BI大数据分析场景敏感数据保护
应用场景
随着数字化、智能化的加速推进,海量数据实时分析、分析报表实时共享正在
改变很多行业的业务模式。商业智能BI系统能够帮助企业挖掘现有数据资源的
价值,在产品营销、运营分析、财务分析、风险控制、以及管理决策等环节发
挥着越来越重要的作用,是数据价值释放的关键应用。在BI系统数据使用过程
中,如何既能便捷地更大范围开放数据使用,又能高效率地保障数据安全,防
止敏感数据泄露,满足合规监管要求,成为数据管理者不得不面对的难题。
痛点需求
面对合规监管要求,无法快速落实管控措施
面对行业监管部门针对企业数据使用提出的合规监管要求,例如数据分类分
级、敏感数据脱敏展示、数据访问最小权限、数据访问合规审计等等,企业无
法利用BI系统自身提供的数据安全能力快速落实各项数据安全管控措施,以满
足合规监管要求。
数据动态脱敏落地困难,策略管理复杂度高
BI系统中的数据集和报表往往数量庞大而且更新频繁,一方面,由于BI系统
缺乏统一管理的敏感数据清单,如何识别并管理敏感数据成为首当其冲的难
题;另一方面,依赖BI系统内置的脱敏功能针对数据集和报表实现数据脱敏,
会出现脱敏策略数量庞大且变更频繁的问题,脱敏策略难以管理和维护,而且
无法保证策略的一致性,脱敏技术措施落地困难。
数据安全与数据业务紧密耦合,导致权责不清
数据分析师团队的主职工作是数据分析,依赖BI系统内置的脱敏能力实现敏感
数据保护则要求数据分析师团队承担大部分数据安全职责,给数据分析师带来
额外的工作负担和管理责任。此外,数据分析师拥有较高的数据权限,日常工
作大量接触敏感数据,自身的数据使用行为也需要管控和安全审计。数据安全
和数据业务紧密耦合会导致权责不清,不符合数据安全管理的基本原则。
未受保护的明细报表不敢更大范围开放使用
BI系统的数据分析成果开放给企业更多的业务人员使用,才能更加充分地释放
数据的价值。但是,如果不能基于业务人员的BI系统应用账号便捷地实施细粒
度的数据动态脱敏、行级数据控权、数据访问合规审计等安全措施,企业数据
管理团队就会担心敏感数据的泄露和违规使用风险,不敢更大范围地开放使用
明细报表。
解决方案
原点安全一体化数据安全平台uDSP针对BI数据分析场景的业务和技术特点,
采取“贴源保护”的技术思路,部署在BI应用系统和数据源中间,解耦数据安
全与数据业务,提供一体化协同的敏感数据保护能力。
实时更新的敏感数据目录
针对BI应用系统连接的数据源,通过“主动扫描+被动发现”双模式引擎自动
发现和识别数据源库表中的敏感数据,完成敏感数据分类分级,构建统一的敏
感数据目录,并且能够及时发现新增、变化的敏感数据类型,自动更新敏感数
据目录。
统一管理的数据脱敏策略
针对数据源和敏感数据目录,在uDSP平台上统一配置和管理数据脱敏保护策
略,在数据库表结构相对稳定的贴源位置实现对敏感数据的保护,从而大幅降
低了脱敏策略的数量和策略变更的频率。同时,在管理职责上实现了数据安全
和数据业务的解耦,明晰了安全责任,有利于数据安全管控措施的快速落地。
自适应的敏感数据动态脱敏
基于敏感数据目录实时联动的一体化动态脱敏策略,可实现自适应的数据动态
脱敏,当数据库表增加新的敏感数据字段时,脱敏策略无需更新即可立即生
效,进一步降低数据脱敏策略的运维工作量。
满足BI业务的个性化脱敏需求
针对数据源中相同的敏感数据,不同类型的数据分析业务可能会有不同的数据
脱敏需求。uDSP平台提供用户认证代理能力,能够为数据源创建多个代理账
号,并基于代理账号配置不同的脱敏策略。结合BI业务的特点,在BI应用系
统中可以创建多个配置不同代理账号的数据源,提供给不同脱敏需求的数据分
析业务使用,满足BI业务的个性化脱敏需求。
基于BI应用账号的细粒度管控
基于BI应用系统的账号配置细粒度的数据管控策略,例如基于BI应用账号配
置数据脱敏策略;基于BI应用账号配置“白名单”,白名单中的BI用户访问
数据时无需脱敏处理;基于BI应用账号配置数据访问行数限制、行级数据权限
策略等等,灵活应对BI业务不同场景下的数据安全管控需求。