网络可视化——数据屏蔽（Data Masking）

数据屏蔽（Data Masking）

当涉及网络安全时，完全可见性并不总是理想的。有些事情应该保持隐藏。大多数公司都有必须遵守的数据合规性要求。HOPAA、PCI和内部最佳实践政策意味着必须小心处理个人身份信息（PII）。数据屏蔽可帮助组织控制谁有访问权访问这些敏感数据。

什么是数据屏蔽？

数据屏蔽不同于限制数据访问。访问限制使数据不可见。数据屏蔽将易受攻击或敏感数据替换为看起来真实的信息。当数据被屏蔽后，将对其进行更改，以使基本格式保持不便，但键值会更改。例如，长卡号可以按以下方式屏蔽：

1234 5678 1234 5678 ——1234 XXXX XXXX 5678.

数据可以通过多种方式屏蔽或更改：

1. 替换——使用外部的、不相关的或随机生成的数据替换部分真实数据时。例如，姓名的随机列别可以用来替换真实的用户身份列表。
2. 改组——在数据可内交换或改组数据时
3. 加密——使用算法将敏感数据转换为代码时。数据只能用密钥解密。
4. 数字/日期差异——集合中的每个数字/日期按照其实际值的最忌百分比进行更改
5. 掩码输出——将某些字段或部分数据替换为掩码字符（例如，X）

无论是哪种方法，都必须以无法通过逆向工程获得原始值的方式更改数据。

典型用例

总体而言，数据屏蔽可帮助组织遵守数据保护要求。以下是数据屏蔽功能特别有用的一些具体情况：

测试/外包数据——公司可能需要提供逼真的数据集来开发相关软件。在这种安全性较低的测试环境中，需要真实的数据，但公司不需要通过使用实际的客户来冒数据安全的风险。由于从头创建一个“假的”但真实的数据集非常耗时，公司可以使用他们拥有的真实数据，但未了保护客户，可以通过数据屏蔽对其进行更改。

同样，如果企业将业务IT运营外包给另一个组织，则可以屏蔽数据，以防止将真实数据暴露给过多不必要的人。

网络数据——组织经常需要记录和监控网络数据。但合规性要求以为这他们必须避免存储PII。通过数据屏蔽，公司可以在记录网络数据的同时隐藏敏感信息。

SSL解密——安全套接层（SSL）加密是用于发送私人信息的标准技术。未了安全目的，组织必须解密并检查其网络中的任何SSL流量。SSL解密的危险之一是，它使任何有访问网络监控工具的人都可以访问敏感数据。聪明的网络工具可以解密SSL数据，同时屏蔽不需要公开的数据。

注意事项

根据Enterprise Management Associates在2016年进行的研究调查，数据屏蔽使最常用的5大数据包代理功能之一。因此，如果您在考虑购买数据屏蔽数据，请注意以下几点：

使用屏蔽数据

在购买之前，请确保您了解您打算如何使用这些数据，因为这可以节省您的时间和金钱。例如，您的计划是简单地将数据分发到数据丢失防护（DLP）设备进行分析，还是计划本地访问数据进行搜索？如果您计划本地访问数据，则您的解决方案需要支持正则表达式（Regex）搜索功能。一旦找到于搜索条件匹配的特定信息或信息类型，就可以将该数据发送到工具（如DLP）进行进一步处理。此搜索功能能使您的监控工具更加有效，因为他们需要筛选的数据更少。

轻松访问数据

如果您需要访问Regex搜索的数据，请考虑购买支持数据屏蔽的网络数据包代理。这将允许您轻松地收集数据，进行搜索，然后将其转发到监控设备（例如DLP）以进行高级数据搜索，数据存储设备（例如SAN），或法规遵从性和记录工具。

分发屏蔽数据

一旦数据被屏蔽，您计划如何将其分发到适当的监控工具？这就是数据包代理派上用场的地方，您可以将数据分到到它需要访问的设备。