近日,亚信安全信界浏览器助力某城市商业银行完成动态脱敏体系建设项目。项目依托信界企业浏览器的创新技术架构,将数据安全能力下沉至终端节点,有效破解传统网关式脱敏方案的性能瓶颈与扩展性难题,为金融行业数据安全治理提供了新的技术路径与实践参考。
金融数据安全治理进入新阶段
随着数字经济的深入发展,数据作为核心生产要素的价值日益凸显,数据安全治理也成为金融行业信息化建设的重点领域。监管部门对银行业数据安全防护提出了明确要求,推动金融机构加快构建覆盖数据全生命周期的安全防护体系。
某城商行长期推进数据安全防护体系建设,将数据动态脱敏能力作为重点建设方向,旨在保障业务数据访问安全,有效规避敏感数据泄露风险。此前,该行已积累了丰富的实践经验。随着业务规模的持续扩大与数据安全要求的不断提升,该行希望进一步探索更具扩展性、更适配全行规模化应用的技术路线。
在此背景下,该行希望依托全新技术架构,打造一套适配全行范围、支持高并发、可扩展的轻量化动态脱敏体系。基于前期技术交流与测试验证,该行选择联合亚信安全,基于浏览器侧动态脱敏技术路线重新规划并落地数据脱敏项目。
五大方向重塑数据防护新体系
信界企业浏览器基于安全下沉至终端的架构理念,将敏感数据识别与脱敏能力内置到浏览器内核层,在数据进入渲染树之前完成脱敏处理,从数据被看见的第一时间建立安全边界。
内核级脱敏:从数据呈现源头建立安全边界
信界将敏感数据识别与脱敏能力下沉至浏览器内核层,在数据进入渲染树之前完成脱敏处理。原始明文数据在内核内存中短暂存在,完成脱敏后即被替换,不写入本地磁盘、不进入浏览器缓存、不进入Java Script堆、不在DOM中留下痕迹。即便是通过开发者工具和XHR拦截,抓取到的也已是经过脱敏处理的数据,实现了从数据呈现源头的安全防护。

分布式架构:从根本上破解性能瓶颈
与传统集中式网关架构不同,信界方案将安全能力分布在每一个终端节点上。任何一台终端出现故障,仅影响单个节点,不会引发系统性故障,业务连续性得到架构级保障。这种分布式架构从根本上解决了集中式网关的性能瓶颈问题,能够有效支撑银行高频业务场景下的高并发访问需求。

端到端加密:传输安全与使用安全兼得
由于解密和脱敏均在本地终端完成,传输链路的端到端加密完整性不受影响。机构无需承担持有服务端私钥的风险,TLS 1.3的合规要求与数据安全目标得以同时满足,实现了传输安全与数据使用安全的有机统一。

全场景覆盖:文档下载同样安全可控
在文件下载场景,信界提供独特的文档处理服务,在保留原始格式和公式逻辑的前提下,能够对Word、Excel、PDF、图片及压缩包等多种格式文件进行深度内容扫描与脱敏处理,使文件在可读、可用、可交付的同时不再包含敏感信息,无需二次修复。

轻量化部署:让合规成为业务的护航者
方案无需改造后端业务代码,无需协调业务系统厂商排期。安全策略以应用域名为颗粒度一键下发,一条策略即可覆盖整个应用,大幅降低了部署成本与周期,实现了合规即服务的轻量化落地模式。

为金融数据安全建设提供新范式
经过多轮测试调优,基于信界企业浏览器的动态脱敏方案在性能、稳定性、扩展性等方面均表现优异,有效满足了该行的数据安全建设需求。
从技术路线的角度来看,传统网关方案侧重数据不能出去,往往在流量出口采取集中式防护策略,其代价是较高的业务摩擦与持续的配置维护成本;而信界方案聚焦数据在业务使用过程中不能被滥用,将数据安全能力下沉到每一个业务访问的终端节点,在数据生命周期的每一个动态触点上建立最小授权的边界,使安全与业务能够同频共振。
本次项目的落地,为金融行业动态脱敏建设提供了新的技术选型思路。信界浏览器所代表的终端安全架构,不是在业务系统外部增加一层安全防护,而是将安全能力融入业务架构本身,为平衡业务效率与数据安全提供了全新的架构选择。
随着金融信创的深入推进与数据安全治理要求的不断提升,终端侧安全防护将成为数据安全体系的重要组成部分。亚信安全将持续深化信界企业浏览器的技术能力,为各行业客户提供更加高效、可靠的数据安全解决方案。