大廠也在用的6種數(shù)據(jù)脫敏方案，別做泄密內(nèi)鬼

啪~

過后揉揉臉細(xì)想想，肯定是哪個(gè)不道德的網(wǎng)站，又把我的個(gè)人信息給賣了，現(xiàn)在的人上網(wǎng)都處于一個(gè)裸奔的狀態(tài)，個(gè)人信息已不再屬于個(gè)人，時(shí)下這種事好像也見怪不怪了，不過，出現(xiàn)這種事大多是有內(nèi)鬼。

而作為開發(fā)者的我們，能做的就是盡量避免經(jīng)我們手的用戶數(shù)據(jù)泄露，那今天就來講講互聯(lián)網(wǎng)中內(nèi)部防止隱私數(shù)據(jù)泄露的手段-數(shù)據(jù)脫敏。

什么是數(shù)據(jù)脫敏

先來看看什么是數(shù)據(jù)脫敏？數(shù)據(jù)脫敏也叫數(shù)據(jù)的去隱私化，在我們給定脫敏規(guī)則和策略的情況下，對(duì)敏感數(shù)據(jù)比如 手機(jī)號(hào)、銀行卡號(hào) 等信息，進(jìn)行轉(zhuǎn)換或者修改的一種技術(shù)手段，防止敏感數(shù)據(jù)直接在不可靠的環(huán)境下使用。

像政府、醫(yī)療行業(yè)、金融機(jī)構(gòu)、移動(dòng)運(yùn)營商是比較早開始應(yīng)用數(shù)據(jù)脫敏的，因?yàn)樗麄兯莆盏亩际怯脩糇詈诵牡乃矫軘?shù)據(jù)，如果泄露后果是不可估量的。

數(shù)據(jù)脫敏的應(yīng)用在生活中是比較常見的，比如我們在淘寶買東西訂單詳情中，商家賬戶信息會(huì)被用 * 遮擋，保障了商戶隱私不泄露，這就是一種數(shù)據(jù)脫敏方式。

數(shù)據(jù)脫敏又分為靜態(tài)數(shù)據(jù)脫敏（SDM）和 動(dòng)態(tài)數(shù)據(jù)脫敏（DDM）：

靜態(tài)數(shù)據(jù)脫敏

靜態(tài)數(shù)據(jù)脫敏（SDM）：適用于將數(shù)據(jù)抽取出生產(chǎn)環(huán)境脫敏后分發(fā)至測試、開發(fā)、培訓(xùn)、數(shù)據(jù)分析等場景。

有時(shí)我們可能需要將生產(chǎn)環(huán)境的數(shù)據(jù) ?copy 到測試、開發(fā)庫中，以此來排查問題或進(jìn)行數(shù)據(jù)分析，但出于安全考慮又不能將敏感數(shù)據(jù)存儲(chǔ)于非生產(chǎn)環(huán)境，此時(shí)就要把敏感數(shù)據(jù)從生產(chǎn)環(huán)境脫敏完畢之后再在非生產(chǎn)環(huán)境使用。

這樣脫敏后的數(shù)據(jù)與生產(chǎn)環(huán)境隔離，滿足業(yè)務(wù)需要的同時(shí)又保障了生產(chǎn)數(shù)據(jù)的安全。

如上圖所示，將用戶的真實(shí) 姓名、手機(jī)號(hào)、身份證、銀行卡號(hào) 通過 替換、無效化、亂序、對(duì)稱加密 等方案進(jìn)行脫敏改造。

動(dòng)態(tài)數(shù)據(jù)脫敏

動(dòng)態(tài)數(shù)據(jù)脫敏（DDM）：一般用在生產(chǎn)環(huán)境，訪問敏感數(shù)據(jù)時(shí)實(shí)時(shí)進(jìn)行脫敏，因?yàn)橛袝r(shí)在不同情況下對(duì)于同一敏感數(shù)據(jù)的讀取，需要做不同級(jí)別的脫敏處理，例如：不同角色、不同權(quán)限所執(zhí)行的脫敏方案會(huì)不同。

注意：在抹去數(shù)據(jù)中的敏感內(nèi)容同時(shí)，也需要保持原有的數(shù)據(jù)特征、業(yè)務(wù)規(guī)則和數(shù)據(jù)關(guān)聯(lián)性，保證我們在開發(fā)、測試以及數(shù)據(jù)分析類業(yè)務(wù)不會(huì)受到脫敏的影響，使脫敏前后的數(shù)據(jù)一致性和有效性。總之一句話：你愛怎么脫就怎么脫，別影響我使用就行。

數(shù)據(jù)脫敏方案

數(shù)據(jù)脫敏系統(tǒng)可以按照不同業(yè)務(wù)場景自行定義和編寫脫敏規(guī)則，可以針對(duì)庫表的某個(gè)敏感字段，進(jìn)行數(shù)據(jù)的不落地脫敏。

數(shù)據(jù)脫敏的方式有很多種，接下來以下圖數(shù)據(jù)為準(zhǔn)一個(gè)一個(gè)的演示每種方案。

1、無效化

無效化方案在處理待脫敏的數(shù)據(jù)時(shí)，通過對(duì)字段數(shù)據(jù)值進(jìn)行 截?cái)?/code>、加密、隱藏 等方式讓敏感數(shù)據(jù)脫敏，使其不再具有利用價(jià)值。一般采用特殊字符（*等）代替真值，這種隱藏敏感數(shù)據(jù)的方法簡單，但缺點(diǎn)是用戶無法得知原數(shù)據(jù)的格式，如果想要獲取完整信息，要讓用戶授權(quán)查詢。

比如我們將身份證號(hào)用 * 替換真實(shí)數(shù)字就變成了 "220724 ****** 3523"，非常簡單。

2、隨機(jī)值

隨機(jī)值替換，字母變?yōu)殡S機(jī)字母，數(shù)字變?yōu)殡S機(jī)數(shù)字，文字隨機(jī)替換文字的方式來改變敏感數(shù)據(jù)，這種方案的優(yōu)點(diǎn)在于可以在一定程度上保留原有數(shù)據(jù)的格式，往往這種方法用戶不易察覺的。

我們看到 name 和 idnumber 字段進(jìn)行了隨機(jī)化脫敏，而名字姓、氏隨機(jī)化稍有特殊，需要有對(duì)應(yīng)姓氏字典數(shù)據(jù)支持。

3、數(shù)據(jù)替換

數(shù)據(jù)替換與前邊的無效化方式比較相似，不同的是這里不以特殊字符進(jìn)行遮擋，而是用一個(gè)設(shè)定的虛擬值替換真值。比如說我們將手機(jī)號(hào)統(tǒng)一設(shè)置成 “13651300000”。

4、對(duì)稱加密

對(duì)稱加密是一種特殊的可逆脫敏方法，通過加密密鑰和算法對(duì)敏感數(shù)據(jù)進(jìn)行加密，密文格式與原始數(shù)據(jù)在邏輯規(guī)則上一致，通過密鑰解密可以恢復(fù)原始數(shù)據(jù)，要注意的就是密鑰的安全性。

5、平均值

平均值方案經(jīng)常用在統(tǒng)計(jì)場景，針對(duì)數(shù)值型數(shù)據(jù)，我們先計(jì)算它們的均值，然后使脫敏后的值在均值附近隨機(jī)分布，從而保持?jǐn)?shù)據(jù)的總和不變。

對(duì)價(jià)格字段 price 做平均值處理后，字段總金額不變，但脫敏后的字段值都在均值 60 附近。

6、偏移和取整

這種方式通過隨機(jī)移位改變數(shù)字?jǐn)?shù)據(jù)，偏移取整在保持了數(shù)據(jù)的安全性的同時(shí)保證了范圍的大致真實(shí)性，比之前幾種方案更接近真實(shí)數(shù)據(jù)，在大數(shù)據(jù)分析場景中意義比較大。

比如下邊的日期字段create_time中 2020-12-08 15:12:25 變?yōu)?2018-01-02 15:00:00。

數(shù)據(jù)脫敏規(guī)則在實(shí)際應(yīng)用中往往都是多種方案配合使用，以此來達(dá)到更高的安全級(jí)別。

總結(jié)

無論是靜態(tài)脫敏還是動(dòng)態(tài)脫敏，其最終都是為了防止組織內(nèi)部對(duì)隱私數(shù)據(jù)的濫用，防止隱私數(shù)據(jù)在未經(jīng)脫敏的情況下從組織流出。所以作為一個(gè)程序員不泄露數(shù)據(jù)是最起碼的操守。