产品背景：

近年来，随着数字经济的高速发展，尤其是疫情后激增的线上服务场景，让企业和组织掌握的数据量急速增长；与此同时，国家也将数据定义为新的生产要素，并就如何保护数据安全制定了《网络安全法》、《数据安全法》、《个人信息保护法》等一系列法律法规。如何保护持有的数据资产，避免因数据泄露给组织造成的损失和影响，同时满足法律法规对数据保护的合规要求，成为企业和组织面临的双重需求。

而与此相对的是，随着组织数字业务的发展、数据量的持续增加，支撑数据存储应用的技术架构也在不断演进，从单个数据库到数据库集群、数据仓库、数据湖、数据中台，甚至多套技术架构的混合使用，使数据环境变得愈发复杂。如何在复杂的数据环境中全面不遗漏的保护数据资源安全，使用有限的人力做好数据安全工作，成为企业和组织面临的新挑战。

为解决上述问题和困难，作为中国数据安全治理理念的提出者和践行者，北京安华金和科技有限公司（下文简称“安华金和”）基于多年来对大量行业客户在数据使用场景及防护 需求方面的深入分析与实践积累，以“可实用、可持续”为出发点，推出数据安全运营平台 （Data Security Operation Platform，简称“DSOP”），为各行业客户提供具备“统一部署、统一监控、统一管理、统一运营”的一站式数据安全平台产品。

产品理念：

相比于传统的以安全技术能力建设为主要目标的数据安全平台，DSOP 将管理体系和运营体系建设提升至与技术能力建设同等重要的高度，并将三个体系有机融合，共同构成一套整体解决方案，从而实现对数据的全面、立体防护。

主要功能：

01数据资产管理

DSOP 数据资产管理通过对网络环境的分析，自动发现组织的数据资产分布和敏感数据分布，通过 人工核实和使用场景的备案，形成对数据资产的全方位掌握。 

同时数字资产管理还提供了风险评估能力，通过内置规则库，对数据环境中的漏洞情况、配置缺陷情况、弱口令情况进行扫描检测，提供多维度的扫描报告与修复建议，使潜在风险能够及时暴露并提前进行修复加固。

通过对数据资产的发现和风险扫描，形成清晰的数据资产地图和数据环境的综合评估，为后续的防护措施和全局管理提供基础。

02数据分类分级 

DSOP 数据分类分级基于安华金和在数据安全治理方面的丰富经验，内置了多种行业的分类分级标准模板，通过智能分析、机器学习、业务识别、知识库匹配、规则匹配等多种方式，自动化的实现对数据的初步分类分级，之后再根据行业逻辑、数据特征等进行调整和完善，按照重要性、敏感程度、影响程度等标准将数据分为一般数据、敏感数据、较敏感数据、极敏感数据等。DSOP 同时协助组织有针对性地采取适当、合理的管理措施和安全防护措施，形成一套科学、规范的数据资产管理与保护机制，从而在保证数据安全的基础上促进数据的合理使用，发挥数据的最大价值。 

03安全防护

与传统的网络防火墙、IPS 入侵防御系统、WAF 应用防火墙不同，DSOP 提供的安全防护能力专注于数据层面，基于访问控制技术与数据库协议解析技术，通过对数据库高危操作、 恶意非法访问、SQL 注入、利用漏洞攻击等行为的识别和阻拦，帮助用户快速构建主动式安全防护体系，减少因风险事件造成的经济损失和不良影响。

安全防护在对风险行为防护的基础上，还提供了基于数据分类分级结果的敏感数据细粒度访问控制能力，通过拦截阻断、告警审计、动态脱敏、合规放行等多种手段防护敏感数据的合理使用。其中动态脱敏使用SQL 语句改写技术，通过预设规则，对不同的敏感数据进行遮蔽、仿真、同义替换等灵活脱敏手段，在保证业务正常运行的前提下，最大限度的保护用户隐私数据安全。 

04监测审计

监测审计基于协议解析和内容解析技术，实现对数据库访问操作的审计记录，用于满足安全合规、事件追溯等场景对历史访问记录的查询需求。同时通过用户行为建模，自动发现识别撞库、拖库、越权访问、高危操作等风险行为并实时预警，最大限度地避免损失发生和扩大。与安全防护不同，监测审计对现有业务系统侵入性较低，在不影响现有业务数据流的前提下，监测识别违规使用数据的场景；同时通过与日常运营工作台的结合，实现对数据安全风险的及时感知和处理，并积累资产安全数据，为后续的主动安全防护提供参考。

除数据访问流量的监测外，监测审计还可以实现应用层访问流量的监测，通过访问之间的相互关联，实现从应用访问到数据访问的打通，提供全链条的数据安全追踪和防护能力。

05安全分发

安全分发主要解决敏感数据脱离生产环境后所可能引发的数据泄露问题，针对不同的场景分为静态脱敏和数据水印两种方式。

其中静态脱敏通过对敏感数据的遮蔽、仿真随机、仿真替换等手段，在保证业务数据完整、有效、一致的前提下，实现外发敏感数据的防护，满足开发测试、数据分析、外发等场景下对生产业务数据的需求。

数据水印适用于对原始数据要求较高的场景，脱敏后可能会造成数据的失真、甚至不可用，而直接提供原始数据又可能存在流转范围不可控、数据版权无法保护的问题。数据水印通过对原数据添加伪行、伪列等高仿真水印，在保证分发数据正常使用的同时，一旦发生泄露，可通过读取水印标识精准定位泄露单位及责任人，实现溯源追责。

06存储加密

存储加密采用透明数据加密技术，实现对数据库的数据存储加密和解密、密文访问权限控制等功能。能够防止明文存储引起的数据泄密、突破边界防护的外部黑客攻击和来自内部数据安全运营平台。

07运维安全管理

运维安全管理主要提供数据库运维人员的安全加固与访问管控功能，通过人员身份鉴别、安全策略、访问控制、审批流程管理和审计追责等手段，解决运维账号共享与运维环境共享带来的运维身份不清问题，能够有效避免内部运维人员的误操作和恶意操作行为，确保运维行为在受控的范围内安全高效的执行。

08安全运营管理

在完成数据的梳理并根据敏感数据的类别和级别，制定对应的防护手段和措施后，日常运营工作台将作为安全运营人员的主阵地，一站式解决数据安全管理的日常工作。日常运营工作台通过将日常安全运营工作的规范化、流程化、标准化和指标化，以清晰的业务流、待办事项数引导安全运营人员进行日常安全运营工作，在完善数据安全工作流程的同时，提高工作效率、降低人工投入。

除此之外，安全运营管理还提供了对数据环境中各个安全环节的管理功能，实现资产或资产组级别的统一安全策略配置，对发生的安全事件、安全风险进行统一的流转和处置，有机整合各资产、各环节的数据安全能力，提升数据安全建设的成熟度和完整性。

09运营监测中心

运营监测中心通过可视化的运营监管大屏界面，从资产、数据、业务、合规、事件、处置、风险等多维度，对组织数据安全运营状况进行全局展示，为指导和完善数据安全防护能力提供专业、准确的参考依据，帮助组织管理者全面掌握数据安全运营状况，展示数据安全治理成果。

应用场景：

DSOP 作为全局性的数据安全治理解决方案，主要面向持有大量敏感数据或数据存储结构复杂的企业和组织客户，为客户提供覆盖全生命周期、全领域的数据安全防护能力，帮助 

客户满足监管要求，杜绝敏感数据泄露隐患。

01构建数据安全运营防护体系

通过“管理+技术+运营”的数据治理理念，构建完整的数据安全防护体系，规范组织的日常安全运营流程，实现安全策略的统一管理配置和安全事件统一的流转处置，丰富组织应对数据安全风险的手段，提升应对数据安全风险的能力。 

02数据管理和分类分级

通过对数据资产的发现、梳理，形式数据资产的管理地图，同时对数据资产中存在的敏感数据进行梳理，并根据客户所属行业特性对接数据进行分类分级。

03数据环境的安全加固

通过对数据环境的风险扫描和存储文件加密，减少数据环境安全隐患，提升数据环境的被动防护能力，让不法分子无机可乘。

04数据使用过程中的监测审计

通过对数据库访问流量和应用访问流量的解析，实现对非法和危险操作的识别与实时预警，并留存日志信息，满足监管和查询需求。

产品价值：

01绘制数据资产的全局视图

数据安全治理的核心即是数字资产，相关建设工作也要围绕数字资产展开，只有对掌握数据资产实现了全面的梳理，才能实现对数据安全的全面防护。DSOP 通过对数据资产的自动发现、核实和业务使用场景的备案，形成数据资产清单，然后进一步对资产中存在的敏感数据进行特征发现和分类分级，最终绘制出详细的数据资产和敏感数据分布地图。同时资产地图随着业务的变化而不断更新，让客户能够掌握实时数据资产情况，在面临安全事件和风险的时候，能够快速评估影响范围，及时制定妥善有效的应对措施。 

02构建一体化的数据安全防控能力

基于对数据资产和敏感数据的全面掌握，DSOP 可以为对应资产提供不同的防护措施，对于直接访问使用的数据，根据业务场景和敏感程度进行监测或防控的保护，对于流转数据进行脱敏或水印标注，对于存在系统级风险的数据资产进行存储加密等。同时通过对数据使用场景的业务分析，在数据采集、存储、传输、处理、交换、销毁的全生命周期中，适配不同的安全防护能力，并通过对安全措施的不同组合和先后依赖，形成对数据资产全链条防护。 

03形成常态高效的数据安全运营机制

在安全能力建设的前期，安全管控无疑是建设的重点；而伴随安全管控手段的逐步完善，如何将安全管控日常化，如何在持续使用中完善并优化安全管控的措施和策略，使得前期对安全能力建设的投入发挥更大的能效价值，则成为后续工作的重点。DSOP 通过操作便捷的日常运营工作台，引导安全运营人员从资产、合规、事件、风险四个视角施展运营手段，通过量化每个维度的数据安全管控建设指标，明确需要查缺补漏和提升完善的方向，不断提升安全运营团队能力。同时通过智能化手段，辅助安全运营人员，提升安全事件的分析和处置能力，从而不断丰富和提升数据安全建设的完整性与成熟度。