在當(dāng)前國內(nèi)信息安全熱潮中，數(shù)據(jù)脫敏作為數(shù)據(jù)安全的重要一環(huán)得到了業(yè)界的認(rèn)可與重視。早在2012年，數(shù)據(jù)脫敏首次作為一個單獨(dú)的魔力象限由Gartner發(fā)布，Gartner在2014年又提出了：按照數(shù)據(jù)使用場景，將數(shù)據(jù)脫敏分為靜態(tài)數(shù)據(jù)脫敏(Static data masking-SDM )與動態(tài)數(shù)據(jù)脫敏(Dynamic data masking-DDM )。

可能有人望文生義，認(rèn)為動態(tài)數(shù)據(jù)脫敏一定比靜態(tài)數(shù)據(jù)脫敏高級。非也非也，靜態(tài)or動態(tài)，取決于脫敏的使用場景，主要是以使用場景為由來選擇合適的數(shù)據(jù)脫敏的模式。

今天咱們就來理一理動態(tài)數(shù)據(jù)脫敏和靜態(tài)數(shù)據(jù)脫敏之間的區(qū)別，著重和大家分析下動態(tài)數(shù)據(jù)脫敏的原理、使用場景、部署方式等，一窺動態(tài)數(shù)據(jù)脫敏如何在隱私數(shù)據(jù)安全保護(hù)中發(fā)揮至關(guān)重要的左右。

一、動靜態(tài)數(shù)據(jù)脫敏“半斤八兩”

前面提到了，靜態(tài)數(shù)據(jù)脫敏與動態(tài)數(shù)據(jù)脫敏是按脫敏數(shù)據(jù)的使用場景來區(qū)分的。所謂的數(shù)據(jù)使用環(huán)境，主要是指業(yè)務(wù)系統(tǒng)脫敏之后的數(shù)據(jù)在哪些環(huán)境中使用，一般可分為生產(chǎn)環(huán)境和非生產(chǎn)環(huán)境(開發(fā)、測試、外包、數(shù)據(jù)分析等)。

• 靜態(tài)數(shù)據(jù)脫敏(SDM)：一般用在非生產(chǎn)環(huán)境，將敏感數(shù)據(jù)從生產(chǎn)環(huán)境抽取并脫敏后給到非生產(chǎn)環(huán)境使用，常用于培訓(xùn)、分析、測試、開發(fā)等非生產(chǎn)系統(tǒng)的數(shù)據(jù)庫;
• 動態(tài)數(shù)據(jù)脫敏(DDM)：常用在生產(chǎn)環(huán)境，在訪問敏感數(shù)據(jù)即時進(jìn)行脫敏，一般用來解決在生產(chǎn)環(huán)境需要根據(jù)不同情況對同一敏感數(shù)據(jù)讀取時進(jìn)行不同級別脫敏的場景。

二、動態(tài)數(shù)據(jù)脫敏實(shí)現(xiàn)原理

動態(tài)數(shù)據(jù)脫敏是在用戶層對數(shù)據(jù)進(jìn)行獨(dú)特屏蔽、加密、隱藏、審計或封鎖訪問途徑的流程，當(dāng)應(yīng)用程序、維護(hù)、開發(fā)工具請求通過動態(tài)數(shù)據(jù)脫敏(DDM) 時，實(shí)時篩選請求的SQL語句，依據(jù)用戶角色、權(quán)限和其他脫敏規(guī)則屏蔽敏感數(shù)據(jù)，并且能運(yùn)用橫向或縱向的安全等級，同時限制響應(yīng)一個查詢所返回的行數(shù)。

動態(tài)數(shù)據(jù)脫敏(DDM)以這種方式確保業(yè)務(wù)人員、運(yùn)維人員以及外包開發(fā)人員嚴(yán)格根據(jù)其工作所需和安全等級訪問敏感數(shù)據(jù)。

三、動態(tài)脫敏系統(tǒng)的使用場景

本文選取業(yè)務(wù)脫敏、運(yùn)維脫敏、數(shù)據(jù)交換脫敏三個使用場景分別展開介紹。

1. 業(yè)務(wù)脫敏

動態(tài)脫敏系統(tǒng)首先要解決的問題是，業(yè)務(wù)系統(tǒng)的普通用戶訪問應(yīng)用系統(tǒng)時對數(shù)據(jù)權(quán)限的控制。正常情況下，業(yè)務(wù)系統(tǒng)開發(fā)時會依據(jù)用戶身份標(biāo)識進(jìn)行身份驗(yàn)證后，不同的用戶進(jìn)行限制數(shù)據(jù)的訪問。

如業(yè)務(wù)用戶在訪問某行數(shù)據(jù)時，只需要查看客戶個人信息的姓名、電話等信息，而不需要查看身份證號或家庭住址，故對身份證或家庭住址的顯示信息實(shí)行*號或其他方式進(jìn)行脫敏處理。

對于遺留系統(tǒng)(舊系統(tǒng)無法再作升級改造)以及開發(fā)時未考慮《網(wǎng)絡(luò)安全法》中要求的個人隱私保護(hù)問題，如若重新更改代碼過于復(fù)雜，只能依賴于外部技術(shù)實(shí)現(xiàn)數(shù)據(jù)的隱私保護(hù)，這個時候也需要使用動態(tài)脫敏技術(shù)。

2. 運(yùn)維脫敏

在信息安全的職責(zé)分離中，針對數(shù)據(jù)有三類人員：數(shù)據(jù)所有者、數(shù)據(jù)管理員、系統(tǒng)管理員。數(shù)據(jù)所有者是業(yè)務(wù)人員，而數(shù)據(jù)管理員(DBA)與系統(tǒng)管理員是運(yùn)維人員.。

動態(tài)脫敏需求最為迫切需要的一個場景，就是針對數(shù)據(jù)庫的運(yùn)維人員。運(yùn)維人員擁有的是管理員帳號DBA賬號，但業(yè)務(wù)系統(tǒng)的數(shù)據(jù)是屬于業(yè)務(wù)單位而不是運(yùn)維部門。從職責(zé)分離的原則上，如何實(shí)現(xiàn)既允許運(yùn)維人員訪問業(yè)務(wù)生產(chǎn)數(shù)據(jù)庫又不能讓他們看到敏感數(shù)據(jù)?

以員工的工資表為例，當(dāng)數(shù)據(jù)庫的運(yùn)維人員使用高權(quán)限賬號查詢這類敏感表時，動態(tài)脫敏系統(tǒng)將自動將此敏感表(如工資表)的關(guān)鍵信息(工資)全部進(jìn)行脫敏處理后再進(jìn)行顯示，防止敏感信息泄露。

之前的技術(shù)手段是DAM技術(shù)方案，針對數(shù)據(jù)庫作訪問審計管理，針對DBA登陸后的一切操作進(jìn)行記錄作為事后追溯。但這是一種被動的(事后)檢測性能力，對于隱私保護(hù)同時還需要有預(yù)防性(事前)的技術(shù)能力。這種針對DBA維護(hù)時數(shù)據(jù)脫敏就是動態(tài)脫敏中的運(yùn)維脫敏。

3. 數(shù)據(jù)交換脫敏

動態(tài)脫敏還有一種不常見的使用場景：業(yè)務(wù)系統(tǒng)與業(yè)務(wù)系統(tǒng)之間的數(shù)據(jù)訪問(稱作數(shù)據(jù)交換更合適)。在滿足隱私保護(hù)時需要對交換的數(shù)據(jù)進(jìn)行脫敏處理，但又不像傳統(tǒng)的靜態(tài)脫敏一樣需導(dǎo)出數(shù)據(jù)脫敏后再移交，而是通過業(yè)務(wù)系統(tǒng)之間的接口直接調(diào)用。這就屬于應(yīng)用系統(tǒng)之間不落地的數(shù)據(jù)交換，針對這種交換的數(shù)據(jù)需要作脫敏處理。

四、動態(tài)脫敏系統(tǒng)的部署方式

1. 代理網(wǎng)關(guān)式

動態(tài)脫敏系統(tǒng)常見的一種部署模式,邏輯上是旁路,物理上是串行的方式。原本應(yīng)用系統(tǒng)與數(shù)據(jù)庫建立連接,為了實(shí)現(xiàn)數(shù)據(jù)脫敏處理，應(yīng)用系統(tǒng)的SQL數(shù)據(jù)連接請求轉(zhuǎn)發(fā)到脫敏代理系統(tǒng),由動態(tài)脫敏系統(tǒng)解析請求后,再將SQL語句轉(zhuǎn)發(fā)到數(shù)據(jù)庫服務(wù)器，數(shù)據(jù)庫服務(wù)器返回的數(shù)據(jù)同樣經(jīng)過動態(tài)脫敏系統(tǒng)后由脫敏系統(tǒng)返回給應(yīng)用服務(wù)器。

這種部署方式可以實(shí)現(xiàn)，不在數(shù)據(jù)庫服務(wù)器與應(yīng)用務(wù)器上安裝軟件就能進(jìn)行脫敏處理,但這也需要更改應(yīng)用務(wù)器對數(shù)據(jù)庫的調(diào)用地址，也就是說原來是由應(yīng)用務(wù)器連接數(shù)據(jù)庫,現(xiàn)在改成應(yīng)用服務(wù)器連接動態(tài)脫敏的代理網(wǎng)關(guān)。這種部署模式能針對應(yīng)用用戶實(shí)現(xiàn)粗粒度的脫敏,也可實(shí)現(xiàn)針對運(yùn)維脫敏的處理。存在的問題是，針對應(yīng)用用戶無法實(shí)現(xiàn)用戶級的不同脫敏算法與效果，同時運(yùn)維脫敏也存在被繞過的危險,DBA可能會繞過動態(tài)脫敏系統(tǒng)直接訪問數(shù)據(jù)庫地址。(國外Informatica 的產(chǎn)品就是常以這種方式部署)。

2. 透明網(wǎng)關(guān)式

這種部署模式是將動態(tài)脫敏系統(tǒng)串接在應(yīng)用服務(wù)器與數(shù)據(jù)庫之間，由于動態(tài)脫敏系統(tǒng)能在OSI二層上工作，不需要IP地址，對應(yīng)用服務(wù)器與數(shù)據(jù)庫服務(wù)器來說，都像原來一樣訪問各自的真實(shí)IP地址，動態(tài)脫敏系統(tǒng)通過協(xié)議解析分析出流量中的SQL語句來實(shí)現(xiàn)脫敏。這種部署方式不需要更改應(yīng)用服務(wù)器與數(shù)據(jù)庫服務(wù)器的連接設(shè)置，但在網(wǎng)絡(luò)中會形成單點(diǎn)故障，雖然常常有BYPASS技術(shù)作為支撐，但所有流量都會經(jīng)過網(wǎng)關(guān)，會造成網(wǎng)關(guān)性能瓶頸問題。(國外做數(shù)據(jù)庫防火墻的Imperva 等會采用這種方式，但動態(tài)脫敏只是其中小的功能，也只是針對少量的敏感數(shù)據(jù)采用這種脫敏方式。)

3. 軟件Agent代理方式

這種方式在數(shù)據(jù)庫服務(wù)器上安裝Agent, 監(jiān)控對數(shù)據(jù)的訪問請求。當(dāng)請求的數(shù)據(jù)是敏感數(shù)據(jù)時，Agent 會利用脫敏算法來對數(shù)據(jù)進(jìn)行脫敏處理。這種部署方式需要在數(shù)據(jù)庫服務(wù)器上安裝軟件，帶來了好處是運(yùn)維人員無法繞過。

五、動態(tài)脫敏在隱私保護(hù)與數(shù)據(jù)安全方案中作用

數(shù)據(jù)脫敏不只是一種新穎的數(shù)據(jù)操作，它已成為軟件生命周期和數(shù)據(jù)管理的核心內(nèi)容。其中，靜態(tài)數(shù)據(jù)脫敏技術(shù)已被納入集成到軟件生命周期(SLC)，動態(tài)數(shù)據(jù)脫敏技術(shù)則成為數(shù)據(jù)管理過程中不可缺少的組成部分。