數(shù)據(jù)庫脫敏是一種采用專門的脫敏算法對(duì)敏感數(shù)據(jù)進(jìn)行變形���、屏蔽��、替換��、隨機(jī)化��、加密����,并將敏感數(shù)據(jù)轉(zhuǎn)化為虛構(gòu)數(shù)據(jù)的技術(shù)��。按照作用位置���、實(shí)現(xiàn)原理不同���,數(shù)據(jù)脫敏可以劃分為靜態(tài)數(shù)據(jù)脫敏(Static Data Masking, SDM )和動(dòng)態(tài)數(shù)據(jù)脫敏(Dynamic Data Masking, DDM )。
靜態(tài)脫敏一般用于非生產(chǎn)環(huán)境�,在不能將敏感數(shù)據(jù)存儲(chǔ)于非生產(chǎn)環(huán)境的場合中,通過脫敏程序轉(zhuǎn)換生產(chǎn)數(shù)據(jù)�,使數(shù)據(jù)內(nèi)容及數(shù)據(jù)間的關(guān)聯(lián)能夠滿足測試、開發(fā)中的問題排查需要��,同時(shí)進(jìn)行數(shù)據(jù)分析、數(shù)據(jù)挖掘等分折活動(dòng)��。而動(dòng)態(tài)脫敏通常用于生產(chǎn)環(huán)境���,在敏感數(shù)據(jù)被低權(quán)限個(gè)體訪問時(shí)才對(duì)其進(jìn)行脫敏����,并能夠根據(jù)策略執(zhí)行相應(yīng)的脫敏方法��。靜態(tài)脫敏與動(dòng)態(tài)脫敏的區(qū)別在于�����,是否在使用敏感數(shù)據(jù)時(shí)才進(jìn)行脫敏�,這將影響脫敏規(guī)則的實(shí)現(xiàn)位置、脫敏方法和策略等參數(shù)��。
靜態(tài)脫敏技術(shù)原理主要通過內(nèi)置規(guī)則來自動(dòng)識(shí)別敏感數(shù)據(jù)���,通過內(nèi)置的脫敏算法進(jìn)行數(shù)據(jù)的漂白��。
現(xiàn)在數(shù)據(jù)庫脫敏技術(shù)有兩種方式來識(shí)別敏感數(shù)據(jù)���。第一種是通過人工指定,比如通過正則表達(dá)式來指定敏感數(shù)據(jù)的格式����,Oracle公司開發(fā)的Oracle Data Masking Pack中就使用了這一種方法來指定。
正則表達(dá)式工具圖
第二種方式為自動(dòng)識(shí)別�,該方式是基于敏感數(shù)據(jù)的特征來進(jìn)行敏感數(shù)據(jù)的自動(dòng)識(shí)別。此方式一般不需要用戶編寫正則表達(dá)式的格式來指定敏感數(shù)據(jù)�,通常產(chǎn)品通過預(yù)置的規(guī)則來識(shí)別一些常見的敏感數(shù)據(jù),比如信用卡號(hào)��,SSN����, 手機(jī)號(hào),電子郵箱�,IP地址,住址等��。
識(shí)別出敏感數(shù)據(jù)之后�����,就需要使用脫敏算法來進(jìn)行脫敏���。在比較常見的數(shù)據(jù)脫敏系統(tǒng)中�,算法的選擇一般是通過手工指定,比如通過內(nèi)置豐富高效的脫敏算法�,對(duì)常見數(shù)據(jù)如姓名、證件號(hào)�����、銀行賬戶��、金額���、日期�、住址�����、電話號(hào)碼���、Email地址�����、車牌號(hào)����、車架號(hào)、企業(yè)名稱�、工商注冊號(hào)�、組織機(jī)構(gòu)代碼、納稅人識(shí)別號(hào)等敏感數(shù)據(jù)進(jìn)行脫敏��。內(nèi)置脫敏算法具有如下幾種:
1)同義替換
2)部分?jǐn)?shù)據(jù)遮蔽
3)混合屏蔽
4)確定性屏蔽
5)可逆脫敏
在大數(shù)據(jù)環(huán)境中��,數(shù)據(jù)的海量��、異構(gòu)�����、實(shí)時(shí)處理將成為常態(tài)����,能夠在不影響數(shù)據(jù)使用的前提下,在用戶層面實(shí)現(xiàn)數(shù)據(jù)屏蔽��、加密��、隱藏���、審汁或內(nèi)容封鎖的動(dòng)態(tài)脫敏具有更強(qiáng)的優(yōu)勢��。動(dòng)態(tài)脫敏基于橫向或縱向的安全等級(jí)要求�,依據(jù)用戶角色、職責(zé)和其他規(guī)則變換敏感數(shù)據(jù)���,其能力的發(fā)揮對(duì)大數(shù)據(jù)的廣泛�����、合規(guī)性應(yīng)用至關(guān)重要��。
動(dòng)態(tài)數(shù)據(jù)脫敏目前主流的實(shí)現(xiàn)機(jī)制是基于代理的實(shí)現(xiàn)機(jī)制�。在這種機(jī)制中����,用戶的數(shù)據(jù)請(qǐng)求被代理實(shí)時(shí)在線攔截并經(jīng)脫敏后返回,此過程對(duì)于用戶及應(yīng)用程序完全透明�����。這種機(jī)制的脫敏判斷是在數(shù)據(jù)容器外實(shí)現(xiàn)��,因而能夠適用于非關(guān)系型數(shù)據(jù)庫��,如大數(shù)據(jù)環(huán)境。脫敏代理部署在數(shù)據(jù)容器的出口處以網(wǎng)關(guān)方式運(yùn)行���,檢測并處理所有用戶與服務(wù)器間的數(shù)據(jù)請(qǐng)求及響應(yīng)����。它的好處是�,無需對(duì)數(shù)據(jù)存儲(chǔ)方式及應(yīng)用程序代碼做出任何更改�。代理實(shí)現(xiàn)數(shù)據(jù)脫敏的具體方法是查詢語句或響應(yīng)語句替換。代理能自動(dòng)識(shí)別目標(biāo)為敏感數(shù)據(jù)的查詢語句��,并將語句改寫為不包含敏感字段�����,或?qū)γ舾凶侄芜M(jìn)行變換處理的查詢語句���。查詢結(jié)果返回代理時(shí)�����,會(huì)被重新計(jì)算�����、修改并包裝為與原請(qǐng)求一致的格式交付用戶����,從而完成一次敏感信息的查詢過程,其原理圖如下圖所示
基于代理的動(dòng)態(tài)脫敏實(shí)現(xiàn)機(jī)制圖
國內(nèi)領(lǐng)先的數(shù)據(jù)庫安全廠商�����,早在2016年就已經(jīng)研發(fā)出數(shù)據(jù)庫脫敏產(chǎn)品���,目前已經(jīng)廣泛應(yīng)用于金融��、社保�����、軍工�、能源�、大型企業(yè)等行業(yè),在不影響用戶業(yè)務(wù)運(yùn)轉(zhuǎn)效率的前提下��,保障數(shù)據(jù)使用安全的提升�,讓用戶自由而放心的使用敏感數(shù)據(jù)。
產(chǎn)品咨詢:4000 258 365 
