一���、概述
數(shù)據(jù)脫敏的需求正在迅速上升��,政府和企業(yè)的CIO們知道:數(shù)據(jù)只有在使用和流動(dòng)中才會(huì)產(chǎn)生價(jià)值��。為了滿足企業(yè)對(duì)數(shù)據(jù)更多樣的使用需求�����,更多核心敏感數(shù)據(jù)需要脫離原本的生產(chǎn)和存儲(chǔ)環(huán)境��,抽取使用至測(cè)試環(huán)境���,被應(yīng)用用戶檢索訪問(wèn),被分析部門調(diào)取挖掘等等��。數(shù)據(jù)脫敏工具的出現(xiàn)正是為了滿足數(shù)據(jù)的安全使用�����。
數(shù)據(jù)脫敏的基本效果是通過(guò)脫敏算法將敏感數(shù)據(jù)進(jìn)行遮蔽�����、變形���,將敏感級(jí)別降低后對(duì)外發(fā)放���,或供訪問(wèn)使用?��;驹泶蠹叶济靼?��,但對(duì)于不同的使用場(chǎng)景,需要使用不同的脫敏技術(shù)實(shí)現(xiàn)���,相應(yīng)的部署和實(shí)現(xiàn)原理也不相同�����,由此產(chǎn)生了“靜態(tài)脫敏”和“動(dòng)態(tài)脫敏”兩類脫敏工具���,兩者應(yīng)對(duì)不同需求和場(chǎng)景,不可相互替代�����。本文將從適用場(chǎng)景、技術(shù)手段����、部署方式三個(gè)方面闡述靜態(tài)脫敏和動(dòng)態(tài)脫敏的區(qū)別,希望能夠?qū)τ趶V大用戶對(duì)于靜態(tài)脫敏和動(dòng)態(tài)脫敏產(chǎn)品的了解有所幫助�����。
二���、兩者的使用場(chǎng)景和用途
靜態(tài)脫敏適用于將數(shù)據(jù)抽取出生產(chǎn)環(huán)境脫敏后分發(fā)至測(cè)試���、開(kāi)發(fā)、培訓(xùn)��、數(shù)據(jù)分析等場(chǎng)景����。
靜態(tài)脫敏是將數(shù)據(jù)抽取進(jìn)行脫敏處理后,下發(fā)至測(cè)試庫(kù)����。開(kāi)發(fā)、測(cè)試、培訓(xùn)�����、分析人員可以隨意取用測(cè)試數(shù)據(jù)����,并進(jìn)行讀寫(xiě)操作��,脫敏后的數(shù)據(jù)與生產(chǎn)環(huán)境隔離�����,滿足業(yè)務(wù)需要的同時(shí)保障生產(chǎn)數(shù)據(jù)庫(kù)的安全�,靜態(tài)脫敏可以概括為數(shù)據(jù)的“搬移并仿真替換”。
動(dòng)態(tài)脫敏適用于不脫離生產(chǎn)環(huán)境���,對(duì)敏感數(shù)據(jù)的查詢和調(diào)用結(jié)果進(jìn)行實(shí)時(shí)脫敏��。
動(dòng)態(tài)脫敏能夠?qū)ιa(chǎn)庫(kù)返回的數(shù)據(jù)進(jìn)行實(shí)時(shí)脫敏處理���,確保返回?cái)?shù)據(jù)可用而安全。例如應(yīng)用需要呈現(xiàn)部分?jǐn)?shù)據(jù)����,但是又不希望應(yīng)用賬號(hào)可以看到全部數(shù)據(jù)��;運(yùn)維人員需要維護(hù)表結(jié)構(gòu)��,進(jìn)行系統(tǒng)調(diào)優(yōu)����,但是不希望運(yùn)維人員可以檢索或?qū)С稣鎸?shí)數(shù)據(jù)�����,動(dòng)態(tài)脫敏可以概括為“邊脫敏����,邊使用”。
三�����、靜態(tài)脫敏與動(dòng)態(tài)脫敏的技術(shù)路線
靜態(tài)脫敏直接通過(guò)屏蔽�、變形、替換����、隨機(jī)�����、格式保留加密(FPE)和強(qiáng)加密算法(如AES)等多種脫敏算法�,針對(duì)不同數(shù)據(jù)類型進(jìn)行數(shù)據(jù)掩碼擾亂�,并可將脫敏后的數(shù)據(jù)按用戶需求,裝載至不同環(huán)境中����。靜態(tài)脫敏可提供文件至文件���,文件至數(shù)據(jù)庫(kù)��,數(shù)據(jù)庫(kù)至數(shù)據(jù)庫(kù)��,數(shù)據(jù)庫(kù)至文件等不同裝載方式�����。導(dǎo)出的數(shù)據(jù)是以脫敏后的形式存儲(chǔ)于外部存貯介質(zhì)中����,實(shí)際上已經(jīng)改變了存儲(chǔ)的數(shù)據(jù)內(nèi)容���。
動(dòng)態(tài)脫敏通過(guò)準(zhǔn)確的解析SQL語(yǔ)句匹配脫敏條件���,例如:訪問(wèn)IP�、MAC�、數(shù)據(jù)庫(kù)用戶、客戶端工具�、操作系統(tǒng)用戶、主機(jī)名�����、時(shí)間����、影響行數(shù)等,在匹配成功后改寫(xiě)查詢SQL或者攔截防護(hù)返回脫敏后的數(shù)據(jù)到應(yīng)用端��,從而實(shí)現(xiàn)敏感數(shù)據(jù)的脫敏���。實(shí)際上存儲(chǔ)于生產(chǎn)庫(kù)的數(shù)據(jù)未發(fā)生任何變化����。
四����、靜態(tài)脫敏與動(dòng)態(tài)脫敏的部署方式
靜態(tài)脫敏可將脫敏設(shè)備部署于生產(chǎn)環(huán)境與測(cè)試�����、開(kāi)發(fā)�、共享環(huán)境之間�,通過(guò)脫敏服務(wù)器實(shí)現(xiàn)靜態(tài)數(shù)據(jù)抽取、脫敏���、裝載�����。在安全要求較高的場(chǎng)景下,可以在業(yè)務(wù)部門數(shù)據(jù)出口及測(cè)試部門數(shù)據(jù)入口分別部署脫敏服務(wù)器����,通過(guò)offline的加密文件傳輸方式,將生產(chǎn)環(huán)境數(shù)據(jù)靜態(tài)脫敏至非生產(chǎn)環(huán)境���。
靜態(tài)脫敏部署圖
動(dòng)態(tài)脫敏采用代理部署方式:物理旁路��,邏輯串聯(lián)��。應(yīng)用或者運(yùn)維人員對(duì)數(shù)據(jù)庫(kù)的訪問(wèn)必須都經(jīng)過(guò)動(dòng)態(tài)脫敏設(shè)備才能根據(jù)系統(tǒng)的規(guī)則對(duì)數(shù)據(jù)訪問(wèn)結(jié)果進(jìn)行脫敏���。
動(dòng)態(tài)脫敏部署圖
無(wú)論動(dòng)態(tài)脫敏還是靜態(tài)脫敏技術(shù)����,在保障敏感數(shù)據(jù)的安全使用目標(biāo)下�,顯得尤為重要,也是安華金和提出的數(shù)據(jù)安全治理技術(shù)框架中重要的一環(huán)���。靜態(tài)脫敏技術(shù)目前相對(duì)成熟���,而動(dòng)態(tài)脫敏對(duì)業(yè)務(wù)實(shí)時(shí)性的要求極高,脫敏處理對(duì)性能要求必須控制到最低����,并且能夠提供大規(guī)模、高并發(fā)訪問(wèn)下的脫敏工作����,這成為目前動(dòng)態(tài)脫敏工具的主要技術(shù)攻堅(jiān)點(diǎn)。
目前�,安華金和靜態(tài)脫敏和動(dòng)態(tài)脫敏產(chǎn)品已經(jīng)成功應(yīng)用于金融、社保���、政府�、運(yùn)營(yíng)商等部門和企業(yè)的系統(tǒng)中,其中動(dòng)態(tài)脫敏產(chǎn)品對(duì)用戶業(yè)務(wù)的性能損耗已經(jīng)控制到可接受范圍�,基本實(shí)現(xiàn)訪問(wèn)無(wú)感。
后續(xù)我們還將繼續(xù)分享脫敏工具在真實(shí)案例中的解決方案��、使用效果及價(jià)值體現(xiàn)��,敬請(qǐng)期待~
產(chǎn)品咨詢:4000 258 365 
