阳光人寿：数据脱敏平台护航保险业安全发展

随着互联网技术的发展与普及，互联网大潮已经渗透到社会生活的方方面面，随之而来的数据资产的重要性也逐渐凸显，借助数据资产推动科技赋能已成为新的转型风口。在数据使用过程中，对数据资产的信息保护与防护成了拥抱“数智未来”的基础。同时，近年来《数据安全法》《个人信息保护法》《数据出境安全评估办法》等法律法规的出台，对数据存储、数据传输、数据处理和个人信息隐私保护，明确提出了信息脱敏、加密存储、留痕回溯等管理要求，要求公司提高对数据资产的保护力度，降低由此带来的安全风险及系统性风险。保险行业客群大，业务场景复杂，涉及敏感信息范围广，传统业务系统中会采集用户身份证号、手机号码、家庭地址等敏感信息，系统设计缺陷容易引起非授权访问泄露、外部黑客攻击、非法拖库等安全威胁，由此造成的问题将对客户权益保护和企业经营带来较大危害。

阳光人寿保险股份有限公司信息安全负责人  付超

围绕八大重点应用场景，为公司数据安全保驾护航

为了更好地保护客户权益，提升客户信息安全防护水平，降低数据泄露风险，阳光人寿保险股份有限公司（以下简称“阳光人寿”）以数字化转型战略为指导，结合公司信息系统现状和保险行业客户敏感信息的应用特点，以数字化经营为战略目标对数据脱敏公共平台技术方案进行了深入研究，以提高公司信息系统信息安全保障机制。

阳光人寿于2021年初启动信息安全技术方案的调研和可行性研究工作，经过对公司存量信息系统分析，发现各信息系统技术架构和数据交互形式存在较大差异，且客户信息分布广泛，若想在短时间内完成敏感信息的集中管理，存在较大难度。同时保险行业业务场景复杂，需要兼顾前端产品销售和后端客户服务，需要平衡用户操作便捷性和信息安全保护等多种复杂因素。通过与各销售渠道、客户服务、产品运营、风控合规等团队沟通，公司决定围绕保险销售、客户服务、产品运营、日常管理等要求，并结合保险业务特点和信息系统现状，形成了一套综合性信息安全保障方案。方案重点围绕以下内容进行规划、研究：如何减少接触客户敏感信息的用户群体和应用场景；如何进行差异化授权，灵活授权，定时更新安全策略；如何统一加密算法和安全机制，快速调整脱敏策略；如何监控查阅敏感信息行为，差异化预警，可回溯还原机制；如何提高批量数据处理能力、可用性和性能等相关问题；如何促使安全管理团队、系统建设团队和维护团队从职能上物理分割，形成相互制约、相互监督的管理机制。

根据上述建设目标，公司对“信息系统开发建设”“信息系统运维管理”和“大数据平台管理”三个领域下的“应用层数据传输”“数据层数据存储”“高并发数据传输”“大数据处理”“密文信息兼容性”“加解密服务性能”“管理策略配置化”“IT人员日常运维”8个应用场景进行了具体研究工作，形成信息安全保障体系较为完善的数据脱敏公共平台。

阳光人寿数据脱敏公共平台，通过数据脱敏、秘钥管理、密码管理、运维管理、智能切换加密通道等功能，降低公司数据资产流失风险，规避数据泄露引发的黑色产业对公司业务和企业经营所造成的不良影响，如流失客户、协议退保、客户投诉、监管检查等，同时平台化设计模式有效降低了各系统重复性建设的开发和硬件资源投入。

项目建设方案框架

项目技术方案充分借鉴了主流互联网公司敏感数据管理系统的建设思想，结合金融保险行业特点和信息系统建设要求，形成具有金融行业特色的数据安全保障体系，具有一定的普适性。平台提供“高性能加解密服务”“可视化操作控制台”“统一秘钥管理中心”“用户可疑行为监控”“敏感行为审计回溯”“用户异常行为预警”“双通道服务智能切换”等公共功能，降低了各信息系统的开发建设成本，解决了维护成本过大的问题。

一是高性能加解密服务。对各业务系统的客户数据进行脱敏处理，有效保护客户信息，防止客户信息泄露，保护客户权益。二是可视化操作控制台。为运维人员提供统一的加解密可视化模块，通过实名制账户体系，将运维人员与业务系统关联，自动匹配所属系统秘钥，在保障运维人员日常工作的同时，确保运维人员与系统秘钥的有效隔离。三是统一秘钥管理中心。规避了运维人员直接接触秘钥造成的安全隐患，实现业务系统与敏感数据、业务系统与密码服务、开发运维人员与敏感数据的有效隔离。四是用户可疑行为监控。对业务系统、运维人员涉及敏感信息操作的轨迹数据，进行集中归档和建模，监控不同业务场景和用户场景下的操作行为，及时发现异常操作行为，降低数据安全风险。五是敏感行为审计回溯。具备还原涉及敏感信息处理的业务场景和用户操作行为，通过对比分析模型，追踪用户涉敏操作轨迹，方便数据安全管理和核实异常操作行为。六是用户异常行为预警。结合行为监控和审计回溯功能，对发现的异常行为进行实时预警，通知相关人员干预、跟进，降低公司损失或资产流失。七是双通道服务智能切换。系统内置健康监测，在业务端和服务端进行双通道自动切换，实时监测服务节点健康状态，故障自动转移确保系统的高可用保障业务系统的流畅性。

平台引入SDK插拔式组件和远程服务相结合的技术方案，简化了信息系统对接难度，能够有效降低信息系统建设成本和运维成本，提升了数据存储安全性，降低数据泄露风险。同时配置化的管理策略，能够提高安全策略变更的灵活性和时效性，进一步提高信息安全保护能力。

实现统一化管理、高兼容、高扩展、低耦合，达成科技创新突破

平台具备以下技术特点。一是秘钥信息统一管理，隔离权限，三权分立，安全性高。方案对应用逻辑、数据存储、密码服务进行有效隔离，对用户、IT运维、管理员采用“三权分立”单独授权管理策略，实现人员与秘钥完全隔离，从根源上杜绝了秘钥外泄带来的安全隐患。数据脱敏操作统一维护，对外是一个黑盒子，增加了数据破解难度，可随时变更脱敏策略，有效降低数据泄露风险。

二是提供统一的数据脱敏服务。解决了由于各业务系统建设时间不同，各系统的技术标准存在差异，各系统加解密方案的差异，所造成的重复造轮子问题，大幅度降低人力成本和经济成本。

三是统一维护数据脱敏逻辑。在应对安全策略变更时，只需对数据脱敏中台进行调整，各业务系统无需更改，改造的灵活性和时效性都得到了大幅度提升。

四是资源动态调整。可扩展性高，加解密服务采用资源池机制，能够根据业务流量，快速调整资源池资源，可扩展性高，同时采用国产密码算法标准，符合国产化发展趋势。

五是高兼容性。兼容新老技术标准，平台为新老技术标准，提供统一的数据脱敏、秘钥管理、密码管理、运维管理等服务，避免重复性资源投入，能够极大降低信息安全投入成本。

六是高扩展性。数据脱敏中台采用微服务架构，服务具有良好的扩展性。数据脱敏核心逻辑统一维护在数据脱敏中台，可随时根据政策变更脱敏规则，各业务系统无需变更。

七是高安全性。应用和数据都部署在内网环境，引入OAuth2和Spring Security双重校验安全防控机制，并对登录功能增加实时监控预警功能。数据脱敏中台，集中管理秘钥信息，有效防止运维人员与秘钥接触。

八是高可用性。数据脱敏中台采用微服务架构，服务多机部署，服务调用异常熔断、有效降低宕机风险。提供主备环境，对服务实时健康监测，完成异常环境自动切换，提升服务高可用性。

九是低耦合性。数据脱敏中台为各业务系统提供数据脱敏SDK，业务系统引入即接入，SDK提供了数据脱敏的接口，各业务系统只需把数据脱敏实现替换为调用数据脱敏接口，即完成替换，对业务系统零侵入。

目前公司已有多个公众号、APP、CRM等重点业务系统成功接入该平台，日均加解密服务1500万余次，月均加解密量4.7亿余次，为公司的数据资产保护和客户权益保障提供了有力的技术支持，也为公司数字化转型战略奠定了基础。

未来公司将持续推动复杂场景下的信息安全保障机制研究和信息安全工具建设工作，不断丰富和提升平台服务能力和服务范围，实现科技与业务的相融相成，共同发展，共同进步。

声明：本文来自金融电子化，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。