数据脱敏在多场景下的脱敏实践
安华金和 安华金和 2020-03-30
作者 | 安华金和

等保2.0时代对数据安全管理和个人信息保护提出了更多、更高的要求。为保护客户数据资产安全及其合法权益,在满足正常业务系统运行的同时,需要最大程度保护客户敏感信息的安全,避免非正常业务通过查询、导出等方式造成客户敏感信息泄露;对于有数据外发需要的场景,如开发测试环境、科学研究场景等,则应对数据进行脱敏处理后,再分发给有需要的单位或机构。

通过对某行业客户数据资产的摸底,安华金和发现该客户的业务场景中存在多个应用系统,数据分别存储于20多个数据库服务器中,同时有大量敏感数据以文件形式存储在文件服务器中。这些敏感数据通过数据梳理可归纳为:名称类、地址类、证件类、资产类、金融类,共计五个大类超20个子项,且正面临来自多方面的泄露风险:

风险分析

1、大量接触含有敏感数据的非结构化文件

客户业务系统的一部分数据是以HTML文件格式存储的,同时内部系统在与外部系统进行数据传输时,采用XML文件格式进行数据的交换,因此在客户的文件服务器中存在大量含有敏感数据的HTML文件和XML文件,并且文件的结构格式不统一。这些文件存在分发至科研机构、教学单位、开发测试部门的场景。在使用脱敏产品前,客户无法批量处理文件中的敏感数据,只能通过手动修改文件内容的方式进行脱敏;然而,随着需要分发的文件越来越多,手动脱敏已无法满足该场景的需求,漏脱情况难以避免,存在敏感数据泄露风险。

2、生产数据通过脚本脱敏存在漏脱风险

客户现场存在大量外包公司的开发测试人员,在提高开发效率的同时,也带来了数据泄露风险。以往客户都是通过脚本对数据库中敏感数据进行简单遮蔽后发送到开发测试环境,这样做不仅令数据脱敏的质量较低,还可能出现一些字段被遗漏乃至将敏感数据原值发给开发测试人员的情况。

3、业务人员可通过应用系统查看客户敏感信息

一线的系统操作员在使用应用系统办公时,由于系统仅对操作员以不同功能模块进行权限的划分,所以操作员在权限允许的功能模块内,可以看到客户全部的敏感数据,并且可以导出这些数据,从而对敏感数据构成安全威胁。

4、系统管理员存在批量导出数据的风险

管理员由于系统维护工作的需要,往往掌握着系统后台的高权限账号,这就存在任意查询敏感数据的风险。有些管理员还掌握着数据库的连接权限,存在使用PL/SQL等数据库运维工具进行敏感数据批量查询和导出的风险。

解决方案

针对该客户所面临的上述风险,安华金和采用“静态数据脱敏+动态数据脱敏”相结合的数据安全保护方案——静态数据脱敏产品负责数据在落地存储场景下的保护;动态数据脱敏产品则在数据实时查询场景下发挥敏感数据保护的作用。

虽然该客户历史累积的文件高达600多万个,但安华金和在整个脱敏任务执行过程中,对文件传输、读取、转换过程均采用了加密传输、件不落地的方式。最终,任务总处理时间仅仅不到10小时,600多万个含敏感数据的文件无一漏脱,实现了在文件高效流转的同时保证客户敏感数据不被泄露的安全目标。

1、静态数据脱敏

该客户大量的业务系统数据存储在Oracle数据库中,哪些库、哪些表中含有敏感数据,客户并没有一个清晰的底账。随着业务系统功能的逐步开发,开发测试人员需要定期获取到最新流水数据的需求越来越迫切。

安华金和静态数据脱敏产品具备自动发现、识别敏感数据的能力,在脱敏前首先对客户所有数据库进行了一次全面的敏感数据分布情况摸底检查,并将所有字段的敏感数据类型划分为个人敏感数据、商业敏感数据、行业专属敏感数据三类。脱敏任务执行过程中,系统能够按照用户指定的一部分敏感数据或预定义的敏感数据特征,对抽取的数据进行自动识别,并根据预制策略对发现的敏感数据进行脱敏处理。

由于客户希望脱敏工作最好在非工作时间段内自动执行,系统配置了定时任务计划执行策略。此功能可结合数据库增量脱敏功能,将客户数据库中每日新增的数据在凌晨数据库服务器压力不大的时间段进行脱敏,然后再发送至开发测试环境中,第二天开发测试人员即可直接使用脱敏后的数据进行工作。

同时,脱敏后的数据无论是数据的仿真性还是各数据表间数据的一致性,都满足业务系统的校验,在保护数据安全的同时极大提高了开发测试人员的工作效率。

2、动态数据脱敏

对于应用系统使用过程中的数据脱敏:安华金和采用动态数据脱敏产品对使用者身份进行鉴别的方式完成实时脱敏。不同的业务人员在访问数据库数据时,脱敏产品可获取访问者的身份信息,并根据已设定好的脱敏策略,返回对该访问者允许范围内的真实数据;而对其无权查看的数据,则会经过脱敏处理后显示在业务系统中。由于动态数据脱敏产品采用代理方式部署,脱敏任务执行时采用SQL语句在执行层面的改写技术,因此既不会对原始数据造成任何影响,也无需对客户的业务系统进行任何改造,从而保证了原数据的完整性和极高的实时脱敏效率。

对于运维侧的数据防护脱敏:通过前期调研工作,安华金和与客户方一同梳理了运维人员对数据运维的必要需求,并遵循数据访问最小化原则,对运维侧的脱敏策略做了详细设置。由于运维人员对数据的访问过于灵活,通过对敏感字段进行增强级的管控,在数据库管理系统权限管控体系之上建立了细粒度访问控制机制,采用结合IP地址、数据库账户名、MAC地址、时间等多维度因素进行组合式的敏感数据访问控制,并通过结果集管控技术,对敏感数据批量查询、篡改等操作进行阈值管控。在运维人员访问营销系统数据时,仅对其展现必要的数据,而敏感信息则进行脱敏后展示;而在通过数据库运维工具将数据导出时,也将确保导出的数据为脱敏后数据。

价值实现

通过静态数据脱敏和动态数据脱敏系统的项目实施,为该客户定制了有效的敏感数据脱敏解决方案,实现了对敏感数据的保护,同时确保遵守数据隐私相关法规,降低了生产环境和开发测试环境中的数据泄露风险:

1、满足合规性要求

通过数据脱敏系统解决了对客户业务系统中大量个人敏感信息在使用过程中的保护问题,符合相关法律法规要求。

2、降低数据使用风险

在数据使用过程中,会涉及到不同部门对业务数据的使用需求,通过对数据的脱敏处理降低敏感数据在使用过程中的泄露风险。

3、满足业务数据使用需要

通过数据脱敏系统可保留业务数据的关联性,满足客户业务系统对数据业务关联性方面的要求。

4、提高工作效率

通过数据脱敏系统的脱敏任务执行对生产库数据进行脱敏处理,将脱敏后数据直接输出到测试库供其他部门使用,从而提高了整体工作效率。


分享到

点赞(0)

说点什么

全部评论