5月31日“向星力”未來數據技術峰會上，星環科技重磅發布數據安全管理平臺 Defensor 4.5版本。新版本引入了以數據資產為中心的數據安全運營體系，通過智能化大模型技術，幫助企業快速、精準地識別核心重要資產；建設全局的數據安全策略中心，通過多維度訪問控制、策略地圖、策略巡檢和智能策略，實現對敏感資產的精細防控和策略配置的全面監控，解決事前策略配置不合理的問題；基于資產鏈路刻畫技術構建資產流轉鏈路，通過從各應用與工具日志的收集與分析，實現敏感資產風險和異常行為識別與監控，利用策略推薦技術，下發安全處置策略，實現資產安全風險預警以及應急響應。

數據安全智能化，一鍵完成數據資產分類分級

Defensor 4.5 在前序版本實現的大模型智能化分類分級基礎上，通過業務知識庫大幅提升了模型識別能力，并內置了更多的行業模型，包括金融、水利、醫療、快消以及個人信息通用模型等，便于各行各業企業一鍵完成數據資產分類分級。Defensor 首先基于行業標準訓練的行業模型，在業務知識庫內注入行業預置標注，當經過企業生產運營實踐后，通過人工確認結果強化知識轉換工具，并通過新的標注生成新的行業模型，提升行業模型分類分級準確率。

企業級數據安全策略中心，實現精細敏感數據訪問控制

數據安全策略中心是數據安全防護的全局策略中心，支持多維度的訪問控制策略，提供基于分類分級的訪問策略，行列訪問控制策略，防精準查詢、阻斷策略等，實現精細的敏感數據訪問控制。同時，數據安全策略中心提供策略地圖模塊，幫助安全實施人員掌握當前所有數據資產的策略配置情況，獲取策略防護統計信息，并可通過策略檢索定位特定資產的安全防護策略現狀。

其中策略巡檢模塊用于及時洞察資產的安全防護策略現狀和潛在風險，通過巡檢任務識別敏感數據資產是否配置了策略，配置的策略是否合理。同時，為了幫助安全實施人員調整策略有據可依，支持智能策略推薦，基于企業對敏感資產防護的規范和標準，推薦相應的防護策略，由人工確認后下發生效。數據安全策略中心通過多維度訪問控制、策略地圖、策略巡檢和智能策略推薦，實現對敏感資產的精細防控和策略的合規評估，解決事前策略配置不合理的問題。

基于數據資產鏈路的全生命周期防護，實現資產安全精準防控

在傳統業務系統中，數據血緣記錄存在不完整或缺失等問題，難以描繪數據資產的完整流轉鏈路，導致無法及時定位、追溯和處置風險事件，數據資產安全難控難防。為了解決這一問題，Defensor 從數據庫、安全網關、工具等基礎組件獲取日志，并結合血緣、相似度、數據身份、安全評分模型等技術刻畫了數據資產全生命周期的安全防護現狀，不僅記錄了數據的流向，還詳細記錄了數據變更內容、操作人以及鏈路上每個節點的安全防護現狀。

基于智能分析引擎，可以對收集到的日志進行深入分析，識別潛在的安全威脅。利用智能研判技術，基于事件類型和特征、管理范圍、風險等級、發生時間段等因素明確事件策略，確保對安全事件的精準識別和評估，當鏈路上某個節點出現安全風險時，可以更快速、準確地定位問題根源，追蹤數據變更歷史，并進行責任劃分。與此同時，對出現風險的節點進行關聯性排查，檢查鏈路上下游其他節點是否也存在潛在風險，舉一反三。

最后，結合策略智能推薦系統，根據安全事件的類型和特點智能生成并下發推薦處置策略，如訪問阻斷、權限降級、訪問頻率限制、數據動態脫敏和數據水印等多種措施，并調動各個安全組件高效執行處置策略，實現安全事件的快速響應和處理，形成整體的風險監測和數據防護能力，實現數據全生命周期全面的風險管控。

基于安全網關嵌入式防控，業務侵入小

Defensor 通過安全網關構建 SQL 與 API 的事中訪問控制體系，在訪問用戶和數據對象之間建立的安全防護處理方法，包括脫敏、抑制和水印等，為不同業務和訪問用戶提供差異化的數據安全防護。

在即席查詢場景中，SQL 網關基于安全策略對訪問行為進行動態脫敏、攔截、阻斷等防護措施，達到實時防護效果。同時，網關特有的臨時表血緣感知技術，能自動將主表的敏感性和策略繼承到臨時表，確保臨時表使用安全合規。

防精準查詢是數據安全防控典型場景之一。例如，業務人員通過 SQL 統計房產數量大于 2 的用戶數量，因不涉及個人信息，可以成功返回查詢結果。當用戶查詢特定用戶的房產數量時，由于個人敏感字段會出現在過濾條件中，且在 like，in，= 后面帶上常量的查詢，會視為個人指向性查詢，在日常分析中需要禁止此類查詢行為，避免泄漏個人隱私。通過 SQL 安全網關 Quark 可以基于安全策略中心的防護策略對識別到的指向性查詢進行動態脫敏、拒絕訪問等處置，防止精準查詢。

精細化防控也是數據安全保護的常見場景。對各下級轄區匯聚的大寬表進行業務分析時，通過 SQL 安全網關 Quark，可以限制各個區的業務人員只能訪問分析對應區以及區下級行政機構的數據，禁止訪問其他轄區數據，實現數據精細化訪問控制。

在 API 數據分享場景中，API 網關基于安全策略實現 API 動態脫敏、攔截、限流等處置。例如，在公共數據運營開發時，各委辦部門，數據服務開發商，Web 類應用，外部數據需求方會通過 API 調用公共數據。API 接口中可能流動了敏感數據，比如個人隱私信息，機密單位地址。為了確保敏感信息不外流，需要對 API 安全網關?Midgard?下發動態脫敏策略，使得返回的參數脫敏訪問。

同時，通過 API 子路徑的細粒度權限控制，實現特定系統應用與賬號調用特定接口子路徑，并指定調用時間、IP 白名單、調用頻率等，實現 API 細粒度權限和使用控制。

敏感數據明文傳輸異常事件的定位與處置

通過 Defensor 構建的以數據資產為中心的安全運營體系，可以輕松應對敏感數據明文傳輸風險事件的定位和處置。某用戶通過 SQL 查詢表內數據， SQL 網關處理查詢操作時，發現某表的身份證字段返回明文結果，疑似泄露個人隱私，平臺立即發出告警。通過鏈路溯源分析，C 節點 SQL 網關處身份證字段的脫敏策略未生效，繼續回溯發現該表的身份證字段配置了明文訪問策略。同時通過關聯性分析發現 D 節點有相同問題。基于部門安全規范，需要在所有出口節點都設置脫敏策略，當前策略配置不合理。此時，智能策略推薦系統生成策略組合，向 C、D 相關節點下發動態脫敏策略，完成應急處置從而實現敏感數據明文傳輸異常事件的快速識別、分析、處置，防止泄漏。

Defensor 作為一款數據安全管理平臺，通過大模型、資產鏈路刻畫等技術的集合，將幫助用戶構建以數據資產為中心的安全運營體系，解決企業數據安全合規問題。Defensor 自推出以來，廣受客戶認可，截至目前Defensor 已經在金融、交通、政府、醫療、高校等多個領域有落地案例。在銀行業，某銀行基于 Defensor 實現數據分類分級。行內的生產數據需要定期導入到測試環境，依靠 Defensor 的靜態脫敏能力，實現大批量數據高性能脫敏到測試環境。針對數據探索與分析場景，安全人員基于 Defensor 的數據安全訪問策略，配合 SQL 網關與應用 API 網關，實現數據動態脫敏，確保企業使用敏感數據安全合規。