数据库******风险模型

是对所有可标识列进行移除或是***，使得攻击者无法直接标识用户。但是攻击者还是有可能通过多个半标识列的属性值识别个人。攻击者可能通过社工(知道某个人的姓名，邮编，生日,性别等)或是其他包含个人信息的以开放数据库获得特定个人的半标识列属性值，并与大数据平台数据进行匹配，从而得到特定个人的敏感信息。如果攻击者知道某用户的邮编和年龄，就可以得到该用户的***敏感信息。为了避免这种情况的发生，通常需要对半标识列进行***处理，如数据泛化等。数据泛化是将半标识列的数据替换为语义--致但更通用的数据，已上述数据为例，对邮编和年龄泛化后的数据。

数据库***的功用

用户隐私数据保护与挖掘用户数据价值是两个互相冲突的矛盾体,的数据***，需要抹去全部的用户标识信息，使得数据潜在的分析价值大大降低。另一方面， 完全保留用户隐私数据信息，可较大化数据的分析价值，同时导致用户隐私***的风险无法控制。因此大数据***平台的设计目标并不是实现工具算法用来完全抹去全部的用户标识信息,

数据库***功能

确保数据***有效性：保证***后的数据能够准确反映原始数据的业务属性和数据分布特征，例如对于原始数据中的姓名、地址、病症、企业名称等信息需要在***后仍然具有可读性；***后的数据需要满足业务系统的数据规则，能够正确的通过业务系统的数据有效性验证，如身份号、***号的校验码，生日数据的区间，有效的发卡行信息，年龄与出生日期的匹配等。

保留数据关联性：***后的数据应能满足业务系统的数据关系特征，严格保留原有的数据关系；例如身份号在多个表中出现，需要保证这些数据经过***后也是一样的。另外，对于具有时间序列关系的数据，需要保证每个日期***后仍然能够保持原有的时间序列。

保证快速***：高场景下的数据量很大，包括表数量多，单表数据多，每日增量数据多等等。为了能够尽可能节省人工劳动成本，***产品的性能一定要高，能够支持增量数据定期自动执行***。