由谷安研究院��、安全牛聯(lián)合安華金和�、明朝萬達等數(shù)據(jù)安全領域代表性技術(shù)廠商編寫的《中小銀行數(shù)據(jù)安全治理報告》現(xiàn)已正式發(fā)布�!作為數(shù)據(jù)安全治理在國內(nèi)的首倡者與踐行者,《報告》重點收錄了安華金和數(shù)據(jù)安全治理研究成果以及在中小銀行數(shù)據(jù)脫敏�����、數(shù)據(jù)庫安全審計等方面的觀點����、建議與典型案例等內(nèi)容。此前���,安華金和已同安全牛有過多次深度合作�����,聯(lián)合發(fā)布過《數(shù)據(jù)脫敏應用指南報告》����、《數(shù)據(jù)庫安全應用指南》等一系列行業(yè)重磅參考資料��。
近期�����,安華金和已通過多篇分析文章�����,針對數(shù)據(jù)脫敏技術(shù)在政府�、金融等重要行業(yè)的應用難點、挑戰(zhàn)�、關鍵指標、選型方法與解決方案進行了詳細解讀����。本文中,我們將繼續(xù)介紹“動+靜”與“用+護”的數(shù)據(jù)脫敏技術(shù)應用內(nèi)容�����,并于文末提供“數(shù)據(jù)脫敏技術(shù)應用資料合輯”下載二維碼��!
動與靜的“三點”不同
動態(tài)數(shù)據(jù)脫敏與靜態(tài)數(shù)據(jù)脫敏的區(qū)別
1�����、應用場景的不同
靜態(tài)脫敏:適用于將數(shù)據(jù)從生產(chǎn)環(huán)境抽取出來,脫敏后分發(fā)至開發(fā)��、測試�����、培訓�、數(shù)據(jù)分析或外部第三方等場景。
靜態(tài)脫敏是將數(shù)據(jù)抽取并進行脫敏處理后下發(fā)至測試庫����,以供開發(fā)、測試�、培訓、數(shù)據(jù)分析或外部第三方人員使用����;脫敏后的數(shù)據(jù)與生產(chǎn)環(huán)境隔離,在滿足業(yè)務需要的同時保障了生產(chǎn)數(shù)據(jù)庫的安全�,可看做是對數(shù)據(jù)的“搬移與仿真替換”。
動態(tài)脫敏:適用于在不脫離生產(chǎn)環(huán)境的情況下�����,對敏感數(shù)據(jù)的查詢和調(diào)用結(jié)果進行“實時”脫敏等場景����。
動態(tài)脫敏是根據(jù)“權(quán)限最小化原則”對生產(chǎn)庫返回的數(shù)據(jù)進行實時脫敏處理,確保脫敏后數(shù)據(jù)安全�����、可用���。例如:需要在應用中呈現(xiàn)部分數(shù)據(jù)�����,但不希望應用賬號查看全部數(shù)據(jù)�����;需要人員維護表結(jié)構(gòu)�����、進行系統(tǒng)調(diào)優(yōu)�����,但不希望運維人員檢索或?qū)С稣鎸崝?shù)據(jù)等等�����,可看做是對數(shù)據(jù)的“邊脫敏��,邊使用”�����。
2�、技術(shù)路線的不同
靜態(tài)脫敏:通過屏蔽、變形�、替換、隨機�、格式保留加密(FPE)和強加密算法(如AES)等多種脫敏算法,針對不同數(shù)據(jù)類型進行數(shù)據(jù)掩碼擾亂���,并將脫敏后的數(shù)據(jù)按用戶需求裝載至不同的環(huán)境中����;可提供文件至文件����,文件至數(shù)據(jù)庫,數(shù)據(jù)庫至數(shù)據(jù)庫��,數(shù)據(jù)庫至文件等不同裝載方式。
動態(tài)脫敏:通過準確解析SQL語句匹配脫敏條件�����,例如:訪問IP��、MAC���、數(shù)據(jù)庫用戶、客戶端工具��、操作系統(tǒng)用戶��、主機名����、時間、影響行數(shù)等���,在匹配成功后通過改寫訪問敏感數(shù)據(jù)的SQL語句來實現(xiàn)動態(tài)脫敏����,并將性能影響降至最低�����,不會影響業(yè)務系統(tǒng)的正常運行以及日常運維操作的時效性。
3�、部署方式的不同
靜態(tài)脫敏:將脫敏設備部署于生產(chǎn)環(huán)境與測試、開發(fā)���、共享環(huán)境之間���,通過脫敏服務器實現(xiàn)靜態(tài)數(shù)據(jù)抽取、脫敏����、裝載;在安全要求較高的場景下����,可在業(yè)務部門數(shù)據(jù)出口及測試部門數(shù)據(jù)入口分別部署脫敏服務器,通過offline的加密文件傳輸方式��,將生產(chǎn)環(huán)境數(shù)據(jù)靜態(tài)脫敏至非生產(chǎn)環(huán)境�。
動態(tài)脫敏:采用代理部署方式:物理旁路,邏輯串聯(lián)���。應用或者運維人員對數(shù)據(jù)庫的訪問必須經(jīng)過動態(tài)脫敏設備��,并根據(jù)系統(tǒng)規(guī)則對數(shù)據(jù)訪問結(jié)果進行動態(tài)脫敏���。
中小銀行動態(tài)數(shù)據(jù)脫敏
應用難點�、挑戰(zhàn)與關鍵指標
《在中小銀行數(shù)據(jù)脫敏技術(shù)應用的解決思路》一文中主要講述靜態(tài)脫敏的應用����,下面來談談動態(tài)數(shù)據(jù)脫敏在中小銀行的技術(shù)應用難點、挑戰(zhàn)與關鍵指標:
一�����、技術(shù)應用難點與挑戰(zhàn)
1��、“應用系統(tǒng)改造”投入巨大�����!銀行具有繁多的業(yè)務應用系統(tǒng)���,實現(xiàn)對應用數(shù)據(jù)訪問的實時動態(tài)脫敏,需要對每套業(yè)務應用進行改造����,從而產(chǎn)生巨大的人力與財力消耗����;如果現(xiàn)行業(yè)務應用已使用多年�,還可能面臨對應廠商已不在售后服務期內(nèi)等問題;因此�,銀行想要通過“應用代碼改造”這一途徑達到對數(shù)據(jù)訪問的實時動態(tài)脫敏目的,在短時間內(nèi)難以有效實現(xiàn)��。
2����、現(xiàn)行業(yè)務應用系統(tǒng)無法實現(xiàn)應用用戶權(quán)限與敏感數(shù)據(jù)脫敏強關聯(lián)!難以達成“對應用用戶權(quán)限進行有效管理��,并結(jié)合不同數(shù)據(jù)使用場景���,對不同用戶給予不同的敏感數(shù)據(jù)訪問權(quán)限”這一關鍵需求目標����。
3����、對數(shù)據(jù)泄露事件無法進行準確的追蹤溯源��!敏感數(shù)據(jù)在共享����、外發(fā)��、訪問過程中一旦發(fā)生泄露�,業(yè)務應用服務系統(tǒng)無法在事中完整、詳細地記錄數(shù)據(jù)泄露過程及泄露源頭�����,不能為事后追責����、定責提供有力依據(jù)�,從而導致?lián)p失和損害擴大化等問題。
二�����、技術(shù)應用關鍵指標
1���、適配不同數(shù)據(jù)庫協(xié)議的能力:在中小銀行中�,可能存在一個數(shù)據(jù)中心使用不同類型數(shù)據(jù)庫的情況,需要動態(tài)數(shù)據(jù)脫敏產(chǎn)品能夠?qū)H主流數(shù)據(jù)庫(如Oracle��、MySQL��、SQL Server�����、Db2���、Informix����、 Postgre SQL���、HANA )����、國產(chǎn)數(shù)據(jù)庫(如達夢DM�、GBase )、 大數(shù)據(jù)組件(如Hive )等不同類型的數(shù)據(jù)庫協(xié)議進行適配支持����,滿足用戶對不同數(shù)據(jù)庫動態(tài)數(shù)據(jù)脫敏的需求�。
2��、高性能脫敏能力保障業(yè)務訪問連續(xù)性:以高性能確保連續(xù)性��,是對數(shù)據(jù)訪問進行實時動態(tài)脫敏的重要前提�����!否則�,一旦遇到大量業(yè)務應用訪問的情況,輕則因過長訪問等待時間影響用戶體驗��,甚至可能導致業(yè)務應用癱瘓���;因此�����,動態(tài)數(shù)據(jù)脫敏產(chǎn)品應具備毫秒級的脫敏性能�����,從而滿足銀行用戶對高精度、高性能的實時動態(tài)數(shù)據(jù)脫敏需求����。
3��、動態(tài)脫敏后數(shù)據(jù)高仿真�,可用性滿足平臺要求:對于數(shù)據(jù)分析或業(yè)務報表統(tǒng)計等平臺而言�����,在實時訪問數(shù)據(jù)的場景下��,它們需要數(shù)據(jù)經(jīng)過動態(tài)脫敏后仍具有高仿真性與可用性�,確保能夠進行二次使用。這也對動態(tài)數(shù)據(jù)脫敏產(chǎn)品提出了更高的要求��。
4���、實時解析��,精準脫敏:如何從復雜的SQL 語句中精準識別語句和語義���,并定位出真正需要被脫敏的是哪個敏感字段,是動態(tài)數(shù)據(jù)脫敏的真正價值所在�。在中小銀行業(yè)務應用系統(tǒng)中,訪問數(shù)據(jù)時的業(yè)務SQL 語句大都較為復雜����,常常出現(xiàn)多表關聯(lián)��、嵌套�、多語句等情況�����;對于這些復雜語句��,需要廠商進行技術(shù)攻關���,做到能夠在協(xié)議解析基礎上進行語法解析�����,從而實現(xiàn)精準的實時動態(tài)數(shù)據(jù)脫敏����。
5���、動態(tài)脫敏水印技術(shù)實現(xiàn)數(shù)據(jù)分發(fā)溯源:在數(shù)據(jù)實時訪問過程中�,常發(fā)生“因數(shù)據(jù)分發(fā)給相關部門導致敏感數(shù)據(jù)泄露”的情況�����,且溯源���、定責難度大���,應用動態(tài)脫敏水印技術(shù)可有效應對此類難題——針對不同的分發(fā)場景,應用不同的偽行����、偽列、文本水印����、數(shù)值水印等動態(tài)脫敏水印技術(shù)與產(chǎn)品功能;當出現(xiàn)數(shù)據(jù)泄露事件后����,便可通過泄露數(shù)據(jù)樣本中的數(shù)據(jù)水印對數(shù)據(jù)泄露途徑進行追溯。
【擴展閱讀】
數(shù)據(jù)脫敏技術(shù)發(fā)展現(xiàn)狀與產(chǎn)品選型建議
銀行數(shù)據(jù)安全治理痛點與整體應對思路
金融行業(yè)數(shù)據(jù)脫敏的類型、難點和辦法
安華金和數(shù)據(jù)脫敏系統(tǒng)在銀行數(shù)據(jù)外發(fā)場景中的實踐
安華金和數(shù)據(jù)脫敏產(chǎn)品在多場景下的脫敏實踐
產(chǎn)品咨詢:4000 258 365 
