敏感数据处理(Cloud Data Shield-Mask)是一款敏感数据脱敏与水印标记工具,可为数据系统中的敏感信息进行脱敏处理并在泄漏时提供追溯依据,为企业核心数据提供有效的安全保护措施。

脱敏数据可还原性低

采用高级脱敏算法,确保脱敏数据无法通过社工或撞库方式还原,真正意义上杜绝内部数据泄密

 

脱敏流程智能化

敏感数据自动发现,脱敏方案自动匹配,操作模式智能化,将管理员从繁琐的安全策略配置中解放出来

追溯泄密事件精准

支持数据标记,对每个访问者下载的数据集打上隐式水印,数据泄露后可精准追溯泄密者

 

合规知识库丰富

内置 GDPR、网络安全法、PCI 等合规知识库,可对法规强制要求保护的数据进行脱敏处理,确保企业数据系统合规

敏感数据处理为您的核心数据提供一键式的敏感信息处理服务,产品能够在生产环境与开发、测试、数据分析环境之间同步数据,并将敏感信息在数据同步过程中进行脱敏。此外,敏感数据处理还能够对企业核心数据进行水印标记,在发送数据泄露事件后,企业可通过泄露数据的水印进行追责。

敏感数据处理只需与您的云上数据库 IP 互通,即可为您的敏感数据进行安全处理。


功能

敏感数据处理可对敏感数据提供多种处理方案,提升企业数据保密性。

敏感数据发现

敏感数据处理支持多达29种内置的敏感数据识别规则,覆盖中美欧等多国有关个人信息保护的法律法规。在满足合规性的基础上,能够对数据集的所有字段进行敏感属性识别,确保隐藏在大段文本中的敏感信息不被遗漏。同时,产品还支持自定义敏感数据类型的自动发现,满足用户个性化的数据保护需求。

脱敏算法自动匹配

敏感数据处理内置多种数据脱敏方案,能够根据数据类型自动匹配脱敏算法。在丰富的实践过程中,数隐不断优化数据的处理方式,确保脱敏后的数据能够在开发、测试、数据分析场景中使用。实现敏感数据的智能管理。

自定义脱敏方案

业务系统的数据需求千变万化,为确保所有业务数据都能够正常进行敏感信息处理,敏感数据处理还能提供灵活性高的自定义脱敏配置。通过正则表达式+自主编辑算法,敏感数据处理可实现高度契合业务的脱敏处理,有效减少脱敏后数据不能使用的问题。

数据抽样处理

与传统脱敏产品的粗狂作风不同,敏感数据处理在脱敏方案确定后,不会立刻开始任务,而是会将少量数据根据方案进行抽样处理,并将处理结果展示给管理员。管理员可根据抽样结果来实时调整数据,直到脱敏方案满意为止。因此,敏感数据处理在开始正式脱敏任务时,其数据识别准确率、脱敏后数据可用性都能得到保障。

数据水印

当企业数据库出现重大敏感数据泄露事件时,必须要进行全面的事件还原和严肃的追责处理。但往往因为数据访问者较多,泄密途径不确定,导致定责模糊、取证困难。敏感数据处理可为系统中的数据添加水印标记,这些水印标记与原数据格式相同,不会被泄密者察觉;在外泄过程中即便有部分数据丢失,也不会影响信息还原效果;当泄露数据被发现后,企业可根据数据中的水印查找泄密者,实现事后追责。

特色

高级脱敏算法

普通脱敏算法将敏感信息进行加星、混淆处理后,数据虽无法直接还原,但通过社工和撞库还是能获取部分信息。为确保脱敏有效性,敏感数据处理将匿名化算法应用于脱敏过程。数据在匿名化之后,将无法反推,确保敏感信息真正得到安全保障。

智能化操作

敏感数据的发现、脱敏算法的选择均无需人工接入,实现智能化处理。在管理员面对庞杂的数据系统和内部环境时,敏感数据处理将为管理员提供管家式服务。管理员只需根据抽样脱敏后的数据进行微调,即可完成所有策略设置,其他操作均由敏感数据处理自动完成。

首创水印追溯技术

内部人员泄密是企业数据安全的一大难题,具有隐蔽性强、管控难度高等特点。敏感数据处理首创基于数据水印的追溯技术,通过对结构化数据的修改,使每个内部人员获取的数据都略有不同,再根据泄密数据中这些细微的差异判断具体泄密人员。水印信息不易察觉、不易破坏,可提供有效追责证据,确保泄密者得到应有处理,并在企业内部形成有效威慑力。

背景概述

大数据时代来临后,各行各业数据挖掘和数据运维业务快速增长,还开创了企业之间数据共享、协同分析等新场景。但与此同时,企业数据受到了内外双重挑战。Verizon 2017 年发布的数据泄露调查分析报告以及对信息安全事件的技术分析显示,排名在前4的攻击模式(各种失误、犯罪软件、内部人员权限滥用、物理偷窃/丢失)涵盖了90%的数据泄密事件,其中3种是内部因素造成的。而外部数据共享也带来了数据违规和越权使用等风险。以防外为主的传统网络安全产品已经不适用,网络安全法、GDPR 等法规对数据使用的强制性要求,也促使企业必须完善安全建设。

简介

腾讯云数隐敏感数据处理系统(Cloud Data Shield-Mask,CDS-Mask)以处理数据库文件的方式,对数据库中敏感数据进行在线屏蔽、变形、字符替换、随机替换等脱敏操作,达到企业核心数据保密效果。
CDS-Mask 能为客户带来如下好处:

  • 减少生产库、开发、测试和数据交付过程中敏感数据泄露的风险
    CDS-Mask 直接在数据内容上进行防护,处理过的数据依然保持原始数据的分布特征、数据格式,使统计分析、测试、研发、培训等用途不受影响,且在任何环境和流程中,都不会造成泄密。

  • 泄密事件发生后进行追溯
    CDS-Mask 首创的数据水印技术,能确保数据外泄之后,进行泄密事件追溯,有效还原泄密的时间、泄密人范围、泄密途径。

  • 轻松满足隐私数据管理的政策合规性
    CDS-Mask 能够通过匿名化技术,确保脱敏后数据无法被还原,保证客户在使用企业个人信息时,能严格遵守相关法律法规,充分满足企业客户合规性需求。

敏感数据自动发现

  • CDS-Mask 内置20种敏感数据识别规则,能对数据集的所有字段进行敏感属性识别,确保隐藏的敏感信息能被妥善处理。

  • 识别规则覆盖中美欧等多国个人信息保护法律法规,充分满足合规性要求。

  • 支持自定义敏感数据类型的自动发现,满足用户个性化的数据保护需求。

敏感数据变形处理

  • CDS-Mask 支持屏蔽、变形、移位、格式保留加密、令牌化、洗牌、强加密算法等多种脱敏算法。

  • 可根据需求对敏感数据进行不同的脱敏处理。
    如对身份证号码进行格式保留,确保业务系统能够正常识别其属性;又如,对外键进行令牌化,确保处理后的字段与外键表之间保持一致性。

异构数据库同步

  • CDS-Mask 能对 MySql、MariaDB、TXSQL、TDSQL、SQLserver、Oracle、postgreSQL 等多种数据库的数据进行脱敏处理。

  • 脱敏采用静态同步方式,数据从源数据库抽取后,经过变形处理,再装载到目标数据库中。

  • 能完成异构数据库之间的同步,即目标数据库与源数据库不要求同类型、同品牌。

周期性数据处理

  • CDS-Mask 支持周期性任务、全量任务以及增量任务。

  • 可根据需求,通过多种任务模式,将敏感数据从生产环境导入开发测试环境,灵活可控。
    如频率较高的业务,可采用增量模式和短周期,快速更新脱敏数据;又如,数据完整性要求较高的业务,可采用全量模式和长周期进行更新。

敏感数据匿名化

  • 传统的脱敏技术仅数据进行一对一替换,若将外部数据集引入进行对比,依然有可能还原数据,从而导致数据泄露。
    如以下医疗信息隐藏了患者姓名,若攻击者从外部已知中山大学仅一位99岁在职教授王某,则姓名一栏毫无疑问就是特指王某,信息就被破解还原了。

    姓名年龄单位职位所患病症
    XX99中山大学教授癌症
  • CDS-Mask 可以通过匿名化方式,将部分标识数据进行泛化处理,使得某一段区间的数据行数一定不小于某个值。
    如上述例子,将多个90多岁的教授年龄进行泛化处理,使得数据集中有3个95岁的病患信息,则攻击者无法判断出王某的数据。

  • 更大程度上符合了 GDPR、网络安全法等信息安全法规对于个人信息的 “不可还原” 要求。

数据水印追踪

  • 通过水印技术,CDS-Mask 可以将泄露的数据集进行外泄时间和嫌疑人的定位,缩小排查范围,助力泄密企业快速追查责任人。

  • 通过快速的责任追查,了解泄密途径和数据传播范围,采取有力措施进行补救,删除已传播到外网的数据,更大程度减少泄密事件的影响。

安全多方计算

  • CDS-Mask 能够在云平台多个租户之间进行数据共享时,为分析计算场景提供安全保护。

  • CDS-Mask 通过多个租户间线下协商密钥,并将敏感数据加密上传的方式,将多个租户的核心数据放入隔离环境中进行联合分析,同时保障参与计算的任何一方都无法破解上传的数据。

  • 能够保护用户的敏感数据,又能融合各企业关键信息,提升数据价值。


  • 确保敏感数据安全

  • CDS-Mask 具备匿名化等高级脱敏技术,从根本上杜绝撞库攻击风险,在误差允许范围内,有效保障数据安全。

  • 脱敏数据高可用

  • CDS-Mask 支持令牌化、格式保留加密等多种脱敏算法,能保证多个关联表数据脱敏后,数据内容和格式完全相同。从技术上杜绝脱敏后数据无法装载、装载后报错等一系列异常情况,确保脱敏数据的高可用性。

  • 满足合规性需求

  • 真正实现数据脱敏不可逆,保证个人信息不泄露,严格满足各国法律法规要求,确保企业全球业务无法律风险。

  • 确保泄密事件可追溯

  • CDS-Mask 独特的数据水印系统,使不同场景获得的数据具有不同的标记。数据泄露后,可以根据水印标记,回溯泄密人及泄密途径,精确定位泄密源。


www.ksyuwei.cn.

www.ksyuwei.cn


www.ksyuwei.cnwww.ksyuwei.cnwww.ksyuwei.cn

如何选择 CDS-Mask 的规格型号?

用户选购 CDS-Mask 时,一般以数据库实例数和所需功能作为依据。在采购前可简单统计数据库台数,并考虑是否需要在数据泄密后进行事件追溯,以选择最合适的环境规格型号。

注意:
CDS-Mask 仅限高级版与企业版支持水印功能,如需进行泄密追溯,请选择这两个版本。

应将 CDS-Mask 部署在哪个地域?

CDS-Mask 最好与存有敏感数据的数据库实例部署在同一个地域,并且通过内网传输敏感数据。请明确了解云上数据库实例所属地域,如用户有多个数据库实例且分属不同地域,请每个地域购买一套 CDS-Mask 实例。

CDS-Mask 支持哪些类型的数据库?

CDS-Mask 支持 MySql、MariaDB、TXSQL、TDSQL、SQLserver、Oracle、postgreSQL。

如何处理生产环境数据库与研发 / 测试 / 数据分析环境数据库类型不同的问题?

CDS-Mask 支持不同类型数据库之间的抽取、处理和装载数据,即支持异构数据库之间数据同步。

注意:
脱敏过程中,部分数据会由整型转为字符串类型,因此,需要调整目标数据表的字段属性。

如何对腾讯云 CBD 数据库进行审计?

将标记过水印的数据通过公开渠道追回部分数据集,再将该部分数据集导入 CDS-Mask 的水印追踪模块即可。

注意:
CDS-Mask 仅限高级版与企业版支持水印功能,如需进行泄密追溯,请选择这两个版本。

如何处理两张表部分字段内容同步问题?

可以使用 CDS-Mask 提供的令牌化方式,对数据进行脱敏处理。每次令牌化脱敏后,令牌可以进行保留。管理员在处理两张或多张表的内容同步需求时,将令牌导入脱敏任务,即可确保关联字段内容脱敏后保持一致。


  • 名称: T-Sec敏感数据处理
  • 关键词: T-Sec敏感数据处理CDS-Mask,腾讯云