DM动态脱敏系统

作者:jcmp      发布时间:2021-05-21      浏览量:0
一、1 产品背景企业内部机密信息、员工

一、1 产品背景

企业内部机密信息、员工或客户个人信息等敏感数据是一个企业的核心机密数据,既要避免被未经授权者获知,还需遵守日益增多的隐私保护法规。与此同时,企业环境正变得更加错综复杂,从而要求为监控与保护企业持有的数据增加开支和加大投入力度。后台数据动态模糊化产品通过定制数据模糊化策略、加密级别以及在个体层面进行封锁,以具有成本效益的方式为企业添加额外的数据保护层。借助于后台数据动态模糊化产品,IT组织能够为授权用户提供相应的数据访问等级,而不必对代码或数据库进行任何变更。

二、2 产品需求

人大常委会《关于加强网络信息保护的决定》、支付卡行业数据安全标准(PCI-DSS)、金融现代化法案(GLBA)、BASELII、欧盟个人数据保护指令、HIPAA以及其他隐私保护法规均是为了应对同一个不断增长的问题而制订的:针对敏感信息及个人信息的泄露和盗窃。

这些法规要求组织基于其用户的业务职能限制数据访问权限。不过,在企业组织范围内 全面执行这一政策并非易事,尤其是在包括了外部用户以及外包的企业 IT 环境中。

例如:

•      某组织使用人事管理软件来管理人力资源,因而需要向该系统的管理员和运维人员提供其执行 HR 任务所需的数据访问权限,但同时仅向特许用户提供所有详情。

•      一家大型银行为保护客户隐私而需要对其数据库环境内的账户信息进行匿名化处理, 但又不能对设计人员、顾问、承包商、开发人员和 DBA 的日常工作造成干扰。

•      一项关键业务遗留程序因其仅包含最基本的用户权限管理功能,从而给一家主要保险公司的客户保密政策和财务数据安全带来风险。在大多数情况下,针对打包和内部开发应用程序以及开发和 DBA 工具中的敏感信息限制访问权限的成本异常高昂,而且极为耗时。许多数据库访问监控(DAM)解决方案能够审核用户访问记录,并在发生数据泄漏问题后帮助进行识别,但它们无法对敏感信息进行匿名化处理,以便防患于未然。其他技术则要求进行大规模的应用程序变更,导致不可接受的性能问题,且无法为所有需要保护的多种个人信息提供保护。

因此,需要一个与众不同的安全措施,既能够提供更严格的规则、更准确的审计和更细密的访问监控,又能够保留针对用户的透明度。这一解决方案就是:后台数据动态模糊化。

三、3  DM 动态脱敏简介

DM动态脱敏是在用户层面对数据进行屏蔽、加密、隐藏、审计或封锁访问途径的流程。DM动态脱敏产品解决方案采用in-Sql-Line技术,其作为一个中间层安装在业务应用程序、和数据库服务器之间。

当应用程序请求通过DM动态脱敏产品时,该解决方案对其进行实时筛选,并依据用户角色、职责和其他 IT 定义规则屏蔽敏感数据。它还能运用横向或纵向的安全等级,同时限制响应一个查询所返回的行数。DM动态脱敏产品以数据动态漂白方式确保业务用户、外部用户、兼职雇员、业务合作伙伴、IT团队及外包顾问能够根据其工作所需和安全等级,恰如其分地访问敏感数据。

上图展示了数据模糊化层的运作方式,图中有三名用户对一个内部客户管理系统进行访  问。左侧为部门经理,该经理获得授权,可查看姓名、联系方式和客户账户等全部详细个人信  息。中间为兼职的系统运维雇员,该雇员仅被授权查看以 XXX 屏蔽形式显示的数据,以便执行管理任务。右侧则是开发人员、DBA 或生产支持人员,他们出于 IT 方面的用途而需要以相应格式显示的信息,而数据模糊化层将向他们提供随机打乱的数值。

四、4 总体架构

DM数据脱敏产品通过搭建数据脱敏服务中心,接入不同类型的数据对象,基于元数据信息及统一脱敏策略来实现不同场景、不同角色/用户下的数据动态脱敏操作,同时可以集中管理各类的敏感数据及脱敏策略,从而具备对敏感数据主动识别及自动化防护的能力。

五、5  DM 动态脱敏对比其他安全技术

加密技术可被部署于多种基础设施组件中。虽然在终端层面使用加密技术对用户而言具有透明度,但它无法在应用程序层面保护数据,而且容易被用户攻破。如果应用程序层面使用加密技术,则要求在使用数据之前进行完全解密,因而也为未经授权的访问提供了机会。使用加密技术还要求改造应用软件源代码或数据库,因此改造成本高昂。

存储加密技术只能在静止状态下保护数据,由于数据需要被解密以供读取并由业务应用。

程序和工具加以展示,因此无法为应用程序提供隐私保护。导致数据在使用过程中承受完全曝光的风险。

标记化(Tokenization)技术以虚构数据代替数据库中的敏感数据,可保护信用卡号码之类的数据,但无法对姓名、地址和其他敏感信息进行匿名化处理。此外,标记化技术要求对数据库和应用程序源代码做出较大改造。

数据库访问管理可针对个人信息的访问时间和访问者创建详细的审核记录,同时还能提   供基本的 SQL 请求封锁功能,但是无法做到为权限级别不同的用户返回不同的数据。

对比之下,后台数据动态脱敏产品使用内嵌 SQL 代理程序,在数据库协议层面发挥功能,从而实现完全透明度。对于调用程序来说,DM动态脱敏产品解决方案可看作一个源数据库;对数据库来说,它则是一个应用程序。因此,DM动态模糊化产品适用于所有的打包和定制应用程序、报表和开发工具,无需对数据库进行变更,亦不必改造应用程序源代码。

六、6  DM 动态脱敏解决方案

DM动态脱敏产品是一个为企业级客户设计的应用程序和数据库供应商混合解决方案,  这些客户需要实现快速的实时数据动态脱敏、漂白和数据库访问监控,同时又要将对网络性能的影响降至最低。DM动态脱敏产品可在短的时间内完成安装和配置,并与常用的企业业务应用程序天衣无缝地集成。

DM动态脱敏化产品在未经授权的用户、外包和IT  人员进行敏感数据访问时,对姓名、账户号码等信息执行动态匿名化处理。

正如此处 Oracle 的 PLSQL 工具图例所示,DM动态脱敏产品对最终用户来说完全透明。

DM动态脱敏使用多种数据屏蔽、加密和封锁方法,这些方法可根据组织的安全需求单  独或共同应用:

数据替换 - 以虚构数据代替真值

截断、加密、隐藏或使之无效 - 以“无效”或 *****代替真值。

随机化 - 以随机数据代替真值

偏移 - 通过随机移位改变数字数据

字符子链屏蔽 - 为特定数据创建定制屏蔽

限制返回行数 - 仅提供可用回应的一小部分子集

基于其他参考信息进行屏蔽 - 根据预定义规则仅改变部分回应内容(例如屏    蔽VIP客户姓名,但显示其他客户)。

此外,数据动态脱敏还具备针对终端用户等级的访问进行监控、登录、报告和创建审计跟踪的功能。该功能可简化遵守数据隐私法规和内部报告需求的流程,同时显著降低数据侵害风险。

6.1 部署架构

网关模式部署

产品以部署在一台专门的服务器上,该服务器以网关形式部署在数据库服务 器所处的网络中,应用访问的数据库的 IP 和端口需要修改为该服务器的 IP 和产品监听的端口,产品自动对应用的数据库请求以及数据库的回应进行处。

七、7 案例介绍

7.1 客户简介

某金融公司是一家基于物联网共享金融平台,金融业务涉及财务公司、消费金融、融资租赁、金融保理、小额贷款等领域。公司坚持“产业为基、共创共享”理念,行业内首创“产业投行”模式。融通科技与风控,链接金融与产业,形成了万链云科、万链信用、Pluslink等平台,构建起无边界的万链新生态,推动现代农业、智能制造、绿色环保等五十多类产业生态链的转型升级,努力让“金融,不止于金融”。

7.2 项目背景

根据《中华人民共和国网络安全法》等法律法规的相关要求,决定建立一套合适的数据脱敏管理系统。一方面满足生产数据用于UAT和SIT过程中的测试环境使用,这方面有静态脱敏方式来满足,另一方面满足测试或者外部人员对生产数据的实时查看用于问题定位需求,也需要对敏感数据进行保护,在敏感数据传输交换过程中进行数据抽取、漂白和加密,从而在有效支持业务生产数据需求的同时保障敏感数据不被泄露,这方面需要动态脱敏功能来满足需求。

7.3 方案介绍

7.3.1 总体部署结构描述

7.3.2 关键流程描述

动态脱敏产品具有以下重要特性:

1.支持各种的应用程序的身份识别,实现根据应用程序进行敏感标签标记、实现高粒度的应用程序审计。

2.支持对不同数据库账户的身份映射和集中管理,数据库系统管理员账户权限限制访问,最高权限账户权限、敏感数据账户、个人账户等进行严格的区分管理。同时支持多个用户同时登陆使用。

3.系统可针对特定的重要敏感数据资产进行标记和分类。可以细化到表格为基础数据分类、以Schema级别的敏感数据分类、以业务为单元的敏感数据分类,对敏感数据进行分级分类,从而降低不同业务人员对重要敏感数据信息操作的安全风险。

7.3.3 效益价值

1.动态数据脱敏技术通过对核心生产库的重要敏感数据进行动态脱敏,满足客户生产数据使用的同时,最大化的保护了数据资产。实现敏感资产数据和非敏感数据的分离,从而保护用户的重要数据资产不泄露,防止运维人员涉及重要敏感数据信息。

2.对敏感数据的访问控制,从而防止敏感数据泄露

3.根据应用访问行为动态脱敏,能够有效根据应用用户、运维人员、和研发测试人员的身份,根据不同用户访问实现不同的脱敏效果。同时支持绑定应用URL定义数据脱敏规则,实现同一应用用户通过不同的应用界面访问敏感数据,查询效果不同。