大廠也在用的 6種 數(shù)據(jù)脫敏方案，別做泄密內(nèi)鬼

最近連著幾天晚上在家總是接到一些奇奇怪怪的電話，“哥，你是 xxx 吧，我們這里是 xxx 高端男士私人會(huì)所...”，握草，我先是一愣，然后狠狠的罵了回去。一臉傲嬌的轉(zhuǎn)過(guò)頭，面帶微笑稍顯諂媚：老婆你聽(tīng)我說(shuō)，我真的啥也沒(méi)干，你要相信我！

啪~

過(guò)后揉揉臉細(xì)想想，肯定是哪個(gè)不道德的網(wǎng)站，又把我的個(gè)人信息給賣(mài)了，現(xiàn)在的人上網(wǎng)都處于一個(gè)裸奔的狀態(tài)，個(gè)人信息已不再屬于個(gè)人，時(shí)下這種事好像也見(jiàn)怪不怪了，不過(guò)，出現(xiàn)這種事大多是有內(nèi)鬼。

而作為開(kāi)發(fā)者的我們，能做的就是盡量避免經(jīng)我們手的用戶(hù)數(shù)據(jù)泄露，那今天就來(lái)講講互聯(lián)網(wǎng)中內(nèi)部防止隱私數(shù)據(jù)泄露的手段-數(shù)據(jù)脫敏。

什么是數(shù)據(jù)脫敏

先來(lái)看看什么是數(shù)據(jù)脫敏？數(shù)據(jù)脫敏也叫數(shù)據(jù)的去隱私化，在我們給定脫敏規(guī)則和策略的情況下，對(duì)敏感數(shù)據(jù)比如 手機(jī)號(hào)、銀行卡號(hào) 等信息，進(jìn)行轉(zhuǎn)換或者修改的一種技術(shù)手段，防止敏感數(shù)據(jù)直接在不可靠的環(huán)境下使用。

像政府、醫(yī)療行業(yè)、金融機(jī)構(gòu)、移動(dòng)運(yùn)營(yíng)商是比較早開(kāi)始應(yīng)用數(shù)據(jù)脫敏的，因?yàn)樗麄兯莆盏亩际怯脩?hù)最核心的私密數(shù)據(jù)，如果泄露后果是不可估量的。

數(shù)據(jù)脫敏的應(yīng)用在生活中是比較常見(jiàn)的，比如我們?cè)谔詫氋I(mǎi)東西訂單詳情中，商家賬戶(hù)信息會(huì)被用 * 遮擋，保障了商戶(hù)隱私不泄露，這就是一種數(shù)據(jù)脫敏方式。

數(shù)據(jù)脫敏又分為靜態(tài)數(shù)據(jù)脫敏（SDM）和 動(dòng)態(tài)數(shù)據(jù)脫敏（DDM）：

靜態(tài)數(shù)據(jù)脫敏

靜態(tài)數(shù)據(jù)脫敏（SDM）：適用于將數(shù)據(jù)抽取出生產(chǎn)環(huán)境脫敏后分發(fā)至測(cè)試、開(kāi)發(fā)、培訓(xùn)、數(shù)據(jù)分析等場(chǎng)景。

有時(shí)我們可能需要將生產(chǎn)環(huán)境的數(shù)據(jù)  copy 到測(cè)試、開(kāi)發(fā)庫(kù)中，以此來(lái)排查問(wèn)題或進(jìn)行數(shù)據(jù)分析，但出于安全考慮又不能將敏感數(shù)據(jù)存儲(chǔ)于非生產(chǎn)環(huán)境，此時(shí)就要把敏感數(shù)據(jù)從生產(chǎn)環(huán)境脫敏完畢之后再在非生產(chǎn)環(huán)境使用。

這樣脫敏后的數(shù)據(jù)與生產(chǎn)環(huán)境隔離，滿足業(yè)務(wù)需要的同時(shí)又保障了生產(chǎn)數(shù)據(jù)的安全。

如上圖所示，將用戶(hù)的真實(shí) 姓名、手機(jī)號(hào)、身份證、銀行卡號(hào) 通過(guò) 替換、無(wú)效化、亂序、對(duì)稱(chēng)加密 等方案進(jìn)行脫敏改造。

動(dòng)態(tài)數(shù)據(jù)脫敏

動(dòng)態(tài)數(shù)據(jù)脫敏（DDM）：一般用在生產(chǎn)環(huán)境，訪問(wèn)敏感數(shù)據(jù)時(shí)實(shí)時(shí)進(jìn)行脫敏，因?yàn)橛袝r(shí)在不同情況下對(duì)于同一敏感數(shù)據(jù)的讀取，需要做不同級(jí)別的脫敏處理，例如：不同角色、不同權(quán)限所執(zhí)行的脫敏方案會(huì)不同。

注意：在抹去數(shù)據(jù)中的敏感內(nèi)容同時(shí)，也需要保持原有的數(shù)據(jù)特征、業(yè)務(wù)規(guī)則和數(shù)據(jù)關(guān)聯(lián)性，保證我們?cè)陂_(kāi)發(fā)、測(cè)試以及數(shù)據(jù)分析類(lèi)業(yè)務(wù)不會(huì)受到脫敏的影響，使脫敏前后的數(shù)據(jù)一致性和有效性。總之一句話：你愛(ài)怎么脫就怎么脫，別影響我使用就行。

數(shù)據(jù)脫敏方案

數(shù)據(jù)脫敏系統(tǒng)可以按照不同業(yè)務(wù)場(chǎng)景自行定義和編寫(xiě)脫敏規(guī)則，可以針對(duì)庫(kù)表的某個(gè)敏感字段，進(jìn)行數(shù)據(jù)的不落地脫敏。

數(shù)據(jù)脫敏的方式有很多種，接下來(lái)以下圖數(shù)據(jù)為準(zhǔn)一個(gè)一個(gè)的演示每種方案。

1、無(wú)效化

無(wú)效化方案在處理待脫敏的數(shù)據(jù)時(shí)，通過(guò)對(duì)字段數(shù)據(jù)值進(jìn)行 截?cái)?/code>、加密、隱藏 等方式讓敏感數(shù)據(jù)脫敏，使其不再具有利用價(jià)值。一般采用特殊字符（*等）代替真值，這種隱藏敏感數(shù)據(jù)的方法簡(jiǎn)單，但缺點(diǎn)是用戶(hù)無(wú)法得知原數(shù)據(jù)的格式，如果想要獲取完整信息，要讓用戶(hù)授權(quán)查詢(xún)。

比如我們將身份證號(hào)用 * 替換真實(shí)數(shù)字就變成了 "220724 ****** 3523"，非常簡(jiǎn)單。

2、隨機(jī)值

隨機(jī)值替換，字母變?yōu)殡S機(jī)字母，數(shù)字變?yōu)殡S機(jī)數(shù)字，文字隨機(jī)替換文字的方式來(lái)改變敏感數(shù)據(jù)，這種方案的優(yōu)點(diǎn)在于可以在一定程度上保留原有數(shù)據(jù)的格式，往往這種方法用戶(hù)不易察覺(jué)的。

我們看到 name 和 idnumber 字段進(jìn)行了隨機(jī)化脫敏，而名字姓、氏隨機(jī)化稍有特殊，需要有對(duì)應(yīng)姓氏字典數(shù)據(jù)支持。

3、數(shù)據(jù)替換

數(shù)據(jù)替換與前邊的無(wú)效化方式比較相似，不同的是這里不以特殊字符進(jìn)行遮擋，而是用一個(gè)設(shè)定的虛擬值替換真值。比如說(shuō)我們將手機(jī)號(hào)統(tǒng)一設(shè)置成 “13651300000”。

4、對(duì)稱(chēng)加密

對(duì)稱(chēng)加密是一種特殊的可逆脫敏方法，通過(guò)加密密鑰和算法對(duì)敏感數(shù)據(jù)進(jìn)行加密，密文格式與原始數(shù)據(jù)在邏輯規(guī)則上一致，通過(guò)密鑰解密可以恢復(fù)原始數(shù)據(jù)，要注意的就是密鑰的安全性。

5、平均值

平均值方案經(jīng)常用在統(tǒng)計(jì)場(chǎng)景，針對(duì)數(shù)值型數(shù)據(jù)，我們先計(jì)算它們的均值，然后使脫敏后的值在均值附近隨機(jī)分布，從而保持?jǐn)?shù)據(jù)的總和不變。

對(duì)價(jià)格字段 price 做平均值處理后，字段總金額不變，但脫敏后的字段值都在均值 60 附近。

6、偏移和取整

這種方式通過(guò)隨機(jī)移位改變數(shù)字?jǐn)?shù)據(jù)，偏移取整在保持了數(shù)據(jù)的安全性的同時(shí)保證了范圍的大致真實(shí)性，比之前幾種方案更接近真實(shí)數(shù)據(jù)，在大數(shù)據(jù)分析場(chǎng)景中意義比較大。

比如下邊的日期字段create_time中 2020-12-08 15:12:25 變?yōu)?2018-01-02 15:00:00。

數(shù)據(jù)脫敏規(guī)則在實(shí)際應(yīng)用中往往都是多種方案配合使用，以此來(lái)達(dá)到更高的安全級(jí)別。

總結(jié)

無(wú)論是靜態(tài)脫敏還是動(dòng)態(tài)脫敏，其最終都是為了防止組織內(nèi)部對(duì)隱私數(shù)據(jù)的濫用，防止隱私數(shù)據(jù)在未經(jīng)脫敏的情況下從組織流出。所以作為一個(gè)程序員不泄露數(shù)據(jù)是最起碼的操守。