保護(hù)客戶信息是所有金融公司的安身立命之本。客戶信息一旦遭到泄漏，不但會(huì)對(duì)公司聲譽(yù)造成長期損害，而且還會(huì)違反諸如PCI DSS（支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)）、HIPAA（健康保險(xiǎn)流通與責(zé)任法案）以及馬薩諸塞州最近通過的隱私保護(hù)法等法律法規(guī)的要求，甚至還可能會(huì)使公司陷入訴訟和賠償紛爭。正是由于存在這些風(fēng)險(xiǎn)，所以對(duì)于金融公司來說，確保只有獲得訪問授權(quán)的員工才可以使用客戶信息比以往任何時(shí)候都更加重要。

雖然可以采用加密技術(shù)來保護(hù)客戶信息，但這種防御方法很昂貴，而且還會(huì)使客戶信息變成無法使用的格式。因此，研究人員提出了一種掩蓋客戶信息的替代性方法：數(shù)據(jù)屏蔽（Data Masking）。數(shù)據(jù)屏蔽不改變信息的格式，使其仍可用于開發(fā)和質(zhì)量測(cè)試，同時(shí)又可以提供足夠有效的信息，以服務(wù)公司的客戶。那么，當(dāng)金融公司準(zhǔn)備采用數(shù)據(jù)屏蔽技術(shù)時(shí)，需要考慮的關(guān)鍵因素是什么呢？下面是數(shù)據(jù)屏蔽最佳實(shí)踐的四大要素。

確定數(shù)據(jù)屏蔽系統(tǒng)的部署范圍

考慮采用任何數(shù)據(jù)保護(hù)機(jī)制的首要任務(wù)，就是弄清并確定數(shù)據(jù)屏蔽系統(tǒng)的部署范圍。數(shù)據(jù)屏蔽最佳實(shí)踐要求金融公司明確哪些信息需要保護(hù)、哪些員工可以獲得訪問授權(quán)、哪些應(yīng)用程序可以使用受保護(hù)的數(shù)據(jù)以及這些數(shù)據(jù)在生產(chǎn)和非生產(chǎn)領(lǐng)域的什么地方駐留。雖然這一要求理論上似乎容易實(shí)現(xiàn)，但由于大多數(shù)金融公司運(yùn)營的復(fù)雜性和業(yè)務(wù)范圍的廣泛性，確定敏感信息、可以使用敏感信息的應(yīng)用程序和可以接觸敏感信息的員工實(shí)際上是一項(xiàng)艱巨的任務(wù)。

另外，確定一名員工是否可以獲得訪問客戶信息的授權(quán)并不僅僅是一個(gè)非是即否的問題。對(duì)客戶服務(wù)代表來說，他們可能需要訪問客戶的部分信息以驗(yàn)證客戶身份，但并不必訪問客戶的全部信息。例如，客戶服務(wù)代表可能想知道客戶社會(huì)保障號(hào)/稅號(hào)或者其賬單/郵政編碼的后4位，以確認(rèn)打電話的人確實(shí)是該客戶。雖然客戶服務(wù)代表需要訪問這一信息來確認(rèn)客戶身份，但他們并不需要完全訪問整個(gè)社會(huì)保障號(hào)或賬單郵寄地址。確定將信息掩蓋到何種程度同時(shí)仍可用于商業(yè)目的可能比較困難，而且通常還需要法律/合規(guī)性部門參與或?qū)彶椤?/P>

確定要采用的數(shù)據(jù)屏蔽技術(shù)

數(shù)據(jù)屏蔽最佳實(shí)踐的第二個(gè)要素是，確定采用哪些數(shù)據(jù)屏蔽功能處理敏感信息?，F(xiàn)有的數(shù)據(jù)屏蔽技術(shù)具有多種數(shù)據(jù)處理功能，但并不是所有的功能都適合保持有效的業(yè)務(wù)上下文信息。這些功能包括：

◆不確定的隨機(jī)化（Non-deterministic Randomization）：使用隨機(jī)生成的、滿足各種約束條件的值替換敏感字段，確保數(shù)據(jù)仍然有效，而不會(huì)將數(shù)據(jù)替換成2月30日這樣的日期。例如，將日期2009年12月31日替換為2010年1月5日。

◆模糊化（Blurring）：為原始值增加一個(gè)隨機(jī)值，例如使用一個(gè)不超過原始值8%的隨機(jī)值替換儲(chǔ)蓄賬戶值。

◆置空（Nulling）：使用空符號(hào)替換敏感字段中的值。例如，將社會(huì)保障號(hào)404-30-5698替換為###-##-5698。

◆變換（Shuffling）：變換敏感字段中的值的位置。例如，將郵政編碼12345變換為53142。

◆可重復(fù)的屏蔽（Repeatable Masking）：通過生成可重復(fù)且唯一的值，保持參照完整性（Referential Integrity）。例如，自始至終都使用26-3245870替換社會(huì)保障號(hào)24-3478987。

◆替換（Substitution）：使用值替換表隨機(jī)替換原始值。例如，從一個(gè)包含10萬個(gè)姓名的列表中用“Mary Smith”替換“Jane Doe”。

◆特殊規(guī)則（Specialized Rules）：這些規(guī)則適用于特殊字段，例如社會(huì)保險(xiǎn)號(hào)、信用卡號(hào)碼、街道地址和電話號(hào)碼等，這些特殊字段在替換后仍保持結(jié)構(gòu)上的正確性，并可用于工作流與檢驗(yàn)和驗(yàn)證。例如，將“100 Wall St., New York, N.Y.”替換為“50 Maple Lane, Newark, N.J.”，其中的每個(gè)隨機(jī)值（門牌號(hào)、街道、城市和州）構(gòu)成一個(gè)有效地址，可以通過谷歌地圖或在線地圖查詢服務(wù)MapQuest等應(yīng)用查找到。

◆標(biāo)記化（Tokenization）：標(biāo)記化是一種特殊的數(shù)據(jù)屏蔽形式，利用獨(dú)特的標(biāo)識(shí)符替換敏感數(shù)據(jù)，使信息可以在以后恢復(fù)到原始數(shù)據(jù)。例如，為災(zāi)難恢復(fù)目的而存儲(chǔ)的數(shù)據(jù)必須在以后可以恢復(fù)，或者在業(yè)務(wù)運(yùn)行過程中信息必須通過不可信的域時(shí)，標(biāo)記化非常有用。

考慮參照完整性需求

數(shù)據(jù)屏蔽最佳實(shí)踐的第三個(gè)要素是企業(yè)的參照完整性需求，不過這一點(diǎn)在一開始部署數(shù)據(jù)屏蔽系統(tǒng)時(shí)往往容易被忽略。在企業(yè)層面，參照完整性通常要求匯總信息，以滿足業(yè)務(wù)范圍和資源共享需求。這意味著，來自同一業(yè)務(wù)范圍應(yīng)用程序的每種類型的信息都必須使用相同的算法/種子值進(jìn)行屏蔽。

例如，如果業(yè)務(wù)范圍A的應(yīng)用程序的數(shù)據(jù)屏蔽系統(tǒng)將客戶的出生日期替換為2010年1月5日，則業(yè)務(wù)范圍B的應(yīng)用程序的數(shù)據(jù)屏蔽系統(tǒng)必須將相同的出生日期輸入值也替換為2010年1月5日。利用參考完整性，如果一個(gè)企業(yè)級(jí)應(yīng)用程序需要訪問每個(gè)已屏蔽的出生日期，則該應(yīng)用程序可以關(guān)聯(lián)和操作來自這兩個(gè)業(yè)務(wù)范圍應(yīng)用程序的其余數(shù)據(jù)。如果在最初階段或者甚至在部署了第二個(gè)數(shù)據(jù)屏蔽工具時(shí)，仍沒有考慮這種要訪問已屏蔽信息的工作流，則企業(yè)的數(shù)據(jù)屏蔽系統(tǒng)將需要進(jìn)行重大的調(diào)整和信息的重新屏蔽，除非該金融公司的各項(xiàng)業(yè)務(wù)之間幾乎不發(fā)生交互，而這通常是不可能的。

然而，對(duì)許多大型金融企業(yè)而言，在整個(gè)企業(yè)范圍內(nèi)使用單一的數(shù)據(jù)屏蔽工具一般并不可行。由于地域差異、預(yù)算/業(yè)務(wù)需求、不同的IT管理組或者不同的安全/監(jiān)管要求，每種業(yè)務(wù)范圍可能會(huì)需要部署自己的數(shù)據(jù)屏蔽工具。盡管這種情況不影響一般的數(shù)據(jù)屏蔽處理，但如果不同的數(shù)據(jù)屏蔽工具由于某種未知原因而不能同步，則可能會(huì)造成工作流難以繼續(xù)。例如，對(duì)一個(gè)業(yè)務(wù)范圍應(yīng)用程序來說，出生日期的隨機(jī)化可能完全可以接受。但對(duì)另一個(gè)業(yè)務(wù)范圍應(yīng)用程序來說，已屏蔽的出生日期必須屬于一個(gè)該應(yīng)用程序認(rèn)為有效的預(yù)定義范圍（例如超過21歲）。

增強(qiáng)數(shù)據(jù)屏蔽算法的安全性

數(shù)據(jù)屏蔽最佳實(shí)踐的第四個(gè)要素是，保護(hù)數(shù)據(jù)屏蔽工具使用的種子值或算法的安全性。由于數(shù)據(jù)屏蔽的基本原則是只允許獲得授權(quán)的用戶訪問經(jīng)授權(quán)的信息，所以數(shù)據(jù)屏蔽工具使用的種子值或算法無疑屬于高度敏感的數(shù)據(jù)。如果有人掌握了數(shù)據(jù)屏蔽工具使用的可重復(fù)的數(shù)據(jù)屏蔽算法，則他或她可以對(duì)大的敏感信息塊進(jìn)行逆向工程。一個(gè)數(shù)據(jù)屏蔽最佳實(shí)踐是采用職責(zé)分離的原則，允許IT安全人員決定使用什么數(shù)據(jù)屏蔽方法和算法，并只能在初始部署階段訪問數(shù)據(jù)屏蔽工具以設(shè)置種子值，在部署完成之后IT安全人員則不能再訪問數(shù)據(jù)屏蔽工具。

由于IT安全人員無權(quán)訪問日常運(yùn)營系統(tǒng)，而IT支持人員無權(quán)訪問數(shù)據(jù)屏蔽算法，從而實(shí)現(xiàn)了嚴(yán)格的“職責(zé)分離”控制。但是，如果數(shù)據(jù)屏蔽工具未提供這種“職責(zé)分離”控制功能，則IT支持人員必須執(zhí)行周期性的背景調(diào)查，并嚴(yán)密審計(jì)系統(tǒng)訪問，以確保算法未遭泄漏。

未來的計(jì)劃

數(shù)據(jù)屏蔽確實(shí)具有諸多優(yōu)勢(shì)。如果需要的話，可以修改企業(yè)應(yīng)用程序本身以執(zhí)行數(shù)據(jù)屏蔽處理，而不需要一個(gè)獨(dú)立的數(shù)據(jù)屏蔽工具，因?yàn)槠髽I(yè)應(yīng)用程序的主要功能通常也是某種形式的數(shù)據(jù)處理操作。已屏蔽的信息是可讀的，如果屏蔽功能使用得當(dāng)?shù)脑挘踔量梢允褂谩邦惿a(chǎn)”數(shù)據(jù)有效地測(cè)試產(chǎn)品業(yè)務(wù)工作流?？蛻舴?wù)應(yīng)用程序（例如咨詢臺(tái)）也不必再為保護(hù)敏感信息而在屏幕上刻意抹去演示級(jí)功能，因?yàn)橐哑帘蔚臄?shù)據(jù)本身就可以替應(yīng)用程序掩蓋敏感信息。如果客戶信息在被打印之前已經(jīng)進(jìn)行了屏蔽處理，則即使打印操作可以執(zhí)行，也不必?fù)?dān)心是誰在使用打印機(jī)。但實(shí)施數(shù)據(jù)屏蔽并不像向現(xiàn)有應(yīng)用程序中添加一個(gè)模塊或開發(fā)一個(gè)專門實(shí)現(xiàn)數(shù)據(jù)屏蔽的系統(tǒng)那樣簡單。正如任何數(shù)據(jù)保護(hù)機(jī)制一樣，在屏蔽第一條信息之前，企業(yè)需要制定計(jì)劃、確定體系結(jié)構(gòu)以及對(duì)未來業(yè)務(wù)如何運(yùn)行的設(shè)想。

【編輯推薦】

1. 教你使用檢測(cè)屏蔽法輕松解決蠕蟲病毒
2. 教你如何進(jìn)行數(shù)據(jù)安全綜合防護(hù)