ماسک‌گذاری داده (Data Masking) چیست؟

ماسک‌گذاری داده چیست؟

ماسک‌گذاری داده، فرآیندی است که طی آن داده‌ها با تغییر حروف و اعداد اصلی‌شان پنهان می‌شوند. سازمان‌ها به دلیل الزامات قانونی و حفظ حریم خصوصی، موظف به محافظت از داده‌های حساس مشتریان و عملیات خود هستند. ماسک‌گذاری داده از طریق تغییر اطلاعات محرمانه، نسخه‌های ساختگی از داده‌های سازمان ایجاد می‌کند. در این فرآیند از تکنیک‌های گوناگونی برای ایجاد تغییراتی واقع‌گرایانه و از نظر ساختاری مشابه استفاده می‌شود. پس از ماسک شدن داده‌ها، بدون دسترسی به مجموعه داده‌های اصلی، امکان مهندسی معکوس یا ردیابی مقادیر اولیه داده‌ها وجود نخواهد داشت.

موارد استفاده از ماسک‌گذاری داده کدامند؟

تکنیک‌های ماسک‌گذاری داده به سازمان‌ها کمک می‌کنند تا مقررات مربوط به حریم خصوصی داده‌ها، مانند قانون حفاظت از داده‌های عمومی (GDPR)، را رعایت کنند. این تکنیک‌ها از انواع مختلف داده‌ها، از جمله اطلاعات شناسایی شخصی (PII)، داده‌های مالی، اطلاعات سلامت محافظت‌شده (PHI) و مالکیت معنوی، محافظت می‌کنند.

در ادامه، به برخی از موارد کاربرد ماسک‌گذاری داده می‌پردازیم:

توسعه امن

محیط‌های توسعه و آزمایش نرم‌افزار برای انجام تست‌ها به مجموعه‌های داده واقعی نیاز دارند. با این حال، استفاده از داده‌های واقعی نگرانی‌های امنیتی را به همراه دارد. ماسک‌گذاری داده به توسعه‌دهندگان و آزمایش‌کنندگان این امکان را می‌دهد تا با داده‌های آزمایشی واقع‌گرایانه‌ای که مشابه داده‌های اصلی هستند اما اطلاعات حساس را افشا نمی‌کنند، کار کنند. این امر خطرات امنیتی در چرخه‌های توسعه و آزمایش را کاهش می‌دهد.

تحلیل و پژوهش

ماسک‌گذاری داده به دانشمندان و تحلیلگران داده اجازه می‌دهد تا بدون به خطر انداختن حریم خصوصی افراد، با مجموعه‌های داده بزرگ کار کنند. پژوهشگران می‌توانند از این داده‌ها بینش‌ها و روندهای ارزشمندی استخراج کرده و در عین حال از حریم خصوصی محافظت کنند. برای مثال، دانشمندان می‌توانند از مجموعه‌های داده‌های ناشناس برای مطالعه اثربخشی داروهای جدید، تحلیل نتایج درمان یا بررسی عوارض جانبی احتمالی استفاده کنند.

همکاری خارجی

سازمان‌ها اغلب نیاز دارند تا داده‌ها را با شرکا، فروشندگان یا مشاوران خارجی به اشتراک بگذارند. با ماسک کردن برخی فیلدها یا ویژگی‌ها، سازمان‌ها می‌توانند ضمن محافظت از داده‌های حساس، با طرف‌های خارجی همکاری کنند.

آموزش کارکنان

از ماسک‌گذاری داده می‌توان در جلسات آموزشی کارکنان یا نمایش‌های نرم‌افزاری استفاده کرد. سازمان‌ها با ماسک کردن داده‌های حساس می‌توانند نمونه‌های واقعی ارائه دهند بدون اینکه اطلاعات مشتریان یا کسب‌وکار واقعی را افشا کنند. به این ترتیب، کارکنان می‌توانند بدون نیاز به دسترسی به داده‌هایی که مجوز آن را ندارند، مهارت‌ها را یاد گرفته و تمرین کنند.

انواع ماسک‌گذاری داده کدامند؟

در ادامه، به برخی از انواع رایج ماسک‌گذاری داده اشاره می‌کنیم:

ماسک‌گذاری داده ایستا

ماسک‌گذاری داده ایستا فرآیندی است که طی آن مجموعه‌ای ثابت از قوانین ماسک‌گذاری قبل از ذخیره یا اشتراک‌گذاری، بر روی داده‌های حساس اعمال می‌شود. این روش معمولاً برای داده‌هایی که به ندرت تغییر می‌کنند یا در طول زمان ثابت می‌مانند، استفاده می‌شود. قوانین از پیش تعیین شده و به طور یکنواخت بر روی داده‌ها اعمال می‌شوند که این امر ماسک‌گذاری سازگار در محیط‌های مختلف را تضمین می‌کند.

اگرچه جزئیات پیچیده است، در اینجا خلاصه‌ای از فرآیند ماسک‌گذاری داده ایستا آورده شده است:

1. شناسایی و درک داده‌های حساس
2. طراحی و توسعه قوانین ماسک‌گذاری
3. انتخاب الگوریتم‌های مناسب ماسک‌گذاری داده
4. اعمال قوانین ماسک‌گذاری بر روی داده‌های واقعی

پس از این مراحل، می‌توان داده‌های ماسک‌شده را در صورت نیاز به اشتراک گذاشت.

ماسک‌گذاری داده پویا

ماسک‌گذاری داده پویا تکنیک‌های ماسک‌گذاری را در زمان واقعی اعمال می‌کند. این روش به صورت پویا داده‌های حساس موجود را هنگام دسترسی یا پرس‌وجوی کاربران تغییر می‌دهد و عمدتاً برای پیاده‌سازی امنیت داده مبتنی بر نقش در برنامه‌هایی مانند پشتیبانی مشتری یا مدیریت سوابق پزشکی به کار می‌رود.

نحوه عملکرد ماسک‌گذاری داده پویا به شرح زیر است:

1. تمام کاربران از طریق یک سرور پراکسی با پایگاه داده ارتباط برقرار می‌کنند.
2. هنگامی که کاربران درخواست خواندن داده‌ها را دارند، پراکسی پایگاه داده بر اساس نقش‌های کاربری، مجوزها یا سطوح دسترسی، قوانین ماسک‌گذاری را اعمال می‌کند.
3. کاربران مجاز داده‌های اصلی را دریافت می‌کنند، در حالی که کاربران غیرمجاز داده‌های ماسک‌شده را مشاهده می‌کنند.

اگرچه این فرآیند نیازی به آماده‌سازی قبلی ندارد، اما ممکن است بر عملکرد سیستم تأثیر بگذارد.

ماسک‌گذاری داده قطعی

ماسک‌گذاری داده قطعی تضمین می‌کند که یک مقدار ورودی مشخص همواره به یک مقدار خروجی یکسان ماسک شود. برای مثال، اگر یک نام خاص در یک مورد به “جان” ماسک شود، در کل سیستم نیز به همین صورت ماسک خواهد شد.

تکنیک‌های ماسک‌گذاری قطعی اغلب شامل جایگزینی داده یا توکنیزاسیون است که در آن یک نگاشت ثابت بین ستون داده اصلی و مقادیر ماسک‌شده حفظ می‌شود.

ماسک‌گذاری داده در لحظه

ماسک‌گذاری داده در لحظه، داده‌های حساس را در حافظه ماسک می‌کند، بنابراین نیازی به ذخیره داده‌های تغییریافته در پایگاه داده نیست. این روش در خطوط لوله استقرار مداوم یا در سناریوهای پیچیده ادغام که داده‌ها به طور مکرر بین محیط‌های تولید و غیرتولید منتقل می‌شوند، مفید است. در مرحله مورد نیاز در خط لوله، برنامه داده‌ها را ماسک کرده و سپس آن را به مرحله بعدی منتقل می‌کند.

مبهم‌سازی آماری

مبهم‌سازی آماری داده شامل تغییر مقادیر داده‌های حساس به گونه‌ای است که ویژگی‌ها و روابط آماری درون داده‌ها حفظ شود. این اطمینان حاصل می‌کند که داده‌های ماسک‌شده توزیع کلی، الگوها و همبستگی‌های داده‌های اصلی را برای تجزیه و تحلیل آماری دقیق حفظ می‌کنند. تکنیک‌های مبهم‌سازی آماری داده شامل اعمال توابع ریاضی یا الگوریتم‌های اغتشاش بر روی داده‌ها است.

برخی از تکنیک‌های رایج ماسک‌گذاری داده کدامند؟

الگوریتم‌های متعددی برای محافظت از داده‌ها وجود دارد. در اینجا به برخی از روش‌های رایج ماسک‌گذاری داده اشاره می‌کنیم:

تصادفی‌سازی

در روش تصادفی‌سازی، داده‌های حساس با مقادیر تصادفی تولید شده که هیچ ارتباطی با داده‌های اصلی ندارند، جایگزین می‌شوند. برای مثال، می‌توان نام‌ها، آدرس‌ها یا سایر اطلاعات شناسایی شخصی را با مقادیر ساختگی یا تصادفی انتخاب شده جایگزین کرد.

جایگزینی

ماسک‌گذاری با جایگزینی شامل جایگزین کردن داده‌های حساس با داده‌های مشابه اما ساختگی است. برای مثال، می‌توان نام‌های واقعی را با نام‌های موجود در یک لیست از پیش تعریف شده جایگزین کرد. همچنین می‌توان از الگوریتم‌ها برای تولید شماره کارت اعتباری مشابه اما جعلی استفاده کرد.

درهم‌سازی

در روش درهم‌سازی، مقادیر درون یک مجموعه داده به گونه‌ای مرتب می‌شوند که ضمن حفظ ویژگی‌های آماری، شناسایی سوابق فردی دشوار شود. این تکنیک معمولاً برای حفظ روابط درون داده‌ها به کار می‌رود.

برای مثال، در یک جدول داده، می‌توان داده‌های ستون را به صورت تصادفی درهم کرد تا مقادیر ردیف‌ها تغییر کنند. در عمل، می‌توان ارتباط بین یک مشتری و تراکنش‌های او را حفظ کرد در حالی که نام‌ها و جزئیات تماس تغییر داده می‌شوند.

رمزنگاری

در روش ماسک‌گذاری با رمزنگاری، داده‌های حساس با استفاده از الگوریتم‌های رمزنگاری به یک قالب غیرقابل خواندن تبدیل می‌شوند و تنها کاربران مجاز با داشتن کلیدهای رمزگشایی می‌توانند به داده‌های اصلی دسترسی داشته باشند. این تکنیک سطح بالاتری از امنیت داده را فراهم می‌کند، اما از آنجایی که برای تجزیه و تحلیل داده‌ها به رمزگشایی نیاز است، بر عملکرد پرس‌وجو تأثیر می‌گذارد.

درهم‌سازی (Hashing)

درهم‌سازی یک تکنیک تبدیل است که داده‌ها را به یک رشته کاراکتر با طول ثابت تبدیل می‌کند و معمولاً برای ماسک کردن گذرواژه‌ها یا سایر اطلاعات حساسی که مقدار اصلی آن‌ها مورد نیاز نیست و فقط نیاز به تأیید داده‌ها وجود دارد، استفاده می‌شود.

توکنیزاسیون

در روش توکنیزاسیون، داده‌های تولید با یک توکن یا مقدار مرجع تصادفی تولید شده جایگزین می‌شوند. داده‌های اصلی در یک مکان امن جداگانه ذخیره شده و از توکن به عنوان جایگزین در طول پردازش یا تجزیه و تحلیل استفاده می‌شود. توکنیزاسیون به حفظ یکپارچگی داده‌ها ضمن به حداقل رساندن خطر افشای اطلاعات حساس کمک می‌کند.

تهی‌سازی (Nulling)

تهی‌سازی (یا خالی کردن) یک راه حل ماسک‌گذاری داده است که داده‌های حساس را با مقادیر تهی یا فضاهای خالی جایگزین می‌کند و به طور موثر داده‌ها را از مجموعه داده حذف می‌کند. این رویکرد زمانی مناسب است که می‌خواهید قالب یا ساختار داده‌ها را حفظ کنید، اما اطلاعات خاص باید پنهان شود.

چالش‌های ماسک‌گذاری داده کدامند؟

در ادامه، به برخی از چالش‌های رایج در ماسک‌گذاری داده می‌پردازیم:

حفظ ویژگی

برای تحقیق و تحلیل، حفظ ویژگی‌های اصلی داده برای انواع خاصی از داده‌ها اهمیت دارد. لازم است اطمینان حاصل شود که ابزارهای ماسک‌گذاری داده، انواع داده‌های اصلی یا فراوانی دسته‌های داده مرتبط را حفظ می‌کنند.

برای مثال، اگر ابزاری هنگام مبهم‌سازی جزئیات کارت اعتباری، نمایش جمعیتی داده‌های مشتری یا آمار دسته‌بندی کارت را تغییر دهد، می‌تواند بر تحلیل‌ها تأثیر بگذارد. حفظ ویژگی در برخی از فرآیندهای ماسک‌گذاری داده مانند تصادفی‌سازی یا توکنیزاسیون می‌تواند چالش‌برانگیز باشد.

یکپارچگی معنایی

مقادیر ساختگی تولید شده باید از قوانین و محدودیت‌های تجاری مرتبط با انواع مختلف داده پیروی کنند. برای مثال، حقوق‌ها باید در یک محدوده مشخص قرار بگیرند و شماره‌های شناسایی ملی باید از یک قالب از پیش تعیین شده پیروی کنند. حفظ یکپارچگی معنایی چالش‌برانگیز است، اما تضمین می‌کند که داده‌های ماسک‌شده همچنان معنادار و واقع‌گرایانه باقی می‌مانند.

منحصر به فرد بودن داده

در مواردی که داده‌های اصلی نیاز به منحصر به فرد بودن دارند، مانند شماره‌های شناسایی کارمندان، تکنیک ماسک‌گذاری داده باید مقادیر منحصر به فردی را برای جایگزینی داده‌های اصلی ارائه دهد. عدم وجود منحصر به فرد بودن در فیلدهای کلیدی ممکن است باعث ایجاد تعارضات یا ناسازگاری‌های بالقوه شود.

ادغام با گردش‌های کاری موجود

ادغام ماسک‌گذاری داده در گردش‌های کاری موجود، به ویژه در مراحل اولیه پیاده‌سازی، می‌تواند چالش‌برانگیز باشد. کارکنان ممکن است در حین تطبیق با فرآیندها و فناوری‌های جدید دچار مشکلاتی شوند. برای اطمینان از یکپارچگی روان و به حداقل رساندن اختلال، سازمان شما باید بر برنامه‌ریزی دقیق، همکاری با ذینفعان و رفع نگرانی‌های کاربران تمرکز کند.