通过数据屏蔽保护和转换您组织的数据

随着意识到数据可以为用户提供独特的产品或服务体验，企业正在整理来自所有来源的数据。收集的数据量巨大，并与许多利益相关者共享，以得出有意义的见解或为客户提供服务。

这种数据共享导致经常性的数据泄露事件发生，影响到各行各业各种规模的公司——每年暴露数百万人的敏感数据，并使企业损失数百万美元。根据 IBM 的一份报告，2022 年数据泄露的平均成本为 435 万美元，高于 2021 年的 424 万美元。保护对跨组织流动的敏感数据的安全访问以加快开发、服务和大规模生产变得势在必行在不损害其隐私的情况下。

数据屏蔽匿名化和隐藏敏感数据

数据屏蔽匿名化或隐藏此敏感数据，同时允许将其用于各种目的或在不同环境中使用。

创建与数据格式相同的替代版本

数据屏蔽技术通过创建与数据格式相同的替代版本来保护数据。备用版本可以正常工作，但无法解码或进行逆向工程。原始数据的修改版本在多个数据库中是一致的。它用于保护不同类型的数据。

Data Masking 的常见数据类型（敏感数据）

• PII：个人身份信息
• PHI：受保护的健康信息
• PCI-DSS：支付卡行业数据安全标准
• ITAR：知识产权信息

根据Mordor Intelligence的一项研究，“数据屏蔽市场”在 2020 年的价值为 4.839 亿美元，预计到 2026 年将达到 10.4493 亿美元，在 2021 年至 2026 年的预测期内复合年增长率为 13.69%。

在这个信息时代，网络安全非常重要。”数据屏蔽通过提供实时数据的屏蔽版本同时保留其业务价值来帮助保护这些敏感数据（请参阅：k2view dotcom；“什么是数据屏蔽”）。它还解决了威胁，包括数据丢失、数据泄露、内部威胁或帐户泄露等。

许多数据屏蔽技术用于创建无法识别或未破译的敏感数据版本，以防止任何数据泄漏。它维护数据机密性并帮助企业遵守数据安全标准，例如通用数据保护条例 (GDPR)、支付卡行业数据安全标准 (PCI DSS) 等。

数据屏蔽的常用方法

1.静态数据屏蔽

这种数据屏蔽方法非常常用于屏蔽生产环境中的数据。在这种方法中，隐藏数据保留其原始结构而不泄露实际信息。更改数据以使其看起来准确并接近其原始特征，以便可以在开发、测试或培训环境中加以利用。

2.动态数据屏蔽

此方法与静态屏蔽的不同之处在于，在不改变原始数据形式的情况下屏蔽活动或实时数据。因此，在这种方法中，数据仅在特定的数据库层被屏蔽，以防止在不同环境中对信息进行未经授权的访问。

通过这种方法，组织可以动态隐藏数据，同时管理来自第三方供应商、各方或内部利益相关者的数据请求。它用于处理有关付款的客户查询或处理应用程序或网站内的医疗记录。

Informatica为 PowerCenter 提供了用于提取转换负载 (ETL) 的 PowerExchange 和用于数据屏蔽的 ILM。这些产品体现了处理跨多种技术和来源的大型数据集的最佳实践。

Informatica Dynamic Data Masking可匿名化数据并管理对生产环境中敏感信息的未授权访问，例如客户服务、计费、订单管理和客户参与。Informatica PowerCenter Data Masking Option 将生产数据转换为真实的匿名数据。

3. 即时数据屏蔽

即时数据屏蔽方法被认为是持续集成数据的组织的理想选择。使用此方法，数据在从生产环境传输到另一个环境（例如开发或测试）时会被屏蔽。根据需要屏蔽部分数据或较小的数据子集，从而无需在用于准备数据的暂存环境中创建屏蔽数据的连续副本。

不同的平台使用这些方法中的一种或组合来实现数据屏蔽。例如，K2view通过数据产品平台提供数据脱敏，简化了与特定业务实体相关的所有数据的数据脱敏过程，如客户、订单、信用卡号等。

K2view平台管理隐藏在其加密微数据库中的每个业务实体的敏感数据的集成和交付。它对客户数据管理（客户360）或测试数据（测试数据管理）等运营服务使用动态数据屏蔽方法。

另一个同时使用静态和动态数据屏蔽方法的示例是Baffle Data Protection Services(DPS)。它有助于降低不同类型数据（例如 PII、跨各种来源的测试数据）泄露数据的风险。借助Baffle，企业可以构建自己的数据保护服务层以在源头存储个人数据，并使用自适应数据安全在该源头管理强大的访问控制。

流行的数据屏蔽技术

• 数据加密

数据加密是最常见和最可靠的数据保护技术。这种技术隐藏了需要在需要时恢复到其原始值的数据。加密方法隐藏数据并使用加密密钥对其进行解密。生产数据或移动中的数据可以使用数据加密技术来保护，因为数据访问可以仅限于授权的个人，并且可以根据需要恢复。

• 数据加扰

数据加扰技术通过以随机顺序用字符或数字重新排列原始数据来保护某些类型的数据。在这种技术中，一旦数据被随机内容加扰，就无法恢复原始数据。这是一种相对简单的技术，但局限性在于仅特定类型的数据和较低的安全性。任何经过加扰的数据在不同的环境中都会有不同的看法（使用随机字符或数字）。

• 归零

Nulling Out 技术将空值分配给敏感数据，以便为数据带来匿名性，从而保护数据免遭未经授权的使用。在这种技术中，代替原始信息的空值改变了数据的特性并影响了数据的有用性。删除数据或用空值替换数据的方法剥夺了它的用处——使其不适合测试或开发环境。数据集成成为这种类型的数据操作的挑战，它被空值或空值所取代。

• 洗牌

混洗数据技术通过混洗随机混洗的相同列值以重新排序值，使隐藏数据看起来真实。例如，这种技术通常用于打乱记录中的员工姓名列，例如 Salaries；或者，在患者姓名的情况下，列在多个患者记录中随机排列。

洗牌后的数据看起来很准确，但不会泄露任何敏感信息。该技术在大型数据集上很受欢迎。

• 数据编辑（黑线）

数据编辑技术，也称为黑线化，不保留原始数据的属性，并使用通用值屏蔽数据。此技术类似于归零，在开发或测试目的不需要处于完整和原始状态的敏感数据时使用。

例如，将在线环境中支付页面上显示的信用卡号替换为 x's (xxxx xxxx xxxx 1234) 有助于防止任何数据泄露。同时，将数字替换为 x 有助于开发人员实时了解数据可能是什么样子。

• 代换

替换技术被认为是保留数据原始结构最有效的技术，它可以用于多种数据类型。通过将数据替换为另一个值来改变其含义来掩盖数据。

例如，在客户记录中将名字“X”替换为“Y”保留了数据的结构并使其看起来是有效的数据条目，但提供了防止意外泄露实际值的保护。

结论

数据屏蔽已成为将实时数据转换为非生产环境同时保持敏感数据安全和隐私的必要步骤。

在管理大量数据时，屏蔽数据至关重要，并授权以最佳方式控制数据访问。