662.财务数据脱敏加密平台
财务数据裸奔?这个脱敏加密平台专治各种泄密
昨晚, 跟一位从事财务工作的老同学一起喝酒, 三杯酒喝下去之后, 他开始倾诉苦衷。他讲公司的财务系统被他人非法侵入, 供应商所拥有的银行账号、员工的个人所得税信息、客户的交易记录, 这些全部都被窃取了。老板愤怒地拍着桌子大声责骂, 而他承担责任的程度可比王八驮重物时承受的分量还要沉重得多。
我向他询问, 你们先前是怎样对这些数据予以保护的, 他怔愣了好长一会儿, 接着说: “就……就放置于数据库当中, 密码可是颇为复杂的。”。
密码复杂?呵呵。就像给保险柜装了个玩具锁,贼来了直接扛走。
财务数据到底有多“值钱”?
你或许并不清楚, 于暗网当中, 一项财务数据的报价相比于十条普通个人信息更为贵重可抵了。缘由何在? 是由于普通人丢失电话号码后差不多接住几个骚扰而来的电话罢了, 然而财务该笔可以直接用以实施诈骗行为、进行洗钱活动, 甚至于实现精准绑架的的数据——涵盖银行账号及交易流动水面数据以及税务相关信息——却是那么重要的。
我相识有一位姐姐, 她职业是从事内控审计工作。她讲起她们公司去年做自查的时候, 居然发现财务系统里有着相当严重的问题。有超过百分之三十的员工信息, 是以“明文存储”的状况存在于系统里面。那样, 到底啥叫明文呢? 简单讲, 就是数据库管理员只要有想要看的想法, 就能够轻松获取好多员工隐私信息。像谁家孩子在哪个学校上学、每月要偿还的房贷金额是多少、股票账户的余额有多少等情况——全部都能被不费力气地漏出来, 一点隐私都没有。
这不是技术问题,这是赤裸裸的信任危机。
脱敏不是加密,加密不是脱敏,别搞混了
好多人一旦听闻“财务数据保护”, 首个反应便是“加密”。然而切实做出安全举措的人都晓得, 加密跟脱敏是不一样的事情。
将加密理解为, 把你家门的锁变更为一把更具高级程度的, 然而只要你持有钥匙, 那该能看到的依旧是能看到的。脱敏则是, 直接把门牌号涂抹消除掉, 哪怕贼进入到了门内, 他也没办法分辨出哪一间是属于你的卧室。
一项工作被财务数据脱敏加密平台所从事着, 它不像传统方式那样致使你去锁门, 而是借由独特技术手段, 把门牌号、身份证号、银行卡号等关键信息字段, 恰如其分地转变为一堆看似真实实际上虚假的数据, 在这一番过程里, 原本数据具备的格式被保留下来, 校验规则依旧能够正常运作, 可其中的真实信息却仿佛披上一层隐身衣,静静“隐身”消失不见。
假设你于测试环境之中运行报表, 所见之客户账号为“”, 并非完整的十六位数字。开发人员开展功能测试, 测试完毕后仅知晓该账号的外观形态, 并不晓得其归属何人。
为什么很多公司“不敢”用?
是你讲的没错, 的确好多企业存有迟疑的情况。我曾采访问及一位CTO, 他这样说道: “经过脱敏处理之后, 财务数据还能不能继续使用呢? 审计方面会进行检查, 税务局方面也会实施核查, 我们自身同样需要展开分析。”。
这还真不是杠,是真实痛点。
但优质的平台进行了分层设计 , 它并非采取一刀切除的“全脱敏”方式 , 而是依据角色 、场景 、权限来动态判定谁可看到何种内容。财务总监能够看到完整数据 , 而出纳仅能看到脱敏后的版本 , 外包的IT运维甚至连数据库表结构都无法触及。
并且, 脱敏并非是不可逆转的。在存在合规需求之际, 审计人员能够临时进行授权以查看原始数据, 操作的整个过程都会留下痕迹, 究竟是谁看了, 看了哪一条, 看了多长时间, 全部都会给记录下来。这并非称作一刀切, 这是叫作精准调控。
最容易被忽视的风险:测试环境
也许你并不清楚, 诸多公司所发生的数据泄露状况, 其根源并非处于生产环境当中, 而是存在于测试环境里。
为图省事, 开发人员径直于生产库中拽取一份数据至测试库, 怎料测试库之安全等级低至令人不堪, 甚至于被置于公网之上, 致使勿需黑客多费周折, 仅直接扫描端口便能够进入。
在财务数据脱敏加密平台里, 存在一种功能名为“测试数据脱敏”, 当数据从生产库同步至测试库的那一刹那, 它会自动化地将敏感字段予以替换, 如此一来, 开发人员所获取到的数据, 貌似是真实的, 然而实际上全部都是虚假的。
部署难不难?会不会影响性能?
这几乎是每个老板都会问的问题。
实事求是来讲, 早期的配置的确是要花费些许精力的。你得先去分辨哪些字段是具备敏感性的, 哪些场景是需要进行脱敏处理的, 哪些角色能够看到怎样的内容。然而一旦配置妥当之后, 后续便都是自动化了的情况。
性能是否会产生影响呢? 具备良好性能的平台能够达成毫秒级别的处理。当你开启报表去查询一个月份的数据时, 后台大概已然完成了数目达到上万条的字段的脱敏替换操作, 然而你却全然不会感觉到有延迟情况出现。
不是每个公司都适合自己搭
存在一些大型工厂倾向于自己研发, 投入好几百万招募若干安全工程师, 动手打造一个尚不完善的脱敏工具, 然而绝大多数中小型公司并没有这样的勇气。
利用第三方的平台,其核心优势明显: 别人已踩过的坑, 你没必要再去重复犯错。财务数据的脱敏规则不是随意的, 有严格规定。以银行账号的脱敏来讲, 要保留后四位用于核对;身份证号的脱敏要求, 是保留出生日期部分用来计算年龄;税号的脱敏, 得保留前六位用于地区识别。
企业财务部门处理财务数据时, 其脱敏规则在真实操作当中有着清晰规范。银行账号进行脱敏操作时, 为了确保核对的精准程度, 需保留末尾四位;对于身份证号的脱敏处理, 鉴于年龄计算方面的必要需求, 应当保留出生日期部分;税号进行脱敏, 基于地区识别的那种考虑因素, 要保留前面六位。当使用第三方平台之际, 借助人家已然拥有的经验, 能够避免好多潜在问题, 在财务数据执行脱敏这段过程里, 遵循既定规则, 可保障数据处理的准确以及规范性质。
这些规则,没有三年以上的行业经验,你根本写不出来。
最后说个真事
, 在上个月的时候, 最终成功上线了脱敏加密平台。就在昨天, 他又一次给我拨通了电话, 其语气显著变得轻松起来, 说道: “上周安全审计前来进行检查, 当看到我们的数据尽数处于脱敏状态后, 连多询问都没有。以往每次审计都宛如过堂一般, 如今总算能够踏实地睡个安稳觉了。”。
他说这句话的时候,我隔着电话都能感觉到他的那种放松。
财务数据这类事物, 不怕极为罕见之情况, 只怕意外突发之状况。待事情发生后再去加以补救, 其成本并非支付个平平常常的平台费用所能相比较的。那些由于数据出现泄露而被处罚直至迈向破产结局之公司, 当中有哪一家当初不是持有心里认定“没事, 我们安全程度很高”这样的想法呢?
别等到出事才后悔。
你公司的财务数据,今天还“裸奔”吗?
最新评论