数安商用密码
Software · 软件产品

数据安全一体化平台
Data Security Platform

Rule-Based Classification · Dynamic Masking · 数安法 + 个保法合规

数据安全一体化平台是基于规则引擎的数据分类分级与动态脱敏平台。支持主流关系型数据库、数据仓库、数据湖;提供遮掩、替换、FPE(格式保留加密)三种脱敏方式,满足《数据安全法》《个人信息保护法》合规要求。广州市政法委、上饶市住房公积金中心、天翼云科技、广东省第二人民医院、天力物业已部署。

最后更新:2026-07

数据安全一体化平台展示敏感数据识别、分类分级、数据脱敏和审计日志
Data Security Platform
敏感数据识别、脱敏与审计一体化
自动识别个人信息和金融信息字段,按策略完成脱敏、加密和全程留痕。
数据脱敏实时效果 已保护
字段级别原始值脱敏后
姓名敏感张三丰张**
手机号机密13912345678139****5678
身份证机密44010219890...440102*****
部门内部研发部研发部
规则引擎自动识别 · FPE 格式保留加密(需硬件密码机)
3
脱敏算法类型
规则
引擎分类分级
100%
密评首次通过
4
平均交付周期
0
安全事故记录
产品概述

数安法合规,从数据看得见开始

你无法保护你不了解的数据。平台先用规则引擎识别、分级,再按级别自动应用保护措施。

规则引擎自动分类分级
内置数百条识别规则,自动扫描数据库字段,识别个人信息、财产数据、涉密内容,实时维护分级台账,直接输出数安法合规材料。
动态脱敏,业务零侵入
查询时实时脱敏返回,业务系统无需改造。FPE 格式保留加密让脱敏后数据仍可参与运算(需硬件密码机)。
数安法 + 个保法双合规
配套生成数安法分类分级台账、个保法个人信息处理说明、密评密码应用说明,评审材料一键导出。
平台架构层次
数据源接入层
MySQL · PostgreSQL · Oracle · 数据仓库 · 数据湖
规则引擎 · 自动分类分级
字段识别 → 级别标注 → 台账生成
遮掩
替换
FPE ✦
✦ FPE 需配合硬件密码机
合规报告输出
数安法台账 · 个保法说明 · 密评材料
核心功能

四项核心能力

分类分级
动态脱敏
数据源
审计合规
规则引擎数据分类分级

内置数百条识别规则,支持正则匹配、字段名识别、内容抽样,自动分类分级并生成合规台账,无需人工逐字段标注。

  • 自动扫描 — 连接数据源后扫描全库字段,输出识别结果
  • 三级分级 — 核心数据、重要数据、一般数据,支持自定义规则
  • 台账实时维护 — 数据结构变更自动触发重扫,台账持续更新
  • 一键导出 — 数安法所需的数据分类分级清单一键生成
RULE ENGINE — AUTO CLASSIFYAUTO
# 扫描结果示例
table: user_profile
name → 敏感 L2 phone → 机密 L3 id_card → 机密 L3 dept_id → 内部 L1 # 自动生成数安法台账
report.export("分类分级清单.xlsx")
三种脱敏方式,按场景选择

遮掩适合展示,替换适合测试环境,FPE 格式保留加密适合需保持数据可计算的场景(FPE 需硬件密码机)。

  • 遮掩(Masking) — 部分字符替换为 *,如 139****5678,适合界面展示
  • 替换(Substitution) — 假数据替换真实数据,测试环境安全使用真实格式
  • FPE 格式保留加密 — 加密后保持原格式,推荐算法无需改造。需配合硬件密码机
  • 动态脱敏 — 查询时实时处理,数据库存原始数据,不影响业务写入
MASKING COMPARISON
MASKING · 遮掩
139****5678
SUBSTITUTION · 替换
15800001234
↑ 真实格式 · 假数据
FPE · 格式保留加密 ✦
13782493651
↑ 可参与运算 · 需硬件密码机
广泛的数据源支持

支持主流关系型数据库、数据仓库、数据湖,标准 JDBC/ODBC 接入,无需在数据库侧装代理。

  • 关系型数据库 — MySQL、PostgreSQL、Oracle、SQL Server、达梦、人大金仓等
  • 数据仓库 — ClickHouse、Hive、Greenplum 等
  • 数据湖 — Apache Iceberg、Delta Lake、HDFS 等
  • 无侵入接入 — 无需改造数据库或业务系统,通过代理层透明拦截
SUPPORTED DATA SOURCES
关系型数据库
MySQL · PostgreSQLOracle · SQL Server达梦 · 人大金仓
数仓 / 数据湖
ClickHouse · HiveIceberg · Delta LakeGreenplum
全链路审计与合规输出

每次数据访问均生成审计日志,一键导出数安法、个保法、密评所需合规文档。

  • 访问审计 — 记录所有查询操作,含时间、用户、SQL、数据量
  • 数安法台账 — 自动维护数据分类分级清单,随时可导出
  • 个保法说明 — 生成个人信息处理活动记录,满足个保法举证需求
  • 密评材料 — 配套生成密评密码应用说明文档
COMPLIANCE OUTPUT
📊 数据分类分级台账.xlsxREADY
📋 个人信息处理说明.docxREADY
🔐 密评密码应用说明.pdfREADY
📁 数据访问审计日志.csvREALTIME
技术规格

平台关键参数

分类分级
识别引擎规则引擎
内置识别规则数百条(持续更新)
分级标准三级(可自定义)
台账维护自动实时
脱敏能力
脱敏方式遮掩 · 替换 · FPE
FPE 依赖需硬件密码机
动态脱敏查询时实时处理
业务侵入性零侵入
数据源支持
关系型数据库主流全支持
数据仓库ClickHouse · Hive 等
数据湖Iceberg · Delta Lake
接入方式JDBC / ODBC
合规支持
法规覆盖数安法 · 个保法
密评支持配套材料生成
等保等级等保 2.0 三级
部署方式私有化
适用场景

最适合这三类场景

🏛️
GOVERNMENT · 政务
跨部门数据安全共享
政务跨部门共享数据时,按级别自动脱敏,操作留痕,满足数安法对政务数据分类管理的要求。
🏦
FINANCE · 金融
个人信息合规保护
银行、公积金、社保机构个人财产数据字段级加密与动态脱敏,个保法检查直接通过,无需逐项举证。
🔬
ENTERPRISE · 企业
测试环境数据安全
研发测试环境用真实数据风险高。替换脱敏生成真实格式的假数据,研发可直接使用,安全与效率兼得。
客户案例

政法委的实战验证

✓ 已交付 · 稳定运行
广州市政法委
数据安全一体化平台 · 密评合规
"平台部署后,密评评审中数据安全、密码应用两项问题全部清零,合规报告一次交付。"
4
交付周期
100%
密评首次通过
0
安全事件
案例详情
政法委跨部门数据安全合规建设
政务行业 数据安全平台 密评通过
背景与挑战
四部门涉密数据类型复杂,手工台账工作量大,难以持续维护
密评数据安全项屡次被要求整改,合规文件准备周期长
实施方案
规则引擎自动扫描全部业务系统数据库,完成字段级分类分级
平台配套生成密评材料,首次评审全部通过,4周完成交付
查看更多案例 申请参考对接
FAQ · 常见问题

关于数据安全一体化平台的常见问题

数据安全一体化平台是什么?
它围绕数据全生命周期提供分类分级、字段级加密、动态脱敏与全链路审计,帮助机构满足数据安全法与个人信息保护法的合规要求。
和密码机有什么区别?
密码机(HSM)提供底层算法与密钥保护,数据安全平台在其之上做数据治理——识别敏感数据、加密存储、脱敏共享、审计留痕,两者通常配合使用。
怎么满足个保法和数安法?
通过对个人信息字段级加密存储、动态脱敏、自动分类分级台账与操作审计,覆盖最小必要、加密、可审计等核心合规要求。
会影响业务性能或可用性吗?
动态脱敏与字段级加密对业务基本透明,可在保障查询、共享可用性的前提下完成(参考上饶市住房公积金中心项目,业务零影响)。
能私有化部署吗?
支持私有化部署,数据不出域。

数安法合规,从一次评估开始

免费现状评估:梳理数据资产分布,识别合规风险,出具书面评估报告。

3个工作日交付书面报告 · 无任何费用 · 无销售压力

DSE · 14 CAPABILITIES

14 项核心能力,覆盖数据全生命周期

从数据库透明接入到合规报告输出,单条代理链路完成加密、脱敏、审计、合规映射,无需修改应用代码。

透明代理接入
SQL 层透明拦截,应用代码零改造,数小时接入。
国密算法引擎
SM2 / SM3 / SM4 全支持,通过国密二级认证,可搭配 HSM 硬件加速。
字段级细粒度加密
任意字段独立加密,不影响非加密列查询性能。
FPE 格式保留加密
加密后的卡号、证件号保持原始格式,下游系统无感知。
动态脱敏
遮掩、替换、令牌化三种脱敏策略,按角色动态应用。
访问控制与权限管控
列级权限、行级过滤,阻断越权访问敏感字段。
密钥生命周期管理
集成 KMS,支持定期轮转、密钥托管、审计跟踪。
数据分类分级引擎
内置规则库 + 自定义规则,自动打标并映射保护策略。
合规日志与审计
完整 SQL 操作日志,可导出为密评/等保审计报告。
密评 / 等保报告生成
一键生成商密密评报告、等保 2.0 三级证明材料。
主流数据库适配
Oracle · MySQL · PostgreSQL · 达梦 · 人大金仓,全部覆盖。
在线密化(7×24)
存量数据在业务运行期间后台加密,不停机、不停服。
双向迁移与验证
双写验证确保数据一致性,支持随时一键回切(RTO < 5 min)。
多租户隔离
不同业务线独立密钥域,租户间严格隔离,互不影响。
ZERO-RETROFIT DEPLOYMENT

代理层拦截,应用代码零改造

DSE 以 SQL 透明代理插入应用与数据库之间,加密、解密、脱敏均在代理层完成,应用无感知。

应用服务
SELECT * FROM users
DSE 代理
SM4 加密 · 脱敏 · 审计
数据库
密文存储
0
行应用代码修改
🔒
0
分钟停机时间
0
条数据丢失
支持的数据库
Oracle
MySQL / MariaDB
PostgreSQL
达梦 DM8
人大金仓 KingBase
GBase / TiDB
典型接入周期:小型系统(<50 张表)3 天,大型核心系统(500+ 张表)2 周
ONLINE MIGRATION

7×24 不停机,在线完成存量数据密化

传统改造需停机窗口迁移存量数据,大型金融系统往往无法接受。DSE 在线密化引擎通过双写验证,让系统持续运行,后台完成每条历史数据加密。

标杆案例 · 某股份制银行
3 亿
条存量记录
4 周
完成密化
0
次中断
<5min
RTO 恢复时间目标
双写
并行验证一致性
一键
随时回切旧路径
迁移 Runbook
T-30
评估与规划
扫描目标库,识别敏感字段,定加密策略与优先级。
T-14
预生产验证
在预生产环境完整跑通加密流程,性能基线测试。
T-7
双写开关启动
生产环境开启双写,新数据同时写明文和密文。
T-Day
存量后台密化
后台批量任务加密历史数据,业务全程不中断。
T+7
一致性校验
100% 行级校验,确认密文数据可正常解密读取。
T+30
切换完成 · 清理明文
关闭双写,清除明文副本,出具密评报告。