Transwarp Defensor 是星环科技自主研发的数据安全管理平台,业界首个引入行业大模型的数据安全管理平台,可实现智能化自动化分类分级,帮助企业盘点敏感资产。结合星环在数据处理分析、机器学习等领域的技术优势,帮助企业建设以数据为中心,形成事前可知,事中可控,事后可查的全链路数据安全防护体系。
近日,Defensor 4.7 重磅发布,新版本升级数据权限巡检、策略巡检、动态脱敏、智能数据分类分级、静态脱敏、数据水印六大功能特性,全面应对数据安全管理场景,解决数据“盘点”、“防护”、“合规”、“溯源”难点,确保数据使用安全合规。
《数据安全风险评估方法》定义了需要识别的数据安全风险场景。其中,由于权限管控不到位导致的风险有数据泄漏风险、数据被篡改的风险、数据滥用风险等。在数据处理和加工过程中,数据权限必须遵循最小原则。数据权限不合规将导致数据泄漏、篡改、滥用等违规行为,引发数据安全事故。常见的数据权限违规配置包括:过度赋权、临时赋权未及时回收、滥用 admin、root 等管理员账号、共享账号、数据敏感等级变化后未及时更改配置等。
为了应对上述风险事件,星环将权限、策略的理想态、配置态、执行态三态之间进行比较和分析,从而实现事前与事后的权限与策略合规检查。
Defensor 4.7.0推出了权限巡检和策略巡检两大合规检查能力,可以在事前及时发现数据权限、策略有无错配漏配的问题。全面了解数据访问行为是否受控,敏感数据资产是否得到应有的防护,确保数据权限与策略正确落地,杜绝虚假防护,防止数据泄露和滥用。
例如:某行安全管理人员使用了Defensor 4.7 的权限巡检功能,在生成的巡检报告中,发现了以下问题:
- 过度授权检测:存在拥有全局权限的账号,属于过度授权,需要整改权限配置。
- 权限漏配检测:存在权限配置为空,但基线中要求权限为select的情况,需要补配权限,防止因没有权限导致访问业务受影响。
- 临时授权检测:发现某账号被赋予了不应该有的权限,通过查询权限申请工单发现为临时授权,此时可以通过创建具备时效性的白名单,在有效期内忽略该配置问题。账号临时授权到期后则将继续作为风险报告出来。
安全管理人员根据报告,及时整改权限配置,避免了权限落地不合规导致的潜在数据安全风险,确保企业数据安全合规。
智能分类分级- 内置多种行业大模型,人工成本下降80%
在大数据量,业务复杂、数据治理不够充分的情况下,传统基于规则识别的方式往往需要耗费大量人力,因此引入人工智能技术变得尤为重要。Defensor 利用自动化工具链,通过预训练的大模型和强化学习机制,实现了对数据资产智能打标和预测。
Defensor内置多个分类分级行业大模型,覆盖了银行、医疗、水利、个人信息、快消等,开箱即用,从而实现智能化、自动化的分类分级。整个过程人力投入可控,且识别准确率高,并可通过持续调优不断提升准确率。对比传统机器学习,大模型分类分级准确率提升40%;对比人工打标,人力成本下降80%。同时提供业务语义智能生成能力。自动补充字段业务语义,完善数据资产信息,并进一步提高识别准确率。
动态脱敏-预置常见数据类型脱敏策略,提供50+脱敏加密算法
通过数据库安全网关构建SQL的事中访问控制体系,在访问用户和数据对象之间建立的安全防护处理方法,包括脱敏、抑制和水印等,为不同业务和访问用户提供差异化的数据安全防护,解决解决个人信息查询、大宽表分析、指向性查询等业务场景安全问题。
l 个人信息查询:查询的结果数据包含个人信息时,例如姓名、性别、身份证等,将根据数据策略中配置的脱敏算法和参数脱敏后返回,保护个人信息安全。
l 大宽表分析:支持控制到人、列、行,实现精细化访问控制,满足业务安全查询需求。
l 指向性查询:通过预置的识别规则,识别个人信息指向性查询行为并及时阻断,降低企业内部数据处理活动中特定个人信息泄露的风险。
Defensor 动态脱敏特性与优势如下:
- 明文计算,结果脱敏,保证动态脱敏的基础上不会打断数据分析业务。
- 动态访问控制对象粒度到特定用户、角色、机构、资产、表、字段和行,应对精细化防控要求。
- 支持个人信息指向性查询的识别与阻断,防精准查询。
- 基于网关的动态血缘分析,临时表与加工表能及时继承防护策略,随时调整。
- 网关审计日志输出访问敏感字段时策略的执行情况,确保策略执行符合预期。
- 网关提供标准JDBC驱动,能集成各个 SQL IDE、开发平台、BI 等工具。
- 支持千万级策略下发稳定与高效。
- 分布式计算框架,支持横向扩展,应对高并发场景。
静态脱敏:将敏感数据脱敏后生成脱敏表,防止敏感数据泄漏。预置常见数据类型脱敏策略,提供70+脱敏算法,包括掩码屏蔽、加密脱敏、仿真脱敏、统计技术脱敏和监管层脱敏等。支持算法最佳参数推荐和脱敏效果预览,提升配置效率。支持全量增量脱敏,提升脱敏效率。
数据水印:支持在数据中嵌入数据所属方和使用方等自定义信息,当数据泄漏后,可从泄漏数据中提取水印信息。确定泄漏主体进行追责,实现数据泄漏溯源。内置多种水印算法,满足无损与有损水印需求。
典型客户案例——千万级策略防护几十万个人敏感数据的访问
某银行内要求客户账户信息、交易记录以及其他敏感信息必须得到严格保护,并且保证在任何时候都能准确无误地获取和使用,“安全”和“业务”必须两手抓,确保全平台系统高可用。
通过Defensor 搭建数据安全管理平台,接入行内统一身份管理平台和资产子系统,对数据资产完成分类分级后,对识别为敏感的数据配置数据策略,并将策略下发到星环数据库安全网关 Quark,由网关统一代理数据库。当业务分析人员通过各类分析工具,例如BI报表、在线SQL开发等,查询敏感数据时,数据库安全网关 Quark能够根据预设的脱敏算法,对敏感数据进行实时脱敏处理。
截止当前,通过 Defensor 分类分级共识别敏感字段数92000,占总字段数0.7%。对接银行实时数仓、离线数仓分析业务,日均总查询数4W,活跃会话数峰值300+。适配 impala、gaussdb、oracle等数据库,完成了千万级别策略的全量下发与增量下发。实现了敏感信息查询的动态脱敏和个人信息恶意套取阻断,用以应答监管审查。
目前 Defensor 在交通、医疗、金融、高校等多个领域有落地案例。在车联网领域,随着智能化发展,云端产生了大量个人隐私数据,为了避免个人隐私泄露,防止不合规的数据使用,某车企通过 Defensor 盘点企业个人敏感数据,对数据分类分级,按照国家数据安全标准制定企业数据使用规范,保障了企业的安全合规运营。