在360的云安全背景下,投放系统的用户数据(如广告主信息、用户画像)如何满足《个人信息保护法》(PIPL)和等保2.0要求?请从数据脱敏、加密、访问控制等方面说明。
360Web服务端开发工程师-投放方向难度:中等
答案
1) 【一句话结论】在360云安全背景下,投放系统需通过**数据脱敏(对敏感字段如身份证、手机号做掩码处理)、全链路加密(传输用TLS、存储用AES-256)、精细化访问控制(RBAC+ABAC+OAuth2.0认证)**三方面协同,确保用户数据满足《个人信息保护法》的个人信息处理合规性及等保2.0的等级保护要求。
2) 【原理/概念讲解】(老师口吻)
- 数据脱敏:指对存储/传输中的敏感个人信息(如身份证号、手机号)进行替换/掩码处理,使其无法识别原信息,同时保留业务功能。类比:给身份证号“打马赛克”——保留前6位+后4位,业务仍能识别用户身份,但外部无法获取完整号码。
- 数据加密:分为传输加密(如HTTPS/TLS)和存储加密(如AES-256)。传输加密是“锁住信件”,防止数据在传输中被窃取;存储加密是“锁住仓库货物”,防止数据在数据库中被篡改。
- 访问控制:通过身份认证(如OAuth2.0)和授权策略(RBAC角色权限、ABAC属性基授权)限制对敏感数据的访问。类比:给办公室“上锁”——只有有钥匙(授权)的人才能进入,且每次进入都要登记(认证),防止未授权访问。
3) 【对比与适用场景】
| 方案 | 定义 | 特性 | 使用场景 | 注意点 |
|---|---|---|---|---|
| 数据脱敏 | 对敏感字段(如身份证、手机号)做掩码/替换处理 | 保留业务功能,降低泄露风险 | 用户画像存储、日志记录、数据共享(需脱敏) | 脱敏粒度需平衡业务与隐私,过度脱敏影响业务(如广告主身份验证) |
| 数据加密 | 传输加密(TLS)+ 存储加密(AES-256) | 防止窃取/篡改 | 数据传输(API接口)、数据库存储 | 加密算法需符合等保2.0(如AES-256),密钥管理需严格(定期更换) |
| 访问控制 | 身份认证+授权策略(RBAC/ABAC) | 限制未授权访问 | 系统内部数据访问、第三方调用 | 授权策略需动态更新(如广告主权限调整),避免权限过度集中 |
4) 【示例】(伪代码/请求示例)
- 数据脱敏:
def desensitize_user_data(data): if 'id_card' in data: data['id_card'] = f"{data['id_card'][:6]}****{data['id_card'][10:]}" if 'phone' in data: data['phone'] = f"{data['phone'][:3]}****{data['phone'][7:]}" return data - 加密:
# 存储加密(伪代码) def encrypt_data(data, key): import cryptography cipher = cryptography.fernet.Fernet(key) return cipher.encrypt(data.encode()) - 访问控制(模拟RBAC):
def check_access(user_role, required_role): return user_role in required_role
5) 【面试口播版答案】(约90秒)
“面试官您好,针对360云安全背景下投放系统用户数据满足PIPL和等保2.0的要求,我的核心思路是通过数据脱敏、全链路加密、精细化访问控制三方面协同保障。首先,数据脱敏方面,对广告主信息中的身份证号、手机号等敏感字段采用“前6后4”或“前3后4”的掩码方式,既满足业务识别需求,又防止泄露;其次,加密方面,传输层用TLS 1.3加密API接口,存储层对数据库敏感字段用AES-256加密,确保数据在传输和存储全链路安全;最后,访问控制上,采用RBAC+ABAC结合的策略,广告主角色只能访问自身数据,系统管理员有全权限,同时结合OAuth2.0认证,防止未授权访问。这样就能同时满足PIPL的个人信息处理合规性和等保2.0的等级保护要求。”
6) 【追问清单】
- 问题1:数据脱敏的粒度如何确定?比如身份证号是否只保留前6位?
- 回答要点:根据业务需求(如广告主管理需要部分信息)和PIPL的“最小必要”原则,结合等保2.0对敏感数据分类的要求,动态调整脱敏粒度(如身份证号保留前6位+后4位),既满足身份验证,又保护核心隐私。
- 问题2:加密算法的选择依据是什么?比如为什么选AES-256?
- 回答要点:根据等保2.0的要求,存储加密需采用高强度的对称加密算法(如AES-256),传输加密需采用TLS 1.3(符合最新安全标准),同时结合360云安全环境,确保算法符合国家密码管理局推荐标准,保障加密强度。
- 问题3:访问控制中,如何处理第三方调用(如广告主通过API调用投放数据)的权限?
- 回答要点:采用OAuth2.0授权码模式,为第三方应用颁发临时令牌(access token),令牌中包含权限范围(如只读投放数据),结合ABAC策略动态调整权限,确保数据安全。
- 问题4:等保2.0对数据脱敏和加密的具体要求有哪些?
- 回答要点:等保2.0要求存储敏感数据必须加密(如数据库字段加密),传输数据必须加密(如HTTPS),脱敏策略需符合“最小必要”原则,避免过度脱敏影响业务,且脱敏后的数据仍需满足业务功能(如用户画像分析)。
- 问题5:如何验证这些措施的有效性?比如如何测试数据脱敏的准确性?
- 回答要点:通过自动化测试(单元/集成测试)验证脱敏逻辑正确性,定期渗透测试验证加密/访问控制有效性,结合360云安全安全审计日志监控异常访问行为,确保措施持续有效。
7) 【常见坑/雷区】
- 坑1:数据脱敏不彻底(如未对敏感字段脱敏),导致数据泄露风险。
- 雷区:过度脱敏(如身份证号只保留前4位),影响业务功能(如广告主身份验证)。
- 坑2:加密方式选择不当(如存储加密用AES-128),不符合等保2.0要求。
- 雷区:未对传输数据加密(如使用HTTP),导致数据传输中被窃取。
- 坑3:访问控制粒度不足(如广告主角色有全权限),违反PIPL的“最小必要”原则。
- 雷区:未进行密钥管理(如密钥未定期更换),导致密钥泄露风险。
- 坑4:未考虑动态脱敏需求(如广告主修改信息后脱敏逻辑未更新),导致脱敏不一致。
- 雷区:未结合业务场景设计脱敏策略(如日志记录未脱敏敏感信息),导致日志泄露风险。