为表彰使用大数据、人工智能等基础软件为企业、行业或世界做出杰出贡献和巨大创新的标杆项目,星环科技自2021年推出了“新科技星力量”星环科技科技实践案例评选活动,旨在为各行业提供更多的优秀产品案例,彰显技术改变世界的力量,目前已成功举办两届,收到了来自各界的积极参与。
第二届星环科技科技实践案例评选活动新增了“年度信创先锋之星”,经过产业界、学术界专家联合评审,最终评选出了“年度信创先锋之星”、“年度科技向善之星”、年度价值贡献之星”、“年度科技前沿之星”、“年度技术革新之星”五大奖项,并特此进行案例巡展。
本期巡展案例为获得第二届“新科技星力量”星环科技科技实践案例评选活动“年度科技向善之星”的锦江酒店(中国区)基于星环科技Defensor的数据安全合规解决方案。
新时代背景下,数据安全合规迫在眉睫
一直以来,传统安全防护手段侧重于边界防护、数据加密传输、加密存储等静态手段,也包括用户鉴权及权限管理等管理措施,但这些并不能有效保护流动于基础设施、暴露于数据使用方的整个数据链路上的数据安全性。
在提出数据要素流通的新时代背景下,数据的流动性也延伸到了更开放的公共领域。然而针对数据对象的安全防护,众多企业现有数据中台的安全管控能力存在诸多不能覆盖的情况,主要包括:(1)不能在整个生命周期中对数据进行安全等级识别和管理,已标识安全等级的数据在流转后丢失安全信息;(2)不能在数据共享环节对数据进行安全感知和管理,面对黑盒数据,审批手段无效;(3)数据共享流出后没有追溯手段,一旦流入开放领域,则完全失去责任管控;(4)没有提供针对数据安全管控的监测能力。
因此,对数据中台的数据全生命周期实施系统性的安全防护建设,推动全行业企业数据安全合规迫在眉睫。
基于星环科技 Defensor 的数据安全合规方案
星环科技一直致力于打造企业级大数据基础软件,围绕数据的集成、存储、治理、建模、分析、挖掘和流通等数据全生命周期提供基础软件与服务,构建明日数据世界。
星环科技开发的基于星环数据脱敏软件 Defensor不仅可提供数据分类分级管理、数据脱敏、个人信息去标识化、数据访问控制、敏感资产风险评估等基础能力,还能够做到事前发现,事中防护,事后溯源,帮助企业有效建立数据安全防护体系。
同时,其精心打造的星环数据库监测与审计软件 Audit 可基于大数据组件的审计日志,对用户的登录、授权、文件操作、数据库表增删改查等行为进行安全审计,同时 Audit 预置了丰富的审计规则,通过日志中提取出的用户行为指标,利用决策引擎进行安全风险判定,可以发现用户异常访问、越权操作、敏感数据下载、过度授权等安全问题,支持以邮件等形式发出告警。此外,用户可以在预置的规则外,设置各种自定义规则来实现个性化的审计需求,用户针对敏感数据访问保护,也有独立的敏感数据规则为用户精确定位敏感数据泄露问题。
近期,凭借业内领先的技术优势,星环科技与锦江酒店(中国区)达成合作,由基于星环数据脱敏软件 Defensor 和星环数据库监测与审计软件 Audit 为锦江酒店(中国区)提供更完善的数据安全合规解决方案,并对酒店数仓的数据安全进一步加固。
在锦江酒店(中国区)的案例中,通过 Defensor 的分类分级模块对数据仓库中包括渠道客户分析表,住客档案信息表,门卡扫描表,操作系统用户表,销售人员信息表,付款报表,付款日志表在内各种数据进行敏感资产盘点,形成敏感资产清单,为后一步敏感资产的脱敏与去标识化做好准备工作。
针对酒店的个人信息敏感数据,Defensor 可基于 GB/T 37964-2019《信息安全技术个人信息去标识化指南》《信息安全技术个人信息去标识化效果分级评估规范》实现自动化个人信息识别、去标识化以及去标识化评级,实现酒店个人信息资产保护。
基于数据分类分级的结果以及敏感资产清单,Defensor 形成一套全局的数据安全防护策略,能够支持酒店业务灵活的数据合规需求。Defensor 设有安全防护策略中心,在策略中心会默认一个基于安全等级的防护规则,比如 G1 直接访问,G2 -G4 则需要脱敏访问、G5 是拒绝访问等,同时也能针对字段或者用户自定义安全防护策略,满足锦江酒店(中国区)不同情况下的数据安全需求。通过 Audit 还可监测敏感数据流向,对违规操作进行告警。
案例实施成效:保障数据全生命周期安全
保障酒店数仓数据安全:锦江酒店(中国区)是大型连锁酒店行业头部企业,酒店数仓存储有海量的客户个人信息,通过本项目的实施,实现对酒店业务敏感数据进行分类分级,对个人信息数据采用去标识化、数据脱敏等方式对数据进行事前事后全方位保护,保障了酒店数仓的数据安全。
数据的全生命周期安全管控:基于现有的数据中台组件,提供了敏感数据识别、数据脱敏、数据水印策略管理等功能。精准识别敏感数据流转链路,并制定相应的安全防护策略,为后续数据服务安全网关和数据安全监测与管控系统对敏感数据进行脱敏和异常行为检测做好准备。实施敏感数据识别的业务安装部署,实现数据中台敏感数据的全生命周期的可识别、可脱敏、可统一管控。
数据全链路操作记录,全程可追溯:敏感数据识别的相关组件部署,根据预置规则和人工配置规则,实施敏感数据采样扫描和人工结果检查,最终完成符合要求的数据分类分级规则设置;完成贴源层数据的分类分级扫描与策略配置;调试和验收静态脱敏功能针对数据中台的分布式数据库和数据仓库,到上层的数据接口服务进行全方位的监测,通过采集审计日志或流量分析等方式获取数据全链路操作记录,实现全程可追溯。
数据安全管理闭环:此外,通过决策引擎对用户行为和敏感数据行为进行分析,可以发现账户盗用、越权访问、批量下载、异常操作等安全风险事件。数据安全监测与管控,以形成数据安全管理的闭环。除了常规数据安全监测外,将特别针对数据安全策略的实际执行,防止各种人为或意外的内外数据泄露。