动态数据脱敏不同技术路线对比

随着互联网、大数据等新兴技术的飞速普及应用，数据集中存储已成为趋势，越来越多的应用采用连接数据中心或者数据共享层的方式来开展业务，这使得采用“先脱敏-后分发”方式的静态数据脱敏产品往往无法满足用户“兼顾实时性和安全性”的需求，动态数据脱敏应运而生。

目前，市面上的动态数据脱敏类产品良莠不齐，不同产品的技术路线和演进方式也存在差异。其中主流的技术路线有“结果集解析”和“语句改写”两种：

下文将针对动态脱敏产品最核心的能力——脱敏性能、复杂语句处理能力和脱敏规则覆盖度，从三个维度分别对两种技术路线进行分析比较：

1

脱敏性能

基于结果集脱敏，运算点在产品侧，需要动态脱敏设备收到数据库返回包并解析结果集后，再逐行完成解析、匹配规则与脱敏，因此对性能的损耗往往高达50%甚至几倍之多。而基于语句改写脱敏，是将运算逻辑交给数据库系统自身，所得结果集即为运算后的脱敏结果，并通过动态脱敏设备直接返回查询侧，一般可降低10%~40%的性能损耗。

2

复杂语句处理能力

在运维场景中，往往存在大量的嵌套查询、复杂语句和同名字段等情况。基于结果集脱敏需要先将结果集和所查询的列名一一对应，才能进行脱敏规则匹配及运算，因此存在匹配不准确或别名、嵌套无法识别的可能性。而基于语句改写的动态脱敏产品则不存在此类问题。

3

脱敏规则覆盖度

例如，现需要对身份证personid字段配置脱敏规则：

select substr（personid，1，6），substr（personid，7，6），substr（personid，13，6） from tableA；

则返回的结果集是110103，199012，038372——单从每个字段看并没有身份证特征，可能导致判断失误不进行脱敏处理；但在查询人看来，这就是一串身份证信息，存在敏感数据泄露风险。而基于语句改写的动态脱敏产品则不存在此类问题。

安华金和动态数据脱敏系统（DMS-D）基于“语句改写”技术路线，是一款高性能、高扩展性的动态数据屏蔽和脱敏产品——在数据库通讯协议层面，通过SQL代理技术，实现了完全透明的、实时的敏感数据掩码能力；在不需要对生产数据库中的数据进行任何改变的情况下，依据用户的角色、职责和其他IT定义规则，动态的对生产数据库返回的数据进行专门的屏蔽、加密、隐藏和审计，确保业务用户、外包用户、运维人员、兼职雇员、合作伙伴、数据分析/研发/测试团队及顾问能够恰如其分地访问生产环境的敏感数据。

DMS-D在国家等级保护、分级保护等领域均具有很强的政策合规性；现已实现对Oracle、MySql、DB2、MSSQL、PostgreSQL等主流数据库，以及Windows、Linux、AIX、Solaris等主流数据库应用平台的支持，并可提供灵活的脱敏规则配置及脱敏规则扩展；同时，DMS-D能够满足企业在运维侧和应用侧的数据安全需求——在应用侧，脱敏后的数据可以保留原有数据的特征和分布，无需改变相应的业务系统逻辑，实现了企业低成本、高效率、安全的使用数据；在运维侧，对敏感数据进行遮蔽处理，既不影响正常运维工作，又能够保证数据安全。