地图，发现潜在风险，并监控企业重要数据的合规使用；同时，也能对企业敏感数据进行分类分级，通过数据脱敏、水印等方式对数据进行事前事后的保护，防止数据泄露或能够在数据泄露后做到可以溯源追踪。五大核心能力：分类分级、数据脱敏、操作监测、操作审计、个人信息去标识

第一，敏感数据识别与分类分级，帮助企业全面梳理敏感资产，并绘制分类分级资产地图。Defensor 内置的分类分级标准参照，涵盖了多个行业法律法规，并与律师深度合作探讨，共同落实了大量规则；基于正则表达式、关键字内容、算法匹配、字典匹配等方式，自动扫描全局敏感数据，提供定时敏感识别扫描任务。第二，提供数据脱敏和水印等能力，让敏感数据可以脱敏后服务业务，并在发生泄露后可以追踪溯源。平台预置多种脱敏算法，开箱即用，满足不同场景，不同安全等级的脱敏要求。当敏感数据需要对外流通时，支持在数据集中嵌入水印，当数据发生泄漏后，可以通过水印解析进行溯源。第三，能识别敏感数据操作并进行监测，能够识别流动中的敏感数据并触发对应的管理策略。依据GB/T 35273—2020《信息安全技术个人信息安全规范》等规范定义敏感信息，配置规则适用的审计对象与数据字段，后台生成数据泄露类的告警规则，审计到敏感数据泄露，及时告警通知相关人员进行阻断。第四，大数据平台和数据库的操作审计，避免违规操作带来的数据安全风险。平台可以通过镜像网关实现旁路审计，也可以收集大数据组件审计日志进行分析。平台支持对大数据平台的登陆、权限、数据库操作事件进行审计溯源，并预置多种审计告警规则，能对高权限操作、数据库高危操作、违规SQL、异常行为等场景实现审计告警。第五，基于GB/T 37964-2019《信息安全技术个人信息去标识化指南》《信息安全技术个人信息去标识化效果分级评估规范》实现自动化个人信息识别、去标识化以及去标识化评级，实现企业个人信息资产保护。

一套全局数据安全防护策略

星环科技基于 Defensor 分类分级结果，星环科技形成一套全局的数据安全防护策略，能够支持业务层灵活的数据合规需求。关于数据安全防护的策略，星环科技提出了防护规则、防护策略和防护操作的概念，让策略落地更高效、更灵活、更全面。在数据防护规则方面，星环科技定义了所有数据类型，其中包括数据的级别、识别方法、默认的安全防护操作等，开箱即用。比如手机号数据限制访问、IP 等数据需要脱敏等不同策略。还可以通过分类分级直接关联到相应的字段。比如 db1.table1.col1 的分类是 G1 等级，安全级别较低，对应的数据防护操作就是 Passthrough 直接访问，而 db1.table1.col2，分类是 G2 等级，可能是比较敏感的手机号数据，那对应的操作是 Mask ，需要脱敏访问。

Defensor 设有安全防护策略中心，在策略中心会默认一个基于安全等级的防护规则，比如G1 直接访问，G2 -G4 则需要脱敏访问、G5 是拒绝访问等，同时也能针对字段或者用户自定义安全防护策略，满足不同情况下的数据安全需求。比如某个类型的数据在不同场景下有不同的安全等级，那数据防护策略就需要灵活变化；比如高权限用户有查看明文的需求，就可以给出 Passthrough直接访问的安全防护策略，并设置一些时效；如果对一些访客用户，那么即使是安全等级比较低的数据也需要脱敏处理。可以看出，Defensor 提供的是比较灵活的安全防护策略，可以满足企业个性化数据安全防护的需求。星环科技全局数据安全防护策略的落地实战

如上图所示，企业在进行数据安全合规改造前，数据从生产侧通过数据库直连、API网关、数据整合等方式进入到数据应用，完全不具备数据安全合规所需要的个人信息识别、敏感数据去标识化、脱敏、数据分类分级、监测数据链路上的不合规访问等能力，面临极大地数据安全合规使用的风险。基于星环科技全局的数据安全策略。形成了右边的满足数据安全合规的企业应用数据架构。生产侧数据平台或数据库通过 Defesnor 对数据进行分类分级，并盘点出企业敏感资产，生成分类分级清单、个人资产清单、行业重要数据清单等，基于分类分级清单，生成必要的数据安全防护策略；在数据传输过程中，基于星环科技 Quark 数据库网关，提供 SQL 查询的动态脱敏，基于 Midgard API 网关，为 API 访问提供动态脱敏，基于星环科技关系型分析引擎 Inceptor 分布式脱敏引擎，提供静态脱敏能力；同时，将相关链路日志进入大数据平台安全审计软件 Audit 监测，从而做到泄敏事件的监控与告警。基于星环科技全局数据安全防护策略改造的企业应用数据架构，为全域、全生命周期的安全防护建立最基础最可靠的安全策略中心，并能为星环科技及第三方数据平台、数据库、中间件等相关产品提供统一的数据安全策略，从而形成整体的数据防护和敏感监测等能力。今天，Defensor 正式发布 3.1 版本， 新版本也迎来了令人期待的三大核心能力：分类分级任务中加入了个人信息识别的支持。不仅如此，针对识别出来的个人资产，新增了个人信息去标识化这个一级菜单，确保个人资产在共享交换场景下的安全合规。增加了数据静态脱敏的一级菜单，支持脱敏算法管理、脱敏任务管理与运维等功能，支撑企业对敏感资产脱敏的需求。增加了数据安全策略一级菜单，支持基于分类分级结果的安全防护策略管理，可以指定不同用户针对不同级别的数据的访问策略，比如某个表的字段类型是身份证，等级是 G3。对于该字段，admin用户可以明文查询，dev用户需要脱敏。目前 Defensor 在交通、医疗、金融、高校等多个领域有落地案例。在车联网领域，随着智能化发展，云端产生了大量个人隐私数据，为了避免个人隐私泄露，防止不合规的数据使用，某车企通过 Defensor 盘点企业个人敏感数据，对数据分类分级，按照国家数据安全标准制定企业数据使用规范，保障了企业的安全合规运营。在银行业，某银行基于 Defensor 实现数据分类分级。行内的生产数据需要定期导入到测试环境，依靠 Defensor 的静态脱敏能力，实现大批量数据高性能脱敏到测试环境。针对数据探索与分析场景，安全人员基于 Defensor 的数据安全访问策略，配合 SQL 网关与应用 API 网关，实现数据动态脱敏，确保企业使用敏感数据安全合规。