資料遮罩(Data Masking),又稱資料漂白、資料去隱私化或資料變形。百度(Baidu, BIDU-US)百科對資料遮罩的定義為:指對某些敏感資訊通過脫敏*規則進行資料的變形,實現敏感隱私資料的可靠保護。這樣,就可以在開發、測試和其它非生產環境以及外包環境中安全地使用脫敏後的真實資料集。
*「脫敏」一詞源自醫學用語,指解除病人的過敏狀態或使過敏者對過敏源不產生反應。
可以看到資料遮罩具有幾個關鍵點:敏感性資料、脫敏規則、使用環境。
敏感性資料,又稱隱私數據,常見的敏感性資料有: 姓名、身份證號碼、地址、電話號碼、銀行帳號、郵箱地址、所屬城市、密碼類 ( 如帳戶查詢密碼、取款密碼、登錄密碼等 )、組織機構名稱、營業執照號碼、交易日期、交易金額等。
隨著巨量資料時代的到來,巨量資料商業價值的挖掘、用戶的精準定位,巨量資料中蘊藏的巨大商業價值被逐步挖掘出來,但是同時也帶來了巨大的挑戰–個人隱私資訊的保護。個人資訊與個人行為(比如位置資訊、消費行為、網路訪問行為)等,這些都是人的隱私,也是我們所關注的一類敏感資訊,在巨量資料價值挖掘的基礎上如何保護人的隱私資訊,也將是資料遮罩必須解決的難題。
脫敏規則,一般的脫敏規則分類為可恢復與不可恢復兩類。
- 可恢復類,指脫敏後的資料可以通過一定的方式,可以恢復成原來的敏感性資料,此類脫敏規則主要指各類加解密演算法規則。
- 不可恢復類,指脫敏後的資料被脫敏的部分使用任何方式都不能恢復出。一般可分為替換演算法和生成演算法兩大類。替換演算法即將需要脫敏的部分使用定義好的字元或字串替換,生成類演算法則更複雜一些,要求脫敏後的資料符合邏輯規則,即是“看起來很真實的假資料”。
使用環境,主要指脫敏之後的資料在哪些環境中使用。普遍按照生產環境和非生產環境(開發、測試、外包、資料分析等)進行劃分。
在最近一期的Gartner關於資料遮罩的報告(Magic Quadrant for Data Masking Technology-2014年12月)中根據資料遮罩產品應用場景的將資料遮罩劃分為靜態資料遮罩(static data masking[SDM])和動態資料遮罩(dynamic data masking[DDM])。
靜態資料遮罩(SDM)與動態資料遮罩(DDM)主要的區別是:是否在使用敏感性資料當時進行脫敏。
- 靜態資料遮罩(SDM)一般用在非生產環境,在敏感性資料從生產環境脫敏完畢之後再在非生產環境使用,一般用於解決測試、開發庫需要生產庫的資料量與資料間的關聯,以排查問題或進行資料分析等,但又不能將敏感性資料儲存於非生產環境的問題。
- 動態資料遮罩(DDM)一般用在生產環境,在訪問敏感性資料當時進行脫敏,一般用來解決在生產環境需要根據不同情況對同一敏感性資料讀取時需要進行不同級別脫敏的問題。
在上文中提到的Gartner是全球最具權威的IT市場與顧問諮詢公司,就IT的研究、發展、評估、應用、市場等領域,為客戶提供客觀、公正的論證報告及市場調研報告,協助客戶進行市場分析、技術選擇、項目論證、投資決策。Gartner每年都在關鍵領域,採用“魔力象限圖”對主要廠商進行定位,是在某一特定時間內的對市場情況進行的圖形化描述。魔力象限的四個象限依次分別為領導者(Leaders)、挑戰者(Challengers)、有遠見者(Visionaries)和特定領域者(Niche Players)。
資料遮罩首次作為一個單獨的魔力象限被Gartner發佈是在2012年12月,每年的12月Gartner會發佈當年資料遮罩方面的分析報告,迄今為止一共發佈了3期。
我們在這三份報告的基礎上分析近年來資料遮罩方面的變化,並對未來的發展進行展望。
1、資料遮罩市場定義與描述比較(Market Definition/Description)
可以看出,關於在最近一期的報告中,並沒有把“結構化/非結構化”(即是否是關聯式資料類型)單獨作為一個分類的標準,而是將“即時/非即時”以及“生產/非生產”作為了關鍵指標。沒有強調非結構化資料(Data redaction masks)作為一個單獨分類。
2、評價標準比較
Gartner對資料遮罩產品的評價,主要分為執行能力和完整的願景兩方面,具體的方面見下圖:
比較近三年的報告,上圖中紅色部分的評價標準發生了變化,具體內容如下:
可以看到,在13年評價標準發生了一個較大的變化,就是從原來的關注SDM轉變為SDM與DDM均有,並且開始關注巨量資料與雲資料安全。在13年產品與服務類別,評價中考慮是否提供了其他的安全產品相配合;而到14年資料智慧被提到更重要的位置上作為產品與服務的評價專案。
3、象限位置定義
對於象限的定義上,13年與14年沒有什麼差別,而12年的差別也是在於12年從SDM上考慮的多,而DDM幾乎沒有被考慮,這裡不再進行比較。在分析了14年的報告以後,得出的象限標準如下圖:
在過去的幾年,層出不窮的隱私資料洩密事件已經證明,企業和政府機構的資料安全,內部人的洩密比外部駭客攻擊後果更嚴重。
近年來資料遮罩歷經了一個從重視靜態資料遮罩(SDM)到靜態資料遮罩(SDM)、動態資料遮罩(DDM)同樣重視的程度,即覆蓋面正在從非生產系統到生產系統。
隨著巨量資料、雲平臺的發展,巨量資料平臺與雲平臺上資料隱私保護的研究與產品也將長足發展,同時敏感性資料的智慧探測、智慧分析與統計、智慧處理也將會被作為一個重要的產品發展方向。 (作者為亞信(3169-TW)科技(中國)有限公司網路安全事業部 尹雯玉)
《中雲網授權轉載》