如何防止个人敏感数据在开发测试中被泄露?
敏感数据是指那些如果被未经授权的人访问、泄露或滥用,可能会对个人或组织造成严重风险的信息。
- 对个人而言,身份证号码、家庭住址、工作单位、银行卡号等隐私信息都是敏感数据。
- 对企业或组织而言,客户资料、财务信息、技术资料、重大决策等公司核心信息都是敏感数据。
华为云数据安全中心(Data Security Center,简称DSC)提供静态数据脱敏功能:可以按照脱敏规则一次性完成大批量数据的变形转换处理,静态脱敏通常用在将生产环境中的敏感数据交付至开发、测试或者外发环境的情况使用,适用于开发测试、数据分享、数据研究等场景。
常见数据泄露原因
- 内部数据泄漏
- 笔记本电脑和移动设备的丢失或失窃
- 敏感数据越权访问和存储
- 员工外发、打印和复制敏感数据
- 意外传输敏感数据
- 外部攻击导致的数据泄漏
- 基础措施不可控,避免数据存储系统存在漏洞
- 配置不当导致的外部攻击
- 敏感数据越权访问和存储
场景
假设“rsd-dsc-test”数据库中“dsc_bank”表中存储了如下银行员工信息:
现需对该表进行敏感数据识别并完成脱敏,识别出敏感数据并生成识别结果数据报告,再对识别出的敏感数据进行“Hash脱敏”中的SHA256算法进行脱敏处理。
步骤一:购买数据安全中心专业版
- 登录管理控制台。
- 单击左上角的,选择区域或项目。
- 在左侧导航树中,单击,选择 。
- 首次购买DSC,在界面左侧,单击“立即购买”。
- 在“购买数据安全中心”页面,选择“当前区域”。
图2 选择区域和版本规格
如果您需要切换区域,请在“区域”下拉框里选择区域。同一个区域只支持购买一个DSC版本。
- 选择“数据库扩展包”和“OBS扩展包”的数量。
图3 选择扩展包
- 1个数据库扩展包含1个可添加数据库(支持RDS、DWS、ECS自建数据库、DLI、Elasticsearch、ECS自建大数据等)资产。
- 1个OBS扩展包含1T体量,即1024GB。
- 选择“购买时长”。单击时间轴的点,选择购买时长 ,可以选择1个月~3年的时长。
图4 购买时长
勾选“自动续费”后,当服务期满时,系统会自动按照购买周期进行续费。
- 在页面的右下角,单击“立即购买”。
如果您对价格有疑问,可以单击页面左下角的“了解计费详情”,了解产品价格。
- 确认订单无误后,阅读并勾选“我已阅读并同意《数据安全中心免责声明》”,单击“去支付”。
图5 详情页面
- 进入“付款”页面,请选择付款方式进行付款。
步骤二:识别敏感数据
- 登录管理控制台。
- 在左侧导航树中,单击,选择 。
- 在左侧导航树中,选择“识别任务”页面。 ,进入
- 单击“新建任务”,在弹出的“新建任务”对话框中,配置任务基本信息。
表1 新建任务参数说明 参数
说明
取值样例
任务名称
您可以自定义敏感数据识别任务名称。
任务名称需要满足以下要求:
- 4~255个字符。
- 字符可由中文、英文字母、数字、下划线或中划线组成。
- 开头需为中文或者字母。
- 任务名称不能与已有的任务名称重复。
DSC_Test
数据类型
选择识别的数据类型,可多选。
数据库 > rsd-dsc-test
识别模板
选择内置模板或者自定义模板,DSC将根据您选择的模板对数据进行分级分类展示。添加模板请参见新增识别模板。
华为云数据安全分类分级模板
识别周期
设置数据识别任务的执行策略:
- 单次:根据设置的执行计划,在设定的时间执行一次该识别任务。
- 每天:选择该选项,即在每天的固定时间执行该识别任务。
- 每周:选择该选项,即在设定的每周这一时间点执行该识别任务。
- 每月:选择该选项,即在设定的每月这一时间点执行该识别任务。
单次
执行计划
“识别周期”为“单次”时,显示该选项:- 立即执行:选择该选项,单击“确定”,系统立即执行数据识别任务。
- 定时启动:在指定时间执行一次该识别任务。
立即执行
- 单击“确定”,返回敏感数据任务列表。
图6 敏感数据识别任务列表
- 任务状态为“识别完成”后,在该任务的操作列,单击“识别结果”,查看数据识别结果。
如上图7所示,Birthday和Email列被识别为敏感数据风险。
- 单击“查看分类分级结果详情”,查看结果详情。
图8 分类分级结果详情
执行步骤三:数据静态脱敏对数据库“rsd-dsc-test”中的表“dsc_bank”的Birthday和Email列进行脱敏。
步骤三:数据静态脱敏
DSC支持对数据库、ES、MRS以及Hive等数据类型的脱敏任务,本节以创建数据库静态脱敏任务为例进行演示,如需了解其他脱敏相关的方法请参见:
- ES脱敏,请参见创建ES脱敏任务。
- MRS脱敏,请参见创建MRS脱敏任务。
- Hive脱敏,请参见创建Hive脱敏。
- HBase脱敏,请参见创建HBase脱敏。
- DLI脱敏,请参见创建DLI脱敏。
- OBS脱敏,请参见创建OBS脱敏。
- 在左侧导航树中,选择“数据脱敏”页面。 ,进入
- 将“数据库脱敏”设置为,开启数据库脱敏。
- 单击“新建任务”,进行“数据源配置”。
如果您想脱敏后生成一张完整的表,此处勾选所有数据类型。
图9 数据源配置
- 单击“下一步”,进行“脱敏算法配置”。
图10 脱敏算法配置
- 单击“下一步”,进入“脱敏周期”页面,配置脱敏周期。
图11 脱敏周期配置
- 单击“下一步”,进行“数据目标配置”,配置脱敏后生成的表的存放位置。
图12 数据目标配置
- 单击“完成”,返回到数据库脱敏任务列表,单击,启用脱敏任务,并在任务所在行的“操作”列,单击“立即运行”,执行脱敏任务。
当“状态”为“已完成”时,表示脱敏成功。
图13 完成识别脱敏
效果验证