在数字政务、金融科技、医疗健康等领域高速发展的今天,数据安全已从技术议题升级为合规红线。《数据安全法》《个人信息保护法》的相继落地,让"敏感数据如何保护"这个问题变得前所未有地具体和紧迫。
本文以 KingbaseES(金仓数据库)的实际功能为基础,系统梳理一套面向敏感数据全生命周期的保护方案——从数据在用时的动态脱敏,到数据退场时的物理级销毁。
一、问题的起点:敏感数据在哪里"漏"
许多安全事故并非源于黑客攻击,而是日常业务操作中的结构性风险:
- 开发测试时直接使用生产库数据,身份证号、手机号明文可见
- 第三方查询接口未做字段过滤,返回原始个人信息
- 数据分析师查询报表,看到的是未脱敏的真实数据
- 更隐蔽的是:数据"删除"后,物理介质上的字节依然完好无损,可被专业工具恢复
这四类场景,分别对应两个核心技术问题:数据在用时如何脱敏,以及数据销毁时如何真正抹除。
二、动态脱敏:让数据"看起来安全"
脱敏的本质是权限的延伸
传统数据库的权限控制停留在表和字段级别——要么能看,要么不能看。但现实业务远比这复杂:同一张居民信息表,管理员需要看全量数据,数据分析师只能看脱敏结果,第三方接口返回时必须掩码处理。
动态脱敏的价值在于,它在数据库层面解决了这个问题,而不依赖应用层的代码改造。
操作链路
以政务人员信息表为例,完整的配置链路如下:
第一步:建立敏感数据清单,明确哪些字段属于哪个敏感级别,对应什么脱敏策略。姓名、身份证号、手机号、地址、邮箱,每类字段的处理方式各有不同。
第二步:定义脱敏规则。KingbaseES 提供 mask_partial、mask_email 等内置函数,可以精确控制保留哪些位、掩码哪些位:
CREATE MASKING POLICY citizen_mask_policy
ADD name USING mask_partial(name, 1, 1, ''), -- 保留姓,名掩码
id_card USING mask_partial(id_card, 6, 4, ''), -- 前6后4可见
mobile USING mask_partial(mobile, 3, 4, ''), -- 前3后4可见
email USING mask_email(email); -- 邮箱专项处理
第三步:将策略绑定到用户或表,之后该用户的所有查询自动应用脱敏,无需应用层改动。
查询结果形如:张**|110101******1234|138****8000|北京市朝阳区|z***@test.com
几个容易踩的坑
动态脱敏看起来简单,实际落地有几点值得警惕:
- 策略恢复问题:开发调试临时关闭脱敏策略后忘记恢复,是最常见的事故来源
- 过度脱敏:脱敏强度过高会影响正常业务,必须先与业务部门对齐需求
- 审计缺失:脱敏不等于无痕,敏感数据的访问行为仍需完整的审计日志
三、物理销毁:让数据"真正消失"
"删除"从来不等于"销毁"
这是许多人的认知盲区。SQL 的 DELETE 命令执行后,数据并未从磁盘上消失——它只是被标记为"死元组",等待 VACUUM 进程回收空间。而即使执行了 VACUUM,默认情况下原始字节也不会被覆盖,在新数据写入之前,专业取证工具依然可以将其恢复。
逻辑删除(is_deleted 标记位)就更不用说了,原始数据完整保留在数据文件中,实质上只是一个查询过滤器。
这不仅仅是技术层面的问题。等保2.0要求数据销毁达到"不可恢复"级别,GDPR的"被遗忘权"要求数据彻底删除,《数据安全法》要求数据处理活动采取必要安全措施——这些合规要求,传统删除方式统统无法满足。
KingbaseES 的物理销毁原理
KingbaseES V9R2C014 版本引入了敏感数据物理销毁功能,核心机制是介质级覆写:当标记为敏感数据的对象执行 DROP 或 TRUNCATE 时,系统不会直接释放空间,而是先对数据所在的物理页面反复填写覆写模式,完成指定次数后才释放。
支持三种覆写强度:
| 等级 | 覆写次数 | 模式 | 适用场景 |
|---|---|---|---|
| easy | 1次 | 全0填充 | 普通业务数据退役 |
| normal | 3次 | 0x00→0xFF→随机 | 常规敏感数据 |
| hard | 7次 | 遵循DoD 5220.22-M标准 | 密钥、生物特征等绝密数据 |
7次覆写模式可以抵抗磁力显微镜等高级取证手段,但覆写次数与I/O开销呈线性关系,建议仅在真正高密级场景启用。
配置与标记方式
启用物理销毁功能需要先加载插件并开启开关:
CREATE EXTENSION kdb_sens;
ALTER SYSTEM SET kdb_sens.enable = ON;
ALTER SYSTEM SET kdb_sens.erase_force = 'normal'; -- 或 easy / hard
标记敏感表有三种方式:
-- 方式一:建表时直接标记
CREATE TABLE citizen_info (...) WITH (sensitive_data = true);
-- 方式二:对已有表追加标记
ALTER TABLE citizen_info SET (sensitive_data = true);
-- 方式三:通过接口调用(适合批量管理)
SELECT kdb_sens.set_sensitive_data('public', 'citizen_info', true);
标记后,基于该表创建的索引会自动继承敏感属性,删除时同步触发覆写。
分区表的特殊处理
需要特别注意的是,分区表的子分区不会自动继承父表的敏感标记——这是一个容易被忽略的细节。父表设置 sensitive_data = true,子分区的 reloptions 仍为空。
正确的做法是在创建子分区时显式指定,或建表后逐一追加:
CREATE TABLE cust_2025q1 PARTITION OF cust_partition
FOR VALUES FROM ('2025-01-01') TO ('2025-04-01')
WITH (sensitive_data = true);
这一"不向上传递、需显式向下指定"的设计,实际上是为了防止意外扩大销毁范围,属于合理的安全保守策略。
四、两道防线的关系
动态脱敏与物理销毁,解决的是数据生命周期两端的问题,二者并不冲突,而是互补:
数据产生 → [透明加密:静态存储安全]
↓
数据使用 → [动态脱敏:访问层安全]
↓
数据销毁 → [物理覆写:终局安全]
单靠脱敏,数据退役后仍有残留风险;单靠销毁,数据在用期间的越权访问无法防范。完整的敏感数据保护,需要两道防线同时在位。
五、落地建议
对于正在建设数据安全体系的团队:
- 优先梳理敏感数据清单,这是策略配置的前提,也是最容易被跳过的一步
- 脱敏策略纳入版本控制,变更走审批流程,避免策略漂移
- 物理销毁的覆写强度按数据密级分级配置,不要一刀切地选最高等级
- 无论脱敏还是销毁,审计日志都不可缺失——操作可追溯,才算真正闭环
数据安全从来不是一次性的技术配置,而是贯穿数据全生命周期的持续治理。选对数据库只是开始,建立配套的管理机制,才是长久之道。
