當(dāng)前位置：安全 → 行業(yè)動(dòng)態(tài) → 正文

數(shù)據(jù)混淆技術(shù)能有效地防止數(shù)據(jù)泄漏嗎？

責(zé)任編輯：jackye 作者：Ajay Kumar |來源：企業(yè)網(wǎng)D1Net 2016-12-07 09:22:41 本文摘自：TechTarget中國(guó)

對(duì)于企業(yè)而言，數(shù)據(jù)泄露事故的影響可能是災(zāi)難性的，并失去客戶的信心和信任，面臨經(jīng)濟(jì)懲罰和其他嚴(yán)重后果。根據(jù)Ponemon研究所2016年數(shù)據(jù)泄漏事故成本研究顯示，數(shù)據(jù)泄露事故的平均總成本是400萬美元，這比2013年增加了29%。每條泄露記錄的平均成本是158美元，而醫(yī)療保健和零售業(yè)每條泄露記錄的平均成本分別是355美元和129美元。盡管數(shù)據(jù)泄露威脅有著極高的風(fēng)險(xiǎn)，企業(yè)仍然是數(shù)據(jù)泄露的受害者，對(duì)此，企業(yè)開始非常重視對(duì)企業(yè)擁有、處理和存儲(chǔ)數(shù)據(jù)的保護(hù)。

雖然外部威脅仍然是高優(yōu)先處理事項(xiàng)，但對(duì)敏感數(shù)據(jù)的威脅同樣來自內(nèi)部人員。員工竊取客戶信息、個(gè)人可識(shí)別信息或信用卡詳細(xì)信息都是真實(shí)的威脅，這是因?yàn)樵诖蠖鄶?shù)情況下，系統(tǒng)管理或數(shù)據(jù)庫管理員等特權(quán)用戶被授予對(duì)數(shù)據(jù)的訪問權(quán)限。通常，生產(chǎn)環(huán)境的實(shí)際數(shù)據(jù)會(huì)拷貝到非生產(chǎn)環(huán)境，非生產(chǎn)環(huán)境并不太安全，也沒有部署與生產(chǎn)環(huán)境相同的安全控制，這些數(shù)據(jù)很可能被泄露或竊取。

數(shù)據(jù)混淆技術(shù)提供了不同的方式來確保數(shù)據(jù)不會(huì)落入錯(cuò)誤的人手中，并且，只有少數(shù)個(gè)人可訪問敏感信息，同時(shí)還可確保滿足業(yè)務(wù)需求。

什么是數(shù)據(jù)混淆？

在技術(shù)領(lǐng)域，數(shù)據(jù)混淆（也成為數(shù)據(jù)掩蔽）是將測(cè)試或開發(fā)環(huán)境中現(xiàn)有的敏感信息替換為看起來像真實(shí)生產(chǎn)信息的信息，但這些信息無法被任何人濫用。換句話說，測(cè)試或開發(fā)環(huán)境的用戶不需要看到真實(shí)生產(chǎn)數(shù)據(jù)，只要這些數(shù)據(jù)與真實(shí)數(shù)據(jù)相似即可。

因此，數(shù)據(jù)混淆計(jì)劃被用于保護(hù)數(shù)據(jù)，它可幫助掩蔽非生產(chǎn)環(huán)境中包含的敏感信息，讓企業(yè)可緩解數(shù)據(jù)泄露的風(fēng)險(xiǎn)。

對(duì)數(shù)據(jù)混淆技術(shù)的需求

企業(yè)通常需要將生產(chǎn)數(shù)據(jù)庫中存儲(chǔ)的生產(chǎn)數(shù)據(jù)復(fù)制到非生產(chǎn)或測(cè)試數(shù)據(jù)庫，這樣做是為了真實(shí)地完成應(yīng)用功能測(cè)試以及涵蓋實(shí)時(shí)場(chǎng)景或最大限度減少生產(chǎn)漏洞或缺陷。這種做法的影響是，非生產(chǎn)環(huán)境很容易成為網(wǎng)絡(luò)罪犯或惡意內(nèi)部人員的簡(jiǎn)易目標(biāo)，讓他們可輕松地獲取敏感數(shù)據(jù)。由于非生產(chǎn)環(huán)境并沒有像生產(chǎn)環(huán)境那樣受到嚴(yán)格控制和管理，當(dāng)數(shù)據(jù)泄露事故發(fā)生時(shí)，企業(yè)可能需要花費(fèi)數(shù)百萬美元修復(fù)聲譽(yù)損害或者品牌價(jià)值損失。

監(jiān)管要求是數(shù)據(jù)混淆技術(shù)的另一個(gè)關(guān)鍵驅(qū)動(dòng)因素。例如，支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)（PCI DSS）鼓勵(lì)商家加強(qiáng)支付卡數(shù)據(jù)安全，廣泛部署一致的數(shù)據(jù)安全做法，滿足技術(shù)和操作要求。

PCI DSS要求商家的生產(chǎn)環(huán)境和信息不能用于測(cè)試和開發(fā)。不當(dāng)?shù)臄?shù)據(jù)泄露（無論是意外還是惡意事件）都會(huì)帶來毀滅性后果，并可能導(dǎo)致高昂的罰款或法律行為。

數(shù)據(jù)混淆用例

數(shù)據(jù)混淆技術(shù)的典型用例是當(dāng)開發(fā)環(huán)境數(shù)據(jù)庫交由第三方供應(yīng)商或外包商處理和管理時(shí)；數(shù)據(jù)混淆是確保第三方供應(yīng)商可執(zhí)行其職責(zé)及功能非常重要的工具。通過部署數(shù)據(jù)混淆技術(shù)，企業(yè)可使用數(shù)據(jù)庫中相似值來替換敏感信息，而不必?fù)?dān)心第三方供應(yīng)商在開發(fā)期間暴露該信息。

另一個(gè)典型用例是在零售業(yè)，零售商需要與市場(chǎng)研究公司共享客戶銷售點(diǎn)數(shù)據(jù)以運(yùn)用高級(jí)分析算法來分析客戶的購買模式和趨勢(shì)。零售商不必向研究公司提供真實(shí)的客戶數(shù)據(jù)，而可提供類似真實(shí)客戶數(shù)據(jù)的替代數(shù)據(jù)。這種方法可幫助企業(yè)減少通過業(yè)務(wù)合作伙伴或其他第三方供應(yīng)商泄露數(shù)據(jù)的風(fēng)險(xiǎn)。

關(guān)鍵字：混淆技術(shù)替代數(shù)據(jù)