數(shù)據(jù)庫脫敏是一種采用專門的脫敏算法對敏感數(shù)據(jù)進行變形、屏蔽���、替換����、隨機化�、加密,并將敏感數(shù)據(jù)轉(zhuǎn)化為虛構(gòu)數(shù)據(jù)的技術(shù)�。按照作用位置、實現(xiàn)原理不同�,數(shù)據(jù)脫敏可以劃分為靜態(tài)數(shù)據(jù)脫敏(Static Data Masking, SDM )和動態(tài)數(shù)據(jù)脫敏(Dynamic Data Masking, DDM )。
靜態(tài)脫敏一般用于非生產(chǎn)環(huán)境����,在不能將敏感數(shù)據(jù)存儲于非生產(chǎn)環(huán)境的場合中�����,通過脫敏程序轉(zhuǎn)換生產(chǎn)數(shù)據(jù)�,使數(shù)據(jù)內(nèi)容及數(shù)據(jù)間的關(guān)聯(lián)能夠滿足測試�、開發(fā)中的問題排查需要,同時進行數(shù)據(jù)分析��、數(shù)據(jù)挖掘等分折活動��。而動態(tài)脫敏通常用于生產(chǎn)環(huán)境�����,在敏感數(shù)據(jù)被低權(quán)限個體訪問時才對其進行脫敏�����,并能夠根據(jù)策略執(zhí)行相應的脫敏方法�。靜態(tài)脫敏與動態(tài)脫敏的區(qū)別在于,是否在使用敏感數(shù)據(jù)時才進行脫敏��,這將影響脫敏規(guī)則的實現(xiàn)位置��、脫敏方法和策略等參數(shù)。
靜態(tài)脫敏
靜態(tài)脫敏技術(shù)原理主要通過內(nèi)置規(guī)則來自動識別敏感數(shù)據(jù)��,通過內(nèi)置的脫敏算法進行數(shù)據(jù)的漂白���。
現(xiàn)在數(shù)據(jù)庫脫敏技術(shù)有兩種方式來識別敏感數(shù)據(jù)�。第一種是通過人工指定�,比如通過正則表達式來指定敏感數(shù)據(jù)的格式,Oracle公司開發(fā)的Oracle Data Masking Pack中就使用了這一種方法來指定����。
正則表達式工具圖
第二種方式為自動識別�,該方式是基于敏感數(shù)據(jù)的特征來進行敏感數(shù)據(jù)的自動識別。此方式一般不需要用戶編寫正則表達式的格式來指定敏感數(shù)據(jù)���,通常產(chǎn)品通過預置的規(guī)則來識別一些常見的敏感數(shù)據(jù)��,比如信用卡號�����,SSN��, 手機號���,電子郵箱����,IP地址���,住址等�。
識別出敏感數(shù)據(jù)之后��,就需要使用脫敏算法來進行脫敏�����。在比較常見的數(shù)據(jù)脫敏系統(tǒng)中����,算法的選擇一般是通過手工指定,比如通過內(nèi)置豐富高效的脫敏算法���,對常見數(shù)據(jù)如姓名��、證件號�����、銀行賬戶���、金額����、日期��、住址���、電話號碼���、Email地址、車牌號�、車架號���、企業(yè)名稱���、工商注冊號、組織機構(gòu)代碼��、納稅人識別號等敏感數(shù)據(jù)進行脫敏��。內(nèi)置脫敏算法具有如下幾種:
1)同義替換
2)部分數(shù)據(jù)遮蔽
3)混合屏蔽
4)確定性屏蔽
5)可逆脫敏
動態(tài)脫敏
在大數(shù)據(jù)環(huán)境中,數(shù)據(jù)的海量�����、異構(gòu)��、實時處理將成為常態(tài)����,能夠在不影響數(shù)據(jù)使用的前提下,在用戶層面實現(xiàn)數(shù)據(jù)屏蔽���、加密�����、隱藏�、審汁或內(nèi)容封鎖的動態(tài)脫敏具有更強的優(yōu)勢��。動態(tài)脫敏基于橫向或縱向的安全等級要求��,依據(jù)用戶角色�����、職責和其他規(guī)則變換敏感數(shù)據(jù),其能力的發(fā)揮對大數(shù)據(jù)的廣泛�、合規(guī)性應用至關(guān)重要。
動態(tài)數(shù)據(jù)脫敏目前主流的實現(xiàn)機制是基于代理的實現(xiàn)機制�����。在這種機制中��,用戶的數(shù)據(jù)請求被代理實時在線攔截并經(jīng)脫敏后返回����,此過程對于用戶及應用程序完全透明。這種機制的脫敏判斷是在數(shù)據(jù)容器外實現(xiàn)��,因而能夠適用于非關(guān)系型數(shù)據(jù)庫�,如大數(shù)據(jù)環(huán)境。脫敏代理部署在數(shù)據(jù)容器的出口處以網(wǎng)關(guān)方式運行�����,檢測并處理所有用戶與服務器間的數(shù)據(jù)請求及響應����。它的好處是�����,無需對數(shù)據(jù)存儲方式及應用程序代碼做出任何更改。代理實現(xiàn)數(shù)據(jù)脫敏的具體方法是查詢語句或響應語句替換���。代理能自動識別目標為敏感數(shù)據(jù)的查詢語句���,并將語句改寫為不包含敏感字段,或?qū)γ舾凶侄芜M行變換處理的查詢語句�。查詢結(jié)果返回代理時,會被重新計算�����、修改并包裝為與原請求一致的格式交付用戶�,從而完成一次敏感信息的查詢過程,其原理圖如下圖所示:
基于代理的動態(tài)脫敏實現(xiàn)機制圖
安華金和作為國內(nèi)領(lǐng)先的數(shù)據(jù)庫安全廠商�����,早在2016年就已經(jīng)研發(fā)出數(shù)據(jù)庫脫敏產(chǎn)品�,目前已經(jīng)廣泛應用于金融、社保�����、軍工、能源�����、大型企業(yè)等行業(yè)�,在不影響用戶業(yè)務運轉(zhuǎn)效率的前提下,保障數(shù)據(jù)使用安全的提升����,讓用戶自由而放心的使用敏感數(shù)據(jù)。
產(chǎn)品咨詢:4000 258 365 
