隨著信息技術的高速發(fā)展，各用戶單位業(yè)務系統(tǒng)經過多年沉淀，積累了大量個人隱私數(shù)據和企業(yè)信息。海量數(shù)據除了內部流轉，還需要進行外部“共享”，這亦是國家大數(shù)據發(fā)展戰(zhàn)略規(guī)劃的需求和前提。如何保證數(shù)據在產生、交換、共享等場景下的安全可用?這讓數(shù)據脫敏安全技術成為熱門。

[[215775]]

《網絡安全法》的正式實施，數(shù)據脫敏被納入法規(guī)遵從的需求?！毒W絡安全法》要求：數(shù)據流動過程中應重視保護個人隱私、社保信息、資產信息、醫(yī)療信息等敏感信息的安全。為滿足這一要求，數(shù)據共享時需要使用數(shù)據脫敏技術。特別是當數(shù)據應用于開發(fā)、測試、培訓等環(huán)境時，安全風險較大，使用真實數(shù)據將臨嚴重數(shù)據泄露的風險。

數(shù)據脫敏又稱數(shù)據去隱私化或數(shù)據變形，是在給定的規(guī)則、策略下對敏感數(shù)據進行變換、修改的技術機制，能夠在很大程度上解決敏感數(shù)據在不可控環(huán)境中使用的問題。國內銀行、通信運營商等是最早開始使用數(shù)據脫敏工具的單位，多以靜態(tài)脫敏為主。

市面上有諸多靜態(tài)脫敏產品，如何做挑選?本文將從這些脫敏產品的技術路線進行分析，從使用效果出發(fā)，淺析各種技術在脫敏過程中使用效果上存在的差異，呈現(xiàn)產品真正能實現(xiàn)的功能和價值。希望能為廣大用戶在數(shù)據脫敏產品的選型上提供參考。

一、脫敏系統(tǒng)的數(shù)據獲得方式

數(shù)據脫敏第一步，需要獲得數(shù)據庫中的數(shù)據。如何獲得數(shù)據主要有以下幾種方式：

1. 代理軟件

使用代理軟件，部署在數(shù)據庫上從數(shù)據庫讀取數(shù)據。這種方式的脫敏產品對用戶方來說是侵入式的，只有極少數(shù)產品才這樣使用。市面上數(shù)據備份廠商的數(shù)據脫敏產品會采用這種方式，因為利用備份軟件客戶端作為數(shù)據脫敏的數(shù)據采集工具使用，速度較快。

2. 數(shù)據庫開發(fā)接口

這種針對不同的數(shù)據庫開發(fā)接口方式的有點在于數(shù)據采集速度較快，市面上大部分脫敏產品采用此種方式。這種采集方式的缺點也很明顯,數(shù)據庫類型太多，脫敏產品支持的數(shù)據庫類型與版本都會受限制。如果用戶將來升級了數(shù)據庫版本，除非脫敏廠商也花精力開發(fā)升級版本，否則采購的脫敏產品可能無法繼續(xù)支持。

3. ETL技術

這種采集技術的優(yōu)勢是兼容性大，ETL工具兼容的數(shù)據庫類型是最全面的。當然這個方式也有弱點，由于不是專門針對特定數(shù)據庫類型開發(fā)，在沒有強大的ETL技術積累的情況下，采集數(shù)據的速度一般。從國外脫敏廠商來看，具備有一定ETL技術積累優(yōu)勢大多采用此種技術，如：Informatica 。而國內脫敏廠商中，大多數(shù)廠商主業(yè)并不是大數(shù)據處理，沒有ETL工具的技術能力而很少采用。

二、數(shù)據落地與否

數(shù)據落地是指數(shù)據脫敏過程中，數(shù)據需要保存到脫敏系統(tǒng)后再進行脫敏。數(shù)據落地的好處是，獲得了需要脫敏的全部數(shù)據后再脫敏，對數(shù)據關系、業(yè)務關聯(lián)方面容易處理與實現(xiàn)。但問題是，數(shù)據落地需要脫敏系統(tǒng)也具有數(shù)據源同樣大小的存儲空間，對脫敏系統(tǒng)的存儲要求較高，同時進行多業(yè)務數(shù)據源脫敏的情況下，還需要對接存儲系統(tǒng)，不僅硬件成本高，還存在安全困擾。

數(shù)據脫敏從信息安全的職責分離的要求下出發(fā)，脫敏系統(tǒng)的管理者為安全管理員，將DBA接觸敏感數(shù)據場景剝離出來，同時安全管理員不具有DBA權限也無法查看全部的敏感數(shù)據。但在數(shù)據落地的情況下，安全管理員可以從數(shù)據脫敏系統(tǒng)內獲得全部敏感數(shù)據，這就違背了職責分離的初衷。

市面上大部分產品不會采用此種數(shù)據落地方式脫敏，只有少數(shù)由于沒有ETL技術，也沒有針對不同數(shù)據庫開發(fā)接口，擁有備份技術積累的脫敏廠商會使用這種脫敏方式。

三、脫敏算法的復雜程度

脫敏系統(tǒng)需要解決的一個重要安全問題是算法的可逆性。脫敏系統(tǒng)不像腳本處理作簡單替換即可。以國內姓名字段的脫敏算法為例，用于姓名的主要脫敏技術主要有包括：

(1)直接將所有中文姓名，替換為固定姓名，如“張—”。這種算法簡單，處理速度快，安全性差，處理結果單一，分布特征完全喪失。

(2)將原姓名每個中文字符的編碼進行偏移隨機長度，以生成另外一個中文字符。這種算法安性高，像真實姓名一樣。速度也較快，處理后的數(shù)據結果有較強的真實性。

(3)準備一張常見中文名字的碼表，存放100萬左右的中文姓名，將原有姓名hash查表后進行替換。數(shù)據脫敏算法需要大量時間和空間開銷，數(shù)據安全性一般，算法可逆程度不高。

(4)分析原始數(shù)據通過預處理建立頻度碼表的方式。這種方式需要先分析原始數(shù)據的特征，然后建立一個頻度的分析報告，再建立不同字符的分布標準表格，脫敏算法依據頻度對應的字符來替換。

在選擇脫敏產品時，也應該關注數(shù)據脫敏算法，選擇最為高效可用的。

四、脫敏系統(tǒng)的環(huán)境適應能力

市場上數(shù)據庫種類多，服務器與系統(tǒng)種類也多，特別是一些不常用的系統(tǒng)與數(shù)據庫，類似于小機環(huán)境下的數(shù)據庫，部分客戶還是IBM的Z系統(tǒng)的大型機等。

面對擁有不同類型的服務器與數(shù)據庫的客戶，市場上并不是所有脫敏系統(tǒng)全部兼容支持的。用戶在選用這些脫敏系統(tǒng)時需要具有長遠的發(fā)展眼光，將來可能會用到的數(shù)據庫與系統(tǒng)，脫敏產品時是否需要全面支持。

另外，還需要考慮不同數(shù)據庫之間的數(shù)據脫敏轉換。(異構數(shù)據脫敏)可能會出現(xiàn)源數(shù)據庫使用的是一種類型，而數(shù)據需求方使用的數(shù)據庫是另一種類型，這時候的數(shù)據脫敏就需要兼容不同數(shù)據庫之間的數(shù)據轉換。

五、脫敏廠商的安全與數(shù)據庫服務能力

數(shù)據脫敏系統(tǒng)畢竟不同于傳統(tǒng)網絡安全的硬件，需要對數(shù)據庫具有較深入的理解，是信息安全與數(shù)據庫DBA的結合領域。

一方面需要脫敏產品具有傳統(tǒng)安全的理念，如實現(xiàn)數(shù)據脫敏的流程化、落實數(shù)據的職責分離。(如脫敏系統(tǒng)屬于安全管理員維護的系統(tǒng)、而數(shù)據庫維護屬于DBA職責)。另一方面，系統(tǒng)應具有配套的流程管理系統(tǒng)，幫助安全管理員實現(xiàn)數(shù)據的脫敏。

由于安全管理員不具有DBA的知識背景，在很多脫敏項目中需要脫敏廠商幫助安全管理員來制定脫敏策略，實現(xiàn)數(shù)據安全脫敏。

六、快速響應客戶的開發(fā)能力

數(shù)據脫敏系統(tǒng)國外產品進入國內已經多年，早期大數(shù)據用戶使用時會明顯感覺國外產品對國內用戶使用帶來的不便，需要將產品做一些修改調整時往往無法實現(xiàn)。

隨著國內脫敏產品的日益完善，國外脫敏產品已正慢慢退出，國內產品可以按客戶要求場景快速修改(二次開發(fā)能力)，滿足國內用戶的使用要求。

七、脫敏解決方案的全面性

大部分用戶在選擇脫敏系統(tǒng)時，不僅需要考慮當前數(shù)據離開生產環(huán)境的靜態(tài)脫敏，還需要考慮當數(shù)據還在生產環(huán)境時，面對DBA與業(yè)務系統(tǒng)的脫敏需求。業(yè)務系統(tǒng)用戶還可以通過應用開發(fā)來設置用戶屏蔽條件，但針對DBA的使用場景，就需要動態(tài)脫敏產品進行動態(tài)脫敏。如果同一廠商在靜態(tài)脫敏與動態(tài)脫敏都具有解決方案，對用戶而言，更具備競爭優(yōu)勢。

八、脫敏系統(tǒng)的合法性

數(shù)據脫敏系統(tǒng)已經被納入了計算機信息系統(tǒng)安全專業(yè)產品范疇，按照公安部的要求應具備產品銷售許可證。很多廠商都沒有耐心研發(fā)產品，OEM其它廠商后申請一個軟件著作權證書，就變成自己的產品解決方案，更有些廠商OEM后連銷售許可都不具備。建議用戶選擇脫敏系統(tǒng)時，選用獲得公安部銷售許可證的數(shù)據脫敏系統(tǒng)。