来源：数据驱动智能

一概述

近年来，世界各国高度重视数据安全和公民个人隐私信息的保护，合规监管的力度越来越强，纷纷出台数据安全和隐私保护相关的法律法规。其中比较著名的包括欧盟的GDPR（通用数据保护）法案、美国加州的CCPA（加州消费者隐私法案）等。2021年下半年，《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》两部法律正式颁布实施，相关行业的数据安全监管部门也已陆续出台配套的管理规定、技术规范、技术标准等，这些数据安全合规监管措施会给企业带来外部压力，促使他们在重要数据和敏感信息的安全保障措施方面大幅增加投入，以满足数据安全合规监管的要求。

企业数据所面临的安全威胁严峻形势，来自执法和监管部门的数据安全合规要求，以及企业数据技术环境和应用场景的变化，使得企业高度关注自身的数据安全问题，正在把数据安全技术措施的体系化能力建设列入信息安全工作的首选项。

二数据安全的挑战

1.敏感数据可见性差，难以掌握实时变化

《数据安全法》和《个人信息保护法》等法律法规以及相关的数据安全监管要求，催生了企业对重要数据、个人敏感信息的保护需求。企业在试图部署数据保护技术措施时，首先就会遇到敏感数据资产可见性差的问题：企业都有哪些数据源，哪些数据属于重要数据，哪些数据属于个人敏感信息，这些敏感数据资产位于哪些数据源，哪个数据库、哪张表的哪个字段，如何给敏感数据打上标签等诸多问题。尤其是在云环境中，数据存储的隐蔽性增大、数据分布的点位和范围不可控、数据的流动更加频繁，更加大了问题解决的难度。

2.数据安全分类分级成果与技术措施脱节

为了保障数据的安全，各行业和企业都在加快制定相应的数据安全分类分级标准，并采取了相应的监管措施，而企业在实施数据安全分类分级工作落地时，终点往往被设定为输出静态的清单文件，止步于满足监管的报送或资产盘点，致使数据安全分类分级的工作未能发挥其应有的价值。数据安全分类分级的成果为数据安全持续运营和保障数据保护策略有效性的基础元素，关键在于分类分级成果如何无缝的服务于安全策略的配置并促进策略的动态自适应。然而，在实际应用中，数据安全分类分级成果与技术措施之间存在着严重的脱节现象。

3.数据安全与业务耦合紧密协同难度大

“以数据为中心”的安全保护技术措施往往需要对数据本身进行操作。在很多情形下，数据安全管理部门自身并不能够通过技术工具把这些保护措施直接部署落地，而是需要依赖应用开发部门、数据库运维等部门的配合才能实现。例如，业务应用系统中的“个人敏感信息前端展示脱敏”，需要依赖业务应用开发部门对业务系统进行改造才能实现；“重要数据的访问权限控制”，需要依赖数据运维部门利用数据源系统自身提供的数据权限管控机制来实现。这就使得数据保护技术措施和数据源系统、业务应用系统紧密耦合在一起，数据安全管理部门为了实现数据保护与安全合规，需要与其他部门大量协调配合，效率低下。

三数据安全解决思路

面对如今数据安全领域众多的问题与挑战，单点产品或技术是难以应对的。因此，我们需要在产品的技术架构上进行创新，改变产品的形态，以满足日益增长的数据安全需求。此外，在保护数据安全时，需要尽可能的贴近数据的源头，以增强对数据的识别准确性和保护措施的有效性。同时，我们需要考虑数据与安全的关系，传统的系统和边界已经失效，因此我们需要面对新的问题，并实现数据与安全的解耦。接着，在数据中心围绕数据为核心，进行能力集成，从而增加保护数据本身的能力，实现管控编排、策略联动的效用。

基于以上思考，数据应用和数据源之间抽象出了一个“数据访问安全层（DataAccessSecurityLayer，DASL）”，把过去散落在各种异构数据源系统、应用程序中的数据操作控制能力抽取出来，统一在这个数据访问安全层实现。当数据访问请求经过DASL时，未经过两个控制点：第一个是访问控制点，决定是否让数据访问请求通过、告警还是拒绝，会基于访问指令的风险程度和是否有权限访问目标数据对象进行判定；第二个是交付控制点，数据从数据库返回到达数据应用之前会经过DASL的交付控制点，会对数据实施对脱敏、加密等处理，满足安全和合规的需求。此外，DSAL会进行完整的访问和交付的过程及动作的数据安全审计和风险分析。

三数据安全解决方案

在多云、混合云环境中，基于云原生技术栈构建的“一体化数据安全平台”，能够降低数据安全技术措施的复杂度，提升数据安全运营的效率，让繁琐、繁重的数据安全管理工作变得更加简单、高效。为企业提供从敏感数据发现、识别、保护、监督到治理的一体化技术保护措施和协同机制，满足数据安全、个人信息保护和数据出境安全合规要求，让企业的数据更安全，合规更高效。

1.敏感数据资产目录（SDI）

敏感数据资产目录SDI（SensitiveDataInventory）是重要组成部分，是数据安全保护工作的起点，也是企业构建一体化数据保护与审计技术措施的关键组件。SDI通过自动化的数据访问流量解析技术、敏感数据智能识别技术、数据分类分级自动化标注技术，建立起企业敏感数据的资产目录，并支持自定义敏感数据类型和手工标注，大大增

强了企业敏感数据的可见度。SDI支持两种敏感数据资产发现模式，一是被动发现，SDI可以在用户通过应用程序正常使用数据的过程中，自动学习和识别敏感数据。在被动发现工作模式下，SDI对数据访问应用和数据库系统是透明的，无需获取数据库系统的账号口令即可完成敏感数据的发现，当数据库结构发生变化时，SDI也能够及时自动更新资产目录，保证敏感数据资产目录的实时性。二是主动探测模式，需要为SDI配置数据库账号和口令，通过主动扫描数据库采样的方式，发现敏感数据。

2.数据访问控制器（DAC）

数据访问控制器DAC组件是构建数据访问安全层的核心组件，用于实现敏感数据保护和审计的大部分功能。DAC是一个无状态的“代理”软件，逻辑结构上通常串接在数据访问应用和数据源中间，负责解析数据源访问的通信协议及SQL请求和响应，并根据所配置的数据安全策略执行相应的数据控制操作，实现敏感数据自动持续发现、数据访问控制、数据权限、数据动态脱敏等功能。DAC也可以部署为“旁路”模式，在这种部署模式下，DAC只能完成数据安全审计功能，关闭对数据访问的控制功能。

DAC是基于Kubernetes/Docker技术开发的无状态应用，可以充分利用云原生基础设施自身提供的自动弹性伸缩、实时监控、故障恢复等能力，能够很好地应对业务应用和数据源的突发大流量请求，发生故障时能够自动恢复，保障业务的连续性。DAC支持如阿里云RDS等云原生数据库PaaS服务，也支持企业在云主机上自己安装的数据库系统。DAC支持多种类型的数据源：MySQL、Oracle、PostgreSQL、SQLServer、MariaDB、Hive、Doris、Greenplum、PolarDB、MaxCompute、TiDB、MongoDB、OpenGuass、达梦、人大金仓等。

3.应用情景探针（ACP）

应用情景探针ACP（ApplicationContextProbe）是一个相对独立的软件，通常安装在服务端的应用程序服务器上，用于监测、识别和采集服务端应用程序的操作和行为。ACP能够采集使用该应用程序的用户名，并支持用户名和SQL请求的关联。ACP还可以采集用户使用应用程序的请求信息，如应用侧的用户、数据APIURL、访问者IP以及自定义采集信息等，为数据安全审计提供更加丰富的上下文数据，实现“用户”->“账号”->“应用”->…->“位置”->“数据”的全链路审计和分析能力，是整体数据安全能力的重要组成部分。针对存在多应用协同工作的微服务场景，ACP还支持跨应用之间的用户信息采集和SQL操作关联。此外，ACP软件采用“低侵入”方式安装部署在服务器上，对应用程序来说无感知，并且性能开销非常低，不影响应用程序的正常运行。

4.流量采集探针（TAP）

流量采集探针TAP是一个独立的轻量级Agent软件，部署在数据库服务器中，主要用于采集服务器网卡的流量数据，通过解析、分析、提取等环节筛选数据库的访问流量，并发送至DAC，支撑实现旁路监听的模式。当数据访问者无法采用代理模式执行数据访问时，可采用TAP旁路监听的审计机制。TAP旁路监听与DAC串接代理结合可实现保护和审计的混合模式，对相同数据源可按照业务应用、数据库客户端工具等不同访问应用配置混合审计模式。

5.统一管理控制台（MCC）

统一管控控制台MCC（ManagementControlCenter）是集中统一管理控制入口，数据安全管理人员可以使用MCC管理和配置数据源，基于敏感数据资产目录配置敏感数据访问控制策略和交付策略，对数据保护和审计控制能力进行一体化编排，集中远程管理探针，检索查询数据安全审计日志并出具审计报告，进行数据安全风险事件的分析和处置。MCC是“中控台”，DAC和ACP则是相对独立的“无状态”产品组件，可以根据企业应用程序和数据源的分布情况单点或多点部署，之后通过MCC集成整合在一起，构成完整的一体化数据保护和审计解决方案。

四数据安全典型场景

1.敏感数据资产地图与流转轨迹

2.免改造应用动态脱敏

3.全链路数据安全审计

4.大数据敏感数据保护

5.API敏感数据保护

6.数据库访问安全管控

五数据安全典型案例

1.金融机构敏感数据保护

2.保险公司BI数据安全

六数据安全产品应具备的能力