数据访问安全--数据库遮罩及断词 Data Masking & Tokenization

现在大数据时代几乎无隐私，各政府部门各公司都要求实名制（动不动手机认证，身份证号码认证），但又无力确保数据安全，称为乱象。

其实在2011年，我们就接触过数据库遮罩断词产品，一个澳大利亚公司产品。

简单说就是，你访问数据库的时候，本来应该显示150105198510233513这个身份证号码，使用数据库遮罩之后就会变成15*******510233513或者这样150*05*98**023*513，把关键信息遮住，关键信息比如有：你的工资，身份证号，电话号码等。目标是：为了防止敏感数据暴露给未经授权的用户

断词，就是干扰你的视线，还是同样的案例：本来应该显示150105198510233513，使用断词后150705188317233513，让你感觉看到的也是一个符合标准的数据，但不是原始数据。

这类技术方案通常有两种，简单方案，就是不让你直接访问数据库，在数据库与应用服务器之间加一个处理工具或处理层或叫加密网关的东东。另一种方案就是在数据库端处理，设置访问角色权限之类进行处理。

最新版的SQL 2106已经支持数据库遮罩，技术名称为：Dynamic Data Masking，当然老大Oracle更早就支持10G了，如下：

配置起来也很方便，但，基本很少人去用去把这些细节做到位，特别是权限细节，现在的数据库基本都能做到行集列集数据都可以权限控制。大部分的开发设置应用服务器连接SQL Server数据库都是SA，或等同于SA权限。

这里不谈具体的配置，DBA都有这能力，我也是DBA之一，哈哈。