對于企業(yè)而言，數(shù)據(jù)泄露事故的影響可能是災(zāi)難性的，并失去客戶的信心和信任，面臨經(jīng)濟懲罰和其他嚴重后果。根據(jù)Ponemon研究所2016年數(shù)據(jù)泄漏事故成本研究顯示，數(shù)據(jù)泄露事故的平均總成本是400萬美元，這比2013年增加了29%。每條泄露記錄的平均成本是158美元，而醫(yī)療保健和零售業(yè)每條泄露記錄的平均成本分別是355美元和129美元。盡管數(shù)據(jù)泄露威脅有著極高的風險，企業(yè)仍然是數(shù)據(jù)泄露的受害者，對此，企業(yè)開始非常重視對企業(yè)擁有、處理和存儲數(shù)據(jù)的保護。

[[178733]]

雖然外部威脅仍然是高優(yōu)先處理事項，但對敏感數(shù)據(jù)的威脅同樣來自內(nèi)部人員。員工竊取客戶信息、個人可識別信息或信用卡詳細信息都是真實的威脅，這是因為在大多數(shù)情況下，系統(tǒng)管理或數(shù)據(jù)庫管理員等特權(quán)用戶被授予對數(shù)據(jù)的訪問權(quán)限。通常，生產(chǎn)環(huán)境的實際數(shù)據(jù)會拷貝到非生產(chǎn)環(huán)境，非生產(chǎn)環(huán)境并不太安全，也沒有部署與生產(chǎn)環(huán)境相同的安全控制，這些數(shù)據(jù)很可能被泄露或竊取。

數(shù)據(jù)混淆技術(shù)提供了不同的方式來確保數(shù)據(jù)不會落入錯誤的人手中，并且，只有少數(shù)個人可訪問敏感信息，同時還可確保滿足業(yè)務(wù)需求。

什么是數(shù)據(jù)混淆?

在技術(shù)領(lǐng)域，數(shù)據(jù)混淆(也成為數(shù)據(jù)掩蔽)是將測試或開發(fā)環(huán)境中現(xiàn)有的敏感信息替換為看起來像真實生產(chǎn)信息的信息，但這些信息無法被任何人濫用。換句話說，測試或開發(fā)環(huán)境的用戶不需要看到真實生產(chǎn)數(shù)據(jù)，只要這些數(shù)據(jù)與真實數(shù)據(jù)相似即可。

因此，數(shù)據(jù)混淆計劃被用于保護數(shù)據(jù)，它可幫助掩蔽非生產(chǎn)環(huán)境中包含的敏感信息，讓企業(yè)可緩解數(shù)據(jù)泄露的風險。

對數(shù)據(jù)混淆技術(shù)的需求

企業(yè)通常需要將生產(chǎn)數(shù)據(jù)庫中存儲的生產(chǎn)數(shù)據(jù)復(fù)制到非生產(chǎn)或測試數(shù)據(jù)庫，這樣做是為了真實地完成應(yīng)用功能測試以及涵蓋實時場景或最大限度減少生產(chǎn)漏洞或缺陷。這種做法的影響是，非生產(chǎn)環(huán)境很容易成為網(wǎng)絡(luò)罪犯或惡意內(nèi)部人員的簡易目標，讓他們可輕松地獲取敏感數(shù)據(jù)。由于非生產(chǎn)環(huán)境并沒有像生產(chǎn)環(huán)境那樣受到嚴格控制和管理，當數(shù)據(jù)泄露事故發(fā)生時，企業(yè)可能需要花費數(shù)百萬美元修復(fù)聲譽損害或者品牌價值損失。

監(jiān)管要求是數(shù)據(jù)混淆技術(shù)的另一個關(guān)鍵驅(qū)動因素。例如，支付卡行業(yè)數(shù)據(jù)安全標準(PCI DSS)鼓勵商家加強支付卡數(shù)據(jù)安全，廣泛部署一致的數(shù)據(jù)安全做法，滿足技術(shù)和操作要求。

PCI DSS要求商家的生產(chǎn)環(huán)境和信息不能用于測試和開發(fā)。不當?shù)臄?shù)據(jù)泄露(無論是意外還是惡意事件)都會帶來毀滅性后果，并可能導(dǎo)致高昂的罰款或法律行為。

數(shù)據(jù)混淆用例

數(shù)據(jù)混淆技術(shù)的典型用例是當開發(fā)環(huán)境數(shù)據(jù)庫交由第三方供應(yīng)商或外包商處理和管理時;數(shù)據(jù)混淆是確保第三方供應(yīng)商可執(zhí)行其職責及功能非常重要的工具。通過部署數(shù)據(jù)混淆技術(shù)，企業(yè)可使用數(shù)據(jù)庫中相似值來替換敏感信息，而不必擔心第三方供應(yīng)商在開發(fā)期間暴露該信息。

另一個典型用例是在零售業(yè)，零售商需要與市場研究公司共享客戶銷售點數(shù)據(jù)以運用高級分析算法來分析客戶的購買模式和趨勢。零售商不必向研究公司提供真實的客戶數(shù)據(jù)，而可提供類似真實客戶數(shù)據(jù)的替代數(shù)據(jù)。這種方法可幫助企業(yè)減少通過業(yè)務(wù)合作伙伴或其他第三方供應(yīng)商泄露數(shù)據(jù)的風險。