文档首页/ 数据安全中心 DSC/ 最佳实践/ 如何防止个人敏感数据在开发测试中被泄露?
更新时间:2024-10-31 GMT+08:00

如何防止个人敏感数据在开发测试中被泄露?

敏感数据是指那些如果被未经授权的人访问、泄露或滥用,可能会对个人或组织造成严重风险的信息。

  • 对个人而言,身份证号码、家庭住址、工作单位、银行卡号等隐私信息都是敏感数据。
  • 对企业或组织而言,客户资料、财务信息、技术资料、重大决策等公司核心信息都是敏感数据。

华为云数据安全中心(Data Security Center,简称DSC)提供静态数据脱敏功能:可以按照脱敏规则一次性完成大批量数据的变形转换处理,静态脱敏通常用在将生产环境中的敏感数据交付至开发、测试或者外发环境的情况使用,适用于开发测试、数据分享、数据研究等场景。

常见数据泄露原因

  • 内部数据泄漏
    • 笔记本电脑和移动设备的丢失或失窃
    • 敏感数据越权访问和存储
    • 员工外发、打印和复制敏感数据
    • 意外传输敏感数据
  • 外部攻击导致的数据泄漏
    • 基础措施不可控,避免数据存储系统存在漏洞
    • 配置不当导致的外部攻击
    • 敏感数据越权访问和存储

场景

假设“rsd-dsc-test”数据库中“dsc_bank”表中存储了如下银行员工信息:

图1 银行员工示例信息

现需对该表进行敏感数据识别并完成脱敏,识别出敏感数据并生成识别结果数据报告,再对识别出的敏感数据进行“Hash脱敏”中的SHA256算法进行脱敏处理。

步骤一:购买数据安全中心专业版

  1. 登录管理控制台
  2. 单击左上角的,选择区域或项目。
  3. 在左侧导航树中,单击,选择安全与合规 > 数据安全中心
  4. 首次购买DSC,在界面左侧,单击“立即购买”
  5. “购买数据安全中心”页面,选择“当前区域”

    图2 选择区域和版本规格

    如果您需要切换区域,请在“区域”下拉框里选择区域。同一个区域只支持购买一个DSC版本。

  6. 选择“数据库扩展包”“OBS扩展包”的数量。

    图3 选择扩展包
    • 1个数据库扩展包含1个可添加数据库(支持RDS、DWS、ECS自建数据库、DLI、Elasticsearch、ECS自建大数据等)资产。
    • 1个OBS扩展包含1T体量,即1024GB。

  7. 选择“购买时长”。单击时间轴的点,选择购买时长 ,可以选择1个月~3年的时长。

    图4 购买时长

    勾选“自动续费”后,当服务期满时,系统会自动按照购买周期进行续费。

  8. 在页面的右下角,单击“立即购买”

    如果您对价格有疑问,可以单击页面左下角的“了解计费详情”,了解产品价格。

  9. 确认订单无误后,阅读并勾选“我已阅读并同意《数据安全中心免责声明》”,单击“去支付”

    图5 详情页面

  10. 进入“付款”页面,请选择付款方式进行付款。

步骤二:识别敏感数据

  1. 登录管理控制台
  2. 在左侧导航树中,单击,选择安全 > 数据安全中心
  3. 在左侧导航树中,选择敏感数据识别 > 识别任务,进入“识别任务”页面。
  4. 单击“新建任务”,在弹出的“新建任务”对话框中,配置任务基本信息。

    表1 新建任务参数说明

    参数

    说明

    取值样例

    任务名称

    您可以自定义敏感数据识别任务名称。

    任务名称需要满足以下要求:

    • 4~255个字符。
    • 字符可由中文、英文字母、数字、下划线或中划线组成。
    • 开头需为中文或者字母。
    • 任务名称不能与已有的任务名称重复。

    DSC_Test

    数据类型

    选择识别的数据类型,可多选。

    • OBS:授权DSC访问您的华为云OBS资产后,DSC将对华为云OBS里的资产进行敏感数据识别,添加OBS资产的相关操作请参见添加OBS资产
    • 数据库:DSC将对已授权的数据库资产进行敏感数据识别,授权数据库资产的相关操作请参见授权数据库资产
    • 大数据:DSC将对已授权的大数据资产进行敏感数据识别,授权大数据源资产请参见授权大数据资产
    • MRS:DSC将对已授权的MRS资产进行敏感数据识别,授权MRS资产请参见授权大数据资产
    • LTS:DSC将对已授权的LTS资产进行敏感数据识别,添加日志流请参见添加日志流

    数据库 > rsd-dsc-test

    识别模板

    选择内置模板或者自定义模板,DSC将根据您选择的模板对数据进行分级分类展示。添加模板请参见新增识别模板

    华为云数据安全分类分级模板

    识别周期

    设置数据识别任务的执行策略:

    • 单次:根据设置的执行计划,在设定的时间执行一次该识别任务。
    • 每天:选择该选项,即在每天的固定时间执行该识别任务。
    • 每周:选择该选项,即在设定的每周这一时间点执行该识别任务。
    • 每月:选择该选项,即在设定的每月这一时间点执行该识别任务。

    单次

    执行计划

    “识别周期”“单次”时,显示该选项:
    • 立即执行:选择该选项,单击“确定”,系统立即执行数据识别任务。
    • 定时启动:在指定时间执行一次该识别任务。

    立即执行

  5. 单击“确定”,返回敏感数据任务列表。

    图6 敏感数据识别任务列表

  6. 任务状态为“识别完成”后,在该任务的操作列,单击“识别结果”,查看数据识别结果。

    图7 识别结果明细

    如上图7所示,Birthday和Email列被识别为敏感数据风险。

  7. 单击“查看分类分级结果详情”,查看结果详情。

    图8 分类分级结果详情

    执行步骤三:数据静态脱敏对数据库“rsd-dsc-test”中的表“dsc_bank”的Birthday和Email列进行脱敏。

步骤三:数据静态脱敏

DSC支持对数据库、ES、MRS以及Hive等数据类型的脱敏任务,本节以创建数据库静态脱敏任务为例进行演示,如需了解其他脱敏相关的方法请参见:

  1. 在左侧导航树中,选择数据资产保护 > 数据静态脱敏,进入“数据脱敏”页面。
  2. “数据库脱敏”设置为,开启数据库脱敏。
  3. 单击“新建任务”,进行“数据源配置”

    如果您想脱敏后生成一张完整的表,此处勾选所有数据类型。

    图9 数据源配置

  4. 单击“下一步”,进行“脱敏算法配置”

    图10 脱敏算法配置

  5. 单击“下一步”,进入“脱敏周期”页面,配置脱敏周期。

    图11 脱敏周期配置

  6. 单击“下一步”,进行“数据目标配置”,配置脱敏后生成的表的存放位置。

    图12 数据目标配置

  7. 单击“完成”,返回到数据库脱敏任务列表,单击,启用脱敏任务,并在任务所在行的“操作”列,单击“立即运行”,执行脱敏任务。

    “状态”“已完成”时,表示脱敏成功。

    图13 完成识别脱敏

效果验证