x

【数据安全】什么是标记化?完整的剧本

cioctocdo
4 September 2022
SEO Title
What is Tokenization? The Complete Playbook

保护敏感数据是企业的首要任务。

标记化是最好的数据保护方法之一,而数据产品方法使其更好。

59blog-2

数据的内标识化:

企业IT团队必须参与数据的标记化,因为数据泄露的数量和成本正在以惊人的速度上升。2021,美国有1300起公开报告的数据泄露事件,比2020年报告的1100起增加了17%。IBM最近的一份报告称,数据泄露的平均成本同比增长了10%,从2020年的390万美元增加到2021的420万美元。由于新冠肺炎疫情,在家工作和数字转型,使数据泄露的总成本平均增加了100万美元。随着企业在数字转型的迷宫中前行,随着远程工作成为日常工作,数据泄露的风险和影响正在稳步上升。与此同时,围绕数据隐私和保护的监管环境比以往任何时候都更加严格。不遵守数据保护法律可能会导致高额罚款、法律诉讼和品牌损害。幸运的是,今天您可以很容易地保护您的敏感数据并防止数据泄露——数据标记化可能是您的最佳选择。

目录

 

  • 网络攻击呈上升趋势
  • 什么是标记化?
  • 标记化的需要
  • 标记化或不标记化:
  • 这就是问题所在
  • 标记化vs加密
  • 代币化的4大优势
  • 数据标记化用例
  • 传统的标记化有其风险
  • 通过标记化实现更好的法规遵从性
  • 一种更好的标记化方法
  • 数据产品

第01章网络攻击呈上升趋势

在所有让商业领袖夜不能寐的事情中,网络攻击的威胁排在首位。根据普华永道最新的首席执行官调查,在89个国家接受调查的4446名首席执行官中,近一半的人将网络风险列为未来12个月最关注的问题。

这种担心是有道理的。数据泄露的规模、成本和影响正在加速上升。仅在2021,就有超过1800起重大数据泄露事件,比2020年增加了近70%。其中最显著的泄露事件是脸书、JBS、Kaseya和Colonial Pipeline,它们的共同影响是暴露了数亿人的私人信息,在某些情况下,使业务运营陷入瘫痪。

由于数据隐私是企业的首要任务,企业必须找到保护敏感数据的方法,同时授权数据消费者访问执行操作和分析工作负载所需的数据。今天,数据标记化被认为是保护敏感数据的最安全和最具成本效益的方法之一。

在本文中,我们将回答“什么是标记化?”,解释标记化如何支持遵守数据隐私法,并检查采用数据产品方法进行标记化的优势。

第02章什么是标记化?

与数据屏蔽一样,标记化是一种数据混淆方法,它涉及模糊敏感数据的含义,从而使其对潜在的网络攻击者毫无用处。

与数据屏蔽工具不同,标记化涉及用非敏感等价物或“标记”替换敏感数据,以用于数据库或内部系统。令牌是通过令牌化系统映射回原始敏感数据的引用。令牌由随机数据字符串组成,该字符串没有任何可利用的值或含义。尽管令牌本身没有任何价值,但它们保留了原始数据的某些元素——如格式或长度——以支持无缝业务操作。身份和财务信息通常被标记化,如社会安全号码、护照号码、银行账号和信用卡号码。

第03章标记化的需要

标记化允许企业保护敏感数据,同时保持其完整的业务实用性。由于标记化过程不会修改数据,因此标记化数据可以由组织内的数据消费者使用,不会中断或风险。标记化对当今的业务至关重要,因为大多数数据泄露都是内部攻击的结果,无论是有意还是无意。考虑这些企业统计数据:

  • 50%的人认为,自迁移到云端以来,检测内部攻击变得更加困难,
  • 60%的人觉得特权IT用户对组织构成了最大的内部安全风险,
  • 70%的人感到容易受到内部威胁,并确认攻击频率更高

哪些数据需要标记化?

当我们谈论敏感数据时,我们特别指的是个人健康信息(PHI)和个人识别信息(PII)。

医疗记录、药物处方、银行账户、信用卡号码、驾照号码、社会保障号码等都属于这一类。医疗保健和金融服务行业的公司目前是数据令牌化的最大用户。然而,所有行业的企业都开始意识到这种替代数据屏蔽的价值。随着数据隐私法规变得越来越严格,以及对违规行为的惩罚变得越来越普遍,谨慎的组织正在积极寻找数据保护的高级解决方案,这些解决方案也可以保持充分的业务效用。

第04章标记化或不标记化:

这就是问题。如果您已经准备好实现数据标记化解决方案,请在开始评估解决方案之前考虑这4个问题。

您的主要业务需求是什么?

最重要的考虑因素是定义需要解决的业务问题。毕竟,解决方案的投资回报率和整体成功取决于其满足所购买的业务需求的能力。最常见的需求是改善网络安全态势,使其更容易遵守数据隐私法规,如支付卡行业数据安全标准(PCI DSS)。供应商提供的其他类型的PII服务各不相同,如社会保险号码或医疗数据。

您的敏感数据在哪里?

下一步是确定哪些系统、平台、应用程序和数据库存储了应使用令牌替换的敏感数据。了解这些数据如何流动也很重要,因为传输中的数据也很脆弱。

您的系统/令牌要求是什么?

将数据标记化解决方案集成到数据库和应用程序的具体要求是什么?考虑您使用的数据库类型、应用程序的编写语言、应用程序和数据中心的分布程度以及如何验证用户。从这里,您可以确定是否需要单用途或多用途令牌,以及是否可以对令牌进行格式化以满足所需的业务用途。

您应该在内部定制解决方案还是购买商业产品?

在您了解了应用、集成和代币的业务需求和要求后,您将更清楚地了解哪些供应商可以为您提供价值。

尽管组织有时可以在内部构建自己的数据标记化解决方案,但在内部解决这一需求通常会给数据工程师和数据科学家带来更大的压力,因为他们已经捉襟见肘。在大多数情况下,购买可定制解决方案、获得定制的客户支持以及减轻数据团队这项任务的负担的好处超过了成本。

第05章标记化与加密

加密是另一种常见的数据混淆方法。在加密过程中,敏感数据在数学上发生变化。但是,原始模式保留在新代码中,这意味着可以使用适当的密钥对其进行解密。为了获取密钥,黑客使用各种技术,如社会工程或暴力计算力量。反向加密数据的能力是其最大的弱点。敏感数据的保护级别由加密算法的复杂性决定。然而,所有加密数据最终都可能被反转和破坏。

Tokenizationand-Encryption

标记化不能逆转。标记化不再使用可破坏算法来保护敏感数据,而是用随机、无意义的占位符永久替换数据。在标记化的情况下,原始数据单独存储,有时甚至在您的IT环境之外。因此,如果黑客侵入您的IT系统并访问您的令牌,他们仍然无法访问您的原始数据。

第06章 4个标记化的最大好处

标记化敏感数据提供了几个关键好处,例如:

降低风险

代币是不可逆的,因此即使在发生违规的情况下,个人信息也不会被泄露,金融后果是可以避免的。

降低加密成本

只有令牌化系统中的数据需要加密,无需加密所有其他数据库。

减少隐私努力

数据标记化减少了管理敏感数据的系统数量,减少了隐私合规所需的工作量。

业务连续性

令牌可以“保留格式”,以确保现有系统继续正常运行。

第07章数据标记化用例

以下是数据标记化的6个关键用例:

合规范围缩减

通过数据标记化,您可以减少数据合规要求的范围,因为标记不可逆地替换数据。例如,将主帐号(PAN)与标记化数据交换会导致更小的数据占用,从而简化PCI DSS遵从性。

数据访问管理

令牌化为您提供了对数据访问管理的更多控制,防止那些没有适当权限的人对敏感数据进行去令牌化。例如,当数据存储在数据湖或数据仓库中时,标记化确保只有授权的数据消费者才能访问敏感数据。

供应链安全

今天,许多企业与需要访问敏感数据的第三方供应商、软件和服务提供商合作。令牌化通过使敏感数据远离此类环境,将源自外部的数据泄露风险降至最低。

数据湖/仓库遵从性

大数据存储库,如数据湖和数据仓库,以结构化和非结构化格式保存数据。从法规遵从性的角度来看,这种灵活性使数据保护控制更具挑战性。当敏感数据被吸收到数据湖中时,标记化隐藏了原始PII,从而减少了合规性问题。

业务分析分析

工作负载(如商业智能(BI))对于每个业务领域都是通用的,这意味着可能需要对敏感数据执行分析。当数据被标记化时,您可以允许其他应用程序和流程运行分析,同时知道它是完全受保护的。

避免安全漏洞

数据令牌化通过保护敏感数据免受潜在攻击者(包括内部人员,他们在2020年的数据漏洞总数中占60%)的攻击,增强了网络安全。通过与不可利用的随机元素交换PII数据,您可以将风险降至最低,同时保持其业务效用。

第08章传统的标记化有其风险

尽管有许多好处,但标记化也有其局限性。最重要的是将原始敏感数据存储在一个集中令牌库中的风险。将所有客户数据存储在一个地方会导致:

  • 扩展时的瓶颈
  • 大规模破坏的数据风险
  • 跨系统确保令牌的引用和格式完整性的困难

在避免风险的同时,获得标记化好处的方法是采用分散系统,如数据网格

第九章通过标记化实现更好的法规遵从性

除了实际保护敏感数据不被暴露外,标记化还帮助企业遵守日益严格的监管环境。令牌化支持的最相关标准之一是支付卡行业数据安全标准(PCI DSS)。

任何接受、传输或存储信用卡信息的业务都必须符合PCI标准,并遵守PCI DSS以防止欺诈和数据泄露。不遵守这一标准可能导致毁灭性的财务后果,如巨额罚款和罚款,以及额外的法律费用、和解和判决费用。它还可能导致不可撤销的品牌损害,甚至倒闭。令牌化通过减少存储在企业数据库中的PAN(主帐号)数据量来支持PCI DSS合规性。组织不需要持久化这些敏感数据,只需要使用令牌。由于数据占用较小,企业需要遵守的要求较少,降低了合规风险,加快了审计速度。

第10A章标记化的更好方法

使用数据产品,数据产品方法消除了对单个集中存储库的需求。数据产品提供了一套“随时可用”的完整数据,用于特定业务实体(如客户、信用卡、商店、付款或索赔),用于操作和分析工作负载。

Tokenization_Diagram

Data products can tokenize data in real time, or in batch mode.

通过将特定业务实体的数据产品集成的数据组织和保护在其自己的单独加密“微数据库”中,而不是将所有敏感数据存储在一个位置,您可以分发数据,从而显著降低违规风险。

这样,您将拥有500万个存储库,而不是为所有客户数据(比如500万客户)提供一个存储库!

当数据产品的每个实例在其各自的加密和标记化微数据库中管理其数据时,结果是所有敏感数据的最大安全性。

在数据标记化的背景下,数据产品:从源系统获取新数据,持续识别、统一数据,并将数据转换为一个独立的微数据库,而不影响底层系统实时化数据,或者在批处理模式下,使用自己的加密密钥和访问控制保护每个微数据库的格式,并基于哈希值保持数据一致性提供令牌化和去令牌化APIsProvision令牌以毫秒级敏感酸(原子性、一致性、隔离性、耐久性)合规性进行令牌管理

一种由业务实体管理其数据的数据产品,其中每个实体的数据都在其自己的安全保险库中进行管理,它提供了最好的服务:增强了对敏感数据的保护,完全符合客户数据隐私法规,并从业务角度实现了最佳功能。

本文:https://cioctocdo.com/what-tokenization-complete-playbook

标签