保护数据方法
时间:2023年3月14日 星期二
作者:小王
除了加密和DLP外,还有一些数据保护方法。
一、数字版权管理
数字版权管理(DRM)方法试图为受版权保护的作品提供版权保护。
1.DRM许可(DRM License)
许可授予对产品的访问权并定义使用条款,通常是一个文件或序列号。
2.持久在线身份验证(Persistent Online Authentication)
要求系统连接到互联网才可使用。
3.持续审计跟踪(Continuous Audit Trail)
能给持续审计跟踪产品所有使用情况,常用于检测滥用行为。
4.自动过期(Automatic Expiration)
订阅方式购买,到期后无法继续使用。
二、云访问安全代理(CASB)
CASB是逻辑上部署在用户和云计算资源直接的软件,支持本地和云环境部署,能监控所有访问云计算资源的活动并执行安全策略,类似于堡垒机,用于IAM、行为监控、证书(密钥)管理。
CASB解决方案可以有效检测影子IT。影子IT(shadow IT)指的是未经IT部门批准,甚至不知情的情况下使用IT资源。
三、假名化(Pseudonymization)
使用假名来替代原有数据,如张三,假名后成法外狂徒。该方法也是有缺陷的,由于需要还原真实数据,因此有一张假名-真名对应表(双向),该表一旦泄漏则保护方法无效。
四、令牌化(Tokenization)
使用令牌(通常是一个随机字符串)来替代原有数据,通常用于信用卡交易。信用卡令牌化过程如下:
1.注册(Registration):信用卡与手机绑定,通过APP将信用卡信息发送到信用卡处理中心,信用卡处理中心建立令牌-信用卡号-手机三者关联关系。
2.使用(Usage):购买商品刷手机时,发送令牌到POS系统,POS系统去信用卡处中心请求收费。
3.验证(Validation):信用卡处理中心基于数据库存储的关联信息进行验证并处理扣费。
4.完成销售(Completing the Sale):信用卡处理中心回复POS系统,可以赚钱给卖方。
令牌化主要解决信用卡数据在传输过程中的安全性,原理基本类似假名化。
五、匿名化(Anonymization)
删除所有相关数据的过程,因此理论上不可能识别原始主体或个人,如张三、25岁、法外狂徒,匿名化后删除姓名,则剩余数据为25岁、法外狂徒,即不含个人信息。该方法可通过推理还是可以知道张三是25岁,因为法外狂徒的名声大大的。
因此需要随机屏蔽(Randomized masking)来实现匿名化。屏蔽将每列的数据随机排序组成新的表,当数据量小的时候还可能通过推理还原数据,但当数据量大的时候就无法还原原是数据,且过程不可逆。
