评测回顾 | 天翼云数据安全管理平台助力企业数据安全防护

数据安全管理平台具备敏感数据识别、数据分类分级、数据脱敏、接口异常检测、审计监测预警等数据安全能力，实现对企业核心数据的保护和管理。

✦ 敏感数据识别能力

具备包括手机号、身份证、姓名、地址、IMSI等数十种类型敏感数据的自动识别规则；支持远程主动扫描MySQL、Oracle、Hive、HBase、MongoDB等数据库，HDFS、Linux文件系统和对象存储中的敏感数据。

✦ 数据分类分级能力

基于字段名的标识符和其描述的语义分析精准匹配数据类型和级别，归纳总结形成分级分类特征库；自动化+人工相结合方式实现数据分类分级，通过敏感数据识别规则和基础字段自动化判定数据的类别和级别，辅助人工数据评估和数据审核对未识别字段开展数据标注，生成数据分类分级资产目录。

✦ 数据脱敏能力

支持替换、重排、截断、匿名、手机号脱敏、身份证脱敏等20余种脱敏算法，以及AES、DES、SM3、SM4等20余种加密算法，丰富的脱敏和加密算法有效支撑了数据安全合规的使用；依据数据安全级别和脱敏要求，制定可配置的脱敏策略，实现按字段、安全级别、自动化的数据静态脱敏；支持数据清洗、转换、加载过程中嵌入脱敏算法，配置到Spark UDF中，实现日均TB级规模的流式数据脱敏；支持区分不同用户、不同脱敏策略，敏感数据查询和调用结果的动态脱敏。

✦ 数据操作审计

分析用户使用环节对敏感数据的访问情况，分析和建立用户行为基线，并对用户日常操作进行自动化的操作审计及判断，协助审计人员进行安全审计工作；同时根据业务模式、场景、对象的不同，规范审计业务系统发布的内容，保障业务运营全流程可追溯、可审计。

✦ 数据出口审计

对接口输出数据进行规则识别、模式匹配、异常发现等功能，能够及时发现出口数据的泄露风险，包括接口审计和文件审计两种方式：1）接口审计：对接口日志进行采集清洗，配置检测规则、策略，创建定时任务检测接口违规输出敏感数据、接口异常调用情况，并给出接口检测风险程度统计结果；2）文件审计：对大数据平台HDFS文件、FTP服务器文件、磁盘文件进行读取，检测文件是否包含企业生产运营中敏感数据，并展示文件检测结果概要和详情。

数据安全管理平台借鉴互联网分布式架构设计理念，以实际生产场景为切入点，自主研发攻关数据安全平台的架构设计、开发和应用，突破一系列核心技术。

1、以分类分级为基础的数据安全技术体系

基于敏感数据分类分级为基础，以数据脱敏加密、数据权限管控、平台审计监测为安全核心能力，构建一套从数据采集、数据访问、数据使用、数据传输，数据共享、数据销毁的全生命周期数据安全技术体系。

2、AI技术精准识别敏感数据

基于BERT预训练模型和双向LSTM网络的文本分类检测方法，结合上下文对于文本语句进行编码，捕捉双向语义的依赖，提高文本分类的精度，有效实现非结构化文本敏感数据的识别。

3、多维度数据分析挖掘

以数据安全为核心，通过对多维度海量安全和业务数据进行快速、自动化的关联分析、数据建模、情报关联分析，通过图形化、可视化的技术全面洞悉数据安全全景，形成数据安全管理的全方位保护。

4、基于安全级别的流式脱敏

根据数据安全级别和脱敏要求，自动化匹配加密和脱敏策略，综合运用加密算法、差分隐私、L匿名等数据脱敏算法，实现了应用于大数据生产环境的数据流式脱敏。

天翼云已在金融、政务、工业、运营商等不同领域推出不同类型的数据安全专属解决方案，并将数据安全治理能力融入到天翼云诸葛AI平台当中，能在为企业提供一站式AI解决方案的同时，捍卫企业用户隐私，为企业数据安全保驾护航。

数据安全管理平台应用于天翼云大数据平台，实现数据生命周期的全方位安全覆盖，形成了数据安全事前加密脱敏、事中监控检测、事后审计追踪的保障机制，在保护数据安全的前提下，保障天翼云公司大数据能力的合规开放、集约运营和健康发展。

电信集团内部实践中，天翼云依托自身优势和PB级的数据训练模型，以自研技术为底座，充分利用各类数据间的相互关系，精确、立体化、全方位的识别敏感数据，满足了《数据安全法》中建立数据分类分级的要求，为数据的精细化管理提供了基准。未来着力推动数据安全技术融入云端数据处理的每一个环节，与云端各个企业加强数据安全协同治理，为企业的数字化转型夯实安全基石。