4．       制度流程

①      數據脫敏原則

有效性：要求經過數據脫敏處理后，原始信息中包含的敏感信息已被移除，無法通過處理后的數據得到敏感信息；

真實性：要求脫敏狗的數據應盡可能的提現原始數據的特征，且應盡可能多的保留原始數據中的有意義信息，以減小對使用該數據的系統的影響；

高效性：應保證數據脫敏的過程可通過程序自動化實現，可重復執(zhí)行；

穩(wěn)定性：數據脫敏時需保證對相同的原始數據，在各輸入條件一致的前提下，無論脫敏多少次，其最終結果數據是相同的；

可配置性：可通過配置的方式，按照輸入條件不同生成不同的脫敏結果，從而可以方便的按數據使用場景等因素為不同的最終用戶提供不同的脫敏數據。

②      數據脫敏管理安全規(guī)范

美創(chuàng)科技專家認為一個完整的數據脫敏流程包括敏感數據識別、確定脫敏方法、制定脫敏策略、執(zhí)行脫敏操作、審計及溯源等步驟。由數據脫敏管理部門負責數據脫敏整個流程的執(zhí)行與監(jiān)督。

敏感數據識別

在數據脫敏之前，應結合數據分級分類表對敏感數據進行識別和定義，明確需要脫敏的數據信息，一般包括個人信息數據、組織敏感信息、國家重要數據等。需要注意的是，有些信息本身可能并不是直接敏感信息，但是可用過與其他一些信息結合后推斷出敏感信息，此時也應將此類信息納入數據敏感的范圍。

確定脫敏方法

根據應用場景和時間機制，數據脫敏方法可分為靜態(tài)數據脫敏和動態(tài)數據脫敏。不同的數據脫敏方案對數據源的影響不同，脫敏時效性也不一樣。組織機構應根據識別出的敏感數據的具體情況，確定合適的脫敏方法。

制定脫敏策略

組織機構應根據實際業(yè)務場景，結合行業(yè)法規(guī)的要求，制定相應的數據脫敏策略。

執(zhí)行脫敏操作

根據已定義的數據脫敏策略、以及數據脫敏工作的流程和數據脫敏工具的運維管理制度，在實際業(yè)務運營過程中執(zhí)行數據脫敏。

審計及溯源

在數據脫敏的各個階段需加入安全審計機制，嚴格、詳細記錄數據處理過程中的相關信息，形成完整的數據處理記錄，用于后續(xù)問題排查分析和安全事件取證溯源。同時，設置專人定期對脫敏相關的日志記錄進行安全審計，發(fā)布審計報告，并跟進審計中發(fā)現的異常。

5．       技術工具簡述

一個有效的數據脫敏工具應該包含兩部分，一部分是可靠的數據脫敏技術，另一部分是合理的脫敏規(guī)則，這兩部分是數據脫敏工具正常進行基本數據脫敏作業(yè)的基礎。除此之外，數據脫敏工具需要有良好的適配性，能夠應用在不同的環(huán)境下，如生產環(huán)境、開發(fā)環(huán)境、測試環(huán)境、外包環(huán)境等。同時還需要能夠支持豐富的數據類型，針對不同的應用場景的的不同類型的數據，脫敏后不能破壞原有的類型和數據組成結構。

①      技術工具的方法和原理

數據脫敏技術工具可以分為兩種，一種是靜態(tài)脫敏，另一種是動態(tài)脫敏。靜態(tài)脫敏和動態(tài)脫敏最大的一個區(qū)別標志就是在使用時是否是與原數據源進行連接。靜態(tài)脫敏是將原數據源按照脫敏規(guī)則生成一個脫敏后的數據源，使用的時候是從脫敏后的數據源獲取數據，靜態(tài)脫敏一般用于開發(fā)、測試、分析等需要完整數據的場景。動態(tài)脫敏則是在使用時直接與原數據源進行連接，在使用數據的中間過程中進行實時的動態(tài)脫敏。動態(tài)脫敏一般用來解決在生產環(huán)境需要根據不同情況對同一敏感數據讀取時進行不同級別脫敏的場景。

靜態(tài)脫敏是利用截斷、偏移、規(guī)整、替換、重寫、加密等算法，對原數據進行脫敏，并將脫敏后的數據導出到脫敏后數據源。一般靜態(tài)脫敏工具都支持文件到文件脫敏、文件到數據庫脫敏、數據庫到文件脫敏、原庫脫敏、異庫脫敏等脫敏方式。

靜態(tài)脫敏

動態(tài)脫敏技術在工作時并不會對原數據進行改變，而是通過解析業(yè)務SQL語句匹配出脫敏規(guī)則對應的條件和數據。當匹配到對應的數據和條件時，通過對業(yè)務SQL語句進行改寫，改寫后的SQL語句在查詢生產數據源輸出后的數據即為脫敏后的數據。

動態(tài)脫敏

②      數據脫敏安全

相對來說，動態(tài)脫敏在自身數據安全性上是高于靜態(tài)脫敏的。這是由于在脫敏作業(yè)中，動態(tài)脫敏不會涉及到對原數據的處理，動態(tài)脫敏改變的只是SQL語句。而靜態(tài)脫敏則會對原數據進行處理，在處理過程中會存在比動態(tài)脫敏更多的風險點。

靜態(tài)脫敏在數據安全保護上一個重點是首先要確認在脫敏系統中會不會落地。數據落地需要脫敏系統也具有數據源同樣大小的存儲空間，對脫敏系統的存儲要求較高，同時進行多業(yè)務數據源脫敏的情況下，還需要對接存儲系統，不僅硬件成本高，還存在安全風險。

數據脫敏從信息安全的職責分離的要求下出發(fā)，脫敏系統的管理者為安全管理員，將DBA接觸敏感數據場景剝離出來，同時安全管理員不具有DBA權限也無法查看全部的敏感數據。但在數據落地的情況下，安全管理員可以從數據脫敏系統內獲得全部敏感數據，這就違背了職責分離的初衷。

一般來說，使用ETL技術，或者針對不同數據庫開發(fā)接口的靜態(tài)脫敏系統都不會采用數據落地的方式。

③      技術工具工作流程和目標

數據脫敏技術工具應能實現如下的目標：

敏感數據自動發(fā)現：數據脫敏系統在獲取到數據源中的數據后，應能夠利用特征匹配、機器學習等技術，自動發(fā)現數據源中的敏感數據。

不同場景脫敏規(guī)則：數據脫敏系統應當擁有豐富的脫敏規(guī)則，能夠涵蓋組織中的全部數據使用場景。

脫敏規(guī)則自動配置：針對自動發(fā)現的敏感數據，數據脫敏系統可以自動配置最合適的脫敏策略。

無損同構脫敏作業(yè)：數據脫敏系統在進行脫敏作業(yè)時，不能夠對數據造成損壞、丟失，同時脫敏后的數據結構應與原數據一致。

脫敏全流程審計：對于脫敏全流程，從配置脫敏源、敏感數據自動發(fā)現、脫敏規(guī)則配置、脫敏作業(yè)發(fā)起、脫敏作業(yè)結束等，所有的操作都應該被審計記錄。

美創(chuàng)科技對于數據處理階段的數據脫敏過程域的實踐指南就展開至此，《數據安全能力成熟度模型》實踐指南系列持續(xù)更新中，歡迎持續(xù)關注。