摘要

資料脫敏是資料安全領域落地場景較為成熟的技術手段，在資料深層次、大範圍的共享開放的今天，資料脫敏在不影響資料使用的前提下，保護敏感隱私資料，已成為資料安全建設重要內容。本文透過對資料脫敏技術及應用場景等進行梳理，為各行業使用者更好的實施資料脫敏技術提供指南，主要內容包括以下四個方面：

資料脫敏法規政策合規依據
資料脫敏技術定義及實施過程解析

資料脫敏典型應用場景
資料脫敏管理體系的建立

資料脫敏法規政策合規依據

《網路安全法》第四十二條： 網路運營者不得洩露、篡改、毀損其收集的個人資訊；未經被收集者同意，不得向他人提供個人資訊。但是，經過處理無法識別特定個人且不能復原的除外。

《資料安全法》第二十七條： 開展資料處理活動應當依照法律、法規的規定，建立健全全流程資料安全管理制度，採取相應的技術措施和其他必要措施，保障資料安全。

《個人資訊保護法》第五十一條： 個人資訊處理者應當根據個人資訊的處理目的、處理方式、個人資訊的種類以及對個人權益的影響、可能存在的安全風險等，採取相應的加密、去標識化等安全技術措施。

《資訊保安技術網路安全等級保護基本要求》 明確規定，二級以上保護則需要對敏感資料進行脫敏處理。其中 H.4.3 安全計算環境要求“大資料平臺應提供靜態脫敏和去標識化的工具或服務元件技術。”H.4.5 安全運維管理 “應在資料分類分級的基礎上，劃分重要數字資產範圍，明確重要資料進行自動脫敏或去標識使用場景和業務處理流程。”

《網路資料安全管理條例（徵求意見稿）》 第十二條：資料處理者向第三方提供個人資訊，或者共享、交易、委託處理重要資料的，應當向個人告知提供個人資訊的目的、型別、方式、範圍、儲存期限、儲存地點，並取得個人單獨同意，符合法律、行政法規規定的不需要取得個人同意的情形或者經過匿名化處理的除外。

典型行業：金融行業合規要求

《中國銀行業“十二五”資訊科技發展規則監管指導意見》： 加強資料、文件的安全管理，逐步建立資訊資產分類分級保護機制。完善敏感資訊儲存和傳輸等高風險環節的控制措施，對資料、文件的訪問應建立嚴格的審批機制。對用於測試的生產資料要進行脫敏處理，嚴格防止敏感資料洩露。

《金融行業網路安全等級保護實施指引》：應將開發環境、測試環境、實際執行環境相互分離，敏感資料經過脫敏後才可在開發或測試中使用。

《金融資料安全資料生命週期安全規範》：開發測試等過程的資料，應事先進行脫敏處理，防止資料處理過程中的資料洩露，國家及行業主管部門另有規定的除外。

《商業銀行資訊科技風險現場檢查指南》: 開發過程中是否使用了生產資料，使用的生產資料是否得到高階管理層的批准並經過脫敏或相關限制。”“測試用例是否有生產資料，當使用生產資料測試時是否得到高階管理層的審批並採取相關限制及進行脫敏處理。

典型行業：電信和網際網路行業合規要求

《電信和網際網路行業資料安全標準體系建設指南》： 資料處理資料處理標準用於規範敏感資料、個人資訊的保護機制及相關技術要求，明確敏感資料保護的場景、規則、技術方法，主要包括匿名化/去標識化、資料脫敏、異常行為識別等標準。

《 電信和網際網路行業提升網路資料安全保護能力專項行動方案》： 指導電信和重點網際網路企業加強內部網路資料安全組織保障，推動設立或明確網路資料安全管理責任部門和專職人員，負責承擔企業內部網路資料安全管理工作，督促協調企業內部各相關主體和環節嚴格落實操作許可權管理、日誌記錄和安全審計、資料加密、資料脫敏、訪問控制、資料容災備份等資料安全保護措施，組織開展資料安全崗位人員法律法規、知識技能等培訓。

《電信網和網際網路資料脫敏技術要求與測試方法》： 提出了資料脫敏技術應用架構，並且總結了在實際應用資料脫敏技術過程中，主要涉及的三個要素：脫敏演算法、脫敏規則、脫敏策略。此外標準還提出了資料脫敏後的效果評估策略。

《電信網和網際網路資料安全評估規範》： 查驗企業資料脫敏處理管理規範和制度檔案，是否明確資料脫敏處理使用應用場景，明確資料脫敏規則、脫敏方法、資料脫敏處理流程、涉及部門及人員的職責分工等。查驗企業資料脫敏處理管理規範和制度，企業業務和業務支撐系統在資料許可權和資源的申請階段，是否由該資料的資料安全管理負責人員評估使用真實資料的必要性，以及確定該場景下適用的資料脫敏規則及方法。查驗資料脫敏處理管理規範和制度，是否建立資料脫敏處理技術應用安全評估機制，對脫敏後的資料可恢復性進行安全評估，是否對於可恢復形成原始資料的脫敏方法（含演算法）進行安全加強。演示企業業務測試系統資料庫，企業是否使用未脫敏的資料用於業務系統的開發測試。查驗演示企業資料脫敏工具，是否能對資料脫敏處理過程相應的操作進行記錄，提供資料脫敏處理安全審計能力。

資料脫敏技術定義及實施 過程解析

資料脫敏的定義

資料脫敏是指對某些敏感資訊透過脫敏規則進行資料的變形，實現敏感隱私資料的可靠保護。在涉及客戶安全資料或者一些商業性敏感資料的情況下，在不違反系統規則條件下，對真實資料進行改造並提供測試使用，如身份證號、手機號、卡號、客戶號等個人資訊都需要進行資料脫敏。

資料脫敏發展歷程

人工脫敏階段：多為SQL指令碼方式，在ETL處理過程中進行脫敏，該方式工作量大、資料處理效率低，同時存在資料質量差、無法保證資料結構的完整性、資料間的關聯性。

平臺脫敏階段： 融合了敏感資料自動發現、系統流程化脫敏、支援豐富資料來源、脫敏演算法庫充足、敏感型別豐富等功能，從而減輕人工成本的同時提升效率，保證資料脫敏的基本訴求。

自動脫敏階段： 透過應用機器學習等技術，結合各類資料分類分級規則及已實際使用的資料脫敏策略及規則，實現自動化實時敏感資料發現、自動化脫敏規則匹配等智慧化資料脫敏的結果。同時，具備分散式等多種部署支援，智慧效能分析，自動化調優等能力。

資料脫敏關鍵技術能力

模擬能力：

保持資料原始業務特徵
保持資料之間的關聯性
保持資料之間邏輯一致性
業務依賴資料物件同步

豐富資料來源支援：

關係型資料庫支援
大資料平臺支援
特殊檔案型別支援
訊息列隊支援

內建豐富脫敏規則：

支援多種資料脫敏演算法
支援組合脫敏、自定義分組規則
具備細粒度資料處理能力

高處理效率：

單臺裝置效能最大化
具備增量脫敏能力
支援分散式部署

資料脫敏分類

型別	常用場景	具體示例
靜態資料脫敏	通常用於非實時場景。	將生產環境中的資料脫敏用於測試環境。
動態資料脫敏	常用於生產環境等實時場景，在應用或平臺使用者訪問敏感資料的同時進行脫敏，用於解決根據不同情況對統一敏感資料讀取時需要進行不同級別、型別脫敏的場景	適用於對生產資料共享或時效性很高的資料訪問場景等，實現對生產資料庫中的敏感資料進行透明、實時脫敏。

如上圖所示：動態脫敏會對資料進行多次脫敏，更多應用於直接連線生產資料的場景，在使用者訪問生產環境敏感資料時，透過匹配使用者IP或MAC地址等脫敏條件，根據使用者許可權採用改寫查詢SQL語句等方式返回脫敏後的資料。例如運維人員在運維工作中直連生產資料庫，業務人員需要透過生產環境查詢客戶資訊等

脫敏演算法推薦形態

演算法	描述	適用資料型別	推薦脫敏形態
重排	跨行隨機互換原始敏感資料，打破原始敏感資料與本行其他資料關聯關係。	通用	動態脫敏、靜態脫敏
關係對映	原始敏感資料間存在業務關聯關係，需要在資料脫敏後仍舊保持關係。因此在脫敏處理中，利用演算法表示式對脫敏後的資料進行函式對映，使其脫敏後仍舊保持業務關聯關係。	通用	動態脫敏、靜態脫敏
偏移取整	按照一定粒度進行偏移取整。	日期、時間、數字	動態脫敏、靜態脫敏
雜湊	對原始資料透過雜湊演算法計算，使用計算後的雜湊來代替原始資料。	通用	動態脫敏、靜態脫敏
加密	透過加密金鑰和演算法對原始資料進行加密，從而使敏感資料變成不可讀的密文。	通用	靜態脫敏
格式保留演算法（FPE）	一種特殊的加密脫敏演算法，對敏感資料進行加密脫敏，密文與原始資料保持格式一致。	通用	靜態脫敏
常量替換	使用常量偽裝資料對原始資料進行替換（偽裝資料生成與原始資料值無關）。	通用	動態脫敏、靜態脫敏
隨機替換	保持資料格式，按照特定原始資料的編碼規則重新生成一份新的資料。	通用	動態脫敏、靜態脫敏
截斷	截斷內容	通用	動態脫敏、靜態脫敏
標籤化	按照預定類別進行分類，將使用類別標籤替換原始敏感資料。	通用	動態脫敏、靜態脫敏
泛化	用更一般的值取代原始資料，降低敏感資料精確度，達到無法識別個體的目的。	通用	動態脫敏、靜態脫敏
匿名	透過對資料內容的處理，保證在資料表釋出時，資料中存在一定量的準識別符號上不可區分的記錄。	通用	靜態脫敏
差分隱私	在原資料中加入噪音資訊，使得滿足差分隱私的資料集能夠抵抗任何對隱私資料的分析。	資料集	資料脫敏
浮動	透過浮動脫敏演算法，上浮、下降５％。	資料集	靜態脫敏
歸零	透過歸零演算法對原資料381.38進行脫敏。	資料集	靜態脫敏
均化	透過均化演算法進行脫敏。	資料集	靜態脫敏
分檔	將資料按照規模分為高、中、低三檔，分別進行脫敏。	資料集	靜態脫敏

掩碼

對原始資料的部分內容用通用字元進行統一替換，從而使敏感資料僅保持部分內容公開。

字串

動態脫敏、靜態脫敏

資料脫敏的常用演算法與例項

演算法名稱	演算法說明	示例	使用場景（僅做參考）
固定對映	透過設定對映種子，在對映種子不變的情況下，相同原資料脫敏後結果相同，並保留原始業務特徵	對映種子：111 原資料：張三一次脫敏結果：李四二次脫敏結果：李四	中文姓名、身份證、電話、銀行卡、電子郵箱、地址、IP地址日期、通用字串、鍵、貨幣金額醫療機構登記號、醫師資格證書、醫師執業證書營業執照、社會統一信用程式碼、組織機構程式碼、稅務登記證護照、軍官證、中國護照、港澳通行證、永久居住證、臺灣同胞大陸通行證證券名稱、證券程式碼、基金名稱、基金程式碼
隨機對映	對數值、字元或字串進行隨機，並保留原業務特徵	原資料：19841222 脫敏結果：19900211	中文姓名、身份證、電話、銀行卡、電子郵箱、地址、郵政編碼、IP地址 CCV碼貨幣金額、通用字串、字串醫療機構登記號、醫師資格證書、醫師執業證書營業執照、社會統一信用程式碼、稅務登記證、組織機構程式碼、組織機構名稱護照、軍官證、中國護照、港澳通行證、永久居住證、臺灣同胞大陸通行證證券名稱、證券程式碼、基金名稱、基金程式碼
遮蓋	透過設定遮蓋符，對原資料全部或部分進行遮蓋處理	遮蓋符：* 原資料：13512345678 脫敏結果：135****5678	中文姓名、身份證、電話、銀行卡、電子郵箱、地址、CCV碼、IP地址組織機構程式碼、組織機構名稱、營業執照、社會統一信用程式碼醫療機構登記號、醫師資格證書、醫師執業證書護照、稅務登記證、軍官證、中國護照、港澳通行證、永久居住證、臺灣同胞大陸通行證證券名稱、證券程式碼、基金名稱、基金程式碼
範圍內隨機（泛化脫敏）	對日期或金額，在一個指定的範圍內進行隨機，並保留原業務特徵	範圍1000至9999 原資料：38472.00 脫敏結果：8394.00	日期貨幣金額通用數值
保留隨機	選中分段保留，其他分段隨機	原資料：2020年10月10日脫敏演算法：【1900-2018】年、【01-12】月、【01-30】日	日期
浮動	對日期或金額，上浮或下降固定值或百分比，並保留原業務特徵	上浮、下降5% 原資料：1000.00 脫敏結果：1049.00	日期
歸零	對於數值，清空並置為0.00	原資料：381.38 脫敏結果：0.00	通用數值
擷取	對字串按照起始位置進行擷取	開始位置：2，結束位置6 原資料：abcdefghijk 脫敏結果：bcdef	通用字串
截斷	對字串保留除起始位置意外的內容	開始位置：2，結束位置6 原資料：abcdefghijk 脫敏結果：aghijk	通用字串

數字截斷	將數字截斷，只保留指定位數	如12345678，保留“3位”，則為678。	通用數值
加密	透過不同的加密演算法進行加密，脫敏後顯示的資料為密文資料	SHA1加密、MD5加密、SHA256加密、AES對稱加密、RSA非對稱加密、SMS4加密等	中文姓名、身份證、電話、銀行卡、電子郵箱、地址、IP地址郵政編碼（SHA1加密、MD5加密）營業執照、社會統一信用程式碼、組織機構程式碼、稅務登記證醫療機構登記號、醫師資格證書、醫師執業證書護照、稅務登記證、軍官證、中國護照、港澳通行證、永久居住證、臺灣同胞大陸通行證證券名稱、證券程式碼、基金名稱、基金程式碼
替換	將資料替換為一個常量，常用作不需要改敏感欄位時	原值：566 原值：789 脫敏後： 566 - 0 789 - 0	通用字串
匹配替換	透過EXCL表格匯入替換規則，完成匹配替換	1111替換為2222 3333替換為4444	通用字串
水印	透過數字水印打上水印標籤	偽行、偽列或者不可見字元	日期
偏移	小數點往左或往右進行偏移	如設定偏移量【2】，則脫敏結果可能為【28.00】	貨幣金額通用數值
取整	對數字位數進行取整	如取整位數為2，則1988.65脫敏後為1900 如12345678，整數“3位”，則為12345000	貨幣金額通用數值
分段	主要針對數字進行脫敏，可以將同一範圍的數值脫敏為相同的數值	如1~99的數值，統一脫敏未1 100~199的數值，統一脫敏為2 200~299的數值，統一脫敏為3	貨幣金額

其它脫敏演算法：

演算法名稱

演算法說明

示例

使用場景（僅做參考）

均值脫敏

我們先計算它們的均值，然後使脫敏後的值在均值附近隨機分佈，從而保持資料的總和不變。

如學科總分500分

脫敏後各科學分相加還是為500分。

貨幣金額

雜湊

將資料對映為一個hash值

Jim,Greenà456393

34453

用作將不定長的資料對映為定場的hash值。

資料脫敏策略

在設定具體場景下資料脫敏策略時應充分考慮資料脫敏後資料自身可用性及資料保密性尋求兩者間的平衡。資料脫敏策略的選擇如下顯示。資料脫敏的目標包括：

避免攻擊者識別出原始個人資訊主體；
控制重標識的風險，確保重標識風險不會增加；
在控制重標識風險的前提下，確保脫敏後的資料集儘量滿足其預期目的；
選擇合適的資料處理方式保證資訊攻擊成本不足以支撐攻擊動機。

資料脫敏實施流程

敏感資料識別： 即對生產系統中敏感資料的識別，主要包括：

儲存位置：明確敏感資料所在的資料庫、表、欄位（列）；
資料分類、分級：明確敏感資料所屬類別及敏感級別。

策略選擇、演算法配置，包括資料脫敏後保持原始特徵的分析、資料脫敏演算法的選擇和資料脫敏演算法引數配置：

保持原始資料的格式、型別；
保持原有資料之間的依存關係；
保持引用完整性、統計特性、頻率分佈、唯一性、穩定性。配置需要脫敏的目標（資料庫名/表名/欄位名）以及適當的脫敏演算法引數，根據業務需求完成其他演算法的引數配置。

資料脫敏任務執行階段，按不同需求選擇，分為動態脫敏處理步驟和靜態脫敏處理步驟：

1. 動態脫敏處理步驟：

協議解析：解析使用者、應用訪問大資料元件網路流量；
語法解析：對訪問大資料元件的語句進行語法分析；
脫敏規則匹配：根據使用者身份資訊及要訪問的資料；
下發脫敏任務：由脫敏引擎排程脫敏任務；
脫敏結果輸出：將脫敏後的資料輸出，保證原始資料的不可見。

2. 靜態脫敏處理步驟：

資料選擇/策略配置：選擇待脫敏的資料庫及表，配置脫敏策略及脫敏演算法，生成脫敏任務；
執行脫敏處理：對不同型別資料進行處理，將資料中的敏感資訊進行刪除或隱藏；
資料匯出：將脫敏後的資料按使用者需求，裝載至不同環境中，包括檔案至檔案，檔案至資料庫，資料庫至資料庫，資料庫至檔案等多種裝載方式。

資料脫敏典型應用場景

開發測試場景

開發測試場景中，如銀行、證券等金融行業業務系統中含有姓名、身份、賬號等敏感資訊，開發測試需要使用模擬的資料，因此需要透過脫敏手段保證敏感資料不被洩露。

場景特點：

資料庫型別多，系統體系架構複雜，跨系統、跨平臺測試資料難以獲取。
開發測試場景需高度模擬生產環境，對脫敏後資料與業務的一致性有嚴格要求。
生產環境與開發測試環境互相隔離，彼此無法互相訪問。
部分行業如銀行金融機構日新增資料量較大，無法定期對全量資料進行脫敏，要求資料脫敏系統具備增量脫敏能力。
要求具備多種脫敏演算法。如在金融機構脫敏場景中，需保持脫敏後不同欄位之間的資料計算關係，如“2+3=5” 脫敏後需要保持等號左邊的數值等於右邊。

關鍵能力：

支援主流關係型資料庫、大資料平臺、格式化文字檔案、Oracle dump 檔案
支援透過ftp檔案伺服器的連線，對隔離的開發測試環境進行中轉匯入
支援對於Oracle dmp檔案進行直接解析，並進行脫敏處理。
資料脫敏根據實際業務需求提供脫敏資料，可透過資料子集、黑名單、白名單等方式控制資料脫敏範圍。
支援對生產資料全量和增量的方式脫敏，可設定脫敏的作業的排程週期，並對作業過程進行監控，支援脫敏前後的資料線上比對功能。
提供多種資料脫敏演算法。

教學培訓場景

教學培訓場景即對資料進行統計分析，以用於科學研究，該場景下需要保證資料特徵，脫敏後保證科學研究所必須的內容。

場景特點：

為保證獲取的資料可以滿足科學研究，保留資料的真實有效性。
脫敏後的資料需要有教學培訓的價值，資料的業務特徵不能喪失。
脫敏後的資料需要保持其完整性，保證其長度不變、資料內涵的不丟失。

關鍵能力：

內建豐富的資料脫敏演算法及資料分段脫敏的能力，可適配不同的資料分析場景，從而在保證資料脫敏或降敏的前提下，安全地進行各種資料分析。
保證主外來鍵一致、業務關聯一致、有依賴欄位的敏感資訊脫敏一致、多次脫敏結果保持一致等，整體保證脫敏前後一致性，保持資料間的邏輯關係。
保持資料欄位、資料物件從源到目標的完整遷移

分析挖掘場景

資料分析的有效性往往依賴於基礎資料的質量，基礎資料的可用性直接影響分析結果和企業決策。在涉及到大資料分析應用的領域，企業需要在保證資料安全及合規的前提下，依舊能夠保有資料的可用性及可挖掘分析的價值。

場景特點：

資料脫敏時應保持與原資料模擬，不破壞資料間的關聯關係，確保資料分析結果仍然具有指導性。
大資料分析平臺中包括海量的使用者隱私和敏感資料，針對大資料環境進行資料脫敏，資料結構複雜，包括結構化、非結構化資料等，脫敏操作複雜。
特定場景下需對脫敏資料進行復敏，例如銀行透過對脫敏後的轉賬記錄、貸款記錄、還款記錄等進行分析，評估出個性信用等級，最後將結果回溯到真實銀行客戶。

關鍵能力：

保證主外來鍵一致、業務關聯一致、有依賴欄位的敏感資訊脫敏一致、多次脫敏結果保持一致等，整體保證脫敏前後一致性，保持資料間的邏輯關係。
支援HDFS、Hive、Impala、ODPS、Teradata、Greenplum、MongoDB、FusionInsight等大資料敏感源。
支援資料脫敏復敏，具備復敏許可權的使用者才能進行此操作，充分保證安全性。

資料上報場景

資料上報場景很可能涉及隱私敏感資料資訊，在上報過程中需對敏感隱私資料進行匿名化處理。

場景特點：

資料脫敏能夠有效防止敏感資料洩漏，但是像醫療、金融、政府等具有強監管機構的行業，需要進行資料上報的資料流動場景。
資料上報過程中的脫敏資料要保持與原資料模擬，不破壞資料間的關聯關係，確保資料上報的內容仍然具有其業務特徵。
部分行業的資料上報需對脫敏資料進行復敏，例如政務行業、金融行業有強監管的需求。

關鍵能力：

保證主外來鍵一致、業務關聯一致、有依賴欄位的敏感資訊脫敏一致、多次脫敏結果保持一致等，整體保證脫敏前後一致性，保持資料間的邏輯關係。
內建資料水印及溯源功能，使用者可自定義水印內容，同時透過演算法保證水印內容的抗破壞性，從而保證在資料被分享給第三方後，可透過系統進行溯源及追責。
支援資料脫敏復敏，具備復敏許可權的使用者才能進行此操作，充分保證安全性。

共享交換場景

現代企業對外合作日益增多，資料交換愈發頻繁，需要合理管控資料外發，當敏感資料外發至低安全區域時，透過對資料進行脫敏變形，避免隱私資料洩露。

場景特點：

資料共享場景中，特定需求下需保留部分敏感資料欄位，但對其他隱私資料可以進行遮蔽、模擬等操作。
作為資料提供方，需提供溯源機制，當發生資料洩露的時候，可以確定資料洩露方，便於溯源追責。

關鍵能力：

預設豐富的敏感物件，包括個人隱私、金融財務、商業機密、醫療資料、相關證件等，在進行資料脫敏時，將會對設定的敏感物件按照規則進行脫敏，且可根據實際需求自定義敏感物件，完善敏感物件庫。
對於脫敏源中存在的髒資料（不符合敏感物件業務特徵的資料），系統同樣會對這部分資料進行變形處理，以避免隱形敏感資料洩露。
內建資料水印及溯源功能，使用者可自定義水印內容，同時透過演算法保證水印內容的抗破壞性，從而保證在資料被分享給第三方後，可透過系統進行溯源及追責。

業務查詢場景

在業務系統對外提供服務時，通常面臨客戶群體透過賬號即可訪問真實資料的情況，一旦賬戶被仿冒登陸，顯示真實資訊、未對關鍵資訊進行脫敏，會加大資料洩露的現象。

場景特點：

業務訪問隱私化處理，在醫療、金融的典型行業中，業務系統的訪問常常需要直接去隱私化展示資訊。
防止批次脫庫資料洩露，駭客會透過訪問前端應用程式過程中植入漏洞竊取資料，因此在訪問過程中需做到敏感資料及時脫敏，減少批次資料洩露問題。

關鍵能力：

無需對應用系統改造、無需修改資料庫及儲存資料，即可實現資料動態脫敏。
精確識別業務系統三層的使用者身份，針對不同的身份採用不同的動態脫敏策略，對不同許可權的使用者可分別返回真實資料、部分遮蓋、全部遮蓋等脫敏結果。
支援的靈活脫敏策略配置。

運維管理場景

運維管理場景下需要對運維人員的操作及管理進行全面審計及訪問控制，從而達到資料在維護時的安全呈現。

場景特點：

運維人員具備高許可權賬戶，若未加管控，意味著可以任意訪問資料，成為批次資料洩露的主要來源之一
從職責分離的原則上，實現既允許運維人員訪問業務生產資料庫又不能讓他們看到核心敏感資料，對於隱私保護同時還需要有預防性（事前）的技術能力

關鍵能力：

准入控制：支援多維身份管理；支援對運維工具或客戶端應用程式進行簽名登陸驗證，防止惡意和仿冒工具/程式登陸資料庫；支援安全管理員、系統管理員、安全審計員三權分立。
訪問控制：支援禁止DBA、SYSDBA、Schema User、Any等特權使用者訪問和操作敏感資料集合。支援查詢結果返回行數控制，避免資料大量洩漏；支援訪問頻次控制，避免一定時間內的高頻次訪問，避免資料流失；支援敏感SQL管理。

全面運維審計，記錄包括使用者名稱、IP地址、MAC地址、客戶端程式名、執行語句的時間、執行的SQL語句、操作的物件等，對其行為進行全程細粒度的審計分析。

資料脫敏管理體系的建立

建立組織架構，對參與人員職責劃分；

脫敏操作員：負責資料脫敏工作的具體執行，並向安全管理員和脫敏審計員定期彙報工作情況。

安全管理員：負責制定脫敏系統的安全策略，資料脫敏工作的範圍和日程，並進行日常安全檢查、許可權管理和日常操作培訓。

審計管理員：負責對脫敏操作員、安全管理員的操作行為進行審計、跟蹤、分析、和監督檢查，及時發現違規行為和異常行為，進行資料庫日誌、脫敏系統日誌、安全事件的分析和取證。

建立符合業務需求的資料脫敏技術流程：

確定需求：根據業務需求,確定資料脫敏的方式,以及資料的使用者管理策略。
確定脫敏物件：確定哪些是需要脫敏的敏感資料,以及脫敏資料的來源等。
配置脫敏規則：根據不同的應用場景,不同的資料,採用適當的脫敏演算法進行規制的配置。
脫敏執行、資料驗證：執行脫敏，之後透過工具和業務系統進行資料驗證。

制定行之有效的資料脫敏評價辦法：

組建評價團隊，定期開展脫敏過程評價工作。
明確評價範圍，全面涵蓋脫敏場景、脫敏技術、脫敏工具、執行人員等。
制定評價指標，圍繞敏感資料識別、脫敏許可權分配、脫敏策略配置及執行、脫敏效果評估、脫敏資料標識、資料脫敏審計等過程的技術和安全要求，結合實際制定評價指標。
選定評價方式，採用多種方式組合開展評價工作，包括資料查閱、人員訪談、功能演示、技術檢測等。
判定評價結果，收集並整理相關證明材料，組織召開相關會議確認評價結果，輸出評價報告。

萬字詳解資料安全關鍵技術之資料脫敏

相關文章