数据库******风险模型

是对所有可标识列进行移除或是***，使得攻击者无法直接标识用户。但是攻击者还是有可能通过多个半标识列的属性值识别个人。攻击者可能通过社工(知道某个人的姓名，邮编，生日,性别等)或是其他包含个人信息的以开放数据库获得特定个人的半标识列属性值，并与大数据平台数据进行匹配，从而得到特定个人的敏感信息。如果攻击者知道某用户的邮编和年龄，就可以得到该用户的***敏感信息。为了避免这种情况的发生，通常需要对半标识列进行***处理，如数据泛化等。数据泛化是将半标识列的数据替换为语义--致但更通用的数据，已上述数据为例，对邮编和年龄泛化后的数据。

数据库***从部署方式来看

串联接入到数据库服务器的前端和以插件的方式安装于数据库服务器当中，是数据库***系统发挥自身作用的较大前提。但串联接入和以插件的方式安装在服务器系统中，都会改变数据库服务器所处的网络环境，参与数据交互的过程，一旦串联“节点”或者插件出现故障，会对数据库产生未知的影响，轻者业务中断，重者数据丢失、损坏。

静态***与动态***的技术路线的区别

静态***直接通过屏蔽、变形、替换、随机、格式保留加密（FPE）和强加密算法（如AES）等多种***算法，针对不同数据类型进行数据掩码扰乱，并可将***后的数据按用户需求，装载至不同环境中。静态***可提供文件至文件，文件至数据库，数据库至数据库，数据库至文件等不同装载方式。导出的数据是以***后的形式存储于外部存贮介质中，实际上已经改变了存储的数据内容。

动态***通过准确的解析SQL语句匹配***条件，例如：访问IP、MAC、数据库用户、客户端工具、操作系统用户、主机名、时间、影响行数等，在匹配成功后改写查询SQL或者拦截防护返回***后的数据到应用端，从而实现敏感数据的***。实际上存储于生产库的数据未发生任何变化。

数据库***方案

1、无效化方案在处理待***的数据时，通过对字段数据值进行 截断、加密、隐藏 等方式让敏感数据***，使其不再具有利用价值。一般采用特殊字符（*等）代替真值，这种隐藏敏感数据的方法简单，但缺点是用户无法得知原数据的格式，如果想要获取完整信息，要让用户***查询。比如我们将身份号用 * 替换真实数字就变成了 '220724 ****** 3523'，非常简单。

2、随机值替换，字母变为随机字母，数字变为随机数字，文字随机替换文字的方式来改变敏感数据，这种方案的优点在于可以在一定程度上保留原有数据的格式，往往这种方法用户不易察觉的。我们看到 name 和 idnumber 字段进行了随机化***，而名字姓、氏随机化稍有特殊，需要有对应姓氏字典数据支持。

3、数据替换与前边的无效化方式比较相似，不同的是这里不以特殊字符进行遮挡，而是用一个设定的虚拟值替换真值。比如说我们将手机统一设置成 “13651300000”。

4、对称加密是一种特殊的可逆***方法，通过加密密钥和算法对敏感数据进行加密，密文格式与原始数据在逻辑规则上一致，通过密钥可以***原始数据，要注意的就是密钥的安全性。

5、平均值方案经常用在统计场景，针对数值型数据，我们先计算它们的均值，然后使***后的值在均值附近随机分布，从而保持数据的总和不变。