《中华人民共和国个人信息保护法》自2021年11月1日起正式施行。《个人信息保护法》与《网络安全法》、《数据安全法》组成中国数据保护立法体系的三大支柱,共同构成管理数据处理和网络安全问题的综合框架。
满足敏感数据使用的合规监管要求,业务应用免改造。
随着数字化转型的飞速发展,数据已成为新时代最重要的生产要素之一。而大数据、人工智能等技术手段的运用在企业快速普及的同时,数据安全合规的问题也愈加凸显。对于企业而言,数据的合规性不仅关系着企业自身数据资产的安全稳定,还面临着相关法律政策的考验。
《中华人民共和国个人信息保护法》自2021年11月1日起正式施行。《个人信息保护法》与《网络安全法》、《数据安全法》组成中国数据保护立法体系的三大支柱,共同构成管理数据处理和网络安全问题的综合框架。
企业为满足内部管理规范或合规要求,往往使得数据访问的管理处于两难境地。对权限管理过于严格,申请授权层层审批,使得研发运维人员的正常工作耗时费力;或者对权限管理过于宽松,甚至没有管理,研发运维人员可以使用自己熟悉的各种工具任意访问数据,存在巨大的安全风险。
数字经济时代激烈的市场竞争要求企业的业务应用能够快速响应瞬息万变的用户需求, 这使得业务应用的敏捷开发、研发和运维一体化成为潮流。
企业的研发人员、运维人员经常需要使用数据管理工具、数据库运维工具直接访问已经上线的生产数据库,进行数据分析、 故障定位、应用优化等工作。企业的生产数据库中可能存储着涉及知识产权的重要数据、涉及用户隐私的个人敏感信息,为保护这些敏感数据,企业需要加强研发和运维人员访问数据的权限和行为管理。
随着数据仓库、数据中台、大数据平台、数据湖等分析型数据管理技术的发展,数据在企业中的应用场景越来越多,例如商业智能、实时数仓、实时报表、智能推荐、用户画像、 自助分析等等。
访问数据的人员也不再只是数据库运维人员、研发人员,企业内部很多岗位的人员都能够借助 BI 等工具直接访问数据,以完成自己的工作任务,例如商业分析人员、 客服人员、营销人员等等。许多重度依赖数据分析的企业建立了专门的数据管理团队,包括数据工程师、数据科学家等角色,都能够直接访问企业的大量数据。数据访问场景繁多,人员角色复杂,企业急需对数据分析场景下的访问权限进行有效的治理,以保护企业的重要数据和敏感数据,同时满足监管部门的数据安全合规要求。
企业为满足合规要求,要对原有业务系统以及人员权限做调整。涉及到业务应用的,要集中针对展示相关功能做合规开发与调整,对于原有业务的改造来说需要跨业务与数据安全管理部门,存在较大的协调与开发工作量,代价很高。
涉及敏感数据访问权限的,一般需要数据安全管理人员利用数据库系统自身提供的数据授权操作命令也可以实现权限的管控,数据安全管理人员在数据库中为相应的人员建立账号并依托数据库自身的机制配置账号权限。当企业的数据库数量较多、研发运维人数较多、数据和人员变化频繁时,这项任务的工作量会爆炸式增长, 而且难以管理和维护,使得该工作演变为“不可能完成的任务“。
原点 CDPP 自动化的帮助企业建立起敏感数据的资产目录,并支持自定义敏感数据类型和手工标注,大大增强了企业敏感数据的可见度。同时,按业务场景实施的动态脱敏,无需业务端改造,降低了成本。结合数据访问权限治理的工具平台,不影响现有的开发与数据分析类业务的正常进行,实现数据保护和安全合规。
通过自动化的数据访问流量解析技术、敏感数据智能识别技术、数据分类分级自动化标注技术,帮助企业建立起敏感数据的资产目录,并支持自定义敏感数据类型和手工标注,同时支持主动+被动,实时监测敏感数据,大大增强了企业敏感数据的可见度。
2、数据动态脱敏
按业务场景实施自适应的动态数据脱敏,满足数据交付的合规要求。如应用前端脱敏展示、机构人员未经授权查询数据自动脱敏、BI数据分析及数据报告按需自动脱敏敏感数据等。
结合业务、数据、安全合规要求等维度将个人信息纳入逻辑数据集合,根据敏感数据类型、控制动作、数据访问类型、有效时间、主体位置、执行路径等条件实施数据访问控制。如禁止特权账号访问业务数据、业务系统账号越权访问、机构人员违规篡改消费者个人信息等。
数据使用的合规,从敏感数据的实时发现开始,结合访问权限管控可以高效满足合规监管要求,无需对原有业务做大规模开发调整,大幅降低改造成本。
下一篇:数据保护系列-数据访问授权审批
