數(shù)據(jù)安全治理關(guān)鍵技術(shù)之?dāng)?shù)據(jù)庫脫敏技術(shù)詳解
數(shù)據(jù)安全治理之API監(jiān)測系統(tǒng) ,解決API接口安全問題【安華金和】
新一代數(shù)據(jù)庫脫敏技術(shù),為敏感數(shù)據(jù)建立保護(hù)盾!
數(shù)據(jù)庫脫敏系統(tǒng)與金融行業(yè)案例解讀
數(shù)據(jù)安全治理建設(shè)思路的著力點——數(shù)據(jù)安全咨詢服務(wù)【安華金和】
數(shù)據(jù)庫防火墻功能有哪些?-數(shù)據(jù)安全-安華金和
數(shù)據(jù)安全關(guān)鍵技術(shù)之?dāng)?shù)據(jù)庫脫敏技術(shù)詳解【安華金和】
中國數(shù)據(jù)安全治理落地指導(dǎo)書籍《數(shù)據(jù)安全治理白皮書5.0》正式發(fā)布(附下載)
近年來,各行業(yè)用戶逐漸加深對企業(yè)信息化的依賴程度,各類新業(yè)務(wù)系統(tǒng)開發(fā)、上線,大數(shù)據(jù)技術(shù)深入應(yīng)用,以及運維工作的普遍外包,這些場景中,不可避免的需要將核心數(shù)據(jù)外發(fā),離開數(shù)據(jù)庫后,敏感數(shù)據(jù)即脫離了企業(yè)掌控,如何避免數(shù)據(jù)泄露?脫敏技術(shù)正在被越來越多的用戶應(yīng)用,下面對數(shù)據(jù)庫安全中的關(guān)鍵技術(shù)--數(shù)據(jù)庫脫敏技術(shù)的幾個關(guān)鍵點重點介紹:
1、自動識別敏感數(shù)據(jù)
數(shù)據(jù)庫脫敏工具應(yīng)當(dāng)能夠按照用戶指定的一部分敏感數(shù)據(jù)或預(yù)定義的敏感數(shù)據(jù)特征,在執(zhí)行任務(wù)過程中對抽取的數(shù)據(jù)進(jìn)行自動的識別,發(fā)現(xiàn)敏感數(shù)據(jù),并自動的根據(jù)規(guī)則對發(fā)現(xiàn)的敏感數(shù)據(jù)進(jìn)行脫敏處理。
通過自動識別敏感數(shù)據(jù),可以避免按照字段定義敏感數(shù)據(jù)元的繁瑣工作,同時最大限度的對所有需要抽取的敏感數(shù)據(jù)進(jìn)行自動脫敏,同時能夠持續(xù)的發(fā)現(xiàn)新的敏感數(shù)據(jù)。
2、多樣的脫敏算法和策略
數(shù)據(jù)庫脫敏工具需要根據(jù)不同數(shù)據(jù)特征,提供多種的脫敏算法,可對常見數(shù)據(jù)如姓名、證件號、銀行賬戶、金額、日期、住址、電話號碼、Email地址、車牌號、企業(yè)名稱、工商注冊號、組織機構(gòu)代碼、納稅人識別號等敏感數(shù)據(jù)進(jìn)行脫敏,如:
同義替換,使用相同含義的數(shù)據(jù)替換原有的敏感數(shù)據(jù),如姓名脫敏后仍然為有意義的姓名,住址脫敏后仍然為住址。
部分?jǐn)?shù)據(jù)遮蔽,將原數(shù)據(jù)中部分或全部內(nèi)容,用“*”或“#”等字符進(jìn)行替換,遮蓋部分或全部原文。
混合屏蔽,將相關(guān)的列作為一個組進(jìn)行屏蔽,以保證這些相關(guān)列中被屏蔽的數(shù)據(jù)保持同樣的關(guān)系,例如,城市、省、郵編在屏蔽后保持一致。
確定性屏蔽,確保在運行屏蔽后生成可重復(fù)的屏蔽值。可確保特定的值(如,客戶號、身份證號碼、銀行卡號)在所有數(shù)據(jù)庫中屏蔽為同一個值。
可逆脫敏,確保脫敏后的數(shù)據(jù)可還原,便于將第三方分析機構(gòu)和內(nèi)部經(jīng)分團隊基于脫敏后數(shù)據(jù)上的分析的結(jié)果還原為業(yè)務(wù)數(shù)據(jù)。
3、數(shù)據(jù)子集管理
在許多場景下,并不需要將全部生產(chǎn)環(huán)境中數(shù)據(jù)脫敏至目標(biāo)環(huán)境使用,如開發(fā)環(huán)境可能僅需要生產(chǎn)環(huán)境中1%的數(shù)據(jù);統(tǒng)計分析場景則需要對全部數(shù)據(jù)進(jìn)行合理采樣。需要對目標(biāo)數(shù)據(jù)庫中一部分?jǐn)?shù)據(jù)進(jìn)行脫敏,用戶可指定過濾條件,對數(shù)據(jù)來源進(jìn)行過濾篩選形成數(shù)據(jù)子集,適應(yīng)不同場景下脫敏需求。
4、脫敏數(shù)據(jù)驗證
在脫敏產(chǎn)品的使用過程中,會面臨生產(chǎn)環(huán)境中數(shù)據(jù)或數(shù)據(jù)結(jié)構(gòu)頻繁發(fā)生變化的場景,如果脫敏策略沒有及時進(jìn)行調(diào)整,會造成敏感數(shù)據(jù)“漏網(wǎng)”的現(xiàn)象,造成敏感數(shù)據(jù)泄露。
脫敏數(shù)據(jù)驗證功能,能夠?qū)γ撁艉蟮臄?shù)據(jù)進(jìn)行“驗證”,確定哪些數(shù)據(jù)是“漏網(wǎng)”的真實數(shù)據(jù),從而幫助用戶在使用這些數(shù)據(jù)前能夠及時的發(fā)現(xiàn)并相應(yīng)的彌補脫敏腳本的不足。
5、動態(tài)脫敏
動態(tài)脫敏即對業(yè)務(wù)系統(tǒng)數(shù)據(jù)庫中敏感數(shù)據(jù)進(jìn)行透明的、實時的脫敏。依據(jù)用戶的角色、職責(zé)和其他IT定義身份特征,動態(tài)的對生產(chǎn)數(shù)據(jù)庫返回的數(shù)據(jù)進(jìn)行專門的屏蔽、加密、隱藏和審計,可確保不同級別的用戶按照其身份特征恰如其分的訪問敏感數(shù)據(jù),并且不需要對生產(chǎn)數(shù)據(jù)庫中的數(shù)據(jù)進(jìn)行任何改變。
動態(tài)數(shù)據(jù)脫敏應(yīng)同樣支持同義替換、部分遮蔽、混合脫敏、確定性脫敏及可逆脫敏,產(chǎn)品使用者可根據(jù)不同用戶身份特征,指定對應(yīng)的數(shù)據(jù)脫敏算法。
數(shù)據(jù)庫脫敏技術(shù)的引入,能夠很大程度上規(guī)避“數(shù)據(jù)主動泄露”的安全隱患,但應(yīng)重點強調(diào)強調(diào)的是,成熟的脫敏技術(shù),必須在提高數(shù)據(jù)庫安全性的同時,能夠應(yīng)對所有的數(shù)據(jù)使用需求,決不能因為保證安全性而喪失數(shù)據(jù)本身的使用價值。