数据脱敏为何如此重要？

最新推荐文章于 2024-05-19 17:06:57 发布

数影星球

最新推荐文章于 2024-05-19 17:06:57 发布

阅读量677

点赞数

分类专栏：数据安全与合规文章标签：大数据网络运维网络安全安全

本文链接：https://blog.csdn.net/Dsphere_shuying/article/details/126706897

版权

数据安全与合规专栏收录该内容

2 篇文章 0 订阅

订阅专栏

随着企业数字化转型的深入，数据已然成为了企业运行的重要资产。尤其是随着互联网+、云计算、大数据等信息技术与通信技术的迅猛发展，社会逐步进入了数据时代。

但是，与之而来的是数据泄露风险的加剧。根据近期发布的《2022年数据泄露成本报告》，数据泄露的平均成本创下435万美元的历史新高，比2021年增长了2.6％，自2020年以来增长了12.7％。今年的研究首次发现，83％受访组织已经不是第一次发生数据泄露事件。

此外，越来越多企业推出APP、SaaS小程序等终端应用，以便可以为用户提供更便捷的服务。但是据相关调查，大量APP存在未经同意收集、超范围收集、强制授权、过度索权等违法违规收集使用个人信息的问题。

例如，8月26日，工信部通报了47款侵害用户权益的APP和SDK，它们都存在涉违规收集个人信息等问题。据报道，工信部组织第三方检测机构对群众关注的酒店餐饮类、未成年人应用类等移动互联网应用程序（APP）及第三方软件开发工具包（SDK）进行检查，对发现存在侵害用户权益行为的共227款APP（SDK）提出整改要求。截至目前，尚有47款APP（SDK）未按要求完成整改，包括都市酒店、花筑旅行、华人易居、住友生活、神州专车、赛百味点餐等。

这些被过度收集的用户个人信息包含身份证号码、手机号码、家庭住址、学历、工作等。而这些敏感信息如果一旦被泄露，或造成个人信息被贩卖，威胁用户人身、财产安全。

目前，在数字经济大背景下，海量数据在各种信息系统上被存储和处理，其中包含大量有价值的敏感数据。敏感数据主要可能有个人隐私数据、企业业务数据，还有数据分级分类之后安全级别很高的核心数据。

但是，很多企业进行数据采集、传输、交换和共享的过程中，并没有很好地对数据进行保护。据一则相关调查报告显示，政务公开、招考公示等平台未脱敏展示公民个人信息事件至少107起，涉及未脱敏个人信息近10万条；对国内50个银行发布的小程序进行的安全检测结果显示，超过90%的小程序在程序源代码暴露关键信息和输入敏感信息时未采取防护措施。

一方面，在数据产生、收集过程中，由于过度收集用户个人信息，且对用户个人信息未作任何安全保护措施，导致企业存在数据泄露风险；另一方面，当前业务系统中，存有大量的商业信息、企业信息等敏感数据，但是不同企业之间有相互共享数据、分析数据，进而开展相关业务的需求，若是数据未进行保护，内部人员或外部攻击者可能利用自身拥有的高权限或数据库漏洞，非法获取、泄露、篡改甚至破坏数据，造成企业损失。

数据的价值在于流动与融合，但数据的可用范围，正常情况下敏感数据是只能存在于生产环境中，而经过脱敏之后就可以在测试环境中存储、在开发环境中存储以及对外部开放访问，进而可以最大限度保证数据的规范使用和数据价值的安全释放，推动企业的数字化发展、业务增收。

与此同时，随着《数据安全法》《个人信息保护法》等相关法律法规的落地，以及即将实施的《数据出境安全评估办法》，可以看出国家对于个人信息的隐私保护要求逐渐严格，数据安全与隐私保护的相关技术逐渐走进人们的视野。

其中，数据脱敏就是一项重要的数据安全防护手段，它可以有效地减少敏感数据在采集、传输、使用等环节中的暴露，进而降低敏感数据泄露的风险，确保数据合规。例如，有能力的企业可以针对不同的业务场景制定出不同的脱敏策略，数据脱敏工具支持泛化、抑制等脱敏技术手段，以实现对核心业务数据的脱敏，保证数据可用性和安全性的平衡。

数据脱敏是一个数据科学领域的常用术语，是指在不影响数据分析结果的准确性的前提下，对原始数据中的敏感字段进行处理，从而降低数据敏感度和减少个人隐私风险的技术措施。在企业进行数据采集、传输、交换和共享的过程中，有必要、也有义务采取必要的手段防止数据泄露，保证数据安全。

因而，数据脱敏技术的应用目的主要包括两方面：一是以保护敏感数据安全、实现合法合规为主要目的；二是在达到第一目标的前提下，尽可能地保证数据可用性以及可挖掘价值。

通常而言，数据脱敏分为三个阶段，首先，需要识别出数据库中的敏感字段信息；其次，采取替换、过滤、加密、遮蔽或者删除等技术手段将敏感属性脱敏，脱敏所使用的技术手段与下文提到的去标识化和匿名化用到的技术本质上没有不同；最后，需要对脱敏处理后的数据集进行评价，以确保其符合脱敏要求。总的来说，假名化、去标识化和匿名化都可以算是数据脱敏技术。

当前，数据脱敏技术主要应用在涉及到个人隐私数据存储和应用的部分行业领域，因此广泛应用于政务、金融、电信、医疗、能源、互联网等行业领域。例如，在金融和电信行业中，由于金融客户的个人账户信息、交易记录等信息以及运营商内部存储大量的客户信息均属于敏感信息，对数据库查询返回的结果进行敏感数据遮盖，防止数据泄露。