• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

H3C SecPath DM2000-S系列数据静态脱敏系统

随着互联网、物联网、云计算等信息技术与通信技术的迅猛发展,人类正在生产、消费、存储和使用越来越多的数据。如此海量的数据在带给人们巨大价值的同时,同时也带来了各种数据泄露的风险。近年来,数据泄露事件频繁发生,给国家、单位和个人都造成了严重的损失。数据泄露造成的影响也正在越发严重。如何有效的进行数据的安全防控成为国家、单位和个人所面临的严峻挑战。

目前,大量的敏感数据都存储在政府、企业、机构的后台数据库中,而在这些数据的使用过程中将不可避免的产生数据的访问、复制和交换等。如何在此过程中保证不同敏感级别的数据能够安全的被不同需求、不同权限以及不同角色的用户规范、合理的使用,以及减少敏感隐私数据被非法使用和获得的可能性,是相关数据拥有者们最为关注的问题之一,而数据脱敏技术正为此而生。

数据脱敏(Data Masking),又称数据混淆、数据漂白、数据去隐私化。数据脱敏是指对某些敏感信息通过脱敏规则进行数据的变形,实现敏感数据的可靠保护,实现在不泄露用户隐私的前提下保障业务系统的正常运行。数据脱敏技术能够着重保护企业内外部的所有数据,因此必然将成为企业与政府的安全解决方案。

H3C SecPath DM2000-S系列静态脱敏支持敏感数据的自动发现,针对用户不同的应用场景提供灵活的策略和脱敏方案配置。在帮助企业实施高效脱敏的处理的同时,提供脱敏后数据的高保真性、数据之间的关联性,支持脱敏工程的可逆性和不可逆性、可重复性与不可重复性的多种策略选择。充分满足用户针对不同应用场景下的各种脱敏需求,使脱敏后的数据可以安全的应用于测试、开发、分析和第三方大数据分析等环境。

H3C SecPath DM2000-S系列数据静态脱敏系统产品包括DM2010-S、DM2020-S、DM2030-S三个型号,广泛适用于“政府、财政、教育、能源、工商、社保、医疗、国土、金融、运营商、企业”等所有涉及数据库应用的各个行业。

易上手——引导式智能化交互体验

H3C SecPath DM2000-S系列静态脱敏采用引导式操作流程,结合简洁的操作界面,让用户可以更加方便快捷地完成数据脱敏任务,大限度地降低了用户对系统的学习和使用难度。此外,数据库脱敏系统在交互界面设计时,还充分考虑用户的使用习惯和操作流程。在用户策略设置的过程中,提供即时部署预览功能,实现“所见即所得”式的配置流程。并且通过智能化的敏感数据发现和自动脱敏策略推荐等功能,极大的减少了用户繁杂的人工配置工作,将产品的易用性提升到一个新的高度。

广支持——丰富的协议和算法支持

H3C SecPath DM2000-S系列静态脱敏支持Oracle、SQL Server、MySQL、PostgreSQL、高斯、达梦、金仓等多种数据库,支持Hive、GreenPlum等大数据平台及数据仓库。

同时内置丰富、强大的脱敏算法,支持包括遮蔽、置空、随机和仿真四大类共数十种算法,满足各类用户的各种需求。具体支持情况如下:

抑制技术

抑制是指通过隐藏数据中部分信息的方式来对原始数据的值进行转换,又称为隐藏技术,具体的脱敏方法包括:

屏蔽(Masking)

屏蔽技术是一种基线脱敏技术,该技术包括从数据集中删除所有直接标识符或敏感信息。屏蔽技术也有其它一些叫法,如替换、掩码等。

局部抑制(Local Suppression)

局部抑制技术是指从所选记录中删除特定属性值,该特定属性值与其它信息结合使用可能形成新的敏感数据标识,通过局部抑制来移除敏感信息的稀有值(或这些值的稀有组合)。

或在抑制过程中不会删除所有标识符,仅删除敏感数据的一部分,使其去标识化,从而达到脱敏的目的。例如将手机号码18600001234经过局部抑制后得到186****1234,抑制后的数据长度与原始数据一样。

抑制技术会导致信息丢失,抑制技术处理后的数据有被重标识的风险,因此需要与其它去标识化技术相结合以降低数据的重标识风险。过多的抑制会影响数据的效用,所以在具体应用时,为保证数据的可用性,要对抑制的数据项数量设定一个上限值。

随机化技术

随机化技术作为一种脱敏技术类别,指通过随机化修改属性的值,使得随机化处理后的值区别于原来的真实值。该过程降低了攻击者从同一数据记录中根据其它属性值推导出某一属性值的能力。

随机化技术并不能保证数据在记录集的真实性。为达到特定的目标,有效随机化过程需要逐项定制,定制过程中需要详细了解数据特性,并选取合适的参数。

随机类算法主要包括指定规则随机抽取、指定规则随机生成、码值随机偏移、随机算数置换等。

随机类算法的特点是在特定规则限制下,可以实现数据的保真性。并且由于其随机特性的本身,其安全性也能够得到保障。凭借多年的行业积累,针对常见敏感数据其及子信息段均有丰富的随机库资源,支持数据库脱敏系统中兼顾高保真和高安全性的随机类算法。

丰富的脱敏特性

通过以上的丰富的各类算法,数据库脱敏系统可提供全面的脱敏业务需求满足能力。支持多种不同应用场景和各种脱敏效果特性的满足,包括以下六个维度上对于用户针对脱敏效果特性的要求进行满足。

保真性

根据脱敏任务的具体需求,脱敏后的结果往往被要求其业务的有效性即数据库的保真性。一般来说,脱敏不可简单的生成随机无意义的文本序列或数值,或简单删除、截断和掩码处理,应当根据业务使用的具体场景,在一定程度上保留其原始数据的业务属性,甚至部分场景下需要保持其抽样特性不变。

例如身份证号码脱敏后的数据应当依旧满足身份证号码的特性、能够正确通过其自身的有效性规则验证,身份证号码中所包含的信息也都是有意义的区号或生日,而非随机数值。

关联性

对于结构化数据,特别是那些不同数据元素之间关系非常复杂的数据集,往往存在同一数据表中某字段与另外字段有对应关系。而一般来说数据脱敏前后这种对应关系不应破坏,否则将导致该字段的使用价值不复存在。一般来说,对于需要进行数据统计需要参考量的情况下,对数据的关联性要求较高。

可逆性

在使用脱敏的一般应用场景中,被脱敏后的数据永远不能被恢复成原始的业务数据。市面上的大部分脱敏产品都被设计成这种模式。但是,随着大数据分析的逐渐流行,第三方商业智能和精准营销服务等被广为接受,业务部门经常需要将脱敏后数据还原成原始业务数据,以便开展后续的工作。例如电信公司可将业务数据脱敏后,交由第三方进行用户行为分析,在最终结果完成后,电信公司可以将脱敏数据还原,以便精准对用户画像,进行精准精营销活动,而在此种情况下用户就会要求数据脱敏的可逆性。

可重复性

在某些业务场景中,脱敏必须是一个可重复的过程。相同的数据进行多次脱敏,或者在不同的测试系统进行脱敏保障每次脱敏的数据保持一致性。从而保证数据在增量等特殊 环境下其脱敏后的结果仍然能够被有效的关联。

在另外一些场景中,出于保密考虑,对同一数据字段(如身份证号、信用卡号等)每次进行脱敏的结果都要求不一定相同,这样可以避免黑客收集大量脱敏数据后,通过逆向工程将原始业务数据还原。

因此,脱敏产品应允许用户在配置策略时,针对某一特定类型数据和特定场景,可以选择脱敏结果是否可重复。

时效性

在部分业务需求以及应用场景,特别是在动态脱敏的场景下,用户往往对于脱敏的时效性要求较高。超过一定时间后脱敏数据可能就不再具有进一步分析挖掘的意义。因此,此类场景下数据脱敏应尽量避免选择耗时或性能较低的脱敏算法,比如加密算法等。

安全性

所谓脱敏安全性,即脱敏后的数据对于信息复原、或通过多个字段组合统计识别原始信息的抵抗性。对于部分高级敏感数据的脱敏,往往对于安全性要求较高。此时用户的其它要求,都可以服务从于安全性的要求。对于此类需求,应当选择不可逆、或者其它能够保证信息不被泄露的算法。

高性能——集群化多线程处理模式

H3C SecPath DM2000-S系列静态脱敏采用多线程并行机制,实现产品脱敏效率快速化、高效化。通过任务资源动态分配,实现集群化处理。数据库脱敏系统在任务配置的过程中支持对于写并发、表并发、表读取、表分片、以及系统读写线程数等参数的配置,支持在任务执行过程中加写并发、减写并发,为用户提供多种性能配置。

高可靠——稳定、安全的自身设计

三权分立功能授权

H3C SecPath DM2000-S系列静态脱敏提供角色定义,用户定义功能。系统初始提供三个管理员账号,包括:系统管理员、安全管理员和脱敏管理员,分管数据库脱敏系统的不同功能模块,满足三权分立要求。

脱敏过程数据不落地

传统的数据库脱敏产品不支持数据的库对库不落地脱敏,必须将数据落地成文件,然后再由文件导入到数据库中。由于通过文件落地方式进行转换,给脱敏工作带来如下影响:

存在中间数据泄漏风险

需要提供大量的临时空间存放临时文件数据

需要运维人员介入脱敏数据入库工作,加重工作量

数据入库时容易出现中文乱码情况

H3C SecPath SM2000系列静态脱敏将生产数据抽取、脱敏并生成测试数据,并且在整个方案不会对生产数据进行落地,确保了生产数据脱敏过程中的安全性。

容错恢复与结果验证

H3C SecPath DM2000-S系列静态脱敏拥有强大的容错恢复能力,支持脱敏任务的手动暂停、和强制中止,支持任务的手动恢复和意外中止恢复。支持支持脱敏结果的验证检查,避免因原始数据损坏、不规律等意外因素导致的脱敏失败,确保核心敏感数据不会在脱敏前被暴露。大限度的保证用户数据处理过程的安全性。

表1-1 H3C SecPath DM2000-S 静态脱敏系统产品规格

属性

DM2010-S

DM2020-S

DM2030-S

数据库协议支持

Oracle、mysql、sqlserver、Postgresql、Gbase、hive、神通数据库、GreenPlum、GaussDB

脱敏方式

文件类脱敏

支持txt,csv,excel,dump文件脱敏

异库脱敏

支持异库迁移和脱敏

同库脱敏

支持同库迁移和脱敏

异构脱敏

oracle-mysql oracle-sqlserverle

文件--数据库/文件

支持文件脱敏到文件,文件脱敏到数据库。支持源文件类型:txt、csv、excel、dmp

数据库/文件--文件

支持数据库脱敏到文件,文件脱敏到文件。支持目标文件类型:txt、csv、excel、html、xml、dmp、OFDCFDAT

数据扫描

数据源管理

支持数据源管理:添加、修改、删除。

支持数据库源的连通性测试。

支持数据库、文件字符编码(UTF8/GBK/GB2312)

支持添加扫描模板(行业特征模板)

敏感字段发现和脱敏

能够通过正则表达式或者字段名称发现敏感数据。支持手动编辑需要发现的敏感数据特征。

内置的敏感数据特征库,内容包括:姓名、身份证、手机号/固话、地址、邮箱、统一识别代码;其他证件类:驾驶证、军官证等;银行卡等

支持自定义发现规则:正则、字段名称、java函数

支持为敏感信息项配置、调整发现规则和脱敏算法

数据过滤筛选,提供一定的条件进行数据的筛选

支持指定表进行扫描

支持表级别脱敏预览,可以查看脱敏源的详细信息。支持查看敏感字段的详细内容。

支持按抽样进行数据扫描,提升扫描的效率,抽样数

脱敏方案

支持数据源扫描结果的人工确认、保存脱敏方案

支持扫描结果重新定义敏感字段

支持脱敏前后数据对比

支持脱敏方案管理:编辑、导入、导出、使用、取消、删除

数据子集

可以在配置脱敏方案过程中,调用定义好的子集规则,数据子集可以方便导入脱敏方案,快速调整方案内容。

可对数据子集内容进行编辑,调整子集中的敏感数据类型

脱敏效果

脱敏任务管理

能够设置定时调度作业任务;

支持能够将表字段不迁移,变成非敏感字段。

脱敏过程的中间数据不落地,直接从源到目标;

支持脱敏作业的暂停,启动,继续和任务并发;

支持跳过脏数据处理机制

脱敏操作流程化,简单化,无需繁琐配置;

支持脱敏任务自动适配系统资源,自动调配调优

支持其他数据对象迁移(表、索引、视图、主外键、触发器、存储过程、自定义函数等);

支持脱敏任务参数手工可调(提交数、线程并发、表并发、表分片等)

支持展示脱敏的开始时间、结束时间(预估结束时间)、数据量、实时效率、进度等

任务报告查看,包含源/目标的表、行数、对象迁移

脱敏报告支持记录级别的错误处理

脱敏算法

提供高仿真脱敏算法,脱敏数据保持原语义不变

仿真算法支持种子或者偏移量配置,可以通过配置偏移量,生成不同的仿真数据。

支持敏感信息配多种脱敏算法可以选择

支持复合数据的的脱敏效果,复合数据有列包含多种类型数据,或者一个单元格内有多种类型数据按分隔符的组合。

将相关的列作为一个组进行屏蔽,以保证这些相关列中被屏蔽的数据保持同样的关系,例如,城市、省、邮编在屏蔽后保持一致。

用户管理

用户权限控制

支持创建用户并分配权限

支持三权分立(任务,数据源,菜单);

支持对不同用户分配不同数据源;

自身监控

监控脱敏服务器状态

CPU、内存使用状态动态展示

审计功能

支持对脱敏系统的管理界面的任何操作日志的记录,并且按照不同功能模块和子模块进行分类,提供搜索功能

辅助功能

其他辅助功能

支持在管理页面进行网卡配置

支持页面重启服务

支持SYSLOG/SNMP/NTP等接口设置

支持文件类脱敏后文件下载

H3C SecPath DM2000-S系列静态脱敏可布署在生产环境和开发/第三方测试环境中间,保证前后路由可达即可。生产库中的原始数据,经过H3C SecPath DM2000-S系列静态脱敏后离线分发至测试环境,整个过程数据保持不落地。如果因为网络隔离原因,不能同时连接双方数据库,则可通用文件中转的方式进行脱敏任务作业。

图片2

H3C SecPath DM2000-S系列静态脱敏系统是新华三技术有限公司自主开发的产品,用户可以根据实际需求按照型号进行选购。

主机配置

表1-1 选购一览表

主机

描述

备注

H3C SecPath DM2010-S

H3C SecPath DM2010-S静态脱敏系统

必配

H3C SecPath DM2020-S

H3C SecPath DM2020-S静态脱敏系统

必配

H3C SecPath DM2030-S

H3C SecPath DM2030-S静态脱敏系统

必配

配件配置

表1-2 选购一览表

配件

描述

备注

扩展插卡

H3C SecPath IPC 4端口千兆以太网电接口(RJ45)+4端口千兆以太网光接口(SFP)模块

选配

扩展插卡

H3C SecPath IPC 8端口千兆以太网电接口模块(RJ45)

选配

扩展插卡

H3C SecPath IPC 8端口千兆以太网光接口模块(SFP)

选配

扩展插卡

H3C SecPath IPC 4端口万兆以太网光接口模块(SFP+)

选配

扩展电源

H3C 350W 交流电源模块

选配

获取更多资源与支持

需要技术帮助?

如果您需要更多更准确的技术帮助

去往技术论坛 >

新华三官网
联系我们