新一代数据动态脱敏,为敏感数据建立保护盾
作者: 日期:2022年11月29日 阅:1,430

● 随着DT时代数据量的激增,数据存储和使用场景复杂程度大幅提高,隐藏在数据背后可被挖掘的信息也逐渐丰富,数据面临的泄露风险与日俱增。据IBM发布的《2022年数据泄露成本报告》显示,数据泄露的平均成本创下435万美元历史新高,这也使得无论政府还是企业对数据防泄露都越发重视。IDC于9月30日发布的中国数据泄露防护市场报告显示,中国数据泄露防护市场在2021年实现了39.2%的同比增长,规模达到1.25亿美元,且未来很长一段时间依然会稳步增长。

● 国家、行业主管部门对于数据安全的管理制度愈加严格与完善,同时在数据共享使用的一些场景中对于脱敏数据的仿真程度、脱敏效率等要求也越来越高。为了适应这些变化和需求,专业的脱敏产品应运而生。数据动态脱敏能够在访问敏感数据的同时实时进行脱敏处理,可以为不同角色、不同权限、不同数据类型执行不同的脱敏方案,从而确保数据使用自由而安全

数据动态脱敏的痛点

01 数据资产庞大,摸清家底难

《国家数据资源调查报告(2021)》中指出,2021年全年,我国数据产量达到6.6ZB,同比增加29.4%,占全球数据总产量(67ZB)的9.9%,仅次于美国(16ZB),位列全球第二。近三年来,我国数据产量每年保持30%左右的增速。随着数据量的高速增长,敏感数据的量级也在不断增加。在不断变化的巨量数据中持续发现各类型的敏感数据成为一件繁琐且困难的工作。

02 最小化权限管理,分类分权动态脱敏

《金融数据安全 数据生命周期安全规范》中明确提出,应依据“业务必需、最小权限、职责分离”的原则对数据进行安全管理。动态脱敏会应用在业务脱敏、运维脱敏、数据交换脱敏等场景中,会在生产环境中根据不同场景需求或访问用户权限对同一敏感数据读取时进行不同方式的脱敏,保障企事业单位满足正常业务需要的同时,防止敏感数据的滥用。

03 高性能与高适用难兼得

动态脱敏技术包含两种技术路线,一种是SQL改写技术,一种是结果集脱敏技术SQL改写技术,顾名思义是将查询敏感字段数据的SQL语句改写为查询脱敏字段数据的SQL语句,达到数据动态脱敏的效果。此种技术性能较高,但由于SQL语句的可编写性和功能性有限制继而无法满足更多的脱敏算法定制,导致面对复杂的SQL时效果会受限。结果集脱敏为对所查询的结果集进行脱敏后返回至客户端/应用。此种技术能够应对更多场景,但会使得产品性能大受影响,在高并发,大流量的需求下无法逐一应对。目前数据脱敏需求仍在增加,市面上的产品也层出不穷,但实际上大部分产品采用的是上述其一技术路线,无法兼顾高性能和高适用性。为应对更多真实的脱敏环境,需要更佳的数据动态脱敏产品来兼顾性能和适用性需求。

04 需保障业务连续性

数据动态脱敏系统需采用串接式的部署模式,一旦出现故障会直接影响业务正常运行,需具备技术手段的加持来保障其业务连续性。

数据动态脱敏能力

01 敏感数据自动发现

数据动态脱敏产品应具备敏感数据自动发现的能力,系统通过执行批量发现任务,从用户庞大的数据资产中准确定位敏感数据,最终形成敏感数据列表,并将敏感字段在具体数据表中的分布情况一览无余地展现出来。对于发现敏感数据的特征规则,一方面应具备常用敏感数据特征,如:身份证号、银行卡号、手机号码、中文姓名、中文地址、证件号、姓名、单位信息、Mac 地址等;另一方面也应支持自定义发现敏感数据特征规则,包含正则、字段字段、数据字典、复合匹配方式,以便满足更多敏感数据特征需求。敏感数据自动发现能力可以在持续发现新敏感数据的前提下,减轻人工的繁琐工作,并且最大限度地减少人工操作带来的疏漏和错误。除此之外,系统支持将发现的敏感信息批量关联到脱敏规则中,这一功能大大释放了用户的人力压力,也为下一步数据脱敏打下基础。

02 分类分级关联

随着国家及各行业不断增加对数据分类分级等级保护的监管要求,数据分类分级已经成为数据安全建设的基础。数据动态脱敏产品也应与数据分类分级结果进行联动,即可将数据分类分级的结果直接导入至数据动态脱敏系统中,根据分类结果进行更加准确高效的动态脱敏。

03 分类分权脱敏

动态脱敏产品内置丰富的脱敏算法,可实现数据遮蔽、仿真替换、指定替换等,也可以根据需求自定义脱敏算法。管理者可根据业务场景需求和用户权限,对同一数据特征配置不同脱敏算法,最大程度保障数据的可用性。数据遮蔽:对敏感数据的全部/部分内容采用“*”或者“#”等字符进行遮蔽。

随机替换脱敏:对敏感数据指定部分采用和原数据结构相同、内容相近的内容进行随机替换,确保数据格式不变。

指定替换脱敏:对敏感数据部分采用和原数据结构相同的内容进行指定替换。

04 双技术路线脱敏安华金和新一代数据动态脱敏产品

融合了SQL改写与结果集脱敏两种脱敏技术路线,兼顾性能和适用性。以性能为前提,对请求方向SQL语句进行改写实现动态脱敏,不影响业务系统的正常运转以及日常运维操作的时效性。面对无法改写的SQL语句的复杂场景,可通过结果集脱敏技术路线来实现更多场景的覆盖,使动态脱敏应用更加广泛。

05 双机主备高可用

动态脱敏采用串接的方式,为保证业务的连续性,产品支持双机主备部署,实现高可用机制,通过网络协议和 HA 心跳线进行主备间探测与切换,采用网络、资产、策略同步机制,保障双机间的一致性。

产品实力屡受认可

● 在Gartner发布的Market Guide for Data Masking(数据脱敏市场指南)中,安华金和连续两年跻身数据脱敏领域全球代表厂商,也是该领域代表厂商中唯一的中国数据安全企业;

● 在金融、政府、医疗、企业等领域,获得上百个企业的一致选择,满足各行业的脱敏需求。安华金和作为中国专业的数据安全产品及解决方案提供商,凭借先进的技术和多年积累的行业经验,所研发的面向生产数据进行动态掩码的专业数据脱敏产品——安华金和数据动态脱敏系统(简称:DMS-D),是一款基于数据库协议解析技术结合 SQL 语句改写与结果集脱敏的数据动态脱敏系统。其通过代理技术,无需改变生产库中的数据,即可依据用户权责,动态地对生产数据库返回的数据进行差异化地遮蔽、仿真脱敏处理,确保业务用户、外包用户、运维人员、兼职人员、合作伙伴、数据分析师等角色能够差异化地访问生产环境的敏感数据。

安华金和数据动态脱敏系统凭借以上五大核心能力,解决不同场景、不同级别的脱敏问题,为用户提供全面的安全防护,实现对个人隐私及敏感信息的有效保护,满足国家法律法规以及行业标准的相关要求。

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章