對于企業而言,資料洩露事故的影響可能是災難性的,并失去客戶的信心和信任,面臨經濟懲罰和其他嚴重後果。根據ponemon研究所2016年資料洩漏事故成本研究顯示,資料洩露事故的平均總成本是400萬美元,這比2013年增加了29%。每條洩露記錄的平均成本是158美元,而醫療保健和零售業每條洩露記錄的平均成本分别是355美元和129美元。盡管資料洩露威脅有着極高的風險,企業仍然是資料洩露的受害者,對此,企業開始非常重視對企業擁有、處理和存儲資料的保護。
雖然外部威脅仍然是高優先處理事項,但對敏感資料的威脅同樣來自内部人員。員工竊取客戶資訊、個人可識别資訊或信用卡詳細資訊都是真實的威脅,這是因為在大多數情況下,系統管理或資料庫管理者等特權使用者被授予對資料的通路權限。通常,生産環境的實際資料會拷貝到非生産環境,非生産環境并不太安全,也沒有部署與生産環境相同的安全控制,這些資料很可能被洩露或竊取。
資料混淆技術提供了不同的方式來確定資料不會落入錯誤的人手中,并且,隻有少數個人可通路敏感資訊,同時還可確定滿足業務需求。
什麼是資料混淆?
在技術領域,資料混淆(也成為資料掩蔽)是将測試或開發環境中現有的敏感資訊替換為看起來像真實生産資訊的資訊,但這些資訊無法被任何人濫用。換句話說,測試或開發環境的使用者不需要看到真實生産資料,隻要這些資料與真實資料相似即可。
是以,資料混淆計劃被用于保護資料,它可幫助掩蔽非生産環境中包含的敏感資訊,讓企業可緩解資料洩露的風險。
對資料混淆技術的需求
企業通常需要将生産資料庫中存儲的生産資料複制到非生産或測試資料庫,這樣做是為了真實地完成應用功能測試以及涵蓋實時場景或最大限度減少生産漏洞或缺陷。這種做法的影響是,非生産環境很容易成為網絡罪犯或惡意内部人員的簡易目标,讓他們可輕松地擷取敏感資料。由于非生産環境并沒有像生産環境那樣受到嚴格控制和管理,當資料洩露事故發生時,企業可能需要花費數百萬美元修複聲譽損害或者品牌價值損失。
監管要求是資料混淆技術的另一個關鍵驅動因素。例如,支付卡行業資料安全标準(pci dss)鼓勵商家加強支付卡資料安全,廣泛部署一緻的資料安全做法,滿足技術和操作要求。
pci dss要求商家的生産環境和資訊不能用于測試和開發。不當的資料洩露(無論是意外還是惡意事件)都會帶來毀滅性後果,并可能導緻高昂的罰款或法律行為。
資料混淆用例
資料混淆技術的典型用例是當開發環境資料庫交由第三方供應商或外包商處理和管理時;資料混淆是確定第三方供應商可執行其職責及功能非常重要的工具。通過部署資料混淆技術,企業可使用資料庫中相似值來替換敏感資訊,而不必擔心第三方供應商在開發期間暴露該資訊。
另一個典型用例是在零售業,零售商需要與市場研究公司共享客戶銷售點資料以運用進階分析算法來分析客戶的購買模式和趨勢。零售商不必向研究公司提供真實的客戶資料,而可提供類似真實客戶資料的替代資料。這種方法可幫助企業減少通過業務合作夥伴或其他第三方供應商洩露資料的風險。
作者:鄒铮譯
來源:51cto