数据脱敏的“用”、“护”之道
立即下载
妖邪
2024-04-12
数据
脱敏
敏感
测试
开发
提供
用户
共享
流转
风险
63.6 KB
? 2017 安华金和 www.dbsec.cn - 1 -
数据脱敏的“用”、“护”之道
一 . 引子
“资本只有在流动中才带来价值,单纯存放起来只会贬值”,这似乎已经成了放之四海
皆准的共识。在信息化大潮愈演愈烈的当下,数据和信息不啻为一种“新型资本”,和传统
资本具有的特性相似,数据资产的价值在流转、共享、整合利用中逐渐显现并越发放大。举
例来说:银行数据部门掌握的用户储蓄和消费信息,对内共享可以完善业务部门的信息化系
统开发;对外则可为政府部门、征信机构等提供有效参考;甚至可以成为零售或制造业制定
战略目标的有效参考依据。
然而数据的共享和流转带来的红利,远远无法冲散遮盖在数据保管者和拥有者心头的乌
云。这种担忧来自对敏感信息在共享环节可能发生的泄密风险,更是来自敏感数据“合理使
用”并且“安全防护”两者之间的矛盾。
于是,数据脱敏技术和专业脱敏产品应需而生,这类专业产品可以按照不同数据使用场
合,对敏感数据进行变形处理,在脱敏处理的同时,不改变数据的类型、格式、含义、分布
等使用特征,让用户不再因为深陷对安全的顾虑,而不得不割舍掉数据分享和流转带来的价
值。
二 . 典型、新型脱敏应用场景举例
场景一:高敏感度的社保数据如何安全使用
某省社保数据中心,业务系统的开发和测试全部交由外包人员完成。对于敏感数据,决
策者陷入“给”还是“不给”的两难选择。假如不使用生产数据,而是由开发测试人员杜撰
测试数据来进行上线前的模拟和程序功能设计,会导致测试用例不全面、功能覆盖不完整,
可能造成系统上线后的风险和隐患。但是,如果直接将生产数据交给开发测试人员使用,又
面临敏感数据泄露的风险。这种场景下,对敏感数据进行脱敏是唯一可行的办法。可以直接
在生产环境下应用静态脱敏技术,对社保数据中参保人的姓名、联系方式、金额、年限等敏
感信息进行脱敏处理,生成新的数据库,提供给开发测试方,不仅兼顾用户数据的可用性,
又满足了用户数据使用的安全性需求。
? 2017 安华金和 www.dbsec.cn - 2 -
场景二:如何对不同身份的访问者实时提供不同的脱敏数据
某运营商搭建的数据集中管理平台中,客户信息、通话记录、资费信息等全部集中在大
数据分析环境中,面向内部提供数据查询分析服务,面向外部如监察机构、公安机关、政
数据/脱敏/敏感/测试/开发/提供/用户/共享/流转/风险/
数据/脱敏/敏感/测试/开发/提供/用户/共享/流转/风险/
-->