数据安全“星熠”案例 | 一体化数据安全平台uDSP助力工银安盛“多快好省”落地数据安全

近年来，国家从顶层规划和政策细则层面，频频出台相关政策文件，强化了数据安全作为数字中国建设核心底座的地位，数据安全产业迎来了黄金发展期。自2022年起，数据安全共同体计划已开展两届数据安全“星熠”案例征集工作，遴选了多个数据安全优秀案例，形成了良好的“标杆”效果。

为发挥优秀案例示范引领作用，加强优秀案例宣传推广，现推出“数据安全‘星熠’案例”展示专栏，分享2023年数据安全“星熠”优秀案例成果，供各行各业参考借鉴。

本期分享数据安全技术与产品应用优秀案例：原点安全&工银安盛人寿《一体化数据安全平台uDSP助力工银安盛“多快好省”落地数据安全》。

01 案例背景

随着数字化、智能化的加速推进，海量数据实时分析、实时共享正在改变保险行业的业务模式。保险公司基于数据的实时变化与业务走向，能够更快、更准确地评估产品风险和策略调整，对企业收益产生直接影响。然而，在数据驱动业务高速发展的同时，数据安全合规风险也伴随而来。数据实时流通共享在公司总部各部门与分支机构的人员之间，这一过程中，如何实现敏感数据在使用过程中的安全保护以及合规，成为不可忽视的问题。

02 业务痛点

在金融科技创新和数据赋能业务发展的大背景下，工银安盛人寿单独设立数据分析团队实现数据驱动发展，数据开发、数据分析与数据使用的业务人员规模庞大。分析人员在分析平台上进行数据探索，一方面，需要对数据报表进行动态脱敏，满足金融行业的消费者权益保护工作的现场检查与合规要求；另一方面，需按照用户所属的组织机构码实现“最小权限”的权限控制，保障数据安全。

由于需求变化与数据分析场景变化，涉及数据安全策略的频繁调整，传统管理方法缺乏有效的数据库账号治理机制，需针对每个人分配数据账号，同时对每个账号做权限控制，工作量大且繁琐。在这一过程中，如何实现在数据使用环节的权限管控和敏感数据的动态脱敏，以满足监管合规要求，成为不能绕过的难点。分析平台数据分析场景的数据安全保护，成为工银安盛人寿当前业务场景的主要挑战之一。

具体而言，工银安盛人寿大数据分析场景下的主要业务痛点：

• 数据仓库中存储了大量的数据以及数据探索过程中形成的许多临时表、沙箱库等临时数据存储，诸如此类的临时数据梳理难度大。
• 数据分析的实时性要求越来越高，但传统的静态脱敏机制周期较长，较难满足业务运营需求。
• 现有的动态脱敏技术方案性能承载能力有瓶颈，面对大流量与高峰访问等场景时容易出现单点故障，海量数据吞吐支持与性能稳定性低。
• 分析师制作的数据报表需要根据查看人员的所属机构和岗位进行权限控制，以满足最小权限的合规要求，如果依靠分析师人工处理，将增加大量工作，影响分析业务的开展。
• 对于涉及个人隐私的信息，需要按照合规要求，进行强制动态脱敏。
• 分析平台使用者的数据访问日志分散，缺少统一的审计手段。

……

工银安盛人寿基于当前复杂的数据分析需求与现有的应用系统情况，经过充分的业务调研与严格测试，启动了“一体化大数据使用安全与合规”项目，主要包括数据动态脱敏、访问控制、数据审计、数据库行级权限管控、数据库共享账号管理等数据安全目标，依托于原点安全一体化数据安全平台uDSP的建设与使用，进一步提升了大数据使用场景的数据安全管理与可持续能力，满足敏感数据保护与监管合规需求。

03 解决方案

原点安全一体化数据安全平台uDSP秉持助力客户“多、快、好、省”落地数据安全保护理念，将多种安全保护能力、统一策略模型、集中策略管理、统一策略实施点、集中运维监管操作台等基础设施能力融合，具备“贴源保护、职责解耦、模型统一、能力协同”四大平台特性，方案功能多、见效快、好用、省成本。

目前，工银安盛人寿在使用uDSP的基础上完成了敏感数据动态脱敏、精细化数据权限访问控制等改造，有效提高数据安全运营效率，整体改造后的具体效果如下：

实时更新的敏感数据目录。通过自动化的数据访问流量解析技术，“被动发现+主动扫描”双模式敏感数据自动发现和识别引擎，保证敏感数据目录的全面性及新鲜度，及时发现新增、变化的敏感数据类型，自动标记并更新敏感数据目录。

实现表级/行级数据权限控制，满足监管部门数据安全合规要求。监管部门要求严格实行账户统一管理与权限分离，对个人敏感信息、重要数据的访问与使用均遵循“最小必须原则”与“权责对应原则”。通过实施能够细化至表级/行级的数据权限控制技术，数据访问人员只能获得与其业务相关的数据操作与访问权限，并支持随业务需求灵活动态调整，解决了数据访问人员在数据开放的环境下的访问，同时满足监管合规。

免改造应用动态脱敏。数据管理人员可根据自身的应用场景需求，灵活配置脱敏算法和脱敏规则组合，无需修改应用程序代码。并支持数据脱敏后关联查询、编辑回写；可依场景、业务、职责灵活设置脱敏策略以及权限规则，无论新/旧业务，自动识别数据并进行标记，已有策略可无缝对接。

全链路安全审计和监测机制。及时发现和处理安全事件，以确保企业数据的安全。支持多云、混合云架构下的一体化日志审计，可深度审计行为涉及的数据位置和存在的敏感数据类型。

分布式架构，突破性能瓶颈问题。云原生技术，分布式架构，打破传统硬件类数据保护产品性能瓶颈，弹性高可用DAC集群，可依业务需求灵活部署资源，任意水平扩展，实现自动化弹性扩容收缩部署提升承载能力，有效解决单点故障，提高交付效率，降低企业成本。

04 实践总结

工银安盛人寿通过对“一体化大数据使用安全与合规”项目的建设与使用，形成了更为完善的数据安全管理能力体系。主要收益价值可总结为：

• 基于实际业务场景痛点与需求，选择适配自身技术框架的安全产品。该项目中，基于对“敏感数据保护”为核心需求，最终选择了应用免改造、兼容性强的一体化数据安全平台uDSP。
• 企业的整体数据安全治理工作并非一蹴而就的工程，一体化数据安全平台的“多快好省”特点能够满足企业在不同业务场景下的诸多安全能力需求，具备统一安全策略、集中运维管控、安全运营可持续等长期优势，为后续全量业务数据安全管理工作提供有力支撑。