4．       制度流程

①      數(shù)據(jù)脫敏原則

有效性：要求經(jīng)過(guò)數(shù)據(jù)脫敏處理后，原始信息中包含的敏感信息已被移除，無(wú)法通過(guò)處理后的數(shù)據(jù)得到敏感信息；

真實(shí)性：要求脫敏狗的數(shù)據(jù)應(yīng)盡可能的提現(xiàn)原始數(shù)據(jù)的特征，且應(yīng)盡可能多的保留原始數(shù)據(jù)中的有意義信息，以減小對(duì)使用該數(shù)據(jù)的系統(tǒng)的影響；

高效性：應(yīng)保證數(shù)據(jù)脫敏的過(guò)程可通過(guò)程序自動(dòng)化實(shí)現(xiàn)，可重復(fù)執(zhí)行；

穩(wěn)定性：數(shù)據(jù)脫敏時(shí)需保證對(duì)相同的原始數(shù)據(jù)，在各輸入條件一致的前提下，無(wú)論脫敏多少次，其最終結(jié)果數(shù)據(jù)是相同的；

可配置性：可通過(guò)配置的方式，按照輸入條件不同生成不同的脫敏結(jié)果，從而可以方便的按數(shù)據(jù)使用場(chǎng)景等因素為不同的最終用戶提供不同的脫敏數(shù)據(jù)。

②      數(shù)據(jù)脫敏管理安全規(guī)范

美創(chuàng)科技專(zhuān)家認(rèn)為一個(gè)完整的數(shù)據(jù)脫敏流程包括敏感數(shù)據(jù)識(shí)別、確定脫敏方法、制定脫敏策略、執(zhí)行脫敏操作、審計(jì)及溯源等步驟。由數(shù)據(jù)脫敏管理部門(mén)負(fù)責(zé)數(shù)據(jù)脫敏整個(gè)流程的執(zhí)行與監(jiān)督。

敏感數(shù)據(jù)識(shí)別

在數(shù)據(jù)脫敏之前，應(yīng)結(jié)合數(shù)據(jù)分級(jí)分類(lèi)表對(duì)敏感數(shù)據(jù)進(jìn)行識(shí)別和定義，明確需要脫敏的數(shù)據(jù)信息，一般包括個(gè)人信息數(shù)據(jù)、組織敏感信息、國(guó)家重要數(shù)據(jù)等。需要注意的是，有些信息本身可能并不是直接敏感信息，但是可用過(guò)與其他一些信息結(jié)合后推斷出敏感信息，此時(shí)也應(yīng)將此類(lèi)信息納入數(shù)據(jù)敏感的范圍。

確定脫敏方法

根據(jù)應(yīng)用場(chǎng)景和時(shí)間機(jī)制，數(shù)據(jù)脫敏方法可分為靜態(tài)數(shù)據(jù)脫敏和動(dòng)態(tài)數(shù)據(jù)脫敏。不同的數(shù)據(jù)脫敏方案對(duì)數(shù)據(jù)源的影響不同，脫敏時(shí)效性也不一樣。組織機(jī)構(gòu)應(yīng)根據(jù)識(shí)別出的敏感數(shù)據(jù)的具體情況，確定合適的脫敏方法。

制定脫敏策略

組織機(jī)構(gòu)應(yīng)根據(jù)實(shí)際業(yè)務(wù)場(chǎng)景，結(jié)合行業(yè)法規(guī)的要求，制定相應(yīng)的數(shù)據(jù)脫敏策略。

執(zhí)行脫敏操作

根據(jù)已定義的數(shù)據(jù)脫敏策略、以及數(shù)據(jù)脫敏工作的流程和數(shù)據(jù)脫敏工具的運(yùn)維管理制度，在實(shí)際業(yè)務(wù)運(yùn)營(yíng)過(guò)程中執(zhí)行數(shù)據(jù)脫敏。

審計(jì)及溯源

在數(shù)據(jù)脫敏的各個(gè)階段需加入安全審計(jì)機(jī)制，嚴(yán)格、詳細(xì)記錄數(shù)據(jù)處理過(guò)程中的相關(guān)信息，形成完整的數(shù)據(jù)處理記錄，用于后續(xù)問(wèn)題排查分析和安全事件取證溯源。同時(shí)，設(shè)置專(zhuān)人定期對(duì)脫敏相關(guān)的日志記錄進(jìn)行安全審計(jì)，發(fā)布審計(jì)報(bào)告，并跟進(jìn)審計(jì)中發(fā)現(xiàn)的異常。

5．       技術(shù)工具簡(jiǎn)述

一個(gè)有效的數(shù)據(jù)脫敏工具應(yīng)該包含兩部分，一部分是可靠的數(shù)據(jù)脫敏技術(shù)，另一部分是合理的脫敏規(guī)則，這兩部分是數(shù)據(jù)脫敏工具正常進(jìn)行基本數(shù)據(jù)脫敏作業(yè)的基礎(chǔ)。除此之外，數(shù)據(jù)脫敏工具需要有良好的適配性，能夠應(yīng)用在不同的環(huán)境下，如生產(chǎn)環(huán)境、開(kāi)發(fā)環(huán)境、測(cè)試環(huán)境、外包環(huán)境等。同時(shí)還需要能夠支持豐富的數(shù)據(jù)類(lèi)型，針對(duì)不同的應(yīng)用場(chǎng)景的的不同類(lèi)型的數(shù)據(jù)，脫敏后不能破壞原有的類(lèi)型和數(shù)據(jù)組成結(jié)構(gòu)。

①      技術(shù)工具的方法和原理

數(shù)據(jù)脫敏技術(shù)工具可以分為兩種，一種是靜態(tài)脫敏，另一種是動(dòng)態(tài)脫敏。靜態(tài)脫敏和動(dòng)態(tài)脫敏最大的一個(gè)區(qū)別標(biāo)志就是在使用時(shí)是否是與原數(shù)據(jù)源進(jìn)行連接。靜態(tài)脫敏是將原數(shù)據(jù)源按照脫敏規(guī)則生成一個(gè)脫敏后的數(shù)據(jù)源，使用的時(shí)候是從脫敏后的數(shù)據(jù)源獲取數(shù)據(jù)，靜態(tài)脫敏一般用于開(kāi)發(fā)、測(cè)試、分析等需要完整數(shù)據(jù)的場(chǎng)景。動(dòng)態(tài)脫敏則是在使用時(shí)直接與原數(shù)據(jù)源進(jìn)行連接，在使用數(shù)據(jù)的中間過(guò)程中進(jìn)行實(shí)時(shí)的動(dòng)態(tài)脫敏。動(dòng)態(tài)脫敏一般用來(lái)解決在生產(chǎn)環(huán)境需要根據(jù)不同情況對(duì)同一敏感數(shù)據(jù)讀取時(shí)進(jìn)行不同級(jí)別脫敏的場(chǎng)景。

靜態(tài)脫敏是利用截?cái)�、偏移、�?guī)整、替換、重寫(xiě)、加密等算法，對(duì)原數(shù)據(jù)進(jìn)行脫敏，并將脫敏后的數(shù)據(jù)導(dǎo)出到脫敏后數(shù)據(jù)源。一般靜態(tài)脫敏工具都支持文件到文件脫敏、文件到數(shù)據(jù)庫(kù)脫敏、數(shù)據(jù)庫(kù)到文件脫敏、原庫(kù)脫敏、異庫(kù)脫敏等脫敏方式。

靜態(tài)脫敏

動(dòng)態(tài)脫敏技術(shù)在工作時(shí)并不會(huì)對(duì)原數(shù)據(jù)進(jìn)行改變，而是通過(guò)解析業(yè)務(wù)SQL語(yǔ)句匹配出脫敏規(guī)則對(duì)應(yīng)的條件和數(shù)據(jù)。當(dāng)匹配到對(duì)應(yīng)的數(shù)據(jù)和條件時(shí)，通過(guò)對(duì)業(yè)務(wù)SQL語(yǔ)句進(jìn)行改寫(xiě)，改寫(xiě)后的SQL語(yǔ)句在查詢生產(chǎn)數(shù)據(jù)源輸出后的數(shù)據(jù)即為脫敏后的數(shù)據(jù)。

動(dòng)態(tài)脫敏

②      數(shù)據(jù)脫敏安全

相對(duì)來(lái)說(shuō)，動(dòng)態(tài)脫敏在自身數(shù)據(jù)安全性上是高于靜態(tài)脫敏的。這是由于在脫敏作業(yè)中，動(dòng)態(tài)脫敏不會(huì)涉及到對(duì)原數(shù)據(jù)的處理，動(dòng)態(tài)脫敏改變的只是SQL語(yǔ)句。而靜態(tài)脫敏則會(huì)對(duì)原數(shù)據(jù)進(jìn)行處理，在處理過(guò)程中會(huì)存在比動(dòng)態(tài)脫敏更多的風(fēng)險(xiǎn)點(diǎn)。

靜態(tài)脫敏在數(shù)據(jù)安全保護(hù)上一個(gè)重點(diǎn)是首先要確認(rèn)在脫敏系統(tǒng)中會(huì)不會(huì)落地。數(shù)據(jù)落地需要脫敏系統(tǒng)也具有數(shù)據(jù)源同樣大小的存儲(chǔ)空間，對(duì)脫敏系統(tǒng)的存儲(chǔ)要求較高，同時(shí)進(jìn)行多業(yè)務(wù)數(shù)據(jù)源脫敏的情況下，還需要對(duì)接存儲(chǔ)系統(tǒng)，不僅硬件成本高，還存在安全風(fēng)險(xiǎn)。

數(shù)據(jù)脫敏從信息安全的職責(zé)分離的要求下出發(fā)，脫敏系統(tǒng)的管理者為安全管理員，將DBA接觸敏感數(shù)據(jù)場(chǎng)景剝離出來(lái)，同時(shí)安全管理員不具有DBA權(quán)限也無(wú)法查看全部的敏感數(shù)據(jù)。但在數(shù)據(jù)落地的情況下，安全管理員可以從數(shù)據(jù)脫敏系統(tǒng)內(nèi)獲得全部敏感數(shù)據(jù)，這就違背了職責(zé)分離的初衷。

一般來(lái)說(shuō)，使用ETL技術(shù)，或者針對(duì)不同數(shù)據(jù)庫(kù)開(kāi)發(fā)接口的靜態(tài)脫敏系統(tǒng)都不會(huì)采用數(shù)據(jù)落地的方式。

③      技術(shù)工具工作流程和目標(biāo)

數(shù)據(jù)脫敏技術(shù)工具應(yīng)能實(shí)現(xiàn)如下的目標(biāo)：

敏感數(shù)據(jù)自動(dòng)發(fā)現(xiàn)：數(shù)據(jù)脫敏系統(tǒng)在獲取到數(shù)據(jù)源中的數(shù)據(jù)后，應(yīng)能夠利用特征匹配、機(jī)器學(xué)習(xí)等技術(shù)，自動(dòng)發(fā)現(xiàn)數(shù)據(jù)源中的敏感數(shù)據(jù)。

不同場(chǎng)景脫敏規(guī)則：數(shù)據(jù)脫敏系統(tǒng)應(yīng)當(dāng)擁有豐富的脫敏規(guī)則，能夠涵蓋組織中的全部數(shù)據(jù)使用場(chǎng)景。

脫敏規(guī)則自動(dòng)配置：針對(duì)自動(dòng)發(fā)現(xiàn)的敏感數(shù)據(jù)，數(shù)據(jù)脫敏系統(tǒng)可以自動(dòng)配置最合適的脫敏策略。

無(wú)損同構(gòu)脫敏作業(yè)：數(shù)據(jù)脫敏系統(tǒng)在進(jìn)行脫敏作業(yè)時(shí)，不能夠?qū)��?shù)據(jù)造成損壞、丟失，同時(shí)脫敏后的數(shù)據(jù)結(jié)構(gòu)應(yīng)與原數(shù)據(jù)一致。

脫敏全流程審計(jì)：對(duì)于脫敏全流程，從配置脫敏源、敏感數(shù)據(jù)自動(dòng)發(fā)現(xiàn)、脫敏規(guī)則配置、脫敏作業(yè)發(fā)起、脫敏作業(yè)結(jié)束等，所有的操作都應(yīng)該被審計(jì)記錄。

美創(chuàng)科技對(duì)于數(shù)據(jù)處理階段的數(shù)據(jù)脫敏過(guò)程域的實(shí)踐指南就展開(kāi)至此，《數(shù)據(jù)安全能力成熟度模型》實(shí)踐指南系列持續(xù)更新中，歡迎持續(xù)關(guān)注。