数据库脱敏泄露风险可控

实现基于大数据平台的脱敏算法库，可并行，的按照脱敏规则对隐私数据进行脱敏。基于数据脱敏的理论基础，建立用户隐私数据泄露风险的衡量模型，可定性定量的准确衡量数据可能发生泄露的风险。可管理。结合大数据平台的用户认证体系，权限管理体系，以及隐私数据不同保护级别的权限管理体系,实现对隐私数据基于审批的数据访问机制。结合公司制度，规范，法务等管理,实现在尽可能保护用户隐私数据，减少数据泄露风险的前提下，较大化保留数据分析挖掘的价值。可审计。对数据的访问要保证可回溯，可审计，当发生数据泄露时，要保证能够通过审计日志找到对应的泄露人员。

为什么要进行数据脱敏？

我们要进行改造的数据是涉及到用户或者企业数据的安全，进行数据脱敏其实就是对这些数据进行加密，防止泄露。对于脱敏的程度，一般来说只要处理到无法推断原有的信息，不会造成信息泄露即可，如果修改过多，容易导致丢失数据原有特性。因此，在实际操作中，需要根据实际场景来选择适当的脱敏规则。改姓名，身份，地址，手机，电话号码等几个客户相关字段。

怎么用数据库脱敏？

动态数据脱敏，是在查询语句执行过程中，根据生效条件是否满足，实现实时的脱敏处理。生效条件，通常是针对当前用户角色的判断。敏感数据的可见范围，即是针对不同用户预设的。系统管理员，具有权限，任何时刻对任何表的任何字段都可见。确定受限制用户角色，是创建脱敏策略的开始的一步。

敏感信息依赖于实际业务场景和安全维度，以自然人为例，用户个体的敏感字段包括：姓名、身份号、手机、邮箱地址等等；在银行系统，作为客户，可能还涉及银行号、过期时间、支付密码等等；在公司系统，作为员工，可能还涉及薪资、教育背景等。

数据库脱敏实现背后的秘密

数据脱敏功能，基于SQL引擎既有的实现框架，在受限用户执行查询语句过程中，实现外部不感知的实时脱敏处理。关于其内部实现，如上图所示。我们将脱敏策略（Redaction Policy）视为表对象上绑定的规则，在优化器查询重写阶段，遍历Query Tree中TargetList的每个TargetEntry，如若涉及基表的某个脱敏列，且当前脱敏规则生效（即满足脱敏策略的生效条件且enable开启状态），则断定此TargetEntry中涉及要脱敏的Var对象，此时，遍历脱敏列系统表pg_redaction_column，查找到对应脱敏列绑定的脱敏函数，将其替换成对应的FuncExpr即可。

经过上述对Query Tree的重写处理，优化器会自动生成新的执行计划，执行器遵照新的计划执行，查询结果将对敏感数据做脱敏处理。带有数据脱敏的语句执行，相较于原始语句，增加了数据脱敏的逻辑处理，势必会给查询带来额外的开销。这部分开销，主要受表的数据规模、查询目标列涉及的脱敏列数、脱敏列采用的脱敏函数三方面因素影响。