部署架构

数据脱敏现状


数据脱敏:对敏感数据按需进行漂白、变形、遮盖等去隐私化处理,避免敏感信息泄露,同时又能保证脱敏后的输出数据能够保持数据的一致性和业务的关联性; 


静态脱敏:由BI工程师、数据分析师等通过ETL工具等类似手段把数据从生产库抽取出来,经ETL脱敏处理,最后加载落地到开发、测试库中,此时的开发、测试库已无敏感数据。但BI工程师和数据分析师等人员拥有生产数据库的账号、密码信息,或者利用职能移除ETL数据转换流程中的脱敏流程,都能很轻易的获得真实的敏感数据,数据安全管理员和ETL实施工程师的职权没有办法清晰的划分区别,因此无法有效防范数据的泄露问题;


动态脱敏:对业务系统数据流中的敏感数据进行实时脱敏,或者根据用户身份验证级别应用更灵活的数据脱敏规则,动态的为数据进行脱敏操作; 

目前市场上的动态脱敏产品,一是采用协议代理的技术,在数据库协议层来对数据库的返回包进行脱敏处理, 

         –缺点:很多数据库协议往往是不公开的,很多厂家是通过逆向工程来分析协议,因此通过协议解析不能做到100%解析正确,存在错误解析和遗漏解析                    的可能; 

         –不能对复杂的SQL语句进行动态脱敏,例,如select substr(sfzh,1,18), sfzh||’***’ from customer 这条sql语句,sfzh(身份证号)有函数处理                            (substr, ||),脱敏系统无法脱敏身份证的敏感信息,无法避免敏感信息的泄露,导致整个脱敏系统不可用; 


另外一种是也是协议代理模式,从SQL中识别敏感请求,若SQL中含有敏感信息,改写SQL语句,例如:select name from table1,改写SQL为: Select ubstring(name,1,1)||’*****’ from table1, 缺点:不能支持复杂的脱敏规则,对源数据库性能影响较大;


        深普科技的DMStar数据资产保护和动态脱敏系统

                采用全新的技术架构及理念,能很好的满足动态脱敏的要求,实现真正的100%动态脱敏。




功能


1、防批量信息泄露(脱库);

2、数据库保护(不公开真实数据库的帐号密码ip端口信息)

3、细粒度访问权限控制,控制访问的数据库范围、DDL、DML权限;

4、IP、时间、帐户等多因素身份登录认证;

5、表级别的访问权限(insert、update、delete、select),设置返回行数限制;

6、防误删误改操作(delete、update),表级别的影响行数控制;

7、带参数和影响行数的数据库审计功能;

8、动态脱敏;

9、静态脱敏;

10、sql注入攻击阻断功能;



特点


1、全面支持静态脱敏,无需中间库,直接就地脱敏,管理方便快捷,脱敏速度快;

2、支持多种数据库和版本,ORACLE、MYSQL、SQLSERVER、DB2、POSTGRESQL、INFORMIX、SYBASE、GBASE(通用)、GREENPLUM、HADOOP、TERADATA、HBASE、KUDU、VERTICA、KINGBASE(金仓)、DAMENG(达梦)、OSCAR(神通)、HANA、DERBY、SQLSTREAM、H2、HSQLDB、FIREBIRD、NETEZZA、CACHE等;

3、内置数据库防火墙功能,防Sql注入、拖库攻击;

4、内置多种脱敏规则,满足不同的脱敏需求;

5、返回行数控制;

6、敏感内容快速自动发现;

7、实现数据安全管理员和数据使用者真正的职权分离;

8、业务应用模式和数据共享模式,支持多种应用场景,全面保障数据安全;

9、100%脱敏,无遗漏,无泄露;

10、复敏功能;



应用场景


1、降低开发、测试、培训、外包风险

       –DMStar动态数据脱敏可以对不同用户和应用的访问进行实时的隐私数据屏蔽,帮助企业有效保护重要数据资产的访问;有效隔离真实的数据库帐户信息,减少数据库攻击的可能性;

2、保护生产环境

       –生产环境下,业务应用系统的数据库登录帐户往往有较高的权限等级,一般为应用的Schema帐户,目前大部分数据库系统对schema帐户的权限都无法细分管理(即对表级的insert、update、delete、select权限无法单独授权设置);而数据库的攻击往往来自业务应用系统的漏洞,通过sql注入等手段,进行提权、设置后门等,进而实现拖库、删除数据、加密数据等危险操作。DMStar动态脱敏系统能防止SQL注入攻击,设置细粒度的权限控制和返回行数限制等,有效的保护生产数据库的安全,同时又能防止敏感信息的泄露。

3、数据交换、数据交易平台

      –因业务的紧密关联,不同机构、不同系统间需要进行数据交换、交易。由于早期信息系统安全设计重视度不够,许多传统的业务处理系统中,往往没有遵循数据最小需求原则。过量数据交换往往可能导致敏感信息泄露风险。

4、商务智能、数据分析平台

      –随着大数据时代的来临,数据的流动性越来越强,利用大数据进行用户标签化和用户规律深度挖掘,成为企业商业行为中越来越普遍的现象。在进行数据分析之前,需要对敏感信息进行脱敏处理,避免交付敏感信息。




本网站由阿里云提供云计算及安全服务 Powered by CloudDream