數(shù)據(jù)庫脫敏是一種采用專門的脫敏算法對敏感數(shù)據(jù)進行變形���、屏蔽�����、替換�、隨機化、加密�,并將敏感數(shù)據(jù)轉(zhuǎn)化為虛構(gòu)數(shù)據(jù)的技術(shù)。按照作用位置�����、實現(xiàn)原理不同���,數(shù)據(jù)脫敏可以劃分為靜態(tài)數(shù)據(jù)脫敏(Static Data Masking, SDM )和動態(tài)數(shù)據(jù)脫敏(Dynamic Data Masking, DDM )�����。
靜態(tài)脫敏一般用于非生產(chǎn)環(huán)境,在不能將敏感數(shù)據(jù)存儲于非生產(chǎn)環(huán)境的場合中�,通過脫敏程序轉(zhuǎn)換生產(chǎn)數(shù)據(jù),使數(shù)據(jù)內(nèi)容及數(shù)據(jù)間的關(guān)聯(lián)能夠滿足測試���、開發(fā)中的問題排查需要��,同時進行數(shù)據(jù)分析���、數(shù)據(jù)挖掘等分折活動�����。而動態(tài)脫敏通常用于生產(chǎn)環(huán)境����,在敏感數(shù)據(jù)被低權(quán)限個體訪問時才對其進行脫敏�,并能夠根據(jù)策略執(zhí)行相應(yīng)的脫敏方法。靜態(tài)脫敏與動態(tài)脫敏的區(qū)別在于��,是否在使用敏感數(shù)據(jù)時才進行脫敏�,這將影響脫敏規(guī)則的實現(xiàn)位置、脫敏方法和策略等參數(shù)��。
靜態(tài)脫敏
靜態(tài)脫敏技術(shù)原理主要通過內(nèi)置規(guī)則來自動識別敏感數(shù)據(jù)��,通過內(nèi)置的脫敏算法進行數(shù)據(jù)的漂白����。
現(xiàn)在數(shù)據(jù)庫脫敏技術(shù)有兩種方式來識別敏感數(shù)據(jù)。第一種是通過人工指定��,比如通過正則表達式來指定敏感數(shù)據(jù)的格式,Oracle公司開發(fā)的Oracle Data Masking Pack中就使用了這一種方法來指定����。
正則表達式工具圖
第二種方式為自動識別,該方式是基于敏感數(shù)據(jù)的特征來進行敏感數(shù)據(jù)的自動識別����。此方式一般不需要用戶編寫正則表達式的格式來指定敏感數(shù)據(jù),通常產(chǎn)品通過預(yù)置的規(guī)則來識別一些常見的敏感數(shù)據(jù)�,比如信用卡號,SSN��, 手機號��,電子郵箱����,IP地址,住址等����。
識別出敏感數(shù)據(jù)之后����,就需要使用脫敏算法來進行脫敏�����。在比較常見的數(shù)據(jù)脫敏系統(tǒng)中�����,算法的選擇一般是通過手工指定�,比如通過內(nèi)置豐富高效的脫敏算法�,對常見數(shù)據(jù)如姓名、證件號�、銀行賬戶、金額���、日期��、住址�、電話號碼����、Email地址、車牌號�����、車架號、企業(yè)名稱��、工商注冊號�、組織機構(gòu)代碼、納稅人識別號等敏感數(shù)據(jù)進行脫敏�����。內(nèi)置脫敏算法具有如下幾種:
1)同義替換
2)部分數(shù)據(jù)遮蔽
3)混合屏蔽
4)確定性屏蔽
5)可逆脫敏
動態(tài)脫敏
在大數(shù)據(jù)環(huán)境中����,數(shù)據(jù)的海量、異構(gòu)����、實時處理將成為常態(tài),能夠在不影響數(shù)據(jù)使用的前提下�,在用戶層面實現(xiàn)數(shù)據(jù)屏蔽、加密����、隱藏、審汁或內(nèi)容封鎖的動態(tài)脫敏具有更強的優(yōu)勢����。動態(tài)脫敏基于橫向或縱向的安全等級要求��,依據(jù)用戶角色、職責和其他規(guī)則變換敏感數(shù)據(jù)�,其能力的發(fā)揮對大數(shù)據(jù)的廣泛、合規(guī)性應(yīng)用至關(guān)重要�。
動態(tài)數(shù)據(jù)脫敏目前主流的實現(xiàn)機制是基于代理的實現(xiàn)機制。在這種機制中�,用戶的數(shù)據(jù)請求被代理實時在線攔截并經(jīng)脫敏后返回,此過程對于用戶及應(yīng)用程序完全透明����。這種機制的脫敏判斷是在數(shù)據(jù)容器外實現(xiàn),因而能夠適用于非關(guān)系型數(shù)據(jù)庫�,如大數(shù)據(jù)環(huán)境。脫敏代理部署在數(shù)據(jù)容器的出口處以網(wǎng)關(guān)方式運行�,檢測并處理所有用戶與服務(wù)器間的數(shù)據(jù)請求及響應(yīng)。它的好處是�����,無需對數(shù)據(jù)存儲方式及應(yīng)用程序代碼做出任何更改�����。代理實現(xiàn)數(shù)據(jù)脫敏的具體方法是查詢語句或響應(yīng)語句替換����。代理能自動識別目標為敏感數(shù)據(jù)的查詢語句�,并將語句改寫為不包含敏感字段����,或?qū)γ舾凶侄芜M行變換處理的查詢語句。查詢結(jié)果返回代理時����,會被重新計算、修改并包裝為與原請求一致的格式交付用戶�,從而完成一次敏感信息的查詢過程,其原理圖如下圖所示:
基于代理的動態(tài)脫敏實現(xiàn)機制圖
安華金和作為國內(nèi)領(lǐng)先的數(shù)據(jù)庫安全廠商���,早在2016年就已經(jīng)研發(fā)出數(shù)據(jù)庫脫敏產(chǎn)品���,目前已經(jīng)廣泛應(yīng)用于金融、社保���、軍工���、能源、大型企業(yè)等行業(yè),在不影響用戶業(yè)務(wù)運轉(zhuǎn)效率的前提下����,保障數(shù)據(jù)使用安全的提升,讓用戶自由而放心的使用敏感數(shù)據(jù)����。
產(chǎn)品咨詢:4000 258 365 
