對(duì)于企業(yè)而言，數(shù)據(jù)泄露事故的影響可能是災(zāi)難性的，并失去客戶的信心和信任，面臨經(jīng)濟(jì)懲罰和其他嚴(yán)重后果。根據(jù)Ponemon研究所2016年數(shù)據(jù)泄漏事故成本研究顯示，數(shù)據(jù)泄露事故的平均總成本是400萬(wàn)美元，這比2013年增加了29%。每條泄露記錄的平均成本是158美元，而醫(yī)療保健和零售業(yè)每條泄露記錄的平均成本分別是355美元和129美元。盡管數(shù)據(jù)泄露威脅有著極高的風(fēng)險(xiǎn)，企業(yè)仍然是數(shù)據(jù)泄露的受害者，對(duì)此，企業(yè)開(kāi)始非常重視對(duì)企業(yè)擁有、處理和存儲(chǔ)數(shù)據(jù)的保護(hù)。

[[178733]]

雖然外部威脅仍然是高優(yōu)先處理事項(xiàng)，但對(duì)敏感數(shù)據(jù)的威脅同樣來(lái)自內(nèi)部人員。員工竊取客戶信息、個(gè)人可識(shí)別信息或信用卡詳細(xì)信息都是真實(shí)的威脅，這是因?yàn)樵诖蠖鄶?shù)情況下，系統(tǒng)管理或數(shù)據(jù)庫(kù)管理員等特權(quán)用戶被授予對(duì)數(shù)據(jù)的訪問(wèn)權(quán)限。通常，生產(chǎn)環(huán)境的實(shí)際數(shù)據(jù)會(huì)拷貝到非生產(chǎn)環(huán)境，非生產(chǎn)環(huán)境并不太安全，也沒(méi)有部署與生產(chǎn)環(huán)境相同的安全控制，這些數(shù)據(jù)很可能被泄露或竊取。

數(shù)據(jù)混淆技術(shù)提供了不同的方式來(lái)確保數(shù)據(jù)不會(huì)落入錯(cuò)誤的人手中，并且，只有少數(shù)個(gè)人可訪問(wèn)敏感信息，同時(shí)還可確保滿足業(yè)務(wù)需求。

什么是數(shù)據(jù)混淆?

在技術(shù)領(lǐng)域，數(shù)據(jù)混淆(也成為數(shù)據(jù)掩蔽)是將測(cè)試或開(kāi)發(fā)環(huán)境中現(xiàn)有的敏感信息替換為看起來(lái)像真實(shí)生產(chǎn)信息的信息，但這些信息無(wú)法被任何人濫用。換句話說(shuō)，測(cè)試或開(kāi)發(fā)環(huán)境的用戶不需要看到真實(shí)生產(chǎn)數(shù)據(jù)，只要這些數(shù)據(jù)與真實(shí)數(shù)據(jù)相似即可。

因此，數(shù)據(jù)混淆計(jì)劃被用于保護(hù)數(shù)據(jù)，它可幫助掩蔽非生產(chǎn)環(huán)境中包含的敏感信息，讓企業(yè)可緩解數(shù)據(jù)泄露的風(fēng)險(xiǎn)。

對(duì)數(shù)據(jù)混淆技術(shù)的需求

企業(yè)通常需要將生產(chǎn)數(shù)據(jù)庫(kù)中存儲(chǔ)的生產(chǎn)數(shù)據(jù)復(fù)制到非生產(chǎn)或測(cè)試數(shù)據(jù)庫(kù)，這樣做是為了真實(shí)地完成應(yīng)用功能測(cè)試以及涵蓋實(shí)時(shí)場(chǎng)景或最大限度減少生產(chǎn)漏洞或缺陷。這種做法的影響是，非生產(chǎn)環(huán)境很容易成為網(wǎng)絡(luò)罪犯或惡意內(nèi)部人員的簡(jiǎn)易目標(biāo)，讓他們可輕松地獲取敏感數(shù)據(jù)。由于非生產(chǎn)環(huán)境并沒(méi)有像生產(chǎn)環(huán)境那樣受到嚴(yán)格控制和管理，當(dāng)數(shù)據(jù)泄露事故發(fā)生時(shí)，企業(yè)可能需要花費(fèi)數(shù)百萬(wàn)美元修復(fù)聲譽(yù)損害或者品牌價(jià)值損失。

監(jiān)管要求是數(shù)據(jù)混淆技術(shù)的另一個(gè)關(guān)鍵驅(qū)動(dòng)因素。例如，支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)(PCI DSS)鼓勵(lì)商家加強(qiáng)支付卡數(shù)據(jù)安全，廣泛部署一致的數(shù)據(jù)安全做法，滿足技術(shù)和操作要求。

PCI DSS要求商家的生產(chǎn)環(huán)境和信息不能用于測(cè)試和開(kāi)發(fā)。不當(dāng)?shù)臄?shù)據(jù)泄露(無(wú)論是意外還是惡意事件)都會(huì)帶來(lái)毀滅性后果，并可能導(dǎo)致高昂的罰款或法律行為。

數(shù)據(jù)混淆用例

數(shù)據(jù)混淆技術(shù)的典型用例是當(dāng)開(kāi)發(fā)環(huán)境數(shù)據(jù)庫(kù)交由第三方供應(yīng)商或外包商處理和管理時(shí);數(shù)據(jù)混淆是確保第三方供應(yīng)商可執(zhí)行其職責(zé)及功能非常重要的工具。通過(guò)部署數(shù)據(jù)混淆技術(shù)，企業(yè)可使用數(shù)據(jù)庫(kù)中相似值來(lái)替換敏感信息，而不必?fù)?dān)心第三方供應(yīng)商在開(kāi)發(fā)期間暴露該信息。

另一個(gè)典型用例是在零售業(yè)，零售商需要與市場(chǎng)研究公司共享客戶銷售點(diǎn)數(shù)據(jù)以運(yùn)用高級(jí)分析算法來(lái)分析客戶的購(gòu)買模式和趨勢(shì)。零售商不必向研究公司提供真實(shí)的客戶數(shù)據(jù)，而可提供類似真實(shí)客戶數(shù)據(jù)的替代數(shù)據(jù)。這種方法可幫助企業(yè)減少通過(guò)業(yè)務(wù)合作伙伴或其他第三方供應(yīng)商泄露數(shù)據(jù)的風(fēng)險(xiǎn)。