數(shù)據(jù)保護對于一切企業(yè)來說是重中之重的問題，一旦泄露例如客戶信息的敏感數(shù)據(jù)，最終可能導(dǎo)致的結(jié)果很有可能是使公司信譽受到極大的影響。那么如何保證自己的數(shù)據(jù)安全呢？雖然可以采用加密技術(shù)來保護客戶信息，但這種防御方法很昂貴，而且還會使客戶信息變成無法使用的格式。因此，研究人員提出了一種掩蓋客戶信息的替代性方法：數(shù)據(jù)屏蔽(Data Masking)。數(shù)據(jù)屏蔽不改變信息的格式，使其仍可用于開發(fā)和質(zhì)量測試，同時又可以提供足夠有效的信息，以服務(wù)公司的客戶。那么，當金融公司準備采用數(shù)據(jù)屏蔽技術(shù)時，需要考慮的關(guān)鍵因素是什么呢？

確定數(shù)據(jù)屏蔽系統(tǒng)的部署范圍

考慮采用任何數(shù)據(jù)保護機制的首要任務(wù)，就是弄清并確定數(shù)據(jù)屏蔽系統(tǒng)的部署范圍。數(shù)據(jù)屏蔽最佳實踐要求金融公司明確哪些信息需要保護、哪些員工可以獲得訪問授權(quán)、哪些應(yīng)用程序可以使用受保護的數(shù)據(jù)以及這些數(shù)據(jù)在生產(chǎn)和非生產(chǎn)領(lǐng)域的什么地方駐留。雖然這一要求理論上似乎容易實現(xiàn)，但由于大多數(shù)金融公司運營的復(fù)雜性和業(yè)務(wù)范圍的廣泛性，確定敏感信息、可以使用敏感信息的應(yīng)用程序和可以接觸敏感信息的員工實際上是一項艱巨的任務(wù)。

另外，確定一名員工是否可以獲得訪問客戶信息的授權(quán)并不僅僅是一個非是即否的問題。對客戶服務(wù)代表來說，他們可能需要訪問客戶的部分信息以驗證客戶身份，但并不必訪問客戶的全部信息。例如，客戶服務(wù)代表可能想知道客戶社會保障號/稅號或者其賬單/郵政編碼的后4位，以確認打電話的人確實是該客戶。雖然客戶服務(wù)代表需要訪問這一信息來確認客戶身份，但他們并不需要完全訪問整個社會保障號或賬單郵寄地址。確定將信息掩蓋到何種程度同時仍可用于商業(yè)目的可能比較困難，而且通常還需要法律/合規(guī)性部門參與或?qū)彶椤?/p>

確定要采用的數(shù)據(jù)屏蔽技術(shù)

數(shù)據(jù)屏蔽最佳實踐的第二個要素是，確定采用哪些數(shù)據(jù)屏蔽功能處理敏感信息?，F(xiàn)有的數(shù)據(jù)屏蔽技術(shù)具有多種數(shù)據(jù)處理功能，但并不是所有的功能都適合保持有效的業(yè)務(wù)上下文信息。這些功能包括：

不確定的隨機化(Non-deterministic Randomization)：使用隨機生成的、滿足各種約束條件的值替換敏感字段，確保數(shù)據(jù)仍然有效，而不會將數(shù)據(jù)替換成2月30日這樣的日期。例如，將日期2009年12月31日替換為2010年1月5日。

模糊化(Blurring)：為原始值增加一個隨機值，例如使用一個不超過原始值8%的隨機值替換儲蓄賬戶值。

置空(Nulling)：使用空符號替換敏感字段中的值。例如，將社會保障號404-30-5698替換為###-##-5698。

變換(Shuffling)：變換敏感字段中的值的位置。例如，將郵政編碼12345變換為53142。

可重復(fù)的屏蔽(Repeatable Masking)：通過生成可重復(fù)且唯一的值，保持參照完整性(Referential Integrity)。例如，自始至終都使用26-3245870替換社會保障號24-3478987。

替換(Substitution)：使用值替換表隨機替換原始值。例如，從一個包含10萬個姓名的列表中用“Mary Smith”替換“Jane Doe”。

特殊規(guī)則(Specialized Rules)：這些規(guī)則適用于特殊字段，例如社會保險號、信用卡號碼、街道地址和電話號碼等，這些特殊字段在替換后仍保持結(jié)構(gòu)上的正確性，并可用于工作流與檢驗和驗證。例如，將“100 Wall St., New York, N.Y.”替換為“50 Maple Lane, Newark, N.J.”，其中的每個隨機值(門牌號、街道、城市和州)構(gòu)成一個有效地址，可以通過谷歌地圖或在線地圖查詢服務(wù)MapQuest等應(yīng)用查找到。

標記化(Tokenization)：標記化是一種特殊的數(shù)據(jù)屏蔽形式，利用獨特的標識符替換敏感數(shù)據(jù)，使信息可以在以后恢復(fù)到原始數(shù)據(jù)。例如，為災(zāi)難恢復(fù)目的而存儲的數(shù)據(jù)必須在以后可以恢復(fù)，或者在業(yè)務(wù)運行過程中信息必須通過不可信的域時，標記化非常有用。

考慮參照完整性需求

數(shù)據(jù)屏蔽最佳實踐的第三個要素是企業(yè)的參照完整性需求，不過這一點在一開始部署數(shù)據(jù)屏蔽系統(tǒng)時往往容易被忽略。在企業(yè)層面，參照完整性通常要求匯總信息，以滿足業(yè)務(wù)范圍和資源共享需求。這意味著，來自同一業(yè)務(wù)范圍應(yīng)用程序的每種類型的信息都必須使用相同的算法/種子值進行屏蔽。

例如，如果業(yè)務(wù)范圍A的應(yīng)用程序的數(shù)據(jù)屏蔽系統(tǒng)將客戶的出生日期替換為2010年1月5日，則業(yè)務(wù)范圍B的應(yīng)用程序的數(shù)據(jù)屏蔽系統(tǒng)必須將相同的出生日期輸入值也替換為2010年1月5日。利用參考完整性，如果一個企業(yè)級應(yīng)用程序需要訪問每個已屏蔽的出生日期，則該應(yīng)用程序可以關(guān)聯(lián)和操作來自這兩個業(yè)務(wù)范圍應(yīng)用程序的其余數(shù)據(jù)。如果在最初階段或者甚至在部署了第二個數(shù)據(jù)屏蔽工具時，仍沒有考慮這種要訪問已屏蔽信息的工作流，則企業(yè)的數(shù)據(jù)屏蔽系統(tǒng)將需要進行重大的調(diào)整和信息的重新屏蔽，除非該金融公司的各項業(yè)務(wù)之間幾乎不發(fā)生交互，而這通常是不可能的。

然而，對許多大型金融企業(yè)而言，在整個企業(yè)范圍內(nèi)使用單一的數(shù)據(jù)屏蔽工具一般并不可行。由于地域差異、預(yù)算/業(yè)務(wù)需求、不同的IT管理組或者不同的安全/監(jiān)管要求，每種業(yè)務(wù)范圍可能會需要部署自己的數(shù)據(jù)屏蔽工具。盡管這種情況不影響一般的數(shù)據(jù)屏蔽處理，但如果不同的數(shù)據(jù)屏蔽工具由于某種未知原因而不能同步，則可能會造成工作流難以繼續(xù)。例如，對一個業(yè)務(wù)范圍應(yīng)用程序來說，出生日期的隨機化可能完全可以接受。但對另一個業(yè)務(wù)范圍應(yīng)用程序來說，已屏蔽的出生日期必須屬于一個該應(yīng)用程序認為有效的預(yù)定義范圍(例如超過21歲)。

增強數(shù)據(jù)屏蔽算法的安全性

數(shù)據(jù)屏蔽最佳實踐的第四個要素是，保護數(shù)據(jù)屏蔽工具使用的種子值或算法的安全性。由于數(shù)據(jù)屏蔽的基本原則是只允許獲得授權(quán)的用戶訪問經(jīng)授權(quán)的信息，所以數(shù)據(jù)屏蔽工具使用的種子值或算法無疑屬于高度敏感的數(shù)據(jù)。如果有人掌握了數(shù)據(jù)屏蔽工具使用的可重復(fù)的數(shù)據(jù)屏蔽算法，則他或她可以對大的敏感信息塊進行逆向工程。一個數(shù)據(jù)屏蔽最佳實踐是采用職責分離的原則，允許IT安全人員決定使用什么數(shù)據(jù)屏蔽方法和算法，并只能在初始部署階段訪問數(shù)據(jù)屏蔽工具以設(shè)置種子值，在部署完成之后IT安全人員則不能再訪問數(shù)據(jù)屏蔽工具。

由于IT安全人員無權(quán)訪問日常運營系統(tǒng)，而IT支持人員無權(quán)訪問數(shù)據(jù)屏蔽算法，從而實現(xiàn)了嚴格的“職責分離”控制。但是，如果數(shù)據(jù)屏蔽工具未提供這種“職責分離”控制功能，則IT支持人員必須執(zhí)行周期性的背景調(diào)查，并嚴密審計系統(tǒng)訪問，以確保算法未遭泄漏。

未來的計劃

數(shù)據(jù)屏蔽確實具有諸多優(yōu)勢。如果需要的話，可以修改企業(yè)應(yīng)用程序本身以執(zhí)行數(shù)據(jù)屏蔽處理，而不需要一個獨立的數(shù)據(jù)屏蔽工具，因為企業(yè)應(yīng)用程序的主要功能通常也是某種形式的數(shù)據(jù)處理操作。已屏蔽的信息是可讀的，如果屏蔽功能使用得當?shù)脑?，甚至可以使?ldquo;類生產(chǎn)”數(shù)據(jù)有效地測試產(chǎn)品業(yè)務(wù)工作流?？蛻舴?wù)應(yīng)用程序(例如咨詢臺)也不必再為保護敏感信息而在屏幕上刻意抹去演示級功能，因為已屏蔽的數(shù)據(jù)本身就可以替應(yīng)用程序掩蓋敏感信息。如果客戶信息在被打印之前已經(jīng)進行了屏蔽處理，則即使打印操作可以執(zhí)行，也不必擔心是誰在使用打印機。但實施數(shù)據(jù)屏蔽并不像向現(xiàn)有應(yīng)用程序中添加一個模塊或開發(fā)一個專門實現(xiàn)數(shù)據(jù)屏蔽的系統(tǒng)那樣簡單。正如任何數(shù)據(jù)保護機制一樣，在屏蔽第一條信息之前，企業(yè)需要制定計劃、確定體系結(jié)構(gòu)以及對未來業(yè)務(wù)如何運行的設(shè)想。

【編輯推薦】

1. Web安全漏洞之企業(yè)自查
2. Web應(yīng)用防火墻的主要特性
3. 兩種策略選擇開源安全產(chǎn)品
4. 數(shù)據(jù)泄露的七種主要途徑
5. 保護數(shù)據(jù)安全的三種武器