数据脱敏和加密_静态数据脱敏与动态数据脱敏的区别

数据脱敏技术已经由来已久，在信息化的早期，很多用户为了防止外发和共享的敏感信息泄露，会通过手工编写代码或者脚本对需要共享和外发数据中的敏感信息进行遮蔽或者简单的变形，例如将身份证号随机替换为一组18位的数字、将手机号码中间几位使用“*”号遮蔽等。

随着DT时代的到来，数据量激增，数据存储和使用场景复杂程大幅提高，国家、行业主管部门对于数据安全的管理制度也越来越完善，越来越严格，同时在数据共享使用的一些场景中对于脱敏数据的仿真程度、脱敏效率等要求也越来越高。为了适应这些变化和需求，专业的脱敏产品应运而生，并逐渐形成了“静态数据脱敏”与“动态数据脱敏”两种不同的脱敏产品。这两种的数据脱敏产品，在功能和价值上区别不大，但是在使用场景、技术路线和部署方式上有着显著的区别。

一、静态数据脱敏与动态数据脱敏使用场景的区别

静态数据脱敏主要用于将数据抽离生产环境并进行分发和共享的数据使用场景，比较有代表性的使用场景如：开发、测试、数据分析、教学、培训等。在这些场景中，无需与生产数据建立连接，只要将部分或者全部(脱敏数据量根据不同场景需求，例如开发，测试只需要部分数据，而分析场景往往需要全部数据)数据脱敏后存储到目标介质中就可以了，例如将生产数据库中的数据脱敏后存到测试库中，供开发、测试使用。

动态数据脱敏主要用于直接访问生产数据的数据使用场景，比较有代表的使用场景如：数据运维管理、应用访问等。在这些场景中，需要时时连接生产数据，例如客服人员通过应用查询用户信息等。

二、静态数据脱敏与动态数据脱敏在技术路线上的区别

静态数据脱敏技术一般是通过变形、替换、屏蔽、保格式加密(FPE)等算法，将生产数据导出至目标的存储介质，支持源库脱敏、跨库脱敏、数据库异构脱敏、数据库到文件脱敏、文件到数据库脱敏、文件到文件脱敏。导出后的脱敏数据，实际已经改变了源数据的内容。

动态数据脱敏通过准确的解析SQL语句匹配脱敏条件，例如：访问IP、MAC、数据库用户、客户端工具、操作系统用户、主机名、时间、影响行数等，在匹配成功后通过改写查询SQL或者拦截防护返回脱敏后的数据到应用端，从而实现敏感数据的脱敏。动态数据脱敏实际上未对源数据的内容做任何改变。

三、静态数据脱敏与动态数据脱敏的部署方式的区别

静态数据脱敏可将脱敏设备部署于生产环境与测试、开发、共享环境之间，通过脱敏服务器实现静态数据抽取、脱敏、装载。

动态数据脱敏采用代理部署方式：物理旁路，逻辑串联。应用或者运维人员对数据库的访问必须都经过动态脱敏设备才能根据系统的规则对数据访问结果进行脱敏。

四、相关链接

1、 数据脱敏相关技术

2、 数据脱敏系统怎么选