[发明专利]一种实现数据脱敏的系统及方法

说明书

技术领域

本发明涉及数据安全领域，具体涉及一种对敏感数据进行脱敏的系统及方法。

背景技术

随着互联网的普及与信息化技术的快速发展，数据已经成为企业内部的核心资产，数据安全问题或者说是信息安全问题也随着数据价值的凸显变得越来越重要。为了保护数据安全，出台了一系列的法律法规。如，国际上出台了联邦信息管理法案、塞班斯法案、健康保险流通与责任法案等法规以保护信息数据安全，国内也通过《信息系统安全等级保护》、《GBT 22240-2008信息安全技术信息系统安全等级保护定级指南》、《信息安全技术公共及商用服务信息系统个人信息保护指南》等规范来保护信息数据的安全。然而，仅仅从法律层面上进行数据保护规则的制定，并不能完全解决数据安全问题。

因此，很多企业采用技术手段来对敏感数据进行数据脱敏。数据脱敏是指对某些敏感信息通过脱敏规则进行数据的变形，实现敏感隐私数据的可靠保护。在涉及客户安全数据或者一些商业性敏感数据的情况下，在不违反系统规则条件下，对真实数据进行改造并提供测试使用，如身份证号、手机号、卡号、客户号等个人信息都需要进行数据脱敏。

目前的一般数据脱敏做法是对敏感数据进行变形处理，保存到一个新的数据库中，需要访问这些数据的用户通过访问新的存储脱敏数据的数据库来进行操作。这样的方法确保了在一定程度上未被授权的用户只能访问脱敏数据，从而保证源系统数据的安全。不过这样的做法也存在一定的弊端，就是数据需要预处理，准备性工作量大，需要定期更新数据，而且是对所有的数据进行脱敏，可能有些用户对部分敏感数据有访问权限，因此这样的脱敏方式并不能满足灵活多变的需求。

针对这个缺陷，有必要设计一种能够随着用户访问内容的变更而进行更有针对性的脱敏系统。

发明内容

本发明意在提供一种能够根据用户需求进行针对性数据脱敏的通过变更sql语句实现数据脱敏的系统。

方案一：本方案中的一种实现数据脱敏的系统，包括数据库以及依次连接的设置规则模块、识别需变更脚本模块、变更脚本模块和执行脚本模块；

所述设置规则模块，用于根据业务需求设定用户对数据的访问权限以及对敏感字段设置sql改写规则并存储至数据库中；

所述识别需变更脚本模块，从数据库中获取用户访问包括用户信息、sql脚本在内的系统数据信息，判断用户对数据的访问权限，对未授权用户的sql脚本进行识别，确定需要变更的脚本；

所述变更脚本模块针对识别需变更脚本模块识别出的未授权用户的sql脚本进行改写变更；

所述执行脚本模块执行从变更脚本模块传递来的变更后的sql脚本并生成脱敏数据，并将脱敏数据传递至用户访问的访问端。

工作原理：

工作时，预先通过设置规则模块将用户对数据的访问你权限以及对敏感字段的sql改写规则进行设置，并将设置信息保存至数据库中。在用户通过访问端访问系统的时候，识别需变更脚本模块从系统中获取包括用户信息和sql脚本在内的系统数据信息，判断用户数据的访问权限，并对未授权用户的sql脚本进行识别，确定需要变更的脚本。变更脚本模块接收接收到从识别需变更脚本模块传递来的需要变更的脚本并对齐进行变更。执行脚本模块接收从变更脚本模块传递来的变更后的sql脚本，运行并生成了脱敏数据，将脱敏数据传递回用户访问的访问端。当用户是未授权用户时，其访问端上显现的就是按照变更后的脚本进行脱敏后的脱敏数据。而根据设置规则模块中设置的用户对数据访问权限的不同，识别需变更脚本模块确定的需要变更的脚本不同，最后在进行数据脱敏后得到的脱敏数据自然也不同。简言之，根据用户访问权限的，其呈现在访问端上的内容不同。而每次进行数据脱敏都只是针对访问数据进行的，并不需要将所有数据都进行数据脱敏。

有益效果：

1.本发明只是针对被访问的数据进行数据脱敏，而不需要对所有数据进行数据脱敏，不仅弥补了目前数据脱敏需要所有数据一起数据脱敏而导致成本高的问题，还节省了大量原本用来对非访问数据进行数据脱敏的时间和人力。

2.本发明正是因为只是针对访问数据进行数据脱敏，脱敏工作量小，脱敏速度快，实现了数据实时脱敏，而且还减少了脱敏数据空间占用。

3.通过设置规则模块预先设置的访问权限和对应的对敏感字段的sql改写规则，使不同访问权限的用户能够得到不同脱敏程度的脱敏数据。访问权限越高，其脱敏程度越低。不仅实现了不同权限的分级访问，还有效降低了整体访问量的数据脱敏工作量。