保護客戶信息是所有金融公司的安身立命之本。客戶信息一旦遭到泄漏，不但會對公司聲譽造成長期損害，而且還會違反諸如PCI DSS（支付卡行業數據安全標準）、HIPAA（健康保險流通與責任法案）以及馬薩諸塞州最近通過的隱私保護法等法律法規的要求，甚至還可能會使公司陷入訴訟和賠償紛爭。正是由于存在這些風險，所以對于金融公司來說，確保只有獲得訪問授權的員工才可以使用客戶信息比以往任何時候都更加重要。

雖然可以采用加密技術來保護客戶信息，但這種防御方法很昂貴，而且還會使客戶信息變成無法使用的格式。因此，研究人員提出了一種掩蓋客戶信息的替代性方法：數據屏蔽（Data Masking）。數據屏蔽不改變信息的格式，使其仍可用于開發和質量測試，同時又可以提供足夠有效的信息，以服務公司的客戶。那么，當金融公司準備采用數據屏蔽技術時，需要考慮的關鍵因素是什么呢？下面是數據屏蔽最佳實踐的四大要素。

確定數據屏蔽系統的部署范圍

考慮采用任何數據保護機制的首要任務，就是弄清并確定數據屏蔽系統的部署范圍。數據屏蔽最佳實踐要求金融公司明確哪些信息需要保護、哪些員工可以獲得訪問授權、哪些應用程序可以使用受保護的數據以及這些數據在生產和非生產領域的什么地方駐留。雖然這一要求理論上似乎容易實現，但由于大多數金融公司運營的復雜性和業務范圍的廣泛性，確定敏感信息、可以使用敏感信息的應用程序和可以接觸敏感信息的員工實際上是一項艱巨的任務。

另外，確定一名員工是否可以獲得訪問客戶信息的授權并不僅僅是一個非是即否的問題。對客戶服務代表來說，他們可能需要訪問客戶的部分信息以驗證客戶身份，但并不必訪問客戶的全部信息。例如，客戶服務代表可能想知道客戶社會保障號/稅號或者其賬單/郵政編碼的后4位，以確認打電話的人確實是該客戶。雖然客戶服務代表需要訪問這一信息來確認客戶身份，但他們并不需要完全訪問整個社會保障號或賬單郵寄地址。確定將信息掩蓋到何種程度同時仍可用于商業目的可能比較困難，而且通常還需要法律/合規性部門參與或審查。

確定要采用的數據屏蔽技術

數據屏蔽最佳實踐的第二個要素是，確定采用哪些數據屏蔽功能處理敏感信息。現有的數據屏蔽技術具有多種數據處理功能，但并不是所有的功能都適合保持有效的業務上下文信息。這些功能包括：

◆不確定的隨機化（Non-deterministic Randomization）：使用隨機生成的、滿足各種約束條件的值替換敏感字段，確保數據仍然有效，而不會將數據替換成2月30日這樣的日期。例如，將日期2009年12月31日替換為2010年1月5日。

◆模糊化（Blurring）：為原始值增加一個隨機值，例如使用一個不超過原始值8%的隨機值替換儲蓄賬戶值。

◆置空（Nulling）：使用空符號替換敏感字段中的值。例如，將社會保障號404-30-5698替換為###-##-5698。

◆變換（Shuffling）：變換敏感字段中的值的位置。例如，將郵政編碼12345變換為53142。

◆可重復的屏蔽（Repeatable Masking）：通過生成可重復且唯一的值，保持參照完整性（Referential Integrity）。例如，自始至終都使用26-3245870替換社會保障號24-3478987。

◆替換（Substitution）：使用值替換表隨機替換原始值。例如，從一個包含10萬個姓名的列表中用“Mary Smith”替換“Jane Doe”。

◆特殊規則（Specialized Rules）：這些規則適用于特殊字段，例如社會保險號、信用卡號碼、街道地址和電話號碼等，這些特殊字段在替換后仍保持結構上的正確性，并可用于工作流與檢驗和驗證。例如，將“100 Wall St., New York, N.Y.”替換為“50 Maple Lane, Newark, N.J.”，其中的每個隨機值（門牌號、街道、城市和州）構成一個有效地址，可以通過谷歌地圖或在線地圖查詢服務MapQuest等應用查找到。

◆標記化（Tokenization）：標記化是一種特殊的數據屏蔽形式，利用獨特的標識符替換敏感數據，使信息可以在以后恢復到原始數據。例如，為災難恢復目的而存儲的數據必須在以后可以恢復，或者在業務運行過程中信息必須通過不可信的域時，標記化非常有用。

考慮參照完整性需求

數據屏蔽最佳實踐的第三個要素是企業的參照完整性需求，不過這一點在一開始部署數據屏蔽系統時往往容易被忽略。在企業層面，參照完整性通常要求匯總信息，以滿足業務范圍和資源共享需求。這意味著，來自同一業務范圍應用程序的每種類型的信息都必須使用相同的算法/種子值進行屏蔽。

例如，如果業務范圍A的應用程序的數據屏蔽系統將客戶的出生日期替換為2010年1月5日，則業務范圍B的應用程序的數據屏蔽系統必須將相同的出生日期輸入值也替換為2010年1月5日。利用參考完整性，如果一個企業級應用程序需要訪問每個已屏蔽的出生日期，則該應用程序可以關聯和操作來自這兩個業務范圍應用程序的其余數據。如果在最初階段或者甚至在部署了第二個數據屏蔽工具時，仍沒有考慮這種要訪問已屏蔽信息的工作流，則企業的數據屏蔽系統將需要進行重大的調整和信息的重新屏蔽，除非該金融公司的各項業務之間幾乎不發生交互，而這通常是不可能的。

然而，對許多大型金融企業而言，在整個企業范圍內使用單一的數據屏蔽工具一般并不可行。由于地域差異、預算/業務需求、不同的IT管理組或者不同的安全/監管要求，每種業務范圍可能會需要部署自己的數據屏蔽工具。盡管這種情況不影響一般的數據屏蔽處理，但如果不同的數據屏蔽工具由于某種未知原因而不能同步，則可能會造成工作流難以繼續。例如，對一個業務范圍應用程序來說，出生日期的隨機化可能完全可以接受。但對另一個業務范圍應用程序來說，已屏蔽的出生日期必須屬于一個該應用程序認為有效的預定義范圍（例如超過21歲）。

增強數據屏蔽算法的安全性

數據屏蔽最佳實踐的第四個要素是，保護數據屏蔽工具使用的種子值或算法的安全性。由于數據屏蔽的基本原則是只允許獲得授權的用戶訪問經授權的信息，所以數據屏蔽工具使用的種子值或算法無疑屬于高度敏感的數據。如果有人掌握了數據屏蔽工具使用的可重復的數據屏蔽算法，則他或她可以對大的敏感信息塊進行逆向工程。一個數據屏蔽最佳實踐是采用職責分離的原則，允許IT安全人員決定使用什么數據屏蔽方法和算法，并只能在初始部署階段訪問數據屏蔽工具以設置種子值，在部署完成之后IT安全人員則不能再訪問數據屏蔽工具。

由于IT安全人員無權訪問日常運營系統，而IT支持人員無權訪問數據屏蔽算法，從而實現了嚴格的“職責分離”控制。但是，如果數據屏蔽工具未提供這種“職責分離”控制功能，則IT支持人員必須執行周期性的背景調查，并嚴密審計系統訪問，以確保算法未遭泄漏。

未來的計劃

數據屏蔽確實具有諸多優勢。如果需要的話，可以修改企業應用程序本身以執行數據屏蔽處理，而不需要一個獨立的數據屏蔽工具，因為企業應用程序的主要功能通常也是某種形式的數據處理操作。已屏蔽的信息是可讀的，如果屏蔽功能使用得當的話，甚至可以使用“類生產”數據有效地測試產品業務工作流。客戶服務應用程序（例如咨詢臺）也不必再為保護敏感信息而在屏幕上刻意抹去演示級功能，因為已屏蔽的數據本身就可以替應用程序掩蓋敏感信息。如果客戶信息在被打印之前已經進行了屏蔽處理，則即使打印操作可以執行，也不必擔心是誰在使用打印機。但實施數據屏蔽并不像向現有應用程序中添加一個模塊或開發一個專門實現數據屏蔽的系統那樣簡單。正如任何數據保護機制一樣，在屏蔽第一條信息之前，企業需要制定計劃、確定體系結構以及對未來業務如何運行的設想。

【編輯推薦】

1. 教你使用檢測屏蔽法輕松解決蠕蟲病毒
2. 教你如何進行數據安全綜合防護