安全策略:数据屏蔽最佳实践的四大要素(下)

考虑参照完整性需求

数据屏蔽最佳实践的第三个要素是企业的参照完整性需求,不过这一点在一开始部署数据屏蔽系统时往往容易被忽略。在企业层面,参照完整性通常要求汇总信息,以满足业务范围和资源共享需求。这意味着,来自同一业务范围应用程序的每种类型的信息都必须使用相同的算法/种子值进行屏蔽。

例如,如果业务范围A的应用程序的数据屏蔽系统将客户的出生日期替换为2010年1月5日,则业务范围B的应用程序的数据屏蔽系统必须将相同的出生日期输入值也替换为2010年1月5日。利用参考完整性,如果一个企业级应用程序需要访问每个已屏蔽的出生日期,则该应用程序可以关联和操作来自这两个业务范围应用程序的其余数据。如果在最初阶段或者甚至在部署了第二个数据屏蔽工具时,仍没有考虑这种要访问已屏蔽信息的工作流,则企业的数据屏蔽系统将需要进行重大的调整和信息的重新屏蔽,除非该金融公司的各项业务之间几乎不发生交互,而这通常是不可能的。

然而,对许多大型金融企业而言,在整个企业范围内使用单一的数据屏蔽工具一般并不可行。由于地域差异、预算/业务需求、不同的IT管理组或者不同的安全/监管要求,每种业务范围可能会需要部署自己的数据屏蔽工具。尽管这种情况不影响一般的数据屏蔽处理,但如果不同的数据屏蔽工具由于某种未知原因而不能同步,则可能会造成工作流难以继续。例如,对一个业务范围应用程序来说,出生日期的随机化可能完全可以接受。但对另一个业务范围应用程序来说,已屏蔽的出生日期必须属于一个该应用程序认为有效的预定义范围(例如超过21岁)。

增强数据屏蔽算法的安全性

数据屏蔽最佳实践的第四个要素是,保护数据屏蔽工具使用的种子值或算法的安全性。由于数据屏蔽的基本原则是只允许获得授权的用户访问经授权的信息,所以数据屏蔽工具使用的种子值或算法无疑属于高度敏感的数据。如果有人掌握了数据屏蔽工具使用的可重复的数据屏蔽算法,则他或她可以对大的敏感信息块进行逆向工程。一个数据屏蔽最佳实践是采用职责分离的原则,允许IT安全人员决定使用什么数据屏蔽方法和算法,并只能在初始部署阶段访问数据屏蔽工具以设置种子值,在部署完成之后IT安全人员则不能再访问数据屏蔽工具。

由于IT安全人员无权访问日常运营系统,而IT支持人员无权访问数据屏蔽算法,从而实现了严格的“职责分离”控制。但是,如果数据屏蔽工具未提供这种“职责分离”控制功能,则IT支持人员必须执行周期性的背景调查,并严密审计系统访问,以确保算法未遭泄漏。

未来的计划

数据屏蔽确实具有诸多优势。如果需要的话,可以修改企业应用程序本身以执行数据屏蔽处理,而不需要一个独立的数据屏蔽工具,因为企业应用程序的主要功能通常也是某种形式的数据处理操作。已屏蔽的信息是可读的,如果屏蔽功能使用得当的话,甚至可以使用“类生产”数据有效地测试产品业务工作流。客户服务应用程序(例如咨询台)也不必再为保护敏感信息而在屏幕上刻意抹去演示级功能,因为已屏蔽的数据本身就可以替应用程序掩盖敏感信息。如果客户信息在被打印之前已经进行了屏蔽处理,则即使打印操作可以执行,也不必担心是谁在使用打印机。但实施数据屏蔽并不像向现有应用程序中添加一个模块或开发一个专门实现数据屏蔽的系统那样简单。正如任何数据保护机制一样,在屏蔽第一条信息之前,企业需要制定计划、确定体系结构以及对未来业务如何运行的设想。