在目前國内資訊安全熱潮中,資料脫敏作為資料安全的重要一環得到了業界的認可與重視。早在2012年,資料脫敏首次作為一個單獨的魔力象限由Gartner釋出,Gartner在2014年又提出了:按照資料使用場景,将資料脫敏分為靜态資料脫敏(Static data masking-SDM )與動态資料脫敏(Dynamic data masking-DDM )。
可能有人望文生義,認為動态資料脫敏一定比靜态資料脫敏進階。非也非也,靜态or動态,取決于脫敏的使用場景,主要是以使用場景為由來選擇合适的資料脫敏的模式。
本文主要就動态資料脫敏和靜态資料脫敏的差別作解釋,着重和大家分析下動态資料脫敏的原理、使用場景、部署方式等,一窺動态資料脫敏如何在隐私資料安全保護中發揮至關重要的作用。
一、 動靜态資料脫敏“半斤八兩”
前面提到了,靜态資料脫敏與動态資料脫敏是按脫敏資料的使用場景來區分的。所謂的資料使用環境,主要是指業務系統脫敏之後的資料在哪些環境中使用,一般可分為生産環境和非生産環境(開發、測試、外包、資料分析等)。
靜态資料脫敏(SDM):一般用在非生産環境,将敏感資料從生産環境抽取并脫敏後給到非生産環境使用,常用于教育訓練、分析、測試、開發等非生産系統的資料庫;
動态資料脫敏(DDM):常用在生産環境,在通路敏感資料即時進行脫敏,一般用來解決在生産環境需要根據不同情況對同一敏感資料讀取時進行不同級别脫敏的場景。
二、 動态資料脫敏實作原理
動态資料脫敏是在使用者層對資料進行獨特屏蔽、加密、隐藏、審計或封鎖通路途徑的流程,當應用程式、維護、開發工具請求通過動态資料脫敏(DDM) 時,實時篩選請求的SQL語句,依據使用者角色、權限和其他脫敏規則屏蔽敏感資料,并且能運用橫向或縱向的安全等級,同時限制響應一個查詢所傳回的行數。
動态資料脫敏(DDM)以這種方式確定業務人員、運維人員以及外包開發人員嚴格根據其工作所需和安全等級通路敏感資料。
三、 動态脫敏系統的使用場景
本文選取業務脫敏、運維脫敏、資料交換脫敏三個使用場景分别展開介紹。
-
業務脫敏
動态脫敏系統首先要解決的問題是,業務系統的普通使用者通路應用系統時對資料權限的控制。正常情況下,業務系統開發時會依據使用者身份辨別進行身份驗證後,不同的使用者進行限制資料的通路。
如業務使用者在通路某行資料時,隻需要檢視客戶個人資訊的姓名、電話等資訊,而不需要檢視身份證号或家庭住址,故對身份證或家庭住址的顯示資訊實行*号或其他方式進行脫敏處理。
對于遺留系統(舊系統無法再作更新改造)以及開發時未考慮《網絡安全法》中要求的個人隐私保護問題,如若重新更改代碼過于複雜,隻能依賴于外部技術實作資料的隐私保護,這個時候也需要使用動态脫敏技術。
-
運維脫敏
在資訊安全的職責分離中,針對資料有三類人員:資料所有者、資料管理者、系統管理者。資料所有者是業務人員,而資料管理者(DBA)與系統管理者是運維人員.。
動态脫敏需求最為迫切需要的一個場景,就是針對資料庫的運維人員。運維人員擁有的是管理者帳号DBA賬号,但業務系統的資料是屬于業務機關而不是運維部門。從職責分離的原則上,如何實作既允許運維人員通路業務生産資料庫又不能讓他們看到敏感資料?
以員工的工資表為例,當資料庫的運維人員使用高權限賬号查詢這類敏感表時,動态脫敏系統将自動将此敏感表(如工資表)的關鍵資訊(工資)全部進行脫敏處理後再進行顯示,防止敏感資訊洩露。
之前的技術手段是DAM技術方案,針對資料庫作通路審計管理,針對DBA登陸後的一切操作進行記錄作為事後追溯。但這是一種被動的(事後)檢測性能力,對于隐私保護同時還需要有預防性(事前)的技術能力。這種針對DBA維護時資料脫敏就是動态脫敏中的運維脫敏。
-
資料交換脫敏
動态脫敏還有一種不常見的使用場景:業務系統與業務系統之間的資料通路(稱作資料交換更合适)。在滿足隐私保護時需要對交換的資料進行脫敏處理,但又不像傳統的靜态脫敏一樣需導出資料脫敏後再移交,而是通過業務系統之間的接口直接調用。這就屬于應用系統之間不落地的資料交換,針對這種交換的資料需要作脫敏處理。
四、 動态脫敏系統的部署方式
-
代理網關式
動态脫敏系統常見的一種部署模式,邏輯上是旁路,實體上是串行的方式。原本應用系統與資料庫建立連接配接,為了實作資料脫敏處理,應用系統的SQL資料連接配接請求轉發到脫敏代理系統,由動态脫敏系統解析請求後,再将SQL語句轉發到資料庫伺服器,資料庫伺服器傳回的資料同樣經過動态脫敏系統後由脫敏系統傳回給應用伺服器。
這種部署方式可以實作,不在資料庫伺服器與應用務器上安裝軟體就能進行脫敏處理,但這也需要更改應用務器對資料庫的調用位址,也就是說原來是由應用務器連接配接資料庫,現在改成應用伺服器連接配接動态脫敏的代理網關。這種部署模式能針對應用使用者實作粗粒度的脫敏,也可實作針對運維脫敏的處理。存在的問題是,針對應用使用者無法實作使用者級的不同脫敏算法與效果,同時運維脫敏也存在被繞過的危險,DBA可能會繞過動态脫敏系統直接通路資料庫位址。(國外Informatica 的産品就是常以這種方式部署)。
-
透明網關式
這種部署模式是将動态脫敏系統串接在應用伺服器與資料庫之間,由于動态脫敏系統能在OSI二層上工作,不需要IP位址,對應用伺服器與資料庫伺服器來說,都像原來一樣通路各自的真實IP位址,動态脫敏系統通過協定解析分析出流量中的SQL語句來實作脫敏。這種部署方式不需要更改應用伺服器與資料庫伺服器的連接配接設定,但在網絡中會形成單點故障,雖然常常有BYPASS技術作為支撐,但所有流量都會經過網關,會造成網關性能瓶頸問題。(國外做資料庫防火牆的Imperva 等會采用這種方式,但動态脫敏隻是其中小的功能,也隻是針對少量的敏感資料采用這種脫敏方式。)
-
軟體Agent代理方式
這種方式在資料庫伺服器上安裝Agent, 監控對資料的通路請求。當請求的資料是敏感資料時,Agent 會利用脫敏算法來對資料進行脫敏處理。這種部署方式需要在資料庫伺服器上安裝軟體,帶來了好處是運維人員無法繞過。
五、 動态脫敏在隐私保護與資料安全方案中作用
資料脫敏不隻是一種新穎的資料操作,它已成為軟體生命周期和資料管理的核心内容。其中,靜态資料脫敏技術已被納入內建到軟體生命周期(SLC),動态資料脫敏技術則成為資料管理過程中不可缺少的組成部分。
![【MySQL資料庫】資料庫索引事務1.索引2.事務[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)