如何让数据在测试中也安全？来看看这家金融机构的经验之谈

如今，越来越多的金融机构正在借助互联网技术与传统金融相结合，推动金融产品创新和服务创新。也因此，业务端的系统开发量与之激增，对高可用的测试数据也提出了更高的要求。

我们都知道，测试数据对测试工作的重要性举足轻重，由于要高度模拟生产环境，很多情况下，需要使用生产环境中的生产数据进行系统开发测试。曾有调查显示，84% 的金融服务机构在软件开发与测试期间使用真实客户信息，70% 使用消费者数据，51% 使用信贷或其它支付信息。

但是，由于测试环节涉及人员冗多、过程较为复杂，生产数据在导出测试环境的过程不可控，测试库安全防范手段单一，一旦信息外泄或者被篡改，将影响业务正常运转，不仅会造成直接的经济损失，还会导致信誉度降低，流失客户。

那么，面对潜伏在暗处的“冷枪黑手”和无法全方位的数据保护策略，金融机构如何确保其数据在开发测试环境中“用”、“护”结合？山东省农村信用社联合社给出了答案。

客户简介

山东省农村信用社最早成立于1951年，经历了60多年的风雨历程，因农而生，伴农成长，由小到大，由弱变强，在新中国各个历史时期，为农民增收、农业增产和农村经济社会发展作出了突出贡献。

2003年8月，国务院作出深化农村信用社改革试点的决定，山东成为全国首批8个试点省份之一。2004年6月6日，山东省农村信用社联合社(以下简称省联社)正式挂牌成立，履行对全省农商银行管理、指导、协调和服务职能。

截至目前，省联社在13个市设办事处，在枣庄设审计中心，内设18个部（室、中心），全系统共有110家市、县法人机构，营业网点5126个，在岗员工6.8万人，是全省营业网点和从业人员最多、服务范围最广、资金实力最强的金融机构。

需求背景

目前，山东省联合社需自行测试优化一系列的特色业务信息系统，为高度模拟生产环境，在系统测试环节，省联社需要使用合规可用的测试数据。

《中国银行业“十二五“信息科技发展规则监管指导意见》和《银监会信息科技风险现场检查指南》明确规定，银行业应完善敏感信息在存储和传输等高风险环节的控制措施，对用于测试的生产数据要进行脱敏处理，严格防止敏感数据泄露。

根据监管要求，省联社很早就对开发和测试中使用的真实数据予以保护，通过以手工编写脚本或命令的方式对敏感信息进行修改、屏蔽、变形。但随着信息化建设的不断深入，山东省农村信用社联合社目前拥有如数据整合平台、核心业务平台、税管平台系统、税管平台系统等众多系统，且每个业务系统积累了大量包含客户账户等敏感信息的数据，这导致传统的手工脱敏工作量大、效率低。尤其在数据量激增的高峰期，传统的手工脱敏效率完全满足不了需求。

同时，随着省联社内部数据结构日益复杂，手工脱敏的形式很容易造成对敏感信息遗漏处理，也难以保证被脱敏数据的一致性、可用性，从而影响数据使用效果。

解决方案

针对山东省农村信用社联合社在开发测试等环境中的数据脱敏需求，美创科技通过对省联社现有系统数据的业务关系和逻辑关系进行梳理，提出了以数据脱敏系统为核心的敏感数据脱敏解决方案。

方案包括

1

 敏感数据自动感知

面对不规则或复杂、混合字段依赖类型的数据源，美创数据脱敏系统利用各类敏感信息规则，通过自动扫描发现的方式，高效、方便地获取敏感信息，避免人为定义敏感数据源的繁琐工作。

2

 数据处理高效稳定

美创数据脱敏系统采用内存流式处理技术，数据通过批量抽取到内存中，经过转换再批量加载到数据目标，快速实现开发测试及培训系统所需的数据交付，保证整个系统“能用、易用、好用”。

3

 脱敏结果高仿真

针对测试环境，美创科技利用系统“脱敏数据以假乱真”的功能特点，最大程度确保脱敏后数据的特征、逻辑保持脱敏前后一致，使功能测试可以覆盖到业务系统的所有场景。

客户收益

1、实现高效的工作效率

利用脱敏系统当天即可响应脱敏需求，改变了以往手工的脱敏方式，大大减少脱敏所需时间，极大提升了省联社的交付效率。

2、提高开发测试质量

提供更加真实的数据，帮助测试环节能贴近真实运行环境，促进测试系统的问题暴露。

3、降低敏感数据泄露风险

对生产环境中的客户敏感信息（姓名、电话号码、身份证号码、银行卡号、金额、日期、企业营业执照、组织机构代码证等）数据进行变形、转换、漂白处理，有效防止敏感数据泄露。

4、符合监管部门法规要求

落实《网络安全法》关于数据安全的要求。

落实银监会《银行业金融机构信息系统风险管理指引》对用于测试的生产数据要进行脱敏处理的要求。