概念
數(shù)據(jù)脫敏是指對某些敏感信息通過脫敏規(guī)則進行數(shù)據(jù)的變形,實現(xiàn)敏感隱私數(shù)據(jù)的可靠保護鸠匀。在涉及客戶安全數(shù)據(jù)或者一些商業(yè)性敏感數(shù)據(jù)的情況下蕉斜,在不違反系統(tǒng)規(guī)則條件下,對真實數(shù)據(jù)進行改造并提供測試使用缀棍,如身份證號宅此、手機號、卡號爬范、客戶號等個人信息都需要進行數(shù)據(jù)脫敏父腕。
數(shù)據(jù)脫敏是數(shù)據(jù)安全技術(shù)之一,數(shù)據(jù)庫安全技術(shù)主要包括:數(shù)據(jù)庫漏掃青瀑、數(shù)據(jù)庫加密璧亮、數(shù)據(jù)庫防火墻、數(shù)據(jù)脫敏斥难、數(shù)據(jù)庫安全審計系統(tǒng)枝嘶。數(shù)據(jù)庫安全風(fēng)險包括:拖庫、刷庫哑诊、撞庫群扶。
靜態(tài)脫敏與動態(tài)脫敏使用場景的區(qū)別
1、靜態(tài)脫敏適用于將數(shù)據(jù)抽取出生產(chǎn)環(huán)境脫敏后分發(fā)至測試镀裤、開發(fā)竞阐、培訓(xùn)、數(shù)據(jù)分析等場景暑劝。
原理是將數(shù)據(jù)抽取進行脫敏處理后骆莹,下發(fā)至脫敏庫。開發(fā)担猛、測試汪疮、培訓(xùn)峭火、分析人員可以隨意取用脫敏數(shù)據(jù),并進行讀寫操作智嚷,脫敏后的數(shù)據(jù)與生產(chǎn)環(huán)境隔離卖丸,滿足業(yè)務(wù)需要的同時保障生產(chǎn)數(shù)據(jù)的安全,靜態(tài)脫敏可以概括為數(shù)據(jù)的“搬移并仿真替換”盏道。
2稍浆、動態(tài)脫敏適用于不脫離生產(chǎn)環(huán)境,對敏感數(shù)據(jù)的查詢和調(diào)用結(jié)果進行實時脫敏猜嘱。
原理是將生產(chǎn)庫返回的數(shù)據(jù)進行實時脫敏處理衅枫,例如應(yīng)用需要呈現(xiàn)部分數(shù)據(jù),但是又不希望應(yīng)用賬號可以看到全部數(shù)據(jù)朗伶;運維人員需要維護數(shù)據(jù)弦撩,但又不希望運維人員可以檢索或?qū)С稣鎸崝?shù)據(jù),動態(tài)脫敏可以概括為“邊脫敏论皆,邊使用”益楼。
靜態(tài)脫敏與動態(tài)脫敏的技術(shù)路線的區(qū)別
1、靜態(tài)脫敏直接通過屏蔽点晴、變形感凤、替換、隨機粒督、格式保留加密(FPE)和強加密算法(如AES)等多種脫敏算法陪竿,針對不同數(shù)據(jù)類型進行數(shù)據(jù)掩碼擾亂,并可將脫敏后的數(shù)據(jù)按用戶需求屠橄,裝載至不同環(huán)境中族跛。靜態(tài)脫敏可提供文件至文件,文件至數(shù)據(jù)庫锐墙,數(shù)據(jù)庫至數(shù)據(jù)庫庸蔼,數(shù)據(jù)庫至文件等不同裝載方式。導(dǎo)出的數(shù)據(jù)是以脫敏后的形式存儲于外部存貯介質(zhì)中贮匕,實際上已經(jīng)改變了存儲的數(shù)據(jù)內(nèi)容姐仅。
2、動態(tài)脫敏通過準確的解析SQL語句匹配脫敏條件刻盐,例如:訪問IP掏膏、MAC、數(shù)據(jù)庫用戶敦锌、客戶端工具馒疹、操作系統(tǒng)用戶、主機名乙墙、時間颖变、影響行數(shù)等生均,在匹配成功后改寫查詢SQL或者攔截防護返回脫敏后的數(shù)據(jù)到應(yīng)用端,從而實現(xiàn)敏感數(shù)據(jù)的脫敏腥刹。實際上存儲于生產(chǎn)庫的數(shù)據(jù)未發(fā)生任何變化马胧。
靜態(tài)脫敏與動態(tài)脫敏的部署方式的區(qū)別
1、靜態(tài)脫敏可將脫敏設(shè)備部署于生產(chǎn)環(huán)境與測試衔峰、開發(fā)佩脊、共享環(huán)境之間,通過脫敏服務(wù)器實現(xiàn)靜態(tài)數(shù)據(jù)抽取垫卤、脫敏威彰、裝載。
2穴肘、動態(tài)脫敏采用代理部署方式:物理旁路歇盼,邏輯串聯(lián)。應(yīng)用或者運維人員對數(shù)據(jù)庫的訪問必須都經(jīng)過動態(tài)脫敏設(shè)備才能根據(jù)系統(tǒng)的規(guī)則對數(shù)據(jù)訪問結(jié)果進行脫敏评抚。
