敏感数据保护

数据分类分级

• Dataphin支持对数据的分类分级进行管理，内置了常用的个人信息数据分类，同时支持客户自定义企业的数据分类分级标准。

• Dataphin的数据分类，支持多级的数据分类层级管理，同时支持内置识别特征和识别方式，便于后续自动进行敏感数据识别。

• Dataphin的数据分级可以在后续的数据脱敏保护、权限申请、权限下载等环节使用，支持按照不同的数据分级使用不同的管控策略。

敏感数据识别

Dataphin支持通过自动识别和手动打标两种方式来生成敏感数据清单。

• 自动识别

  Dataphin支持使用识别规则，自动进行敏感数据的识别。识别规则会按照配置的识别范围（项目、表）和数据分离的识别方式（字段内容、字段名）自动进行数据的扫描并生成敏感数据的识别结果。自动识别支持定时全量识别+实时增量识别，可以更快速更完整的识别敏感数据。

• 手动打标

  针对明确的敏感数据，Dataphin支持通过手动打标的方式来生成敏感数据的识别结果。手动打标包括页面手动指定、excel上传、数据标准打标、数据建模打标等。

敏感数据保护

在识别出敏感数据之后，Dataphin支持对敏感数据进行脱敏保护。主要包括以下场景：

• 敏感数据查询脱敏

  当使用即席分析、代码任务、数据预览等功能，查看被保护的敏感数据时，敏感数据会按照已经配置的脱敏策略进行脱敏展示，从而保证敏感数据不泄露。

• 生产环境敏感数据写入开发环境脱敏

  当因为测试需要等原因，需要将生产环境的数据写入开发环境时，为了保护敏感数据不泄露，数据在写入的过程中，就会自动按照配置的脱敏规则脱敏，从而保证敏感数据不会流入开发环境。

• 敏感数据的数据集成加解密

  如果在数据上云、数据交换等场景，需要对传输中的数据进行加解密保护，则可以使用Dataphin的集成加解密能力，对集成的数据进行加解密保护。加密后的数据只有拥有密钥权限的用户才能够进行查看，从而更好地保护敏感数据。

Dataphin的敏感数据保护，主要有以下两种方案：

• 脱敏方案

  针对敏感数据进行遮盖脱敏和哈希脱敏保护，如将“张三”展示为“张*”，或者通过md5脱敏手机号，可以保护敏感数据不会泄露。需要注意的是，脱敏保护后的数据无法展示为原值，因此推荐用在临时查询等场景，不推荐在数据交换等场景中使用。

• 加解密方案

  Dataphin支持在数据集成中针对敏感数据进行加密或者解密。Dataphin支持常见的商密和国密，如AES、RSA、SM4等算法；同时支持对加解密中用到的密钥进行统一的权限管理，确保数据交换场景中的数据安全。

结合权限体系

有了数据分类分级之后，可以结合权限管控体系，进一步提升敏感数据的保护效果。

• 数据权限申请：申请时可以按照数据的密级选择字段，可以仅申请自己能够使用到的保密等级的数据。在权限审批的时候，也会重点提示本次申请所涉及的敏感数据，提升权限审批的合规性。

• 数据权限审计：在权限审计时，支持筛选敏感数据进行权限现状和权限操作的查看。

• 权限审批策略：在制定权限审批策略时，可以按照数据是否涉及敏感数据，制定不一样的审批策略。