資料庫安全

p>activebase-fig-1個人資料保護方法中「去識別化(Deidentify)技術」是目前最簡單有效的解決方案,Informatica DDM (Dynamic Data Masking)是市場上第一個被 Gartner 列為「動態資料遮罩」領域的產品,它可以在不用修改任何資料庫及應用程式的狀態下,立即將資料庫中的個人資料進行「遮罩(Mask)」或「混亂(Scrabmle)」,讓個人資料在離開資料庫時就無法被視為個人資料。 Informatica DDM 採用了 SQL proxy 技術,提供資料庫即時動態個人資料(PII)防護、資料庫存取控管及資料庫存取稽核等三大功能。

 

 

Informatica DDM 動態資料遮罩介紹

informatica_logo所謂動態資料遮罩(Dynamic Data Masking)是在不需要更動資料庫原紿資料及應用程式的情況下,將特定資料在取出資料庫的同時進行遮敝或模糊化的作業。大部份的情況下資料庫中的機敏資料或個人資料,可能暴露在應用程式、報表、程式開發人員或資料庫管理人員,但這些機敏資料或個人資料卻不見得都是前述人員日常業務所必須或應該接觸到的,例如:程式開發人員在程式開發過程中可以取得資料庫中所有真實的個人資料,但這些真實的個人資料卻不是其日常工作所應該接觸的資訊。因此,可透過動態資料遮罩的技術,讓程式開發人員在開發階段時看到的個人資料都是被遮敝或模糊過的狀況,以避免個人資料的外洩,且不影響其日常的作業。

activebase-fig-2
圖1 動態資料遮罩

 

傳統的資料遮罩解決方案是採用「靜態資料遮罩(Static Data Masking)技術」,儲存在資料庫中的資料是實體的被遮敝及模糊化,因此只能應用在開發及測試環境中,而透過「動態資料遮罩技術」可依不同應用程式、使用者角色及權限等,決定是否進行資料的遮敝及模糊化,詳如圖 1。所以即使在正式線上的環境上,不需修改應用程式也可以透過 Informatica DDM 的動態資料遮罩技術,來保護不必要的個人資料外洩,詳如圖 2。

activebase-fig-3
圖 2 線上環境的動態資料遮罩

 

即使應用程式開發人員或資料庫管理人員使用工具看到的資料也都是經過遮敝過的,詳見圖 3,可確保在不影響他們日常作業的情況下,不會有個人資料外洩的疑慮。

activebase-fig-4
圖 3 資料庫工具所顯示的資料也被保護

 

Informatica DDM 效益

  • 零負擔:不用修改 AP 與 DB,一次設定,馬上生效,徹底落實!
  • 好佈署:同時支援 Proxy In-Line Mode 硬體式平台與 Agent-Based Proxy Mode 軟體式模組。
  • 強效能:中途攔截 SQL 指令,每秒【伍萬筆】SQL指令處理效能!
  • 高彈性:根據【使用者身分、應用程式、資料庫工具與網段區隔】等等差異,進行相對合理授權,不影響其工作下彈性應用!
  • 低訴訟:針對個資與機敏資訊進行「遮罩、匿名、編碼、碎片、阻擋、客製化手法」等【去識別化】保護機制,確保「外洩非個資」,積極主動降低個資訴訟的機率!
  • 遵法規:符合 PCI DSS v2.0、HIPPA、個資法與單位資安政策!

 

Informatica DDM 運作原理

Informatica DDM 動態資料遮罩解決方案是建構在一個 SQL in-line proxy 之專利技術上,可透過地安裝在應用程式與資料庫之間,扮演一個資料庫代理伺服器的角色,所有來自應用程式對資料庫的SQL指令,會被 Informatica DDM 所控管、記錄及重導。透過 Informatica DDM 專利技術的「SQL 規則引擎」,可依據定義之控管規則進行 SQL 指令控管動作,例如:資料遮敝、混亂化、隱藏、重寫、存取記錄或阻擋等,詳見圖 4。

activebase-fig-5
圖 4 Informatica DDM 動態資料遮罩運作原理

 

圖4 中第一個 Masking Rules 要將姓名的資料欄位進行遮罩處理:

  1. 應用程式對資料庫下達「Select name,.. from ..」的原始 SQL 指令。
  2. Informatica DDM 規則引擎依定義,將原始 SQL 指令置換成「Select substr(name,1,2)||'***',.. from ..」。
  3. 資料庫依變更後的指令,將姓名欄位保留前兩碼並於其後附上星號字串,如:Scott -> Sc***。

 

Informatica DDM 適用環境

動態資料遮罩技術是唯一可以適用在「任何」運作環境的個人資料防護方案,包含如下列:

  1. 正式線上環境
    特權使用者,如:外聘人員、臨時員工、線上資料庫管理者、技術支援工程師、叫修櫃台人員、測試人員、程式設計師等,在其日常工作中都可能接觸到與其工作無關之個人資料。透過 Informatica DDM 動態資料遮罩技術,可以在不影響其正常工作的情況下避免個人資料暴在不需接觸到個人資料的人員。
  2. 教育訓練環境
    在應用系統的教育訓練環境中,可能大量運用線上資料庫中的資料做為範例,而導致個人資料外洩,雖然可以透過靜態遮罩技術實體改變儲存在資料庫中的資料,但由於可能破壞了資料欄位間的參考完整性,使得教育訓練系統可能無法正常使用。透過 Informatica DDM 動態資料遮罩技術,可以不改變實際資料內容並且維持資料欄位間的參考完整性的情況下順利運作。
  3. 測試環境
    針對內部應用系統開發及測試的 IT 人員,需要大量的實際資料進行測試,但測試環境中使用實際的個人資料,可能造成大量個人資料外洩的漏洞。

 

Informatica DDM 參考客戶

下列為目前使用 Informatica DDM 動態資料遮罩產品的用戶,包含:電信業、銀行業、保險業、製造業、電子商務等。

activebase-fig-6

 

 

Informatica DDM 其他參考資料

 

相關連結

  • Informatica DDM 原廠
  • 產品型錄
  • 如您有本產品更進一步需求,請聯繫 Email住址會使用灌水程式保護機制。你需要啟動Javascript才能觀看它

聯絡我們