隐私数据保护的需求

来自企业内部的需求

随着公司规模的不断扩大和数据的海量增长。客户的敏感信息可能会暴露在不被允许的地方。据统计，这通常发生在以下情况：

• 过去，由于对隐私数据保护的需求并不强烈，导致这类信息并没有被慎重保护起来，甚至以明文的方式暴露出来。
• 企业收购或兼并。原企业被合并后，对原有用户的隐私数据没有采取合适的措施进行保护。或者原有系统下线，新增业务要求不断改进应用程序和数据库结构，从而导致原有的安全策略不能有效对客户的数据进行保护。
• 来自内部和外部的攻击。特权用户的随意更改和黑客的恶意攻击都有可能使敏感数据暴露出去。

政府及行业的要求

从 1890 年开始至今，隐私权作为公民人格权利的重要内容逐渐得到了法律上的保护并呈现出国际统一化得趋势。世界各国纷纷重视隐私权保护的问题并且根据各国的国情构建了相关的法律和法规。以美国为代表的行业自律模式也逐渐发展起来。例如：美国在 1986 年颁布的《电子通讯隐私法案》（Electronic Communications Privacy Act，ECPA）；欧盟 1995 年制定通过《关于涉及个人数据处理的个人保护以及此类数据自由流动的指令》（Directive 95/46 /EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data）， 该指令是欧盟数据保护规章的核心；日本 1982 年 9 月制定的《个人数据信息处理中隐私保护对策》，1998 年日本还通过了规制公共机构的《有关行政机关保有的与计算机处理有关的个人信息保护的法律》。因此，在这样的背景下，企业要遵从隐私法律法规和行业规则就面临越来越大的挑战。

Guardium 隐私数据解决方案

IBM Infosphere Guardium 是行业领先的数据库安全产品，致力于解决核心数据安全漏洞。它能够帮助客户发现数据的访问情况，例如：

• 什么数据正在被访问
• 什么应用程序在访问我的数据
• 哪些未授权的源程序正在尝试改变我的数据
• 访问数据库时发生了哪些错误

在隐私数据上，Guardium 提供了分类器模块帮助客户发现和分类数据库上存在的敏感信息。客户可以建立敏感数据搜索策略，根据策略探索数据库并获取敏感对象。针对这些敏感数据，客户可以建立有效的访问策略来进行实时监控并采取相应的保护措施。在刚刚发布的 V8.2 版本上，Guardium 还为用户提供了更加灵活的方式去寻找敏感信息，允许用户自定义数据搜索，另外，Guardium 还发布了与 Infosphere Discovery 产品结合的双向接口规范，利用两个产品的整合，在数据安全上为客户提供更加专业且便利的服务。

Guardium 分类器简介

Guardium 分类器由两部分组成：

• 分类策略。分类策略定义要寻找的对象模式以及对匹配的对象要进行的操作。Guardium 内置四种搜索规则来帮助用户定义要寻找的对象。
  1. 目录搜索规则。该规则会在数据库目录中搜索匹配指定模式的表和 ( 或 ) 列名。
  2. 按许可权规则搜索。该规则会根据授予用户和 / 或角色的许可权，在数据库目录中搜索各种表。
  3. 按数据搜索。该规则会在一个或多个列中搜索特定的数据值。
  4. 定义非结构化数据规则的搜索。该规则会对非数据库文件进行搜索。

  对匹配的对象，Guardium 允许执行下列操作：

  1. 添加至对象 / 字段组
  2. 添加至对象组
  3. 创建访问规则
  4. 创建隐私集
  5. 忽略
  6. 记录策略违例
  7. 记录结果
  8. 发送警报
• 分类进程。分类进程定义定义了由分类策略和一个或多个数据源组成的作业。

Guardium 分类器的工作方式

Guardium “分类器” 以作业的形式运行，运行方式类似单进程 FIFO。每个进程可以同时对多个数据源进行搜索。当分类进程运行时，Guardium 确保对数据库服务器的影响降到最小。为此分类进程始终对数据库进行采样，以 50 条连续的记录为一个记录集 , 从数据库服务器返回的第一条开始每次采一个记录集。以后每次采样点的选择类似等比数列，公比是 2。例如：第一次从第一行开始，第二次从 1000 行开始，第三次从 2K 开始，以此类推 4K, 8K, 16K, 32K。在此期间，如果任何查询时间超过 10 秒，那么采样点跳跃间隔的公比将调整为 10。例如，当前采样点序列为 640k，那么下一次将从 6.4M 开始。 为避免使数据库服务器接受过多的请求。“分类器”还会对本身定期闲置。如果任何查询超过 12 分钟，查询将被取消。

Guardium 还具有故障恢复的机制。例如，分类作业提交后，系统掉电或系统重启了，系统恢复正常后，分类作业将会恢复并执行。

Guardium 分类器的策略

用户可以通过下列步骤创建不同的分类策略。

1.执行下列任一项打开“分类策略查找程序”。

• Admin 用户可以选择：工具 ==> 配置与控制 ==> 分类器策略构建器
• 发现 ==> 分类 ==> 分类器策略构建器

2.点击 “新建” 按钮。填写策略的名称，分类和类别。可选的，你还可以输入对该策略的描述。

3.保存该策略。点击 “编辑规则”打开规则编辑面板，然后可以按照需求创建规则。您可以创建下列几种规则。

目录搜索规则。该规则可以对目标数据库搜索指定模式的表或 / 和列，搜索的对象可以是同义词、系统表、表和视图。例如：寻找所有以 EMP（不区分大小写）开头的表且表中必须具有 salary 列。规则配置如图 1 所示。

按许可权规则搜索。该规则主要用于寻找用户 ( 组 ) 或者角色 ( 组 ) 拥有指定权限的对象，该对象可以是同义词，系统表，表和视图。例如：寻找所有用户 Tester 能更新的普通表。规则配置如图 2 所示。

按数据搜索。该规则会对用户表中的数据进行模式匹配。目前支持数字、文本和日期字段的查询。在此类规则中用户可以定义正则表达式来进行数据的匹配。在刚刚发布的 8.2 版本中，Guardium 还为用户提供了更灵活的发现敏感数据的方式，允许用户使用自定义的算法来寻找数值，用户通过配置“求值名称”参数指定使用自定义的 Java 类，该类必须实现 Guardium 定义 Evaluation 的接口。如图 3 所示。 另外，8.2 版本中，Guardium 还为客户提供了 “仅由其触发” 标记。通过该标记用户可以按照完全相同的名称来对分类器规则类型进行分组，只有具有相同标记的规则被同时被触发才是有效的记录。例如：当您想知道某个表既包含社会保障号也包含信用卡号时，可以使用该标记。如图 4 所示。可选的，您可以通过 “命中百分比” 设置匹配的阈值，只有命中率超过该值是才将数据返回；还可以将返回数值与 SQL 返回值或组进行比较，匹配则返回结果。

定义非结构化数据规则的搜索。该规则针对非数据库文件进行搜索。访问协议包括：FTP，HTTP，HTTPS，SAMBA。如图 5 所示。

4.（可选）您可以在保存规则后，添加分类规则操作。顾名思义，就是对匹配规则的对象进行一些操作。您可以点击“新建操作”按钮来打开“操作”面板并添加需要的操作。Guardium 目前提供下列几种操作：

添加到 “对象 / 字段” 组操作 – 每当匹配分类规则时，就将该对象的名称及字段名添加到指定的组当中。该指定的组类别必须为“对象 / 字段”。如图 6 所示。

添加到对象组操作 – 每当匹配分类规则时，就将该对象的名称添加到组中。该指定的组类别必须为“对象”。如图 7 所示。

创建访问规则操作 – 每当匹配分类规则时，会创建访问规则并将其添加到现有的安全策略定义中。如图 8 所示。

创建隐私集操作 – 每当匹配分类规则时，将匹配规则的对象添加到现有的隐私集中去。

记录策略违例操作 – 每当匹配分类规则时，将记录策略违例。这表示会将分类策略违例与可能已产生的访问策略违例（以及选择性的关联警报）一起记录（以及报告）。

发送警报操作 – 每当匹配分类规则时，发送警报。警报类型包括：邮件，SNMP，系统日志和自定义方式。例如：当匹配规则的敏感对象被发现时，发送邮件给相关负责人员，如图 9 所示。

忽略 – 不记录匹配，且不会采取其他操作。例如，搜索除 EMPLOYEE 表外的所有 EMP 开头的所有表，并将他们添加到隐私集中。如图 10 所示。

记录结果 – 记录匹配，且不会采取其他操作。

Guardium 分类器的执行

当您定义好分类策略后，就可以通过以下步骤创建分类进程将其应用到数据源上进行搜索。

1.执行下列任一项打开“分类进程查找程序”。

Admin 用户可以选择“工具” > “配置与控制” > “分类器进程构建器”。

选择 “发现” > “分类” > “分类器进程构建器”。

单击新建打开“定义分类进程”面板。

在“进程描述”框中输入进程的名称。

从“分类策略”下拉框中选择已经建好的分类策略。

（可选的）选择 / 不选择“综合搜索”。当选中该项时，将随机地搜索表中“样本大小”个记录以查找匹配项。不选择该项，将搜索前“样本大小”个记录以查找匹配项。

输入“样本大小”，如果表中的记录数 小于等于 “样本大小”，所有记录都将进行匹配。如果表大小超过“样本大小”，使用“综合搜索”的定义方式进行匹配。

单击“添加数据源”来添加一个或多个数据源。Guardium 数据源支持以下类型。

单击“保存”按钮完成定义。

单击“立即运行一次”来执行搜索。

当执行完成后，单击“查看结果”按钮来查看结果报表。结果如图 11 所示。

InfoSphere Guardium 与 IBM Infosphere Discovery 产品集成

在 V8.2 版本中，Guardium 还实现了与其他 InfoSphere 产品的结合。例如：实现了在 Guardium 和 Discovery 之间相互传输敏感数据信息。这使得 InfoSphere Guardium 客户可以使用双向接口将已标识的敏感数据从一个产品传输到另一个产品。那些已向某个 InfoSphere 产品投入时间的客户可以将信息传输到其他 InfoSphere 产品中。

将分类数据从 InfoSphere Guardium 导出到 InfoSphere Discovery。

1. 以 Guardium 管理员身法，点击“工具”>“报告构建”>“分类器结果跟踪”> 选择报告 “将敏感数据导出到 Discovery”。如图 12 所示。
   
   图 12. 将敏感数据导出到 Discovery
   
   
   
2. 单击 添加至窗口 或 添加至我的新报告 按钮将该报表添加到 UI
3. 运行报告，然后单击“下载所有记录”图标。

另存为 CSV 文件，然后按照 InfoSphere Discovery 的指示信息将此文件导入 Discovery。

将分类数据从 InfoSphere Discovery 导入到 InfoSphere Guardium。

1. 根据 InfoSphere Discovery 的指示信息将分类数据作为 CSV 从 InfoSphere Discovery 导出。
2. 以 Guardium 管理员身法，点击“工具”>“报告构建”>“定制表构建器”。选择“分类数据导入”，然后单击“上载数据”按钮。如图 13 所示
   
   图 13. 分类数据导入
   
   
   
3. 单击“添加数据源”，单击“新建”按钮，将从 Discovery 导出的 CSV 文件定义为数据源（数据库类型 = 文本）且文件名命名为 discovery_import.CSV。如图 14 所示。
   
   图 14. 定义 CSV 数据源
   
   
   
4. 单击“验证数据源”，然后单击“应用”。
5. 单击“立即运行一次”从 CSV 导入数据。
6. 转至“报告构建器”，选择“分类数据导入”报告，添加到您的门户网站
7. 访问该报告查看导入结果

安全防护，掌握未来

Guardium 在数据库安全解决方案中已经提供了强大的安全控制功能，不仅通过规则和策略为用户提供强大的监视、探测和保护功能，而且在架构上也提供了多层次可扩展的跨平台解决方案，为用户提供了出色的外部保护。不仅如此，Guardium 还注重用户自身环境的安全，提供了漏洞评估和配置审计功以及隐私数据的发现和分类功能，帮助用户发现自身的漏洞和潜在的隐患，强大而有力的给予用户全方位的保护。而 Guardium 在不断完善自身的同时，还积极融入 InfoSphere 产品家族中，与家族其他产品联手，努力为用户提供更专业，更全面的服务。提高安全，解放资源，让 Guardium 与您一起防护我们的未来吧。

参考资料

学习

• Information management
  
  
• 在 Guardium solutions中了解更多产品与案例。
  
  
• 在 developerWorks Information Management 专区了解关于 Information Management 的更多信息。。
  
  
• 随时关注 developerWorks 技术活动 和 网络广播，了解各种 IBM 产品和 IT 行业话题。
  
  
• developerWorks 播客：聆听针对软件开发人员的有趣的访谈和讨论。
  
  
• developerWorks 演示中心：观看面向初学者的产品安装和设置演示，以及为经验丰富的开发人员提供的高级功能。
  
  

获得产品和技术

• 使用可以直接从 developerWorks 下载的 InfoSphere Streams V2 试用版软件 构建您的高性能计算机平台。
  
  
• 使用可以直接从 developerWorks 下载的 IBM 产品评估试用版软件 构建您的下一个开发项目。
  
  

讨论

• 参与 developerWorks 博客 并加入 developerWorks 中文社区：查看开发人员推动的博客、论坛、群组和 wikis，并与其他 developerWorks 用户交流。
  
  

作者简介

蒋慧珲，2009 年加入 IBM，先后从事 Optim 产品下的技术支持和测试工作。目前负责 Guardium 产品的测试工作。

孙盛艳，2010 年 8 月加入 IBM，目前就职于 IBM CDL Guardium 团队。多年数据库 DBA 经验。

为本文评分

评论

回页首

内容

• 隐私数据保护的需求
• 标题
• 结束语
• 参考资料
• 作者简介
• 评论