數(shù)據(jù)庫脫敏是一種采用專門的脫敏算法對敏感數(shù)據(jù)進(jìn)行變形、屏蔽�、替換����、隨機(jī)化�����、加密���,并將敏感數(shù)據(jù)轉(zhuǎn)化為虛構(gòu)數(shù)據(jù)的技術(shù)。按照作用位置����、實現(xiàn)原理不同,數(shù)據(jù)脫敏可以劃分為靜態(tài)數(shù)據(jù)脫敏(Static Data Masking, SDM )和動態(tài)數(shù)據(jù)脫敏(Dynamic Data Masking, DDM )�����。
靜態(tài)脫敏一般用于非生產(chǎn)環(huán)境�����,在不能將敏感數(shù)據(jù)存儲于非生產(chǎn)環(huán)境的場合中����,通過脫敏程序轉(zhuǎn)換生產(chǎn)數(shù)據(jù),使數(shù)據(jù)內(nèi)容及數(shù)據(jù)間的關(guān)聯(lián)能夠滿足測試���、開發(fā)中的問題排查需要���,同時進(jìn)行數(shù)據(jù)分析、數(shù)據(jù)挖掘等分折活動��。而動態(tài)脫敏通常用于生產(chǎn)環(huán)境���,在敏感數(shù)據(jù)被低權(quán)限個體訪問時才對其進(jìn)行脫敏�����,并能夠根據(jù)策略執(zhí)行相應(yīng)的脫敏方法��。靜態(tài)脫敏與動態(tài)脫敏的區(qū)別在于,是否在使用敏感數(shù)據(jù)時才進(jìn)行脫敏���,這將影響脫敏規(guī)則的實現(xiàn)位置��、脫敏方法和策略等參數(shù)��。
靜態(tài)脫敏
靜態(tài)脫敏技術(shù)原理主要通過內(nèi)置規(guī)則來自動識別敏感數(shù)據(jù)����,通過內(nèi)置的脫敏算法進(jìn)行數(shù)據(jù)的漂白�。
現(xiàn)在數(shù)據(jù)庫脫敏技術(shù)有兩種方式來識別敏感數(shù)據(jù)�����。第一種是通過人工指定,比如通過正則表達(dá)式來指定敏感數(shù)據(jù)的格式�,Oracle公司開發(fā)的Oracle Data Masking Pack中就使用了這一種方法來指定���。
正則表達(dá)式工具圖
第二種方式為自動識別,該方式是基于敏感數(shù)據(jù)的特征來進(jìn)行敏感數(shù)據(jù)的自動識別�。此方式一般不需要用戶編寫正則表達(dá)式的格式來指定敏感數(shù)據(jù)�����,通常產(chǎn)品通過預(yù)置的規(guī)則來識別一些常見的敏感數(shù)據(jù)�����,比如信用卡號,SSN�, 手機(jī)號��,電子郵箱,IP地址�,住址等����。
識別出敏感數(shù)據(jù)之后�����,就需要使用脫敏算法來進(jìn)行脫敏��。在比較常見的數(shù)據(jù)脫敏系統(tǒng)中,算法的選擇一般是通過手工指定�,比如通過內(nèi)置豐富高效的脫敏算法,對常見數(shù)據(jù)如姓名�����、證件號�、銀行賬戶��、金額、日期���、住址�����、電話號碼���、Email地址����、車牌號����、車架號、企業(yè)名稱���、工商注冊號�����、組織機(jī)構(gòu)代碼�、納稅人識別號等敏感數(shù)據(jù)進(jìn)行脫敏����。內(nèi)置脫敏算法具有如下幾種:
1)同義替換
2)部分?jǐn)?shù)據(jù)遮蔽
3)混合屏蔽
4)確定性屏蔽
5)可逆脫敏
動態(tài)脫敏
在大數(shù)據(jù)環(huán)境中,數(shù)據(jù)的海量����、異構(gòu)、實時處理將成為常態(tài)���,能夠在不影響數(shù)據(jù)使用的前提下���,在用戶層面實現(xiàn)數(shù)據(jù)屏蔽、加密�����、隱藏���、審汁或內(nèi)容封鎖的動態(tài)脫敏具有更強(qiáng)的優(yōu)勢。動態(tài)脫敏基于橫向或縱向的安全等級要求��,依據(jù)用戶角色�、職責(zé)和其他規(guī)則變換敏感數(shù)據(jù)���,其能力的發(fā)揮對大數(shù)據(jù)的廣泛���、合規(guī)性應(yīng)用至關(guān)重要。
動態(tài)數(shù)據(jù)脫敏目前主流的實現(xiàn)機(jī)制是基于代理的實現(xiàn)機(jī)制��。在這種機(jī)制中�,用戶的數(shù)據(jù)請求被代理實時在線攔截并經(jīng)脫敏后返回,此過程對于用戶及應(yīng)用程序完全透明�����。這種機(jī)制的脫敏判斷是在數(shù)據(jù)容器外實現(xiàn)��,因而能夠適用于非關(guān)系型數(shù)據(jù)庫,如大數(shù)據(jù)環(huán)境��。脫敏代理部署在數(shù)據(jù)容器的出口處以網(wǎng)關(guān)方式運行,檢測并處理所有用戶與服務(wù)器間的數(shù)據(jù)請求及響應(yīng)��。它的好處是�,無需對數(shù)據(jù)存儲方式及應(yīng)用程序代碼做出任何更改�。代理實現(xiàn)數(shù)據(jù)脫敏的具體方法是查詢語句或響應(yīng)語句替換�。代理能自動識別目標(biāo)為敏感數(shù)據(jù)的查詢語句,并將語句改寫為不包含敏感字段���,或?qū)γ舾凶侄芜M(jìn)行變換處理的查詢語句��。查詢結(jié)果返回代理時�����,會被重新計算�����、修改并包裝為與原請求一致的格式交付用戶,從而完成一次敏感信息的查詢過程�����,其原理圖如下圖所示:
基于代理的動態(tài)脫敏實現(xiàn)機(jī)制圖
安華金和作為國內(nèi)領(lǐng)先的數(shù)據(jù)庫安全廠商,早在2016年就已經(jīng)研發(fā)出數(shù)據(jù)庫脫敏產(chǎn)品�,目前已經(jīng)廣泛應(yīng)用于金融����、社保�、軍工、能源�、大型企業(yè)等行業(yè),在不影響用戶業(yè)務(wù)運轉(zhuǎn)效率的前提下����,保障數(shù)據(jù)使用安全的提升��,讓用戶自由而放心的使用敏感數(shù)據(jù)�����。
產(chǎn)品咨詢:4000 258 365 
