业务挑战

该教育集团是定位于以学生全面成长为核心，以科技为驱动力的综合性教育集团，在国内外具有很高知名度和影响力。

集团的人力资源系统中存放了员工的个人信息、薪酬信息等，属于高度敏感的数据，数据安全对员工隐私保护和企业稳健经营至关重要。

实现难点

1. 外部采购三方系统较多，且属于买断性质产品，无法进行二次开发。
2. 加密密钥需在多逻辑库中共享，已实现 StarRocks 中的数据解密。
3. 复杂 SQL 适配以及处理 SQL 运算。

方案亮点

1. 使用 SphereEx 数据安全平台，替代集团原有的应用层加密程序，解决在应用程序中加解密的安全隐患，简化应用程序逻辑，降低程序开发成本。
2. 在 DataX 工具中集成了 SphereEx 数据安全插件，数据同步的中间数据不落地，避免信息泄露。
3. 对接该教育集团内部的密钥管理服务。
4. 加密算法黑盒化，实现密钥、算法、数据权限隔离，增强数据安全。
5. 使用数据脱敏功能，防止敏感信息泄露。

解决方案

在使用 SphereEx 数据安全平台之前，该教育集团采用自研的方式在应用程序中加入了数据加解密程序代码，经过应用实践，发现应用层的密钥、算法、数据权限等无法有效隔离，存在比较严重的安全隐患。

本项目打造了全新的数据安全平台，替代集团原有的应用层加密程序，解决在应用程序中加解密的安全隐患，将“获取密钥”、“加解密算法”等程序代码从应用程序中剥离，简化应用程序逻辑，降低开发成本；采用配置方式实现数据加密、脱敏策略，实现加密算法黑盒化，实现密钥、算法、数据权限隔离，增强数据安全。

项目于2023年10月启动，对信息系统的数据和业务情况进行调研分析，制定项目实施方案，部署数据安全平台，对系统中的敏感数据进行梳理，在数据安全平台中设置了加密规则、数据权限规则等，对200多个敏感数据字段进行了数据加密，防范内外部风险，确保数据的安全性和合规性。数仓数据同步使用了DataX工具，数据同步产生的中间数据不落盘，避免中间数据泄露，并提升数据同步效率。

本项目重点功能如下：

1. 将人力资源系统的数据加密后，导入到人力数仓中

本项目中，将 SphereEx 数据安全插件集成在 DataX 中，使用 DataX 读取人力资源系统数据库中的明文数据，经 SphereEx 数据安全插件加密后形成密文数据，将密文数据导入到人力数仓中。

SphereEx 数据加密技术具有以下特点：

1. 应用免改造：无需改造应用程序，快速实现数据安全合规改造。
2. 零停机上线：业务系统无需停机，在线完成密文转换及密钥轮转。
3. 安全可逃生：业务系统改造安全合规改造无风险，可回退。
4. 行列级加密：加密范围灵活可控，支持行级、列级加密，安全程度高。
5. 多种算法支持：支持 SM2、SM3、SM4 等国密算法，支持 AES 、DES 、FPE 、RSA 、RC4 、OPE 、MD5 、SHA256 等国际主流加密算法，支持自定义算法。
6. 多种数据库支持：支持 MySQL、PostgreSQL、Oracle、AWS Aurora、OpenGauss、SQLServer、KingbaseES、达梦-DM8、GBase 8c、GaussDB、OceanBase、GoldenDB、Clickhouse、Doris、StarRocks、Hive、Presto等。

2. 加密数据的使用

展示层通过 SphereEx 数据安全插件调用人力数仓中的密文数据，进行薪酬统计分析、人力数据统计分析等计算，并以文字、图表等多种形式展示结果，企业管理人员可以根据统计数据进行人力资源规划、绩效评估、成本控制、薪酬调整、业务优化、经营决策等，提升人力资源管理及企业运营的效率。 在以上统计分析过程中，操作人员只能看到统计分析结果，而不能看到员工的手机号、邮箱、薪酬等敏感数据，从而有效防止员工信息泄露，保护信息安全。

3. 数据脱敏

本项目中，使用 SphereEx 数据安全平台，对用户的敏感数据进行脱敏处理，使其在不改变原始数据含义的前提下，降低或消除数据中的敏感信息，从而保护个人隐私和商业机密。

数据脱敏的目的：

1. 保护隐私：保护个人隐私信息，如姓名、身份证号、电话号码等。
2. 数据安全：防止企业敏感数据泄露。
3. 合规性：满足法律法规对数据保护的要求。

SphereEx 数据安全平台针对不同行业、不同业务场景，对数据进行脱敏，避免数据在采集、传输、使用等环节中的暴露风险。平台内置丰富的脱敏算法，能够根据用户的数据脱敏需求，通过遮盖、替换等方式，对敏感数据进行脱敏展示和脱敏使用。

4. 数据库防火墙

本项目使用了 SphereEx 数据安全平台提供的数据库防火墙功能，拦截高风险的数据库删除、修改等操作，拦截低效、耗资源的数据库查询操作，为数据库系统提供安全防护。

SphereEx 数据安全平台提供了灵活的防火墙策略控制功能，允许管理员根据实际需求和安全要求，定制和调整防火墙的行为。

客户收益

1. 保护员工隐私：使用 SphereEx 数据安全平台，确保员工信息在传输、存储和处理过程中不被非法读取或泄露，从而有效保护员工的隐私权。
2. 防范内外部风险：防止内部员工非法获取敏感数据，即使数据被盗取，也无法解密，从而降低数据泄露的风险。同时，数据加密能确保数据在传输中的安全性，防范外部攻击。
3. 安全合规：确保在数据收集、存储、处理和传输等环节安全合规。
4. 维护企业商业机密：保护商业机密，防止敏感信息外泄，同时制定严格的内部管理制度，确保只有授权人员才能访问关键数据。
5. 提升管理效率与灵活性：员工信息、薪酬信息更加安全，管理层能够更好地激励和管理员工，提升人力资源管理的效率和灵活性。