如何让数据安全管理工作化繁为简？uDSP 十问十答

数据安全管理工作与国家数据安全、企业资产保护以及个人信息保护工作息息相关。复杂、多元、流通的数据也给数据安全带来了更多的威胁和挑战，如数据资产管理、分类分级问题，数据安全集中管控问题，数据共享与流通问题等。原点安全一体化数据安全平台 uDSP 致力于帮助企业将繁琐、繁重的数据安全管理工作变得简单高效，化繁为简。

Q1 原点安全的 uDSP 是什么？与 Gartner 提出的 DSP 有什么关联？

uDSP （unified Data Security Platform），是原点安全采用云原生技术栈构建的一体化数据安全平台产品与服务。2020年，原点安全提出“数据访问安全层”技术理念，即在访问数据的工具、应用和数据源中间构建一层“数据访问安全层”，将保护数据所需的安全能力汇总在这一层去实现，以敏感数据保护为核心，将跨多种数据类型、存储系统和生态系统的数据保护所需的安全能力整合在一起，即一体化数据安全平台 uDSP。

2021年，Gartner发布了《2021 安全运营技术成熟度曲线》的报告，即《Hype Cycle for Security Operations, 2021》，正式提出 DSP 概念。DSP（Data Security Platform）数据安全平台被定义为以数据发现和识别技术为核心特征的产品和服务，旨在为跨多种数据类型、存储系统和生态系统的数据所需的安全需求提供一体化协同的集成方式。具备敏感数据的一致可见性、数据安全能力高度集成、策略平面与控制对象分离、多维角色协作的流水线、简化高效的部署和运维等重要安全能力。这点与原点安全基于数据访问安全层构建的产品能力不谋而合。

原点安全所打造的 uDSP 能够从敏感数据发现、识别、保护、监督到治理的一体化技术保护措施和协同机制，符合当下技术发展趋势与行业实际所需。

Q2 一体化数据安全平台 uDSP 具备哪些能力？

敏感数据目录是原点 uDSP 的核心产品功能，基于敏感数据智能识别引擎，自动识别和标注敏感数据类型和安全级别，帮助用户从安全视角梳理敏感数据资产，支持实现数据访问控制、访问认证代理、数据自助授权、数据动态脱敏、数据流转轨迹、数据安全审计等诸多功能。

● 数据访问控制

针对自定义的数据集以及用户/用户组，配置并执行访问控制策略，能够允许、拒绝或告警特定用户对特定数据集的访问；支持根据敏感数据类型、控制动作、访问类型、有效时间、主体位置、执行路径配置访问控制策略。

● 访问自助授权

提供预授权、审批授权等自助模式，对于临时发起的数据访问请求，通过访问权限自动化配置，实现审批即授权、承诺即授权；通过数据访问权限配置的流程化、自动化，极大降低数据运维人员的手工作业量。

● 访问认证代理

通过虚拟账号口令代替数据源真实账号口令的用户访问认证代理机制，降低数据源口令的泄露风险；可实施细粒度到人的即时管控，以及监管高危特权，同时，在遵从安全合规制度的要求定期更换数据源口令时，不会对数据业务造成任何影响。

● 动态数据脱敏

数据安全人员按应用场景配置脱敏算法和脱敏规则组合，根据用户、有效时间、主体位置、执行路径、数据集合、敏感数据类型等条件配置数据交付策略；实现应用前端展示的敏感数据动态脱敏，无需修改应用程序代码，进行业务应用改造。

● 数据访问审计

全面审计数据访问活动，详细记录应用用户访问数据的日志，包括时间戳、应用用户、应用访问路径、数据库用户、数据源、数据位置、访问类型、SQL 请求、数据量、敏感数据等相关信息。支持云数据库审计日志和平台日志的自动融合。

● 数据访问轨迹

全面精准地记录应用层数据活动的上下文信息，自动构建端到端、全链路的敏感数据流动轨迹；可视化呈现 “用户->应用->数据位置->敏感数据类型”的数据流转路径、访问行为习惯和敏感访问热度，支持钻取式分析，为进一步的安全审计和风险分析建立基础信息。

Q3 uDSP 是如何实现敏感数据发现、识别、保护、监督到治理的一体化的？

原点安全认为解决复杂问题需要创新的数据技术架构，而传统单点产品技术能力已不足以应对。为了保护数据安全，应该尽可能贴近数据源，以提高数据识别准确度和保护效果的直接性。同时，应该具备分层解耦的能力，将数据安全与业务应用解耦，使跨部门与组织的协同更容易实现。显而易见，该技术应该能力集成，实现多种数据安全能力以满足多种业务需求。

正是基于这样的思考，原点安全首创的技术架构理念“数据访问安全层”（DASL，Data Access Security Layer），用于实现数据源中敏感数据的访问控制和交付控制，旨在保护敏感数据免受未经授权的访问、篡改、泄露、破坏和过度暴露。

DASL 提供的数据安全基础能力包括但不限于：敏感数据发现、分类分级标识、数据访问控制、数据动态脱敏、数据安全审计等；并能够根据具体的业务场景和需求，通过合适的安全策略编排这些数据安全基础能力，保护敏感数据的安全性和合规性，同时提高了敏感数据的可追溯性和可审计性，能够更好地监控敏感数据的访问和使用情况。

Q4 uDSP 目前支持哪些数据库类型？不同数据源能否实现统一安全管控？

uDSP 支持 MySQL、PGSQL，传统的 Oracle、SQL Server，Hadoop 大数据系统，国产数据库系统等；无论这些数据库系统部署在公有云上，还是部署在本地数据中心；无论是云端自建的数据库系统，还是云原生的数据库服务。

同时，针对当前各种孤岛式建设、异构、跨生态系统的数据库现状。使用 uDSP 可以实现不同的数据源使用相同的管控策略。通过配置统一的数据集合、数据交付策略，数据访问策略达到对不同数据源的统一安全管控。

uDSP 平台能够将这些安全策略整合为统一的数据安全策略，一条策略就能够编排不同的安全控制功能，形成协同联动的能力。

Q5 uDSP 对于数据访问是如何管控的？

企业客户当下往往面临各种孤岛式、异构、跨生态系统的数据库以及愈加细分的安全场景，以往分散的数据保护措施难以实现统一的策略编排。通过 uDSP 产品的一体化数据安全保护策略编排，将各种核心能力整合为一个整体，满足各种应用场景下的数据保护需求。

uDSP 支持事前预防、事中管控、事后审计的全链路敏感数据管控，如事前的权限管控配置，事中监督记录敏感数据访问流转轨迹，事后基于数据监督结果，不断调整数据保护措施与运营策略。动态构建由业务用户、业务应用、API 路径、原点用户、数据库账号、访问接入点、数据位置、敏感数据类型等节点组成的流转轨迹，同时可呈现位置、时间、次数等关联信息。基于链路节点和上下文信息自定义敏感数据访问的监督看板，提升事中监督和事后溯源效能。

例如，面对数据查询人员对返回数据做限制问题，uDSP 能够通过数据交付策略，数据访问策略达到对用户行为的管控。或限制某个部员只能访问某些类型的数据，能够访问的数据是否脱敏，限制一次查询返回的行数等。

Q6 对外报送数据或通过 API 接口对外提供数据时，uDSP 能否做到相应的管控？

数据访问安全层（DASL），能够统一对数据访问和数据交付实施安全合规管控。因此，无论是通过工具导出数据，还是通过 API 调用获取数据都会经过 DASL，uDSP 可根据访问者、访问数据的敏感类型、访问的数据对象等属性作为策略执行的控制条件。

此外，针对 API 接口外发数据的场景，uDSP 可以审计到调用者的身份标识、API URL 等上下文信息，同时可作为策略执行的控制条件，实施精准、场景化的保护策略。

Q7 能否列举一个典型的数据保护场景？

案例：某险企数据分析人员数据访问合规治理

业务场景

本地数据中心建设数据仓库和数据中台，数据分析业务应用和 BI 工具场景十分复杂，内部自研了 10+ 套分析类业务系统，还有采购的商业化 BI 工具多套；
数据分析工程师和业务人员 300+，访问数据的人员数量多，变化较为频繁；

需求痛点

需满足安全合规部门提出的敏感数据脱敏、数据安全审计要求敏感数据资产不清，脱敏规则配置复杂低效；
数据权限的精细化管控依赖不同的数据库系统、BI 工具和业务应用自身的授权机制，无法统一管理，变更困难；
维护“行权限”数据视图需要大量手工作业，难以满足自助式交互数据分析的时效需求，部分 BI 工具不支持“行权限；

原点解决方案

为数据团队提供了一体化数据安全平台 uDSP，与数据权限审批流程集成，在实现数据持续保护和安全合规的同时，赋能数据管理和数据使用部门，实现“自助式”数据访问服务，提升数据提供的便捷性，提高工作效率。

Q8 uDSP 可以适用于哪些数据安全治理场景？

uDSP 产品的应用场景可能来自于很多部门。例如，合规部门要做个人信息保护，数据出境安全评估；安全部门对研发运维进行数据库运维的安全管控；数据部门要对数据分析应用进行敏感数据的前端界面展示脱敏……以下安全场景都可以使用原点的一体化数据安全平台 uDSP 产品进行实现：

在业务系统免改造的情况下，uDSP 可以帮助数据团队满足企业敏感数据动态脱敏、人员权限精细化控制、详尽日志审计等需求；帮助合规团队提供“一站式”服务端敏感个人信息保护与合规方案；助力安全团队帮助企业高效解决数据库运维场景下的安全管控难题，让企业管理人员可以快速了解整个系统的安全状况，为企业数据安全决策提供重要的参考依据。

Q9 使用原点安全 uDSP，是否需要修改应用代码或更换数据库客户端工具？

对于应用系统保护时，uDSP 有两种模式：仅审计；审计+保护，均不需要修改应用程序的业务代码。