大数据安全网关管理系统将每个安全服务组件都需要配置的数据资产统一管理起来，针对数据资产，用户可方便地开启访问控制、脱敏、加密、审计等数据安全服务能力。用户只要一次配置，系统将自动同步到各个安全服务组件，避免重复工作及配置冲突。

针对数据审计、访问控制、脱敏（动态脱敏、静态脱敏）及数据资产梳理都有敏感数据发现的需求，大数据安全网关管理系统将敏感数据发现规则、标签库管理及敏感数据识别任务进行统一配置管理，便于用户整体洞察敏感数据的分布及使用状况。

数据分类分级是数据确权和访问控制的基础与依据，大数据安全网关管理系统支持自定义数据分类分级标签功能，用户可根据行业标准或者自身业务场景、数据价值、数据影响、数据用途、数据来源等确定数据分类分级标准，进而形成专属标签库。

大数据安全网关管理系统可对数据访问控制、脱敏、加密、审计等安全组件进行规则和策略设置，其中策略相关的资产配置由系统的资产管理模块提供，策略所保护的数据对象来自数据分类分级的结果，用户只需对数据访问的异常行为和高危操作进行规则设置。大数据安全网关管理系统对策略的集中管理并没有增加操作的复杂性，反而做到策略的通用性和兼容性，以及操作上的便捷性。

安全策略一旦制定，系统会自动同步到网关的各个安全节点，保障策略配置和应答的一致性。

大数据访问控制是部署在大数据安全网关节点上的安全组件。

大数据访问控制基于数据、用户、行为权限矩阵，采用主动防御机制，实现大数据的访问行为控制、危险操作阻断、可疑行为审计。通过大数据通信协议分析，根据预定义的禁止和许可策略让合法的操作行为通行，而对非法违规操作进行拦截阻断，形成大数据平台的外围防御圈，实现大数据危险操作的主动预防、实时审计。

大数据动态数据脱敏是部署在大数据安全网关节点上的安全组件，而大数据静态数据脱敏是部署在大数据安全网关管理系统上的安全组件。

大数据动态数据脱敏用于实时、高效地对敏感数据去标识化。动态数据脱敏利用灵活的数据脱敏规则和成熟的脱敏技术，基于用户敏感数据的访问权限，对未授权或低权限用户的实时访问请求执行拦截、数据加密，或者对敏感数据进行屏蔽、遮蔽、变形等去标识化处理，从而有效防止敏感数据的泄露。

大数据静态数据脱敏主要用于将数据抽离生产环境并进行分发和共享的数据使用场景，如开发、测试、第三方分析等场景，向用户提供保真性、关联性、可逆性、可重复性、时效性、安全性等多个不同维度的敏感数据脱敏能力，帮助用户满足合规性要求，解决敏感数据泄露等问题。

大数据加密组件基于透明加密技术，在大数据与应用、客户端之间部署安全代理服务，可实现数据加解密及数据访问权限管控等安全策略。大数据加密组件无须在大数据服务端或客户端上安装插件，是一种非侵入式的数据加密安全模式。大数据加密支持国密算法，通过大数据安全网关保证安全服务的高可用性和扩展性，保障业务的连续性和安全性。大数据加密组件可以满足用户数据防护的合规性要求，也可以从根源上规避数据泄露的风险。

大数据审计记录所有的数据访问行为以及大数据安全组件所产生的安全事件日志，基于规则和AI智能分析，准确识别出数据访问的异常行为、高危操作、黑客攻击等并实时告警，帮助用户做安全事件研判及事后的追责溯源。大数据审计的日志是数据风险态势感知的重要来源。

大数据审计已经集成到大数据安全网关中，用户可根据实际场景将审计部署在网关VIP或安全节点上。审计无须从交换机上旁路镜像引流，也不需要在大数据服务器或者应用端上安装插件，减少了安装部署的流程。

风险分析能对流量中的在线会话进行实时监控，帮助客户更好地了解Web应用并发会话、流量请求数、告警数等多种应用访问的状态及风险态势。

大数据安全网关管理系统具备一定的日志展示和风险分析能力。该系统对收集到的大数据操作日志和安全事件日志进行汇聚、清理、归一，针对大数据中敏感数据异常访问、数据合规、数据泄露等高危行为或违规场景进行专题分析，极大地提高数据安全动态风险的分析预警能力。

节点监控用于提升大数据安全网关管理系统的运维能力。大数据安全网关管理系统可对网关、网关下各安全节点、每个节点下各个数据安全服务组件的运行环境、运行状态进行监测和管理，对异常情况进行告警等。节点监控对核心系统的正常运行起到支撑的作用。

密钥生命周期管理为组织提供密钥的全生命周期管理，包括密钥的生成、存储、使用、导入/导出、更新、备份/恢复、归档和销毁等。

算法管理支持对服务的算法进行管理和控制。为了兼顾安全使用和历史业务兼容的场景，可以控制对外服务的算法能力，为不同业务系统分配不同的算法策略，对严格的应用可只提供国密算法，对国际业务提供国际算法等，达到统一管理、按需使用的目的。

虽然加密密钥的主要作用是保护数据，但它们还可以提供强大的功能来控制加密信息。策略管理允许个人添加和调整这些功能。例如，通过设置加密密钥策略，公司可以撤销、阻止加密密钥的共享或使其过期，从而阻止加密数据的共享。

应用管理支持对应用系统的管理，KMS可以为应用系统提供密钥申请能力，只有授权应用才能获取密钥。

管理端支持鉴别登录人员的身份，业务端利用用户名/口令、数字证书的方式对客户端和密钥属主认证业务系统身份。

授权是验证经过身份验证的用户是否有对加密数据执行所请求操作的权限的过程。这是执行加密密钥策略并确保加密内容创建者可以控制共享数据的过程。

金融数据在体量、维度、价值等方面具有一定优势，但是这部分数据更多是客户的与金融相关的数据，缺少客户的行为数据、场景数据等。具体到某一个金融机构时，其数据的丰富程度更是大打折扣。而客户的行为数据和场景数据往往掌握在互联网公司等数据源公司手中。在信贷风险评估等方面，金融机构需要和这些数据源公司联合建模，以提升模型的精确度。

金融数据的安全及风险防范一直是金融机构关注的重点，国家也相继出台了多项金融安全相关政策，体现了对金融数据安全的高度重视。在传统的数据合作中，通常采用数据脱敏的方式将一方数据传送给另一方，并由其进行本地建模。虽然数据脱敏方案实现了一定程度的隐私保护，但仍然能通过收集到的相关数据，损害数据方的利益，甚至侵害客户的个人隐私。联邦学习在保证数据各方数据隐私的前提下，可以通过纵向联合建模，训练出能够准确评估个人信用的模型，实现信贷风控。通过安全求交，打通双方共有客户信息，并进行纵向联合建模，然后根据高精度的联邦模型预测借款人的还款意愿，并对高还款意愿的客户进行授信放贷。

传统的保险获客方式是以代理人线下地推、电销等为主，随着互联网的发展，保险获客方式发生了翻天覆地的变化。互联网时代，企业想方设法地获取流量，实现流量变现。对于保险公司而言，要在流量端获取精准的客户，需要依靠流量端大量的用户特征。但是，越来越多的企业涌入以及各种数据安全法规、政策的出台加大了流量变现的难度。在流量端只有用户特征、保险公司仅有用户转化标签、数据彼此独立的情况下，隐私计算作为一种安全高效的方式，可在保证数据隐私的前提下，通过联合建模，训练出能够准确识别对保险感兴趣的客户的模型。

通过联邦学习打通双方共有客户信息，并进行联合建模，然后根据联邦模型预测优质潜客（潜在客户）名单进行投放，实现精准营销

近年来，我国反洗钱相关法律制度不断修订完善，国家对反洗钱犯罪的打击力度不断加大。《中华人民共和国反洗钱法》要求金融机构依法采取预防、监控措施，建立健全客户身份识别制度、客户身份资料和交易记录保存制度、大额交易和可疑交易报告制度，履行反洗钱义务。金融监管机构提倡建立集团层面统一风险视图，统筹推进境内外反洗钱合规工作。

反洗钱风险名单数据因客户信息需在不同法人实体间隔离等监管要求，无法在集团范围内直接共享。同时，相较银行，集团金融子公司所掌握的客户身份、行为、交易信息较少，故在识别客户风险、异常交易及可疑案件等方面面临极大挑战。

对原始数据进行加密后进行安全计算，保障各法人实体只获取所辖客户范围内的风险信息，实现了数据的可用不可见，解决了数据共享过程中数据的“隐私性”问题，实现了集团内反洗钱客户名单信息的合规共享。该算法能找到两个集合的交集，但是参与双方都无法获知交集以外的对方集合数据。算法执行前，双方将名单数据上传至隐私计算平台；执行过程中，运算涉及的数据均经过了加密处理且不可反推；算法执行后，发起方获取求交结果。

基于隐私计算技术实现集团内反洗钱名单数据共享，在符合监管合规要求的前提下解决了数据孤岛问题，加大了集团内数据安全应用的效率，提升了金融机构间金融风控的协作能力，对促进金融安全健康发展提供了技术保障。

《“十四五”规划和2035年远景目标纲要》明确提出，建立健全国家公共数据资源体系，扩大基础公共信息数据安全有序开放，鼓励第三方深化对公共数据的挖掘利用。这将成为各级政府在“十四五”期间的重要工作内容之一。然而由于数据归属、管理和运营的权责利影响，政府各部门之间难以将高敏、高价值数据进行共享和开放，阻碍了政务数据的价值释放。

基于隐私计算平台可以构建政务域内数据价值共享体系，可帮助各级政府建立安全、可信、可监管的政务数据共享，实现各部门之间高敏、高价值数据的价值流通和释放，如图所示。此外，可在政务领域内数据共享的基础上，通过政务数据开放服务平台，实现高价值政务数据对社会的全面开放，提升政府的数字服务能力。

除了政务数据的共享开放之外，企业间的数据共享是信息时代推动企业生产经营、促进社会经济发展的必要条件，也是数据要素市场化的重要目标。目前，大量企业和机构已通过各种方式形成数据共享业务，而基于隐私计算平台构建的企业数据安全共享联盟，可实现更加安全、高效的企业数据共享体系，为数据要素流通提供助力。多个行业（或区域）企业所组建的数据安全共享联盟，可经由各自部署的联盟数据开放服务平台组建跨行业（或区域）的企业数据协同网络，形成企业自治的数据安全共享基础设施，如图所示。

通过本地上传和数据接口连接MySQL、HBase、Hive、ODPS等数据（仓）库等方式将待进行价值交换的数据同步到平台上。对于配置到平台上的数据，平台可以发布以供合作方查看数据的元信息并发起数据合作申请。同时，平台也可以查看合作方的数据元信息并对有合作场景的数据方发起合作请求。数据的使用情况可以被记录和统计，不仅做到了可追溯，也可以通过数据使用记录统计从侧面反映出数据的市场价值。通过此功能，可以加速数据资产市场化配置，为企业发挥数据资产价值提效。

安全求交即前文提到的隐私集合求交，是指持有数据的两方能够计算得到双方数据集合的交集部分，而不暴露交集以外的任何数据集合信息。

安全求交有多种实现方式，包括：安全性受限的，比如朴素Hash；基于公钥体系的，如椭圆曲线的Diffie-Hellman密钥交换；基于混淆电路的，如姚氏电路；基于不经意传输（OT）的协议。

安全求交能够实现在数据双方不暴露所有数据的情况下，求得数据集合交集，并且除了数据集合交集以外的数据不能泄露给任意一方。

隐匿查询（Private Information Retrieval，PIR）是一种安全的信息查询协议。假设服务端拥有大量数据，协议使得客户端在不向服务端暴露查询内容的前提下，从服务端查询得到指定的数据。例如服务端拥有键值的数据库，客户端在不暴露自己希望查询的键列表的前提下，查询到键列表里每个键对应的值

联合建模常用的技术体系是联邦学习，即在保证数据方各自原始数据不出其定义的安全控制范围的前提下，联合多方数据源进行模型构建及模型推理与预测。

将训练好的模型应用于生产，进行离线或实时的模型推理和预测。

对于实时性要求不强的业务，通过离线的方式进行批量预测，将预测结果应用于业务决策。通过定时或手动任务等方式，利用模型进行批量预测。对于实时性要求强的业务，通过在线预测的方式进行实时预测。需求方和数据提供方通过实时接口等方式将业务数据作为模型的输入，实时得到预测结果并根据结果进行业务决策。

运维监控模块保证系统和任务安全可靠的运行，可以实时查看系统和任务的状态。系统层可以查看系统网络、内存和CPU等的使用情况和状态，并对异常状态进行分析处理。业务层可以查看任务的运行状态和日志，对异常任务的状态及时处理，对关键日志进行留存和溯源。

除了上述基本功能之外，还有其他针对平台的基础性设置的功能，包含用户管理、部门管理和角色管理这些系统基础功能。多个隐私保护计算平台会以去中心化模式或中心化模式进行协同工作。在中心化模式下，还需要有平台管理功能，该功能作为隐私计算网络中的一个中心节点，能够统一管理各组织的合作关系、新增和发布算法以及审批流程的路由等。在去中心化模式下，由组织之间自主管理节点合作关系。