极盾故事|“二次授权”“脱敏复原”,某银行数据动态脱敏系统get新技能?

极盾故事|“二次授权”“脱敏复原”,某银行数据动态脱敏系统get新技能?_第1张图片

数据,既要可用,又要安全,还要合规!企业“一难、两难、多难”的困境,如何破?

极盾科技助力某商业银行,基于极盾·觅踪构建应用数据动态脱敏系统,实现30+核心应用系统以及用户的统一管理,对个人金融信息5大要素(姓名、身份证、手机号、银行卡、地址)基于用户身份实现差异化动态脱敏,并设有“脱敏复原能力”“二次授权机制”以满足更多场景的不同需求,另外还对系统内数据动态使用过程进行全面监控及审计

诉求明确,寻找优质方案

此商业银行注重加快数字化转型,信息科技投入2022年同比增长近40%,多项数字化和营运智能化项目成功上线,为金融创新提供强有力的科技支撑,近几年资产规模稳步增长,2022年较上年末增长15%左右。

数字化转型带来业务的稳步增长,数据安全保护自然成为不可规避的责任和义务。

为了平衡业务发展和数据安全合规,此商业银行结合行内实际情况,紧跟国家监管政策,向外寻找应用数据动态脱敏系统的解决方案,并提出了明确诉求。

诉求1较高的安全管理能力

行内组织架构较复杂,数据脱敏往往会涉及业务、安全、数据、测试等多个部门,因此数据脱敏系统要求具备安全管理能力,如应用系统管理、用户管理、脱敏任务审批等功能。

诉求2具备数据脱敏复原能力以及二次授权机制

行内涉及个人金融信息的应用系统较多,若对个人敏感信息进行全面脱敏,虽然满足了合规要求,但很大程度会影响业务使用。因此,要求产品具备数据脱敏复原功能,并可对数据脱敏复原能力的使用进行“二次授权”,以减少敏感数据的暴露面。

诉求3较强的兼容性

行内数据类型较为复杂,数据脱敏涉及数据库种类较多,比如Oracle、MySQL、SQLServer、TDSQL、IMPALA、PostgreSQL等数据类型,要求数据脱敏系统具备较强的兼容性,可以快速对接一些新的数据源。

诉求4支持分布式部署,数据脱敏效率高

目前行内沉淀有PB级的历史数据,日均新增的结构化数据就达GB级。另外,行内开发测试任务重,数据脱敏需求较多,且脱敏的数据量较大,因此要求数据脱敏速度要快,数据脱敏系统还需要支持分布式部署,从而提升整体数据脱敏的效率。

市场调研后,为了保障公司业务数据更好更安全地使用,充分发挥其价值以赋能业务发展,最终选择极盾·觅踪-数据安全使用管控平台

“管理、脱敏、审计”全链路管控

根据前期需求的调研,在极盾·觅踪-数据使用安全平台的基础上,对“二次授权”、“文件水印”等进行定制开发,历时3个月最终完成“应用数据动态脱敏系统”完整的安全能力建设,主要实现了以下几方面功能的全面应用。

1、应用系统统一管理

通过网关自动接入信贷押品,信贷对私,基金银保通,二代央评,人民币跨境报送,反洗钱报送等30+应用系统,可以直观展示所有应用,便捷地管理应用系统及其节点信息,梳理应用系统接口清单、接口数据使用情况,并可以对用户进行统计、分组、设置角色等。

极盾故事|“二次授权”“脱敏复原”,某银行数据动态脱敏系统get新技能?_第2张图片

2、应用数据动态脱敏

通过敏感数据识别规则和数据脱敏规则的设置,对行内30+应用系统中的个人金融信息五大要素(姓名、身份证、手机号、银行卡、地址)进行了页面脱敏、文件脱敏以及API脱敏。

页面脱敏:按照脱敏策略对应用系统数据展示进行动态脱敏。

文件脱敏:按照脱敏策略对应用系统下载文件进行动态脱敏,包括Excel、ppt、pdf、word等类型。

API脱敏:识别流量中的API信息,并对API进行解析,识别字段的数据类型;针对API字段进行标记,并指定字段精准脱敏,对于内容识别不精准的可以采用API脱敏。

另外,应用数据动态脱敏系统基于用户身份实现差异化动态脱敏:

极盾故事|“二次授权”“脱敏复原”,某银行数据动态脱敏系统get新技能?_第3张图片

无权限用户:直接阻断访问

高权限用户:配置具体页面、具体数据类型的明文数据访问权限,并配置有效期、限制访问IP、限制访问时间等。

低权限用户:低权限用户在访问应用系统时,默认无明文数据访问,展示敏感数据脱敏后的页面。如需查看明文数据,必须进行“二次授权”,手机验证码验证后方能使用脱敏复原能力查看明文。

3溯源审计及监控告警

水印保护在极盾·觅踪原有的数字水印基础上,定制开发增加了文件水印,即应用系统中下载.txt、.csv、.pdf、.zip、.doc、.xls、.ppt等文件时会自动添加文件水印。

在与外部组织机构、合作方等第三方合作伙伴交换数据时,通过文本隐写、文档隐写、伪列伪行等技术对数据文件进行标记,并在数据文件泄露后,可对文件进行水印解析、溯源分析。

日志及监控:记录审计本系统接入的应用所有访问记录,包括请求地址、请求方法、请求参数、请求体、返回类型、请求时间、请求用户信息、用户IP操作行为等信息,并可对日志记录进行审计和分析,并根据配置的告警规则进行风险告警。可自定义告警规则,支持对敏感数据访问的次数、频率、总量等指标进行实时监控预警。

极盾故事|“二次授权”“脱敏复原”,某银行数据动态脱敏系统get新技能?_第4张图片

应用数据动态脱敏系统建设意义

1、一站式能力接入,降低应用接入成本

先了解网络架构制定部署方案,部署网关,后进行应用流量转发配置。通过两步即可完成应用系统的接入,易扩展,后续应用只需流量配置便可接入,应用无需改动,大大降低应用接入成本。

2防止敏感数据滥用,满足监管合规

通过应用数据动态脱敏系统的建设,可以有效防止行内敏感数据的滥用,防止敏感数据在未经脱敏的情况下流出,从而满足银行既要保护隐私数据又要满足监管合规的双重需求。

未来,银行业将会持续面临新的数据安全威胁,需不断引入新的方法和技术,趋利避害,在支撑业务发展的同时做好数据安全防护工作。


 

你可能感兴趣的:(安全)