MySQL 8.4 版本資訊
注意
MySQL Enterprise 資料遮罩和去識別化是包含在 MySQL Enterprise Edition (商業產品) 中的擴充功能。若要深入瞭解商業產品,請參閱 https://mysql.dev.org.tw/products/。
MySQL Enterprise Edition 提供資料遮罩和去識別化功能
轉換現有資料以遮罩並移除識別特徵,例如將信用卡號碼中除最後四碼以外的所有數字都變更為
'X'字元。產生隨機資料,例如電子郵件地址和付款卡號碼。
以資料庫中儲存的字典中的資料取代資料。字典可以標準方式輕鬆複寫。管理僅限於獲得特殊權限的授權使用者,因此只有他們可以建立和修改字典。
注意
MySQL Enterprise 資料遮罩和去識別化最初在 MySQL 中實作為外掛程式庫。從 MySQL 8.4 開始,MySQL Enterprise Edition 也提供元件來存取資料遮罩和去識別化功能。如需瞭解相似之處和差異,請參閱 表 8.46,「資料遮罩元件和外掛程式元素之間的比較」。
如果您是第一次使用 MySQL Enterprise 資料遮罩和去識別化,請考慮安裝元件,以存取僅適用於元件基礎架構的持續增強功能。
應用程式如何使用這些功能取決於資料的使用目的和存取對象。
使用敏感資料的應用程式可能會透過執行資料遮罩來保護資料,並允許使用部分遮罩的資料進行客戶識別。例如:客服中心可能會要求客戶提供他們社會安全號碼的後四碼。
需要格式正確但未必需要原始資料的應用程式可以合成範例資料。例如:應用程式開發人員在測試資料驗證器,但無法存取原始資料時,可以合成具有相同格式的隨機資料。
必須使用字典中的術語來取代真實姓名,以保護敏感資訊,但仍能為應用程式使用者提供真實內容的應用程式。例如:正在接受訓練且被限制檢視地址的使用者,會從
城市名稱字典中隨機取得一個術語,而不是真實的城市名稱。此情境的一種變體是,只有當真實的城市名稱存在於usa_city_names中時,才會被取代。
範例 1
醫療研究機構可能會持有包含個人和醫療資料的患者資料。這可能包括基因序列(長字串)、以 JSON 格式儲存的測試結果和其他資料類型。雖然資料主要可能由自動分析軟體使用,但仍有可能存取特定患者的基因組資料或測試結果。在這種情況下,應使用資料遮罩使這些資訊無法識別個人身分。
範例 2
信用卡處理公司使用敏感資料提供一組服務,例如:
每秒處理大量金融交易。
儲存大量與交易相關的資料。
根據個人資料的嚴格要求保護與交易相關的資料。
使用可還原或部分遮罩的資料處理客戶對交易的投訴。
典型的交易可能包含多種敏感資訊,包括:
信用卡號碼。
交易類型和金額。
商家類型。
交易密碼(用於確認交易的合法性)。
配備 GPS 的終端機的地理位置(用於欺詐檢測)。
然後,這些資訊可能會在銀行或其他發卡金融機構內與客戶個人資料合併,例如:
客戶全名(個人或公司)。
地址。
出生日期。
社會安全號碼。
電子郵件地址。
電話號碼。
信用卡處理公司和金融機構內的各種員工角色都需要存取這些資料。其中一些角色可能只需要存取遮罩的資料。其他角色可能需要在個案的基礎上存取原始資料,並記錄在稽核日誌中。
遮罩和去識別化是法規遵循的核心,因此 MySQL Enterprise Data Masking and De-Identification 可以幫助應用程式開發人員滿足隱私權要求。
PCI – DSS:支付卡資料。
HIPAA:健康資料隱私權,《健康資訊技術促進經濟和臨床健康法案》(HITECH Act)。
歐盟通用資料保護指令 (GDPR):個人資料保護。
資料保護法(英國):個人資料保護。
沙賓法案、GLBA、美國愛國者法案、1998 年身分盜竊和冒用威懾法案。
FERPA – 學生資料、NASD、加州 SB1386 和 AB 1950、州資料保護法、巴塞爾協議 II。
以下各節描述 MySQL Enterprise Data Masking and De-Identification 的組成要素,討論如何安裝和使用它,並提供其元素的參考資訊。