一���、概述
數(shù)據(jù)脫敏的需求正在迅速上升���,政府和企業(yè)的CIO們知道:數(shù)據(jù)只有在使用和流動中才會產(chǎn)生價值。為了滿足企業(yè)對數(shù)據(jù)更多樣的使用需求����,更多核心敏感數(shù)據(jù)需要脫離原本的生產(chǎn)和存儲環(huán)境,抽取使用至測試環(huán)境��,被應(yīng)用用戶檢索訪問�����,被分析部門調(diào)取挖掘等等����。數(shù)據(jù)脫敏工具的出現(xiàn)正是為了滿足數(shù)據(jù)的安全使用。
數(shù)據(jù)脫敏的基本效果是通過脫敏算法將敏感數(shù)據(jù)進(jìn)行遮蔽���、變形���,將敏感級別降低后對外發(fā)放����,或供訪問使用��?��;驹泶蠹叶济靼?����,但對于不同的使用場景�����,需要使用不同的脫敏技術(shù)實現(xiàn)�,相應(yīng)的部署和實現(xiàn)原理也不相同����,由此產(chǎn)生了“靜態(tài)脫敏”和“動態(tài)脫敏”兩類脫敏工具�����,兩者應(yīng)對不同需求和場景�,不可相互替代��。本文將從適用場景���、技術(shù)手段、部署方式三個方面闡述靜態(tài)脫敏和動態(tài)脫敏的區(qū)別����,希望能夠?qū)τ趶V大用戶對于靜態(tài)脫敏和動態(tài)脫敏產(chǎn)品的了解有所幫助。
二��、兩者的使用場景和用途
靜態(tài)脫敏適用于將數(shù)據(jù)抽取出生產(chǎn)環(huán)境脫敏后分發(fā)至測試�����、開發(fā)����、培訓(xùn)、數(shù)據(jù)分析等場景��。
靜態(tài)脫敏是將數(shù)據(jù)抽取進(jìn)行脫敏處理后�,下發(fā)至測試庫。開發(fā)��、測試���、培訓(xùn)���、分析人員可以隨意取用測試數(shù)據(jù)��,并進(jìn)行讀寫操作����,脫敏后的數(shù)據(jù)與生產(chǎn)環(huán)境隔離�����,滿足業(yè)務(wù)需要的同時保障生產(chǎn)數(shù)據(jù)庫的安全��,靜態(tài)脫敏可以概括為數(shù)據(jù)的“搬移并仿真替換”����。
動態(tài)脫敏適用于不脫離生產(chǎn)環(huán)境,對敏感數(shù)據(jù)的查詢和調(diào)用結(jié)果進(jìn)行實時脫敏��。
動態(tài)脫敏能夠?qū)ιa(chǎn)庫返回的數(shù)據(jù)進(jìn)行實時脫敏處理��,確保返回數(shù)據(jù)可用而安全�。例如應(yīng)用需要呈現(xiàn)部分?jǐn)?shù)據(jù)���,但是又不希望應(yīng)用賬號可以看到全部數(shù)據(jù)�;運維人員需要維護(hù)表結(jié)構(gòu),進(jìn)行系統(tǒng)調(diào)優(yōu)���,但是不希望運維人員可以檢索或?qū)С稣鎸崝?shù)據(jù)�����,動態(tài)脫敏可以概括為“邊脫敏���,邊使用”。
三����、靜態(tài)脫敏與動態(tài)脫敏的技術(shù)路線
靜態(tài)脫敏直接通過屏蔽、變形���、替換����、隨機��、格式保留加密(FPE)和強加密算法(如AES)等多種脫敏算法,針對不同數(shù)據(jù)類型進(jìn)行數(shù)據(jù)掩碼擾亂�����,并可將脫敏后的數(shù)據(jù)按用戶需求��,裝載至不同環(huán)境中�。靜態(tài)脫敏可提供文件至文件,文件至數(shù)據(jù)庫����,數(shù)據(jù)庫至數(shù)據(jù)庫,數(shù)據(jù)庫至文件等不同裝載方式�����。導(dǎo)出的數(shù)據(jù)是以脫敏后的形式存儲于外部存貯介質(zhì)中�,實際上已經(jīng)改變了存儲的數(shù)據(jù)內(nèi)容。
動態(tài)脫敏通過準(zhǔn)確的解析SQL語句匹配脫敏條件���,例如:訪問IP��、MAC���、數(shù)據(jù)庫用戶����、客戶端工具�、操作系統(tǒng)用戶�����、主機名���、時間���、影響行數(shù)等,在匹配成功后改寫查詢SQL或者攔截防護(hù)返回脫敏后的數(shù)據(jù)到應(yīng)用端��,從而實現(xiàn)敏感數(shù)據(jù)的脫敏�����。實際上存儲于生產(chǎn)庫的數(shù)據(jù)未發(fā)生任何變化�����。
四����、靜態(tài)脫敏與動態(tài)脫敏的部署方式
靜態(tài)脫敏可將脫敏設(shè)備部署于生產(chǎn)環(huán)境與測試、開發(fā)����、共享環(huán)境之間,通過脫敏服務(wù)器實現(xiàn)靜態(tài)數(shù)據(jù)抽取�、脫敏、裝載����。在安全要求較高的場景下,可以在業(yè)務(wù)部門數(shù)據(jù)出口及測試部門數(shù)據(jù)入口分別部署脫敏服務(wù)器�����,通過offline的加密文件傳輸方式��,將生產(chǎn)環(huán)境數(shù)據(jù)靜態(tài)脫敏至非生產(chǎn)環(huán)境。
靜態(tài)脫敏部署圖
動態(tài)脫敏采用代理部署方式:物理旁路��,邏輯串聯(lián)����。應(yīng)用或者運維人員對數(shù)據(jù)庫的訪問必須都經(jīng)過動態(tài)脫敏設(shè)備才能根據(jù)系統(tǒng)的規(guī)則對數(shù)據(jù)訪問結(jié)果進(jìn)行脫敏�����。
動態(tài)脫敏部署圖
無論動態(tài)脫敏還是靜態(tài)脫敏技術(shù)��,在保障敏感數(shù)據(jù)的安全使用目標(biāo)下��,顯得尤為重要����,也是安華金和提出的數(shù)據(jù)安全治理技術(shù)框架中重要的一環(huán)�。靜態(tài)脫敏技術(shù)目前相對成熟��,而動態(tài)脫敏對業(yè)務(wù)實時性的要求極高��,脫敏處理對性能要求必須控制到最低,并且能夠提供大規(guī)模���、高并發(fā)訪問下的脫敏工作����,這成為目前動態(tài)脫敏工具的主要技術(shù)攻堅點�����。
目前�,安華金和靜態(tài)脫敏和動態(tài)脫敏產(chǎn)品已經(jīng)成功應(yīng)用于金融��、社保、政府�、運營商等部門和企業(yè)的系統(tǒng)中��,其中動態(tài)脫敏產(chǎn)品對用戶業(yè)務(wù)的性能損耗已經(jīng)控制到可接受范圍��,基本實現(xiàn)訪問無感��。
后續(xù)我們還將繼續(xù)分享脫敏工具在真實案例中的解決方案�、使用效果及價值體現(xiàn)��,敬請期待~
產(chǎn)品咨詢:4000 258 365 
