动态数据脱敏技术分析.pdfVIP

动态数据脱敏技术分析

在当前国内信息安全热潮中，数据脱敏作为数据安全的重要一环得到了业界的认

可与重视。早在2012年，数据脱敏首次作为一个单独的魔力象限由Gartner发布，

Gartner在2014年又提出了：按照数据使用场景，将数据脱敏分为静态数据脱敏

(Staticdatamasking-SDM)与动态数据脱敏(Dynamicdatamasking-DDM)。

可能有人望文生义，认为动态数据脱敏一定比静态数据脱敏高级。非也非也，静

态or动态，取决于脱敏的使用场景，主要是以使用场景为由来选择合适的数据脱敏的

模式。

本文主要就动态数据脱敏和静态数据脱敏的区别作解释，着重和大家分析下动态

数据脱敏的原理、使用场景、部署方式等，一窥动态数据脱敏如何在隐私数据安全保

护中发挥至关重要的作用。

一、动静态数据脱敏“半斤八两”

前面提到了，静态数据脱敏与动态数据脱敏是按脱敏数据的使用场景来区分的。

所谓的数据使用环境，主要是指业务系统脱敏之后的数据在哪些环境中使用，一般可

分为生产环境和非生产环境（开发、测试、外包、数据分析等）。

l静态数据脱敏(SDM)：一般用在非生产环境，将敏感数据从生产环境抽取并脱

敏后给到非生产环境使用，常用于培训、分析、测试、开发等非生产系统的数据库；

l动态数据脱敏(DDM)：常用在生产环境，在访问敏感数据即时进行脱敏，一般

用来解决在生产环境需要根据不同情况对同一敏感数据读取时进行不同级别脱敏的场

景。


二、动态数据脱敏实现原理

动态数据脱敏是在用户层对数据进行独特屏蔽、加密、隐藏、审计或封锁访问途

径的流程，当应用程序、维护、开发工具请求通过动态数据脱敏（DDM）时，实时

筛选请求的SQL语句，依据用户角色、权限和其他脱敏规则屏蔽敏感数据，并且能运

用横向或纵向的安全等级，同时限制响应一个查询所返回的行数。

动态数据脱敏实现原理示意图

动态数据脱敏（DDM）以这种方式确保业务人员、运维人员以及外包开发人员严

格根据其工作所需和安全等级访问敏感数据。

三、动态脱敏系统的使用场景

本文选取业务脱敏、运维脱敏、数据交换脱敏三个使用场景分别展开介绍。

1.业务脱敏

动态脱敏系统首先要解决的问题是，业务系统的普通用户访问应用系统时对数据

权限的控制。正常情况下，业务系统开发时会依据用户身份标识进行身份验证后，不

同的用户进行限制数据的访问。

如业务用户在访问某行数据时，只需要查看客户个人信息的姓名、电话等信息，

而不需要查看身份证号或家庭住址，故对身份证或家庭住址的显示信息实行*号或其他

方式进行脱敏处理。

对于遗留系统（旧系统无法再作升级改造）以及开发时未考虑《网络安全法》中

要求的个人隐私保护问题，如若重新更改代码过于复杂，只能依赖于外部技术实现数

据的隐私保护，这个时候也需要使用动态脱敏技术。

2.运维脱敏

在信息安全的职责分离中，针对数据有三类人员：数据所有者、数据管理员、系

统管理员。数据所有者是业务人员，而数据管理员(DBA)与系统管理员是运维人员.。

动态脱敏需求最为迫切需要的一个场景，就是针对数据库的运维人员。运维人员

拥有的是管理员帐号DBA账号，但业务系统的数据是属于业务单位而不是运维部门。

从职责分离的原则上，如何实现既允许运维人员访问业务生产数据库又不能让他们看

到敏感数据？

以员工的工资表为例，当数据库的运维人员使用高权限账号查询这类敏感表时，

动态脱敏系统将自动将此敏感表（如工资表）的关键信息（工资）全部进行脱敏处理

后再进行显示，防止敏感信息泄露。

之前的技术手段是DAM技术方案，针对数据库作访问审计管理，针对DBA登陆后

的一切操作进行记录作为事后追溯。但这是一种被动