在当前国内信息安全热潮中,数据脱敏作为数据安全的重要组成部分已经得到业界的认可和重视。早在2012年,Gartner就首次将数据屏蔽作为单独的魔力象限发布。Gartner在2014年提出:根据数据使用场景,数据屏蔽可以分为静态数据屏蔽(Staticdatamasking-SDM)和动态数据屏蔽(Dynamicdatamasking-DDM)。可能有人从字面上看,认为动态数据脱敏一定比静态数据脱敏更高级。不是,静态还是动态取决于脱敏的使用场景,主要是根据使用场景选择合适的数据脱敏方式。今天我们将讨论动态数据脱敏和静态数据脱敏的区别,着重分析其原理、使用场景、部署方式等,对安全防护起到至关重要的作用。1、动态和静态数据脱敏“半斤八两”。前面说了静态数据脱敏和动态数据脱敏是根据脱敏数据的使用场景来区分的。所谓数据使用环境,主要是指业务系统脱敏数据的使用环境,一般可分为生产环境和非生产环境(开发、测试、外包、数据分析等)。.静态数据脱敏(SDM):一般用于非生产环境。敏感数据从生产环境中提取出来,经过脱敏处理后,再用于非生产环境。常用于训练、分析、测试、开发等非生产系统数据库;动态数据脱敏(DDM):常用于生产环境,在访问敏感数据时立即进行脱敏。一般用于解决在生产环境中读取同一份敏感数据时需要根据不同情况进行不同程度脱敏的场景。2、动态数据脱敏的实现原理动态数据脱敏是在用户层对数据进行唯一的屏蔽、加密、隐藏、审计或阻断访问的过程。应用、维护、开发工具请求时通过动态数据脱敏(DDM)),实时过滤请求的SQL语句,根据用户角色、权限等脱敏规则屏蔽敏感数据,横向或纵向使用安全级别,同时限制响应查询返回的行数。动态数据脱敏实现原理示意图动态数据脱敏(DDM)保证业务人员、运维人员、外包开发人员严格按照工作需要和安全级别访问敏感数据。3、动态掩码系统的使用场景本文选取业务掩码、运维掩码、数据交换掩码三个使用场景分别进行介绍。1.业务脱敏动态脱敏系统首先要解决的问题是业务系统普通用户访问应用系统时数据权限的控制。一般情况下,业务系统开发时,不同的用户会根据用户身份认证后限制数据访问。例如,业务用户在访问一行数据时,只需要查看客户的姓名、电话号码等个人信息,而无需查看身份证号或家庭住址。进行脱敏。对于遗留系统(旧系统无法升级),开发时没有考虑《网络安全法》中要求的个人隐私保护,如果重新改代码太复杂,只能依靠外部技术实现数据隐私保护。需要用到动态脱敏技术。2、运维脱敏在信息安全的职责分离中,数据的人员分为三类:数据拥有者、数据管理员和系统管理员。数据所有者是业务人员,而数据管理员(DBA)和系统管理员是运维人员。动态脱敏最迫切的需求之一就是数据库运维人员。运维人员拥有管理员账号DBA账号,但业务系统的数据属于业务部门,不属于运维部门。基于职责分离的原则,如何让运维人员可以访问业务生产数据库,又不让他们看到敏感数据?以员工薪资表为例,当数据库运维人员使用高权限账号查询此类敏感表时,动态脱敏系统会自动脱敏该敏感表(如薪资表)的所有关键信息(薪资),显示它以防止敏感信息泄露。之前的技术手段是DAM技术方案,对数据库进行访问审计管理,记录DBA登录后的所有操作,作为追溯。但这是一种被动的(事后)检测能力,隐私保护也需要预防性(事前)的技术能力。这种针对DBA维护的数据脱敏,就是动态脱敏中的运维脱敏。3、数据交换脱敏动态脱敏还有一个不常见的使用场景:业务系统之间的数据访问(叫数据交换更合适)。为满足隐私保护,需要对交互的数据进行脱敏处理,但与传统的静态脱敏不同,移交前无需将数据导出进行脱敏处理,而是直接通过业务系统之间的接口调用。这属于应用系统之间的非落地数据交换,这种数据交换的数据需要进行脱敏处理。四、动态掩蔽系统的部署方式1、代理网关动态掩蔽系统的一种常见部署方式,逻辑上是旁路,物理上是串行方式。最初,应用系统与数据库建立连接。为实现数据脱敏处理,将应用系统的SQL数据连接请求转发给脱敏代理系统。请求经过动态脱敏系统解析后,将SQL语句转发给数据库服务器,数据库服务器返回的数据也经过动态脱敏系统,由脱敏系统返回给应用服务器。这种部署方式是可以实现的,不需要在数据库服务器和应用服务器上安装软件就可以脱敏,但是这也需要改变应用服务器对数据库的调用地址,也就是说原来的应用服务器连接到数据库。现在换应用服务器连接动态脱敏代理网关。这种部署方式可以实现对应用用户的粗粒度脱敏,也可以实现对运维的脱敏。问题是无法针对应用用户实现不同的用户级脱敏算法和效果。同时,运维脱敏也存在被绕过的危险。DBA可以绕过动态脱敏系统,直接访问数据库地址。(国外的Informatica产品往往是这样部署的)。2、透明网关的部署方式是在应用服务器和数据库之间串接动态屏蔽系统。由于动态掩蔽系统可以在OSI第2层工作,因此不需要IP地址。也就是说,他们都像以前一样访问自己的真实IP地址,动态脱敏系统通过协议分析对流量中的SQL语句进行分析,实现脱敏。这种部署方式不需要改变应用服务器和数据库服务器之间的连接设置,但是会在网络中形成单点故障。虽然经常使用BYPASS技术作为支撑,但是所有流量都会经过网关,这会造成网关性能瓶颈。(国外的数据库防火墙如Imperva都会用到这种方式,但是动态脱敏只是一个很小的功能,这种脱敏方式只针对少量的敏感数据使用。)3.软件Agent代理方式这种方式在数据库中使用代理安装在服务器上以监控数据访问请求。当请求的数据是敏感数据时,Agent会使用脱敏算法对数据进行脱敏处理。这种部署方式需要在数据库服务器上安装软件,好处是运维人员无法绕过。5、动态脱敏在隐私保护和数据安全解决方案中的作用数据脱敏不仅仅是一种新颖的数据操作,它已经成为软件生命周期和数据管理的核心内容。其中,静态数据屏蔽技术已经融入软件生命周期(SLC),动态数据屏蔽技术成为数据管理过程中不可或缺的一部分。
