随着《数据安全法》《个人信息保护法》《证券期货业数据安全管理与保护指引》《证券期货业网络和信息安全管理办法》等相关法律法规、行业监管规范要求的出台，数据安全已成为证券行业业务发展的合规红线，但是传统数据安全建设仍存在多重痛点，主要体现为：

-数据分类分级：通过人工开展数据分类分级，并对数据进行上标，资源消耗大、效率及准确性较低，且不具备可持续性；

-安全管控策略：基于多头且单一的安全产品能力制定管控策略，缺少可视化且统一配置的抓手，一般采用一刀切的简单模式；

-安全管控产品：通过各类单一功能的安全产品实施数据管控，安全管控能力局限且无法联动，安全管控策略割裂，缺乏整体性；

-安全运营机制：安全运营机制固化，无法消费分类分级结果，针对数据级别、数据使用需求、合规监管要求调整不灵活。

为解决传统数据安全建设痛点，第一创业证券进行了数据安全能力构建与场景管控探索实践，以实现四大价值提升：

-合规价值：积极响应国家及监管对数据分类分级以及数据安全管理的要求；

-管理价值：健全并优化第一创业的数据分类分级及数据安全管理机制与管控手段；

-技术价值：借助大模型及AI算法实现数据分类分级智能化及数据安全管理有效性；

-参考价值：为证券行业数据分类分级智能化及数据安全治理工作提供参考。

云创数安作为技术支持方深度参了此项目建设，助力第一创业证券实现智能化、集中化、平台化数据安全管控。

一、 数据安全管理中台整体架构

第一创业证券通过“组织+管理+运营”三大机制有效保障数据采集、数据存储、数据传输等数据全生命周期安全管控。构建了一套以数据安全中台为核心策略、以数据智能分类分级结果为管控驱动、以各项数据安全管控能力为抓手、以数据应用场景为切入点的一站式数据安全管理机制。实现数据分类分级智能化并将数据分类分级结果应用于各类数据安全管控过程，包括：数据流转测绘、数据存储管理、数据传输管理、数据使用管理等方面。

数据安全管理中台整体架构（图片来自第一创业证券）

二、数据安全中台关键技术

云创数安一体化平台整体架构

2.1 基于大模型的元数据信息完善技术

云创数据安全一体化平台运用大模型对自然语言的理解能力以及处理能力，结合元模型表前后文语境，完成对各类数据模型表的中文注释补充，准确率可以达到90%以上。元数据信息完善可以极大的提高后续智能分类分级模型的准确率。

AI智能模型搭建过程示意

在本项目中，第一创业成功搭建了数据智能分类分级模型，最终模型整体准确率达到了85%以上。这一成果，一方面归功于对样本库的持续完善，这不仅可以增强模型的鲁棒性，也使得模型在处理复杂数据时表现出更高的稳定性；另一方面，通过不断地衍生新的特征并调整模型的参数，使得模型能够更准确地提取和利用数据信息，从而进一步提升了模型的预测效果。在未来，将继续以这种方法持续优化模型，以期得到更高的准确率。

2.2 基于智能数据分类分级的数据流转测绘及异常行为监测

云创数安协助第一创业证券构建基于网络旁路技术的数据安全管控，可收集内部用户在一个稳定周期内的常规数据访问对象以及流量情况，构建用户/服务/数据视角的安全基线（数据服务、访问用户、访问时间、处理行为、数据主体），动态监测安全风险，实时识别新发生的异常行为并动态监测其安全风险。

旁路流量监测部署示意图（图片来自第一创业证券）

2.3 基于数据安全网关的安全管控技术

除旁路探针模式外，云创数据安全一体化平台内嵌数据安全网关，可串联到各类系统或终端网络链路，支持快速解析网络通道中的各种数据信息，结合智能数据分类分级结果中不同数据级别的安全策略，实现对应数据的安全管控目标。

动态网关部署示意图（图片来自第一创业证券）

2.4 基于智能数据分类分级的数据库存储加密

云创数安自主研发透明数据库加密组件（Transparent Database Encryption，以下简称TDE）支持通过MySQL、PostgrepSQL等主流协议的应用访问，驱动程序端对接大数据、交换库、下游系统数据库等所有明文存储数据的数据库，核心优势在于：

-无需修改应用程序代码；

-应用程序可以像操作普通数据库一样无缝地与加密数据库进行通信；

-基于智能数据分类分级结果，根据需求进行集中配置，可快速实现对当前明文存储数据库的表、列级别加密；

-对于入库操作，TDE插件可自动对数据进行加密，确保敏感数据、核心业务数据等在存储过程中始终处于加密状态，提供强大的数据保护；

-从数据库检索数据时，插件会自动解密数据，确保应用程序能够正常获取明文数据，不影响业务的使用；

-支持FPE加密算法：允许在加密过程中保持数据的原始格式及长度不变，这样既保证了原有数据存储功能（如字段长度约束）不受影响，又避免了加密过程导致的数据膨胀。

2.5 基于智能数据分类分级的数据静态脱敏

本项目中，基于智能数据分类分级能力及分类分级结果，对特定的数据库、文本文件等对象，开展数据扫描及敏感数据识别，并对识别出的敏感字段依照数据安全治理平台提前预设好的脱敏规则实施静态脱敏（涉及Oracle、DB2、Sql Server、Sybase、Mysql、PostgreSQL等数据库，以及对于dump/txt/cvs/xml 等文本文件），并将脱敏后的内容单独传递到目标地址，以便开展后续的各类业务活动。

基于智能数据分类分级的数据静态脱敏

2.6 数据文件安全管控技术

本项目研究了基于宏的数据文件安全管控技术，依据数据安全管理流程规范及智能分类分级结果，对数据文件进行全生命周期安全管理，包括数据文件的身份认证，数据水印，数据使用期限，数据文件的编辑、另存、拷贝、打印等使用过程管控，以及数据文件自动销毁等安全管控能力。

三、项目成果

深圳云创数安科技有限公司

ENTERPRISE

深圳云创数安科技有限公司成立于2021年，致力于成为人工智能发展的基础设施构建者，以“高质量数据供给 + 全链路安全保障” 双轮驱动，助力企业释放 AI 时代数据价值，推动数据要素合规、高效融入实体经济，为国家数据安全与数字经济高质量发展提供核心支撑。公司目前已荣获“国家高新技术企业”称号，荣获ISO27001、ISO27701、ISO9001等多项国际体系认证，作为全国信安标委的工作组成员参与多项标准制定。

想要获取完整方案？快来联系我们

微信号｜YCSA_TECH

邮箱｜info@szycsa.com