想给业务松松绑,又怕数据泄漏隐患? 动态脱敏了解一下!
有财富的地方,就有无数血红的眼睛闪着觊觎的光。
我们的新能源“数据”,就恰好如此。
为了应对复杂多变的数据泄漏风险,我们依赖网络和数据库安全能力进行围墙化隔离,构造相对静态的预制策略。无数价值斐然的“数据”被置于金丝楠木柜中,藏在经阁之上~
却忽略了一个核心症结:为了安全,牺牲了业务体验。
在数据深层次、大范围的流通使用才能产生价值的今天,通过动态脱敏系统对不同角色、不同权限、不同数据类型执行不同的脱敏方案,成为了平衡业务和安全的不二之选。
动态、灵活的脱敏运营体系
极盾·觅踪的数据动态脱敏系统提供脱敏前的策略分析决策、脱敏实施中的灵活配置脱敏规则和脱敏后的持续运营调优,形成一套完整的脱敏运营体系。
同时,数据动态脱敏系统构建在高性能数据安全网关之上,无需应用系统改造,最大程度降低实施成本。
脱敏前:脱敏策略分析
通过分析业务人员“实际权限使用情况”和“敏感数据使用情况”,从数据分析的角度协助业务梳理敏感数据。同时提供脱敏复原能力,不影响业务的情况下开展“伪脱敏”解决大批量数据暴露的问题。
脱敏中:动态灵活脱敏
围绕业务场景进行精细化脱敏管控,结合访问主体属性(部门、岗位、职责)、访问数据属性(数据类型、安全等级、量级)、访问环境属性(业务场景、行为状态、所处环境)灵活设置脱敏规则。
脱敏后:持续运营调优
仍会持续运营分析,结合数据使用情况、权限使用情况等进行持续分析调优,为不同角色、不同权限、不同数据类型实时执行最优的脱敏方案,真正实现“数据使用”和“安全管控”的双向奔赴。
以某商业银行信贷审批系统动态脱敏为例:
根据监管需求,需要对用户手机号和身份证信息进行脱敏,这就造成了安全和业务之间的需求冲突。在具体的管控落地过程中,我们可在建设初期设定严格的管控策略或“伪脱敏”处理,然后通过接口访问的频率、结合业务部门的诉求定期调整数据脱敏策略,将前期一刀切式的管控,调整为贷前可以看到手机和身份证等信息,贷后催收只看手机,身份证等信息脱敏,以此满足安全合规与业务需求的平衡。
专业、靠谱的动态脱敏技术
面向行业的数据识别算法
常规数据识别多基于正则表达式、关键字、词典等,虽然能够很好地应对手机号、身份证、银行卡、性别、生日、民族、学历等数据,但对于姓名、地址、政府机关单位名称、公司组织名称、学校名称、履历等无法很好地识别。
极盾·觅踪采用自定义词典+基于 NLP 的文本识别模型,底层为较为通用的 NLP 的文本识别模型,在上层训练并构建面向特定行业领域的文本识别模型,并支持自定义企业、单位特有的关键字词典,来实现更加精准有效、面向行业领域的数据识别效果。
实时动态的数据脱敏引擎
基于精准高效的数据识别算法,以及可以根据接口字段级别进行精细化调整的方式,实现了一套高性能的实时动态数据脱敏引擎。
引擎支持 JSON、XML、HTML、JSONP 多种常见的数据格式,也支持 Word、Excel、PPT、CSV、PDF、ZIP、RAP 等多种常见的文件类型。引擎通过解析数据和文件,提取其中的文本信息,基于精准高效的数据识别算法,识别数据类型进行脱敏。针对可能存在漏脱和误脱的情况,引擎还支持根据数据格式解析后的字段级别进行精细化调整。目前经测试,在 4 核 CPU 8GB 内存硬件规格,可以实现高达每秒最高上千笔的数据识别和脱敏。
P.s.极盾·觅踪构建在 OpenResty 的网关之上,继承了它的高性能、可扩展等优点。并在此基础上,做了大量优化及自主研发改造,提供了流量解析、熔断与服务降级、数据动态脱敏、数据水印、流量日志采集、JS 探针动态注入、文件提取等多种强大的功能服务。从而实现了基于网关的一站式统一敏感识别、行为采集、安全防护。
版权声明: 本文为 InfoQ 作者【极盾科技】的原创文章。
原文链接:【http://xie.infoq.cn/article/9ebaa87a98ccb7f21c691979c】。文章转载请联系作者。
评论