面对行业监管部门针对企业数据使用提出的合规监管要求,例如数据分类分级、敏感数据脱敏展示、数据访问最小权限、数据访问合规审计等等,企业无法利用 BI 系统自身提供的数据安全能力快速落实各项数据安全管控措施,以满足合规监管要求。
BI 系统中的数据集和报表往往数量庞大而且更新频繁,一方面,由于 BI 系统缺乏统一管理的敏感数据清单,如何识别并管理敏感数据成为首当其冲的难题;另一方面,依赖 BI 系统内置的脱敏功能针对数据集和报表实现数据脱敏,会出现脱敏策略数量庞大且变更频繁的问题,脱敏策略难以管理和维护,而且无法保证策略的一致性,脱敏技术措施落地困难。
数据分析师团队的主职工作是数据分析,依赖 BI 系统内置的脱敏能力实现敏感数据保护则要求数据分析师团队承担大部分数据安全职责,给数据分析师带来额外的工作负担和管理责任。此外,数据分析师拥有较高的数据权限,日常工作大量接触敏感数据,自身的数据使用行为也需要管控和安全审计。数据安全和数据业务紧密耦合会导致权责不清,不符合数据安全管理的基本原则。
BI 系统的数据分析成果开放给企业更多的业务人员使用,才能更加充分地释放数据的价值。但是,如果不能基于业务人员的 BI 系统应用账号便捷地实施细粒度的数据动态脱敏、行级数据控权、数据访问合规审计等安全措施,企业数据管理团队就会担心敏感数据的泄露和违规使用风险,不敢更大范围地开放使用明细报表。
原点安全一体化数据安全平台 uDSP 针对 BI 数据分析场景的业务和技术特点,采取“贴源保护”的技术思路,部署在 BI 应用系统和数据源中间,解耦数据安全与数据业务,提供一体化协同的敏感数据保护能力。
针对 BI 应用系统连接的数据源,通过“主动扫描+被动发现”双模式引擎自动发现和识别数据源库表中的敏感数据,完成敏感数据分类分级,构建统一的敏感数据目录,并且能够及时发现新增、变化的敏感数据类型,自动更新敏感数据目录。
统一管理的数据脱敏策略针对数据源和敏感数据目录,在 uDSP 平台上统一配置和管理数据脱敏保护策略,在数据库表结构相对稳定的贴源位置实现对敏感数据的保护,从而大幅降低了脱敏策略的数量和策略变更的频率。同时,在管理职责上实现了数据安全和数据业务的解耦,明晰了安全责任,有利于数据安全管控措施的快速落地。
自适应的敏感数据动态脱敏基于敏感数据目录实时联动的一体化动态脱敏策略,可实现自适应的数据动态脱敏,当数据库表增加新的敏感数据字段时,脱敏策略无需更新即可立即生效,进一步降低数据脱敏策略的运维工作量。
满足 BI 业务的个性化脱敏需求针对数据源中相同的敏感数据,不同类型的数据分析业务可能会有不同的数据脱敏需求。uDSP 平台提供用户认证代理能力,能够为数据源创建多个代理账号,并基于代理账号配置不同的脱敏策略。结合 BI 业务的特点,在 BI 应用系统中可以创建多个配置不同代理账号的数据源,提供给不同脱敏需求的数据分析业务使用,满足 BI 业务的个性化脱敏需求。
基于 BI 应用账号的细粒度管控基于 BI 应用系统的账号配置细粒度的数据管控策略,例如基于 BI 应用账号配置数据脱敏策略;基于 BI 应用账号配置“白名单”,白名单中的 BI 用户访问数据时无需脱敏处理;基于 BI 应用账号配置数据访问行数限制、行级数据权限策略等等,灵活应对 BI 业务不同场景下的数据安全管控需求。
数据安全审计和实时风险监测记录并留存敏感数据的全链路访问日志,包括 BI 用户真实身份、BI 应用账号、代理账号、数据库工具、数据库账号、数据库/表、敏感数据字段等,满足数据安全审计合规要求。同时,能够从数据访问异常行为风险视角进行快速分析,实时监测数据安全风险,及时发现风险问题并告警,辅助开展排查定位和追踪溯源。
高可用集群部署满足性能需求uDSP 平台基于云原生技术栈开发,提供弹性高可用集群部署能力,有效应对高并发、大数据量的数据分析业务场景。同时,利用 k8s 的自动监控和自动恢复能力以及 uDSP 平台自身的容错恢复机制,避免单点故障,保障数据分析业务的连续性。
