在資料遮罩的功能上,Informatica目前提供Dynamic Data Masking(DDM),以及Persistent Data Masking(PDM)等兩套產品,顧名思義,它們各自對應的是動態資料遮罩與靜態資料遮罩的技術。這兩套產品目前都由安資捷等公司所經銷。

提供動態資料庫遮罩功能

以DDM而言,它之所以能做到動態資料遮罩,主要採用SQL Proxy技術,原本使用者端為了存取資料庫而發出的SQL 指令,DDM會動態地從中途攔截。接下來,若使用者是基於業務需要,SQL 指令照樣執行,因此這些人可以看到真實完整的資料;若使用者身分並非授權使用者或特權使用者,就會依照設定的遮罩規則來調整、改寫這些指令,以便讓這些人檢視相關資料時,內容是經過遮罩處理的。

在遮罩規則的定義方式中,DDM可依據資料庫、資料表、檢視表(View)及欄位名稱等條件進行,也能指定資料庫使用者、連線至資料庫的應用程式名稱,以及主機名稱、時間、SQL 指令關鍵字等條件,並加以組合。這套產品也同時能使用資料庫內建函數,以便企業能藉此自行建立相關規則。

由此可知,不論是主從式架構的應用程式、網頁應用程式、報表系統,或是程式開發人員、資料庫管理員所使用的資料庫存取工具,在DDM上都可以個別指定是否需要遮罩。

而在欄位資料內容的遮蔽上,DDM支援部分字元或全部字元的替換,以及置換成特定字詞的處理。

這套產品能使用的遮罩字元也相當廣泛,中英文的標準字元都能用做遮罩,例如符號(*)、字母(A~Z)、空白字元,或是中文的全型符號(○、#、*)或字元(密)。

DDM對於不同語系字元編碼也有所支援,像是BIG5 與Unicode,若遇到字元編碼長度不同的狀況,遮罩斷字時較不會出現產生中文亂碼。

在DDM的使用中,也可做到條件式遮罩──根據指定條件來遮罩(例如根據欄位1的內容,來判斷是否遮蔽欄位2的內容),也可設定依應用程式名稱,來作為是否遮罩的依據,像是資料庫管理工具Toad、Oracle SQL Developer、SQL Server Management Studio,或是Office軟體,如Excel、Access。甚至它也透過正規表示式(Regular Expression)來定義特定條件,以便比對SQL指令,並進行遮罩功能。

當個資欄位經過遮罩處理後,DDM也能做到維持原本的主鍵與其他資料的關聯性,因此相關的資料查詢不會受到影響。

而在系統建置上,DDM支援多種部署架構,例如:可在資料庫系統安裝代理程式,處理器使用率上,原廠預估占用1%;或者是在資料庫系統前架設獨立的硬體設備,用In-Line模式,讓所有存取資料庫的作業都必須經過DDM代理執行,每秒號稱可處理5萬筆SQL指令,管理者能根據不同的使用者身分、應用程式名稱、網段來授權。


相關報導請參考「個資遮罩:既保護個資,也讓流程不打結」


Advertisement

更多 iThome相關內容