中安比特数据库脱敏系统-白皮书.pdf

北京中安比特科技有限公司 产品白皮书 中安比特数据库安脱敏系统 全面加固数据库 让核心数据更安全 2016 年7 月20 日 周礼 188 1105 0591 zhouli@csbit.cn 北京中安比特科技有限公司 目录 1 前言 3 2 对数据模糊化的需求 3 3 数据动态模糊化简介4 4 数据动态模糊化对比其他安全技术4 5 全面数据模糊化解决方案 5 5.1 部署架构 7 6 数据动态模糊化的运用场景 7 7 数据动态模糊化最佳实践8 8 总结9 周礼 188 1105 0591 zhouli@csbit.cn 北京中安比特科技有限公司 1 前言 企业内部机密信息、员工或客户个人信息等敏感数据是一个企业的核心机密数据，既要 避免被未经授权者获知，还需遵守日益增多的隐私保护法规。与此同时，企业环境正变得更 加错综复杂，从而要求为监控与保护企业持有的数据增加开支和加大投入力度。后台数据动 态模糊化产品通过定制数据模糊化策略、加密级别以及在个体层面进行封锁，以具有成本效 益的方式为企业添加额外的数据保护层。借助于后台数据动态模糊化产品，IT 组织能够为 授权用户提供相应的数据访问等级，而不必对代码或数据库进行任何变更。 2 对数据模糊化的需求 人大常委会 《关于加强网络信息保护的决定》、支付卡行业数据安全标准（PCI-DSS）、金 融现代化法案（GLBA ）、BASEL II、欧盟个人数据保护指令、HIPAA 以及其他隐私保护法规均 是为了应对同一个不断增长的问题而制订的：针对敏感信息及个人信息的泄露和盗窃。 这些法规要求组织基于其用户的业务职能限制数据访问权限。不过，在企业组织范围内 全面执行这一政策并非易事，尤其是在包括了外部用户以及外包的企业IT 环境中。 例如： •某组织使用人事管理软件来管理人力资源，因而需要向该系统的管理员和运维人员提 供其执行HR 任务所需的数据访问权限，但同时仅向特许用户提供所有详情。 •一家大型银行为保护客户隐私而需要对其数据库环境内的账户信息进行匿名化处理， 但又不能对设计人员、顾问、承包商、开发人员和 DBA 的日常工作造成干扰。 •一项关键业务遗留程序因其仅包含最基本的用户权限管理功能，从而给一家主要保险 公司的客户保密政策和财务数据安全带来风险。在大多数情况下，针对打包和内部开发应用 程序以及开发和 DBA 工具中的敏感信息限制访问权限的成本异常高昂，而且极为耗时。许 多数据库访问监控（DAM）解决方案能够审核用户访问记录，并在发生数据泄漏问题后帮助 进行识别，但它们无法对敏感信息进行匿名化处理，以便防患于未然。其他技术则要求进行 大规模的应用程序变更，导致不可接受的性能问题，且无法为所有需要保护的多种个人信息 提供保护。 因此，需要一个与众不同的安全措施，既能够提供更严格的规则、更