解读:ISO/IEC 27002:2022之数据脱敏
2022年2月15日,国际标准化组织ISO发布了ISO/IEC 27002:2022。这是信息安全管理体系的主题由“信息技术 安全技术”转为“信息安全,网络安全及隐私保护”后发布的第一个最佳实践类的标准。作为当前信息安全管理领域热点中的热点,数据安全自然也成为此次标准更新的一项重要内容。
近年来,美国及欧盟先后发布了关于数据安全的研究报告,为适应数据治权向数据主权转变的国际新形势,我国也于2021年9月1日施行《中华人民共和国数据安全法》。
其中,数据脱敏的不同方法用于不同的需求、不同的组织角色和不同的场景。除了安全人员熟知的静态脱敏,动态脱敏,一个新的概念on-the-fly数据脱敏,也进入了我们的视野。
用于稳定不变的环境,即将生产数据库的副本导出后进行匿名化操作,这种副本通常称为“黄金副本”。主要用于保护非生产环境。
根据员工在组织中的角色,某些类别的员工只能访问记录的一部分或应用程序中的非敏感内容。例如,除了最后四位数字外,客户服务代表无权查看信用卡的其它信息。主要用于保护生产环境。
当开发中的特定条件要求在不使用暂存环境的情况下进行数据脱敏时,会使用on-the-fly数据脱敏。这可能是因为没有额外的空间,或者需要实时移动数据。
On-the-fly数据脱敏使用一个称为提取转换加载(ETL)的过程,该过程从数据所在的环境中获取数据,然后将脱敏数据加载到目标环境。这种方法主要用于敏捷组织,因为它不干扰持续开发,并提供额外的灵活性和速度。
On-the-fly数据脱敏的好处是实行连续部署的敏捷组织无需花费时间创建备份并将其加载到数据库的黄金拷贝中。出于这个原因,可以将生产数据的较小子集脱敏用于测试。建议在开发项目一开始就使用On-the-fly数据脱敏,以防止产生安全问题甚至违反法规要求。