数据治理团队花费大量人力物力完成了数据资产盘点和分类分级工作,并且标记了敏感数据类型和安全级别,但是数据分类分级的成果很难与数据保护技术手段衔接,造成数据安全管理制度与技术措施的脱节。
BI 系统的数据安全能力较弱,并且缺失统一管理的敏感数据清单,依赖 BI 系统自身的数据安全能力实施数据脱敏、权限管控等保护措施,会出现策略数量庞大且变更频繁的问题,策略管理运维复杂度高。同时,数据分析师承担安全策略配置管理职责也会导致权责不清,管控手段落地困难。
数据开发、治理、集成和运维人员拥有高权限的数据源账号和访问凭据,日常工作中能够接触大量的敏感数据,容易造成数据越权访问、敏感数据泄露等问题,数据脱敏保护、数据安全审计等技术手段缺失。同时,数据开发运维人员普遍存在数据源账号共享使用的问题,发生数据安全事件时无法追溯到真实个人身份。
数据服务平台为企业内部或外部提供的数据服务 API 涉及大量敏感数据的访问和传输,往往成为敏感数据保护的盲区。由于技术手段缺乏或者 API 改造的代价太高,数据安全管理团队无法准确掌握有哪些数据服务 API 资产,涉及哪些敏感数据的访问,也很难落实数据服务 API 访问控制、敏感数据动态脱敏、敏感数据访问监控和安全审计等技术措施。
原点安全一体化数据安全平台 uDSP 能够为数据分析、数据开发、数据运维、数据服务 API 等多个大数据业务场景提供一站式敏感数据保护技术方案,提高数据安全管理效率,提升数据安全管理水平,满足合规监管要求。
通过开放 API 对接数据分类分级成果,构建统一视图、实时更新的敏感数据目录。以敏感数据目录为核心无缝衔接数据保护技术措施,针对敏感数据配套差异化的安全策略,提供细粒度、精细化的数据权限管控、数据动态脱敏、数据安全审计、数据风险分析等安全能力。
BI 数据分析系统个性化敏感数据保护针对 BI 数据分析系统的业务特点,基于 BI 系统数据源代理账号和 BI 系统应用账号,实现细粒度的数据脱敏和数据权限管控策略,满足数据分析业务的个性化数据保护需求,针对 BI 系统快速落地数据保护技术措施,满足合规监管要求。
数据开发和运维场景共享账号治理与数据保护通过 uDSP 的用户认证代理,隐藏数据源的真实账号和访问凭据,数据开发运维人员使用个人代理账号和访问凭据即可访问数据源,实现数据源访问的专人专户和数据权限的统一管理。同时,在数据开发运维人员使用数据库运维工具、SQL 查询工具、数据集成和开发工具时实现敏感数据的动态脱敏与安全审计。
数据服务 API 实时监测与敏感数据访问管控自动化识别盘点数据服务 API 资产,标记涉敏 API 的敏感数据类型和安全级别。实时监控 API 活动及敏感数据流转链路,及时发现数据使用异常行为并告警。根据数据安全管理要求,配置涉敏 API 访问控制和数据动态脱敏策略。
全链路数据安全审计和数据风险监测预警记录并留存敏感数据的全链路访问日志,包括用户真实身份、应用账号、代理账号、数据库工具、数据库账号、数据库/表、敏感数据字段等,满足数据安全审计合规要求。同时,能够从数据访问异常行为风险视角进行快速分析,实时监测数据安全风险,及时发现风险问题并告警,辅助开展排查定位和追踪溯源。
统一管理数据安全策略,分布式部署隔离故障uDSP 产品采用管理平面和控制平面分离的分布式架构设计,可以在不同的大数据业务场景下部署计算资源隔离的控制平面,避免某个业务场景的控制平面软件故障影响其它业务,保障业务的连续性。使用统一部署的管理平台纳管多个控制平面,实现数据安全策略和日志的统一管理,降低运维复杂度,提高管理效率。
高可用集群部署满足性能需求uDSP 平台基于云原生技术栈开发,提供弹性高可用集群部署能力,有效应对高并发、大数据量的数据业务场景。同时,利用 k8s 的自动监控和自动恢复能力以及 uDSP 平台自身的容错恢复机制,避免单点故障,保障数据分析业务的连续性。
