一、概述
數(shù)據(jù)脫敏的需求正在迅速上升�����,政府和企業(yè)的CIO們知道:數(shù)據(jù)只有在使用和流動(dòng)中才會(huì)產(chǎn)生價(jià)值��。為了滿(mǎn)足企業(yè)對(duì)數(shù)據(jù)更多樣的使用需求�����,更多核心敏感數(shù)據(jù)需要脫離原本的生產(chǎn)和存儲(chǔ)環(huán)境�,抽取使用至測(cè)試環(huán)境�,被應(yīng)用用戶(hù)檢索訪問(wèn),被分析部門(mén)調(diào)取挖掘等等。數(shù)據(jù)脫敏工具的出現(xiàn)正是為了滿(mǎn)足數(shù)據(jù)的安全使用�。
數(shù)據(jù)脫敏的基本效果是通過(guò)脫敏算法將敏感數(shù)據(jù)進(jìn)行遮蔽、變形�,將敏感級(jí)別降低后對(duì)外發(fā)放,或供訪問(wèn)使用����。基本原理大家都明白�����,但對(duì)于不同的使用場(chǎng)景���,需要使用不同的脫敏技術(shù)實(shí)現(xiàn)�,相應(yīng)的部署和實(shí)現(xiàn)原理也不相同����,由此產(chǎn)生了“靜態(tài)脫敏”和“動(dòng)態(tài)脫敏”兩類(lèi)脫敏工具,兩者應(yīng)對(duì)不同需求和場(chǎng)景����,不可相互替代。本文將從適用場(chǎng)景����、技術(shù)手段����、部署方式三個(gè)方面闡述靜態(tài)脫敏和動(dòng)態(tài)脫敏的區(qū)別�,希望能夠?qū)τ趶V大用戶(hù)對(duì)于靜態(tài)脫敏和動(dòng)態(tài)脫敏產(chǎn)品的了解有所幫助。
二���、兩者的使用場(chǎng)景和用途
靜態(tài)脫敏適用于將數(shù)據(jù)抽取出生產(chǎn)環(huán)境脫敏后分發(fā)至測(cè)試�����、開(kāi)發(fā)�、培訓(xùn)���、數(shù)據(jù)分析等場(chǎng)景��。
靜態(tài)脫敏是將數(shù)據(jù)抽取進(jìn)行脫敏處理后�����,下發(fā)至測(cè)試庫(kù)�。開(kāi)發(fā)��、測(cè)試�、培訓(xùn)、分析人員可以隨意取用測(cè)試數(shù)據(jù)���,并進(jìn)行讀寫(xiě)操作�,脫敏后的數(shù)據(jù)與生產(chǎn)環(huán)境隔離�����,滿(mǎn)足業(yè)務(wù)需要的同時(shí)保障生產(chǎn)數(shù)據(jù)庫(kù)的安全����,靜態(tài)脫敏可以概括為數(shù)據(jù)的“搬移并仿真替換”。
動(dòng)態(tài)脫敏適用于不脫離生產(chǎn)環(huán)境��,對(duì)敏感數(shù)據(jù)的查詢(xún)和調(diào)用結(jié)果進(jìn)行實(shí)時(shí)脫敏��。
動(dòng)態(tài)脫敏能夠?qū)ιa(chǎn)庫(kù)返回的數(shù)據(jù)進(jìn)行實(shí)時(shí)脫敏處理���,確保返回?cái)?shù)據(jù)可用而安全�。例如應(yīng)用需要呈現(xiàn)部分?jǐn)?shù)據(jù)���,但是又不希望應(yīng)用賬號(hào)可以看到全部數(shù)據(jù)���;運(yùn)維人員需要維護(hù)表結(jié)構(gòu)�����,進(jìn)行系統(tǒng)調(diào)優(yōu)��,但是不希望運(yùn)維人員可以檢索或?qū)С稣鎸?shí)數(shù)據(jù)��,動(dòng)態(tài)脫敏可以概括為“邊脫敏���,邊使用”。
三�、靜態(tài)脫敏與動(dòng)態(tài)脫敏的技術(shù)路線
靜態(tài)脫敏直接通過(guò)屏蔽、變形�、替換、隨機(jī)���、格式保留加密(FPE)和強(qiáng)加密算法(如AES)等多種脫敏算法��,針對(duì)不同數(shù)據(jù)類(lèi)型進(jìn)行數(shù)據(jù)掩碼擾亂���,并可將脫敏后的數(shù)據(jù)按用戶(hù)需求,裝載至不同環(huán)境中���。靜態(tài)脫敏可提供文件至文件�����,文件至數(shù)據(jù)庫(kù)��,數(shù)據(jù)庫(kù)至數(shù)據(jù)庫(kù)����,數(shù)據(jù)庫(kù)至文件等不同裝載方式�����。導(dǎo)出的數(shù)據(jù)是以脫敏后的形式存儲(chǔ)于外部存貯介質(zhì)中�,實(shí)際上已經(jīng)改變了存儲(chǔ)的數(shù)據(jù)內(nèi)容。
動(dòng)態(tài)脫敏通過(guò)準(zhǔn)確的解析SQL語(yǔ)句匹配脫敏條件�,例如:訪問(wèn)IP、MAC��、數(shù)據(jù)庫(kù)用戶(hù)�����、客戶(hù)端工具�����、操作系統(tǒng)用戶(hù)、主機(jī)名�����、時(shí)間�、影響行數(shù)等,在匹配成功后改寫(xiě)查詢(xún)SQL或者攔截防護(hù)返回脫敏后的數(shù)據(jù)到應(yīng)用端���,從而實(shí)現(xiàn)敏感數(shù)據(jù)的脫敏�。實(shí)際上存儲(chǔ)于生產(chǎn)庫(kù)的數(shù)據(jù)未發(fā)生任何變化�。
四、靜態(tài)脫敏與動(dòng)態(tài)脫敏的部署方式
靜態(tài)脫敏可將脫敏設(shè)備部署于生產(chǎn)環(huán)境與測(cè)試�����、開(kāi)發(fā)�����、共享環(huán)境之間����,通過(guò)脫敏服務(wù)器實(shí)現(xiàn)靜態(tài)數(shù)據(jù)抽取��、脫敏�、裝載����。在安全要求較高的場(chǎng)景下,可以在業(yè)務(wù)部門(mén)數(shù)據(jù)出口及測(cè)試部門(mén)數(shù)據(jù)入口分別部署脫敏服務(wù)器��,通過(guò)offline的加密文件傳輸方式����,將生產(chǎn)環(huán)境數(shù)據(jù)靜態(tài)脫敏至非生產(chǎn)環(huán)境�����。
靜態(tài)脫敏部署圖
動(dòng)態(tài)脫敏采用代理部署方式:物理旁路��,邏輯串聯(lián)��。應(yīng)用或者運(yùn)維人員對(duì)數(shù)據(jù)庫(kù)的訪問(wèn)必須都經(jīng)過(guò)動(dòng)態(tài)脫敏設(shè)備才能根據(jù)系統(tǒng)的規(guī)則對(duì)數(shù)據(jù)訪問(wèn)結(jié)果進(jìn)行脫敏���。
動(dòng)態(tài)脫敏部署圖
無(wú)論動(dòng)態(tài)脫敏還是靜態(tài)脫敏技術(shù)�,在保障敏感數(shù)據(jù)的安全使用目標(biāo)下,顯得尤為重要���,也是安華金和提出的數(shù)據(jù)安全治理技術(shù)框架中重要的一環(huán)�。靜態(tài)脫敏技術(shù)目前相對(duì)成熟���,而動(dòng)態(tài)脫敏對(duì)業(yè)務(wù)實(shí)時(shí)性的要求極高����,脫敏處理對(duì)性能要求必須控制到最低����,并且能夠提供大規(guī)模、高并發(fā)訪問(wèn)下的脫敏工作�,這成為目前動(dòng)態(tài)脫敏工具的主要技術(shù)攻堅(jiān)點(diǎn)。
目前���,安華金和靜態(tài)脫敏和動(dòng)態(tài)脫敏產(chǎn)品已經(jīng)成功應(yīng)用于金融�����、社保�����、政府����、運(yùn)營(yíng)商等部門(mén)和企業(yè)的系統(tǒng)中,其中動(dòng)態(tài)脫敏產(chǎn)品對(duì)用戶(hù)業(yè)務(wù)的性能損耗已經(jīng)控制到可接受范圍�,基本實(shí)現(xiàn)訪問(wèn)無(wú)感。
后續(xù)我們還將繼續(xù)分享脫敏工具在真實(shí)案例中的解決方案�、使用效果及價(jià)值體現(xiàn),敬請(qǐng)期待~
產(chǎn)品咨詢(xún):4000 258 365 
