由谷安研究院����、安全牛聯(lián)合安華金和、明朝萬達(dá)等數(shù)據(jù)安全領(lǐng)域代表性技術(shù)廠商編寫的《中小銀行數(shù)據(jù)安全治理報(bào)告》現(xiàn)已正式發(fā)布���!作為數(shù)據(jù)安全治理在國內(nèi)的首倡者與踐行者���,《報(bào)告》重點(diǎn)收錄了安華金和數(shù)據(jù)安全治理研究成果以及在中小銀行數(shù)據(jù)脫敏��、數(shù)據(jù)庫安全審計(jì)等方面的觀點(diǎn)��、建議與典型案例等內(nèi)容�����。此前����,安華金和已同安全牛有過多次深度合作��,聯(lián)合發(fā)布過《數(shù)據(jù)脫敏應(yīng)用指南報(bào)告》��、《數(shù)據(jù)庫安全應(yīng)用指南》等一系列行業(yè)重磅參考資料����。
近期,安華金和已通過多篇分析文章���,針對數(shù)據(jù)脫敏技術(shù)在政府����、金融等重要行業(yè)的應(yīng)用難點(diǎn)��、挑戰(zhàn)�、關(guān)鍵指標(biāo)、選型方法與解決方案進(jìn)行了詳細(xì)解讀��。本文中���,我們將繼續(xù)介紹“動+靜”與“用+護(hù)”的數(shù)據(jù)脫敏技術(shù)應(yīng)用內(nèi)容�,并于文末提供“數(shù)據(jù)脫敏技術(shù)應(yīng)用資料合輯”下載二維碼���!
動與靜的“三點(diǎn)”不同
動態(tài)數(shù)據(jù)脫敏與靜態(tài)數(shù)據(jù)脫敏的區(qū)別
1�����、應(yīng)用場景的不同
靜態(tài)脫敏:適用于將數(shù)據(jù)從生產(chǎn)環(huán)境抽取出來��,脫敏后分發(fā)至開發(fā)�、測試��、培訓(xùn)�����、數(shù)據(jù)分析或外部第三方等場景。
靜態(tài)脫敏是將數(shù)據(jù)抽取并進(jìn)行脫敏處理后下發(fā)至測試庫���,以供開發(fā)����、測試����、培訓(xùn)、數(shù)據(jù)分析或外部第三方人員使用���;脫敏后的數(shù)據(jù)與生產(chǎn)環(huán)境隔離�����,在滿足業(yè)務(wù)需要的同時(shí)保障了生產(chǎn)數(shù)據(jù)庫的安全���,可看做是對數(shù)據(jù)的“搬移與仿真替換”。
動態(tài)脫敏:適用于在不脫離生產(chǎn)環(huán)境的情況下�,對敏感數(shù)據(jù)的查詢和調(diào)用結(jié)果進(jìn)行“實(shí)時(shí)”脫敏等場景。
動態(tài)脫敏是根據(jù)“權(quán)限最小化原則”對生產(chǎn)庫返回的數(shù)據(jù)進(jìn)行實(shí)時(shí)脫敏處理,確保脫敏后數(shù)據(jù)安全�����、可用���。例如:需要在應(yīng)用中呈現(xiàn)部分?jǐn)?shù)據(jù),但不希望應(yīng)用賬號查看全部數(shù)據(jù)���;需要人員維護(hù)表結(jié)構(gòu)���、進(jìn)行系統(tǒng)調(diào)優(yōu),但不希望運(yùn)維人員檢索或?qū)С稣鎸?shí)數(shù)據(jù)等等�����,可看做是對數(shù)據(jù)的“邊脫敏�,邊使用”。
2�����、技術(shù)路線的不同
靜態(tài)脫敏:通過屏蔽�、變形、替換、隨機(jī)����、格式保留加密(FPE)和強(qiáng)加密算法(如AES)等多種脫敏算法,針對不同數(shù)據(jù)類型進(jìn)行數(shù)據(jù)掩碼擾亂��,并將脫敏后的數(shù)據(jù)按用戶需求裝載至不同的環(huán)境中�;可提供文件至文件,文件至數(shù)據(jù)庫�,數(shù)據(jù)庫至數(shù)據(jù)庫,數(shù)據(jù)庫至文件等不同裝載方式����。
動態(tài)脫敏:通過準(zhǔn)確解析SQL語句匹配脫敏條件,例如:訪問IP�、MAC、數(shù)據(jù)庫用戶����、客戶端工具、操作系統(tǒng)用戶����、主機(jī)名、時(shí)間���、影響行數(shù)等�����,在匹配成功后通過改寫訪問敏感數(shù)據(jù)的SQL語句來實(shí)現(xiàn)動態(tài)脫敏�,并將性能影響降至最低,不會影響業(yè)務(wù)系統(tǒng)的正常運(yùn)行以及日常運(yùn)維操作的時(shí)效性�����。
3�、部署方式的不同
靜態(tài)脫敏:將脫敏設(shè)備部署于生產(chǎn)環(huán)境與測試�、開發(fā)、共享環(huán)境之間�,通過脫敏服務(wù)器實(shí)現(xiàn)靜態(tài)數(shù)據(jù)抽取、脫敏�����、裝載�;在安全要求較高的場景下,可在業(yè)務(wù)部門數(shù)據(jù)出口及測試部門數(shù)據(jù)入口分別部署脫敏服務(wù)器���,通過offline的加密文件傳輸方式����,將生產(chǎn)環(huán)境數(shù)據(jù)靜態(tài)脫敏至非生產(chǎn)環(huán)境。
動態(tài)脫敏:采用代理部署方式:物理旁路�,邏輯串聯(lián)。應(yīng)用或者運(yùn)維人員對數(shù)據(jù)庫的訪問必須經(jīng)過動態(tài)脫敏設(shè)備�,并根據(jù)系統(tǒng)規(guī)則對數(shù)據(jù)訪問結(jié)果進(jìn)行動態(tài)脫敏。
中小銀行動態(tài)數(shù)據(jù)脫敏
應(yīng)用難點(diǎn)�、挑戰(zhàn)與關(guān)鍵指標(biāo)
《在中小銀行數(shù)據(jù)脫敏技術(shù)應(yīng)用的解決思路》一文中主要講述靜態(tài)脫敏的應(yīng)用,下面來談?wù)剟討B(tài)數(shù)據(jù)脫敏在中小銀行的技術(shù)應(yīng)用難點(diǎn)���、挑戰(zhàn)與關(guān)鍵指標(biāo):
一����、技術(shù)應(yīng)用難點(diǎn)與挑戰(zhàn)
1�����、“應(yīng)用系統(tǒng)改造”投入巨大�����!銀行具有繁多的業(yè)務(wù)應(yīng)用系統(tǒng)��,實(shí)現(xiàn)對應(yīng)用數(shù)據(jù)訪問的實(shí)時(shí)動態(tài)脫敏�,需要對每套業(yè)務(wù)應(yīng)用進(jìn)行改造�����,從而產(chǎn)生巨大的人力與財(cái)力消耗�;如果現(xiàn)行業(yè)務(wù)應(yīng)用已使用多年��,還可能面臨對應(yīng)廠商已不在售后服務(wù)期內(nèi)等問題�;因此,銀行想要通過“應(yīng)用代碼改造”這一途徑達(dá)到對數(shù)據(jù)訪問的實(shí)時(shí)動態(tài)脫敏目的����,在短時(shí)間內(nèi)難以有效實(shí)現(xiàn)。
2����、現(xiàn)行業(yè)務(wù)應(yīng)用系統(tǒng)無法實(shí)現(xiàn)應(yīng)用用戶權(quán)限與敏感數(shù)據(jù)脫敏強(qiáng)關(guān)聯(lián)��!難以達(dá)成“對應(yīng)用用戶權(quán)限進(jìn)行有效管理�,并結(jié)合不同數(shù)據(jù)使用場景�,對不同用戶給予不同的敏感數(shù)據(jù)訪問權(quán)限”這一關(guān)鍵需求目標(biāo)。
3��、對數(shù)據(jù)泄露事件無法進(jìn)行準(zhǔn)確的追蹤溯源���!敏感數(shù)據(jù)在共享��、外發(fā)�����、訪問過程中一旦發(fā)生泄露,業(yè)務(wù)應(yīng)用服務(wù)系統(tǒng)無法在事中完整����、詳細(xì)地記錄數(shù)據(jù)泄露過程及泄露源頭�����,不能為事后追責(zé)���、定責(zé)提供有力依據(jù),從而導(dǎo)致?lián)p失和損害擴(kuò)大化等問題�。
二��、技術(shù)應(yīng)用關(guān)鍵指標(biāo)
1���、適配不同數(shù)據(jù)庫協(xié)議的能力:在中小銀行中,可能存在一個(gè)數(shù)據(jù)中心使用不同類型數(shù)據(jù)庫的情況�����,需要?jiǎng)討B(tài)數(shù)據(jù)脫敏產(chǎn)品能夠?qū)H主流數(shù)據(jù)庫(如Oracle��、MySQL�、SQL Server����、Db2�����、Informix、 Postgre SQL�、HANA )���、國產(chǎn)數(shù)據(jù)庫(如達(dá)夢DM��、GBase )�、 大數(shù)據(jù)組件(如Hive )等不同類型的數(shù)據(jù)庫協(xié)議進(jìn)行適配支持�,滿足用戶對不同數(shù)據(jù)庫動態(tài)數(shù)據(jù)脫敏的需求。
2����、高性能脫敏能力保障業(yè)務(wù)訪問連續(xù)性:以高性能確保連續(xù)性����,是對數(shù)據(jù)訪問進(jìn)行實(shí)時(shí)動態(tài)脫敏的重要前提��!否則�,一旦遇到大量業(yè)務(wù)應(yīng)用訪問的情況�����,輕則因過長訪問等待時(shí)間影響用戶體驗(yàn)�����,甚至可能導(dǎo)致業(yè)務(wù)應(yīng)用癱瘓;因此���,動態(tài)數(shù)據(jù)脫敏產(chǎn)品應(yīng)具備毫秒級的脫敏性能�����,從而滿足銀行用戶對高精度��、高性能的實(shí)時(shí)動態(tài)數(shù)據(jù)脫敏需求�����。
3�����、動態(tài)脫敏后數(shù)據(jù)高仿真����,可用性滿足平臺要求:對于數(shù)據(jù)分析或業(yè)務(wù)報(bào)表統(tǒng)計(jì)等平臺而言����,在實(shí)時(shí)訪問數(shù)據(jù)的場景下,它們需要數(shù)據(jù)經(jīng)過動態(tài)脫敏后仍具有高仿真性與可用性�����,確保能夠進(jìn)行二次使用����。這也對動態(tài)數(shù)據(jù)脫敏產(chǎn)品提出了更高的要求。
4���、實(shí)時(shí)解析,精準(zhǔn)脫敏:如何從復(fù)雜的SQL 語句中精準(zhǔn)識別語句和語義����,并定位出真正需要被脫敏的是哪個(gè)敏感字段�����,是動態(tài)數(shù)據(jù)脫敏的真正價(jià)值所在�����。在中小銀行業(yè)務(wù)應(yīng)用系統(tǒng)中,訪問數(shù)據(jù)時(shí)的業(yè)務(wù)SQL 語句大都較為復(fù)雜����,常常出現(xiàn)多表關(guān)聯(lián)、嵌套����、多語句等情況����;對于這些復(fù)雜語句,需要廠商進(jìn)行技術(shù)攻關(guān)�����,做到能夠在協(xié)議解析基礎(chǔ)上進(jìn)行語法解析����,從而實(shí)現(xiàn)精準(zhǔn)的實(shí)時(shí)動態(tài)數(shù)據(jù)脫敏���。
5���、動態(tài)脫敏水印技術(shù)實(shí)現(xiàn)數(shù)據(jù)分發(fā)溯源:在數(shù)據(jù)實(shí)時(shí)訪問過程中�����,常發(fā)生“因數(shù)據(jù)分發(fā)給相關(guān)部門導(dǎo)致敏感數(shù)據(jù)泄露”的情況,且溯源����、定責(zé)難度大���,應(yīng)用動態(tài)脫敏水印技術(shù)可有效應(yīng)對此類難題——針對不同的分發(fā)場景,應(yīng)用不同的偽行��、偽列��、文本水印�、數(shù)值水印等動態(tài)脫敏水印技術(shù)與產(chǎn)品功能��;當(dāng)出現(xiàn)數(shù)據(jù)泄露事件后,便可通過泄露數(shù)據(jù)樣本中的數(shù)據(jù)水印對數(shù)據(jù)泄露途徑進(jìn)行追溯�。
【擴(kuò)展閱讀】
數(shù)據(jù)脫敏技術(shù)發(fā)展現(xiàn)狀與產(chǎn)品選型建議
銀行數(shù)據(jù)安全治理痛點(diǎn)與整體應(yīng)對思路
金融行業(yè)數(shù)據(jù)脫敏的類型��、難點(diǎn)和辦法
安華金和數(shù)據(jù)脫敏系統(tǒng)在銀行數(shù)據(jù)外發(fā)場景中的實(shí)踐
安華金和數(shù)據(jù)脫敏產(chǎn)品在多場景下的脫敏實(shí)踐
產(chǎn)品咨詢:4000 258 365 
