要求软件组织内的不同人员甚至安全领域内的不同人员来定义“数据屏蔽”通常意味着您会得到不同的——有时是复杂的——答案。与数据屏蔽相关的术语、假名和技术太多了，我们想回归基础。本文将讨论数据屏蔽的基本概念，解释各种屏蔽技术，深入研究静态数据屏蔽和动态数据屏蔽之间的区别。

什么是数据屏蔽

在数据安全中，数据屏蔽（Data MASking）通常用作更改数据以保护敏感信息的过程的统称。它也可以称为数据混淆、数据去标识化、数据匿名化和数据清理。此外，通用数据保护条例 (GDPR) 引入了术语“伪匿名化”，涵盖一系列保护敏感数据的流程。

数据屏蔽的目标是允许使用敏感数据，同时确保其安全。为了实现这一目标，必须使用一种方法来屏蔽敏感数据，以确保无法对流程进行逆向工程并获得对原始数据的访问权限。

数据屏蔽技术

屏蔽敏感数据的方法有很多种，每种屏蔽方法都各有利弊。要决定如何屏蔽您的数据，重要的是要了解各种技术、屏蔽后您希望如何使用数据以及谁将有权访问数据。

数据加密——尽管加密通常被视为屏蔽的替代方法，但其核心是一种更改数据以保护敏感信息的方法。与其他屏蔽技术相比，加密的主要区别在于如果您拥有加密密钥，则能够恢复实际数据值。因此，如果需要可逆性，这是唯一可用的掩蔽技术。但是，根据加密类型，数据在加密后可能就没有用了。

部分屏蔽——这是替换部分数据值，例如用“X”替换信用卡号中除最后四位数字之外的所有数字。当您不需要完全访问整个数据值时，这很有用，但与加密数据不同，它无法取消屏蔽。

修订（Redaction）——这是用其他东西完全替换数据。每条记录的所有个人身份信息（例如名字和姓氏）都可以更改为“机密”。就像部分屏蔽一样，它不能被揭开。

清空数据——这将使值变为空白或空值。这不是推荐的屏蔽方法，因为它使人们不清楚该值是从不可用，还是被屏蔽了。

数据替换（或标记化/Tokenization）——这是用另一个实际值替换每个值，通常使用查找表。每次出现的名字“John”都可以替换为“Alex”。这是信用卡号的好方法，因此它们是真实的，并且可以通过应用程序验证逻辑，如 LUHN 检查，但对于名称等数据，有些名称比其他名称更常见的数据可能不太安全。

静态与动态屏蔽

既然我们已经讨论了屏蔽技术，那么讨论屏蔽数据的方法就很重要了。上述所有屏蔽都可以通过静态数据屏蔽或动态数据屏蔽来完成。

静态数据屏蔽是指您直接使用匿名值更改数据。这通常是在您的数据副本（副本）上完成的，以免丢失原始值。然后可以在其他地方安全地使用该副本。静态数据屏蔽的最大优点是屏蔽数据永远不会暴露敏感值。最大的缺点是您必须维护数据的屏蔽版本和未屏蔽版本。随着组织内数据量的不断增加，这可能会非常昂贵。

动态数据屏蔽是指仅在查看数据时才发生屏蔽。动态数据屏蔽功能强大，因为它允许实施基于角色的访问控制并且不会破坏原始数据值。这意味着通过适当配置的安全策略，主管可以看到明文数据，但所有其他用户只能看到屏蔽数据。动态屏蔽允许更好地控制对数据的访问并扩展数据可以服务的用例。

通过十多年对数据加密、数据保护的相关经验，揽阁信息推荐您使用Thales CipherTrust数据保护平台，对数据进行保护。该产品拥有FIPS认证，可实现对数据的加密、令牌化、屏蔽

揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息，您可以获取到更多满足全球合规性要求的信息安全产品资料，以及相关的整体解决方案的相关资料。如：

• 数据库访问控制：揽阁LGPAC系统

• 通用HSM：Luna HSM、ProtectServer HSM

• 支付HSM：payShield 10K

• KMS产品：CipherTrust Manager、Vormetric、KeySecure

• 数据保护：应用层数据加密、数据库加密、令牌化（Tokenization）、透明加密

• 网络传输加密：Thales High Speed Encryption（HSE）

• 身份认证：STA、SAS、USB令牌、智能卡、OTP令牌、手机令牌、虚拟智能卡、FIDO2、读卡器

您还可以得到揽阁信息所提供的优质服务。

揽阁信息 · 值得您信赖的信息安全顾问！

相关阅读

• SK Telecom与Thales合作开发后量子密码学

• 勒索软件制裁：有什么影响？

• 经验教训：2023年全球网络安全的五个要点

• 数据安全的未来是什么

• 保护云前沿：应对多云时代 SaaS 数据保护的复杂性