大廠也在用的 6種 數(shù)據(jù)脫敏方案，別做泄密內(nèi)鬼

最近連著幾天晚上在家總是接到一些奇奇怪怪的電話，“哥，你是 xxx 吧，我們這里是 xxx 高端男士私人會所...”，握草，我先是一愣，然后狠狠的罵了回去。一臉傲嬌的轉過頭，面帶微笑稍顯諂媚：老婆你聽我說，我真的啥也沒干，你要相信我！

啪~

過后揉揉臉細想想，肯定是哪個不道德的網(wǎng)站，又把我的個人信息給賣了，現(xiàn)在的人上網(wǎng)都處于一個裸奔的狀態(tài)，個人信息已不再屬于個人，時下這種事好像也見怪不怪了，不過，出現(xiàn)這種事大多是有內(nèi)鬼。

而作為開發(fā)者的我們，能做的就是盡量避免經(jīng)我們手的用戶數(shù)據(jù)泄露，那今天就來講講互聯(lián)網(wǎng)中內(nèi)部防止隱私數(shù)據(jù)泄露的手段-數(shù)據(jù)脫敏。

什么是數(shù)據(jù)脫敏

先來看看什么是數(shù)據(jù)脫敏？數(shù)據(jù)脫敏也叫數(shù)據(jù)的去隱私化，在我們給定脫敏規(guī)則和策略的情況下，對敏感數(shù)據(jù)比如 手機號、銀行卡號 等信息，進行轉換或者修改的一種技術手段，防止敏感數(shù)據(jù)直接在不可靠的環(huán)境下使用。

像政府、醫(yī)療行業(yè)、金融機構、移動運營商是比較早開始應用數(shù)據(jù)脫敏的，因為他們所掌握的都是用戶最核心的私密數(shù)據(jù)，如果泄露后果是不可估量的。

數(shù)據(jù)脫敏的應用在生活中是比較常見的，比如我們在淘寶買東西訂單詳情中，商家賬戶信息會被用 * 遮擋，保障了商戶隱私不泄露，這就是一種數(shù)據(jù)脫敏方式。

數(shù)據(jù)脫敏又分為靜態(tài)數(shù)據(jù)脫敏（SDM）和 動態(tài)數(shù)據(jù)脫敏（DDM）：

靜態(tài)數(shù)據(jù)脫敏

靜態(tài)數(shù)據(jù)脫敏（SDM）：適用于將數(shù)據(jù)抽取出生產(chǎn)環(huán)境脫敏后分發(fā)至測試、開發(fā)、培訓、數(shù)據(jù)分析等場景。

有時我們可能需要將生產(chǎn)環(huán)境的數(shù)據(jù) ?copy 到測試、開發(fā)庫中，以此來排查問題或進行數(shù)據(jù)分析，但出于安全考慮又不能將敏感數(shù)據(jù)存儲于非生產(chǎn)環(huán)境，此時就要把敏感數(shù)據(jù)從生產(chǎn)環(huán)境脫敏完畢之后再在非生產(chǎn)環(huán)境使用。

這樣脫敏后的數(shù)據(jù)與生產(chǎn)環(huán)境隔離，滿足業(yè)務需要的同時又保障了生產(chǎn)數(shù)據(jù)的安全。

如上圖所示，將用戶的真實 姓名、手機號、身份證、銀行卡號 通過 替換、無效化、亂序、對稱加密 等方案進行脫敏改造。

動態(tài)數(shù)據(jù)脫敏

動態(tài)數(shù)據(jù)脫敏（DDM）：一般用在生產(chǎn)環(huán)境，訪問敏感數(shù)據(jù)時實時進行脫敏，因為有時在不同情況下對于同一敏感數(shù)據(jù)的讀取，需要做不同級別的脫敏處理，例如：不同角色、不同權限所執(zhí)行的脫敏方案會不同。

注意：在抹去數(shù)據(jù)中的敏感內(nèi)容同時，也需要保持原有的數(shù)據(jù)特征、業(yè)務規(guī)則和數(shù)據(jù)關聯(lián)性，保證我們在開發(fā)、測試以及數(shù)據(jù)分析類業(yè)務不會受到脫敏的影響，使脫敏前后的數(shù)據(jù)一致性和有效性。總之一句話：你愛怎么脫就怎么脫，別影響我使用就行。

數(shù)據(jù)脫敏方案

數(shù)據(jù)脫敏系統(tǒng)可以按照不同業(yè)務場景自行定義和編寫脫敏規(guī)則，可以針對庫表的某個敏感字段，進行數(shù)據(jù)的不落地脫敏。

數(shù)據(jù)脫敏的方式有很多種，接下來以下圖數(shù)據(jù)為準一個一個的演示每種方案。

1、無效化

無效化方案在處理待脫敏的數(shù)據(jù)時，通過對字段數(shù)據(jù)值進行 截斷、加密、隱藏 等方式讓敏感數(shù)據(jù)脫敏，使其不再具有利用價值。一般采用特殊字符（*等）代替真值，這種隱藏敏感數(shù)據(jù)的方法簡單，但缺點是用戶無法得知原數(shù)據(jù)的格式，如果想要獲取完整信息，要讓用戶授權查詢。

比如我們將身份證號用 * 替換真實數(shù)字就變成了 "220724 ****** 3523"，非常簡單。

2、隨機值

隨機值替換，字母變?yōu)殡S機字母，數(shù)字變?yōu)殡S機數(shù)字，文字隨機替換文字的方式來改變敏感數(shù)據(jù)，這種方案的優(yōu)點在于可以在一定程度上保留原有數(shù)據(jù)的格式，往往這種方法用戶不易察覺的。

我們看到 name 和 idnumber 字段進行了隨機化脫敏，而名字姓、氏隨機化稍有特殊，需要有對應姓氏字典數(shù)據(jù)支持。

3、數(shù)據(jù)替換

數(shù)據(jù)替換與前邊的無效化方式比較相似，不同的是這里不以特殊字符進行遮擋，而是用一個設定的虛擬值替換真值。比如說我們將手機號統(tǒng)一設置成 “13651300000”。

4、對稱加密

對稱加密是一種特殊的可逆脫敏方法，通過加密密鑰和算法對敏感數(shù)據(jù)進行加密，密文格式與原始數(shù)據(jù)在邏輯規(guī)則上一致，通過密鑰解密可以恢復原始數(shù)據(jù)，要注意的就是密鑰的安全性。

5、平均值

平均值方案經(jīng)常用在統(tǒng)計場景，針對數(shù)值型數(shù)據(jù)，我們先計算它們的均值，然后使脫敏后的值在均值附近隨機分布，從而保持數(shù)據(jù)的總和不變。

對價格字段 price 做平均值處理后，字段總金額不變，但脫敏后的字段值都在均值 60 附近。

6、偏移和取整

這種方式通過隨機移位改變數(shù)字數(shù)據(jù)，偏移取整在保持了數(shù)據(jù)的安全性的同時保證了范圍的大致真實性，比之前幾種方案更接近真實數(shù)據(jù)，在大數(shù)據(jù)分析場景中意義比較大。

比如下邊的日期字段create_time中 2020-12-08 15:12:25 變?yōu)?2018-01-02 15:00:00。

數(shù)據(jù)脫敏規(guī)則在實際應用中往往都是多種方案配合使用，以此來達到更高的安全級別。

總結

無論是靜態(tài)脫敏還是動態(tài)脫敏，其最終都是為了防止組織內(nèi)部對隱私數(shù)據(jù)的濫用，防止隱私數(shù)據(jù)在未經(jīng)脫敏的情況下從組織流出。所以作為一個程序員不泄露數(shù)據(jù)是最起碼的操守。

有道無術，術可成；有術無道，止于術

歡迎大家關注Java之道公眾號

好文章，我在看??