加入收藏 | 设为首页 | 会员中心 | 我要投稿 | RSS
您当前的位置:首页 > 客户服务

数据屏蔽最佳实践的四大要素

时间:2018-07-09 10:03:49  来源:本站  作者:

  保护客户信息是所有金融公司的安身立命之本。客户信息一旦遭到泄漏,不但会对公司声誉造成长期损害,而且还会违反诸如PCI DSS(支付卡行业标准)、HIPAA(健康保险流通与责任法案)以及马萨诸塞州最近通过的隐私保护法等法律法规的要求,甚至还可能会使公司陷入诉讼和赔偿纷争。正是由于存在这些风险,所以对于金融公司来说,确保只有获得访问授权的员工才可以使用客户信息比以往任何时候都更加重要。

  虽然可以采用加密技术来保护客户信息,但这种防御方法很昂贵,而且还会使客户信息变成无法使用的格式。因此,研究人员提出了一种掩盖客户信息的替代性方法:数据屏蔽(Data Masking)。数据屏蔽不改变信息的格式,使其仍可用于开发和质量测试,同时又可以提供足够有效的信息,以服务公司的客户。那么,当金融公司准备采用数据屏蔽技术时,需要考虑的关键因素是什么呢?下面是数据屏蔽最佳实践的四大要素。

  考虑采用任何数据保护机制的首要任务,就是弄清并确定数据屏蔽系统的部署范围。数据屏蔽最佳实践要求金融公司明确哪些信息需要保护、哪些员工可以获得访问授权、哪些应用程序可以使用受保护的数据以及这些数据在生产和非生产领域的什么地方驻留。虽然这一要求理论上似乎容易实现,但由于大多数金融公司运营的复杂性和业务范围的广泛性,确定敏感信息、可以使用敏感信息的应用程序和可以接触敏感信息的员工实际上是一项艰巨的任务。

  另外,确定一名员工是否可以获得访问客户信息的授权并不仅仅是一个非是即否的问题。对客户服务代表来说,他们可能需要访问客户的部分信息以验证客户身份,但并不必访问客户的全部信息。例如,客户服务代表可能想知道客户社会保障号/税号或者其账单/邮政编码的后4位,以确认打电话的人确实是该客户。虽然客户服务代表需要访问这一信息来确认客户身份,但他们并不需要完全访问整个社会保障号或账单邮寄地址。确定将信息掩盖到何种程度同时仍可用于商业目的可能比较困难,而且通常还需要法律/合规性部门参与或审查。

  数据屏蔽最佳实践的第二个要素是,确定采用哪些数据屏蔽功能处理敏感信息。现有的数据屏蔽技术具有多种数据处理功能,但并不是所有的功能都适合保持有效的业务上下文信息。这些功能包括:

  不确定的随机化(Non-deterministic Randomization):使用随机生成的、满足各种约束条件的值替换敏感字段,确保数据仍然有效,而不会将数据替换成2月30日这样的日期。例如,将日期2009年12月31日替换为2010年1月5日。

  模糊化(Blurring):为原始值增加一个随机值,例如使用一个不超过原始值8%的随机值替换储蓄账户值。

  变换(Shuffling):变换敏感字段中的值的位置。例如,将邮政编码12345变换为53142。

  替换(Substitution):使用值替换表随机替换原始值。例如,从一个包含10万个姓名的列表中用“Mary Smith”替换“Jane Doe”。

  特殊规则(Specialized Rules):这些规则适用于特殊字段,例如社会保险号、信用卡号码、街道地址和电话号码等,这些特殊字段在替换后仍保持结构上的正确性,并可用于工作流与检验和验证。例如,将“100 Wall St., New York, N.Y.”替换为“50 Maple Lane, Newark, N.J.”,其中的每个随机值(门牌号、街道、城市和州)构成一个有效地址,可以通过谷歌地图或在线地图查询服务MapQuest等应用查找到。

  标记化(Tokenization):标记化是一种特殊的数据屏蔽形式,利用独特的标识符替换敏感数据,使信息可以在以后恢复到原始数据。例如,为灾难恢复目的而存储的数据必须在以后可以恢复,或者在业务运行过程中信息必须通过不可信的域时,标记化非常有用。

  数据屏蔽最佳实践的第三个要素是企业的参照完整性需求,不过这一点在一开始部署数据屏蔽系统时往往容易被忽略。在企业层面,参照完整性通常要求汇总信息,以满足业务范围和资源共享需求。这意味着,来自同一业务范围应用程序的每种类型的信息都必须使用相同的算法/种子值进行屏蔽。

  例如,如果业务范围A的应用程序的数据屏蔽系统将客户的出生日期替换为2010年1月5日,则业务范围B的应用程序的数据屏蔽系统必须将相同的出生日期输入值也替换为2010年1月5日。利用参考完整性,如果一个企业级应用程序需要访问每个已屏蔽的出生日期,则该应用程序可以关联和操作来自这两个业务范围应用程序的其余数据。如果在最初阶段或者甚至在部署了第二个数据屏蔽工具时,仍没有考虑这种要访问已屏蔽信息的工作流,则企业的数据屏蔽系统将需要进行重大的调整和信息的重新屏蔽,除非该金融公司的各项业务之间几乎不发生交互,而这通常是不可能的。

  然而,对许多大型金融企业而言,在整个企业范围内使用单一的数据屏蔽工具一般并不可行。由于地域差异、预算/业务需求、不同的IT管理组或者不同的安全/监管要求,每种业务范围可能会需要部署自己的数据屏蔽工具。尽管这种情况不影响一般的数据屏蔽处理,但如果不同的数据屏蔽工具由于某种未知原因而不能同步,则可能会造成工作流难以继续。例如,对一个业务范围应用程序来说,出生日期的随机化可能完全可以接受。但对另一个业务范围应用程序来说,已屏蔽的出生日期必须属于一个该应用程序认为有效的预定义范围(例如超过21岁)。

  数据屏蔽最佳实践的第四个要素是,保护数据屏蔽工具使用的种子值或算法的安全性。由于数据屏蔽的基本原则是只允许获得授权的用户访问经授权的信息,所以数据屏蔽工具使用的种子值或算法无疑属于高度敏感的数据。如果有人掌握了数据屏蔽工具使用的可重复的数据屏蔽算法,则他或她可以对大的敏感信息块进行逆向工程。一个数据屏蔽最佳实践是采用职责分离的原则,允许IT安全人员决定使用什么数据屏蔽方法和算法,并只能在初始部署阶段访问数据屏蔽工具以设置种子值,在部署完成之后IT安全人员则不能再访问数据屏蔽工具。

  由于IT安全人员无权访问日常运营系统,而IT支持人员无权访问数据屏蔽算法,从而实现了严格的“职责分离”控制。但是,如果数据屏蔽工具未提供这种“职责分离”控制功能,则IT支持人员必须执行周期性的背景调查,并严密审计系统访问,以确保算法未遭泄漏。

  数据屏蔽确实具有诸多优势。如果需要的话,可以修改企业应用程序本身以执行数据屏蔽处理,而不需要一个独立的数据屏蔽工具,因为企业应用程序的主要功能通常也是某种形式的数据处理操作。已屏蔽的信息是可读的,如果屏蔽功能使用得当的话,甚至可以使用“类生产”数据有效地测试产品业务工作流。客户服务应用程序(例如咨询台)也不必再为保护敏感信息而在屏幕上刻意抹去演示级功能,因为已屏蔽的数据本身就可以替应用程序掩盖敏感信息。如果客户信息在被打印之前已经进行了屏蔽处理,则即使打印操作可以执行,也不必担心是谁在使用打印机。但实施数据屏蔽并不像向现有应用程序中添加一个模块或开发一个专门实现数据屏蔽的系统那样简单。正如任何数据保护机制一样,在屏蔽第一条信息之前,企业需要制定计划、确定体系结构以及对未来业务如何运行的设想。

  比特软件信息化周刊提供以数据库、操作系统和管理软件为重点的全面软件信息化产业热点、应用方案推荐、实用技巧分享等。以最新的软件资讯,最新的软件技巧,最新的软件与服务业内动态来为IT用户找到软捷径。

  比特商务周刊是一个及行业资讯、深度分析、企业导购等为一体的综合性周刊。其中,与中国计量科学研究院合力打造的比特实验室可以为商业用户提供最权威的采购指南。是企业用户不可缺少的智选周刊!

  比特网络周刊向企业网管员以及网络技术和产品使用者提供关于网络产业动态、技术热点、组网、建网、网络管理、网络运维等最新技术和实用技巧,帮助网管答疑解惑,成为网管好帮手。

  比特服务器周刊作为比特网的重点频道之一,主要关注x86服务器,RISC架构服务器以及高性能计算机行业的产品及发展动态。通过最独到的编辑观点和业界动态分析,让您第一时间了解服务器行业的趋势。

  比特存储周刊长期以来,为读者提供企业存储领域高质量的原创内容,及时、全面的资讯、技术、方案以及案例文章,力求成为业界领先的存储媒体。比特存储周刊始终致力于用户的企业信息化建设、存储业务、数据保护与容灾构建以及数据管理部署等方面服务。

  比特安全周刊通过专业的信息安全内容建设,为企业级用户打造最具商业价值的信息沟通平台,并为安全厂商提供多层面、多维度的媒体宣传手段。与其他同类网站信息安全内容相比,比特安全周刊运作模式更加独立,对信息安全界的动态新闻更新更快。

  新闻中心以独特视角精选一周内最具影响力的行业重大事件或圈内精彩故事,为企业级用户打造重点突出,可读性强,商业价值高的信息共享平台;同时为互联网、IT业界及通信厂商提供一条精准快捷,渗透力强,覆盖面广的媒体传播途径。

  比特云计算周刊关注云计算产业热点技术应用与趋势发展,全方位报道云计算领域最新动态。为用户与企业架设起沟通交流平台。包括IaaS、PaaS、SaaS各种不同的服务类型以及相关的安全与管理内容介绍。

  比特CIO俱乐部周刊以大量高端CIO沙龙或专题研讨会以及对明星CIO的深入采访为依托,汇聚中国500强CIO的集体智慧。旨为中国杰出的CIO提供一个良好的互融互通 、促进交流的平台,并持续提供丰富的资讯和服务,探讨信息化建设,推动中国信息化发展引领CIO未来职业发展。

  IT专家新闻邮件长期以来,以定向、分众、整合的商业模式,为企业IT专业人士以及IT系统采购决策者提供高质量的原创内容,包括IT新闻、评论、专家答疑、技巧和白皮书。此外,IT专家网还为读者提供包括咨询、社区、论坛、线下会议、读者沙龙等多种服务。

  X周刊是一份IT人的技术娱乐周刊,给用户实时传递I最新T资讯、IT段子、技术技巧、畅销书籍,同时用户还能参与我们推荐的互动游戏,给广大的IT技术人士忙碌工作之余带来轻松休闲一刻。

来顶一下
近回首页
返回首页
推荐资讯
相关文章
    无相关信息
栏目更新
栏目热门