A.8.11 資料遮罩

控制項要求

目標：

確保在敏感資料需要被使用或處理時，採取適當的資料遮罩措施，以防止未經授權的人員查看或存取敏感資訊。

關鍵要求：

1. 敏感資料識別與分類：
   在處理敏感資料之前，應識別並標記哪些資料需要進行遮罩（例如，個人識別資訊、信用卡號碼等）。

2. 資料遮罩技術：
   使用資料遮罩技術來隱藏或修改敏感資料的部分內容，使其在不暴露實際內容的情況下可被使用。

3. 最小化資訊暴露：
   只有經授權的用戶能夠查看原始資料，且資料應該在非生產環境中以遮罩形式呈現。

4. 遮罩過程的審計與合規性：
   記錄所有資料遮罩操作，以確保符合內部政策和法律規範，並能夠對其進行審計。

5. 資料遮罩的技術控制：
   資料遮罩技術應當是自動化的，並能夠防止透過簡單手段恢復原始數據。

自由軟體解決方案

1. 資料遮罩工具

• MaskingData

  • 功能：提供一個開源的資料遮罩解決方案，可以對關鍵資料進行部分遮罩處理。適用於不希望公開真實資料的情境。

  • 特點：支持自動化的資料遮罩操作，並可配置顯示敏感資訊的範圍。

  • 適用：需要對資料進行非生產環境遮罩的企業。

• Data Masker for SQL Server (Community Edition)

  • 功能：對 SQL Server 中的敏感資料進行遮罩，防止未授權的用戶查看敏感資訊。

  • 特點：可將數據庫中的敏感資料按規則遮罩，支持自定義遮罩類型。

  • 適用：SQL Server 環境中需要保護敏感數據的情境。

• MySQL Data Masking

  • 功能：使用 MySQL 中的遮罩技術來處理和顯示遮罩後的資料。

  • 特點：可以設置條件來指定哪些資料應該被遮罩。

  • 適用：對使用 MySQL 數據庫的開源環境有資料保護需求的企業。

2. 合規性與審計工具

• OpenDLP

  • 功能：開源的資料損失防護工具，可自動識別敏感資料並實施資料遮罩策略。

  • 特點：提供敏感資料識別與遮罩功能，支持多種資料源（如文件、電子郵件等）。

  • 適用：需要對大量資料進行分類、檢測和遮罩的環境。

• OSSEC

  • 功能：提供實時監控和日誌分析，可用於記錄資料遮罩操作的審計。

  • 特點：基於主機的入侵檢測系統，支持多種審計功能，確保資料處理符合規範。

  • 適用：需要對資料遮罩過程進行審計和監控的情境。

商業軟體解決方案

1. 資料遮罩工具

• Informatica Data Masking

  • 功能：提供強大的資料遮罩解決方案，支持多種資料來源，並能夠對敏感資料進行遮罩處理。

  • 特點：支持資料遮罩的全面解決方案，符合 GDPR 等合規性要求，並能在數據庫層進行遮罩處理。

  • 適用：需要大規模、高效能資料遮罩的企業，特別是在敏感數據處理過程中。

• IBM InfoSphere Optim Data Masking

  • 功能：為資料庫提供資料遮罩解決方案，並可自動生成遮罩策略。

  • 特點：提供高效的資料保護工具，符合全球合規性要求（如 PCI DSS、GDPR 等）。

  • 適用：需要在企業級環境中保護大量敏感數據的場景。

• Delphix Data Masking

  • 功能：提供數據虛擬化和資料遮罩功能，能夠在保護資料的同時提供生產環境中的虛擬數據。

  • 特點：支持對多種資料源的遮罩，並提供全面的數據隱私保護解決方案。

  • 適用：需要在開發和測試環境中進行資料遮罩的企業。

2. 雲端資料遮罩

• Microsoft Azure Purview

  • 功能：Azure 的資料治理服務，支持對雲端存儲資料進行遮罩。

  • 特點：提供資料標記、分類和遮罩功能，並支持自動化合規性審計。

  • 適用：Azure 雲平台中需要進行資料遮罩與保護的企業。

• Amazon Macie

  • 功能：Amazon Web Services (AWS) 提供的資料保護工具，專注於識別和保護敏感資料，支持資料遮罩和加密。

  • 特點：自動識別敏感資料並提供遮罩、加密等功能，符合合規性需求（如 GDPR）。

  • 適用：AWS 雲環境中的資料遮罩與保護需求。

3. 合規性與審計工具

• Vormetric Data Security Platform

  • 功能：提供完整的資料保護與遮罩解決方案，並生成詳細的安全事件記錄。

  • 特點：支援高級資料加密、遮罩、審計及合規性功能，並能夠與現有的 IT 基礎設施集成。

  • 適用：需要全方位保護資料的企業，特別是大型組織。

• Varonis Data Security Platform

  • 功能：提供資料監控與保護，支持資料遮罩和存取控制。

  • 特點：集成日誌分析、資料訪問控制和遮罩技術，並提供豐富的審計報告。

  • 適用：需要綜合資料安全解決方案的企業。

部署建議與實施流程

1. 敏感資料識別與分類

• 在實施資料遮罩前，先對所有敏感資料進行分類，並使用工具如 OpenDLP 或 IBM InfoSphere Optim 識別出敏感數據。

2. 設計與部署資料遮罩策略

• 使用如 Informatica Data Masking 或 Delphix Data Masking 的商業解決方案，設計並實施適當的資料遮罩策略。

• 針對開發、測試環境使用 DB Masking 或 MaskingData 進行資料遮罩。

3. 資料遮罩合規性檢查

• 實施資料遮罩後，應使用 OSSEC 或 Vormetric Data Security Platform 等工具進行審計和合規性檢查，確保資料遮罩過程符合內部政策及法規要求。

4. 監控與審計

• 使用 Logwatch 或 Varonis Data Security Platform 進行資料遮罩操作的監控與記錄，並確保所有的操作都可以追溯。