通過數據影化、離散化存儲實現敏感信息防護

霍卓群

摘要：該文主要探討對IT系統(tǒng)中涉敏信息實施“影化”處理、離散化存儲。利用混淆映射置換和分層映射方式，將用戶隱私信息轉換為無法識別的離散數據流，完成對信息系統(tǒng)中的敏感信息隱藏，防止拖庫等批量資料信息非法獲取的情況發(fā)生。

關鍵詞：信息安全；影化數據；離散存儲

中圖分類號：TP309 文獻標識碼：A 文章編號：1009-3044（2015）09-0046-02

1原理與解決方案

在大型企業(yè)內部，核心數據庫中的客戶信息數據，同時也用來為同系統(tǒng)內的各類子系統(tǒng)所使用。“只有更了解客戶，才能為客戶更好的服務”，在系統(tǒng)內部的確切數據是必須透明的，且應有范圍、有選擇的提供給其他子系統(tǒng)應用，從而達到更好的為客戶、為市場服務。如了解終端用戶的類別、歸屬等信息，提供更貼身的服務。

影子反映著某一時刻特定實物留下的特征印記，雖不能代替實體所有屬性，但在特定方面可和實體一樣提供一致的信息，并保留著定位實體的關聯信息。借助影子和實體之間的理念，我們思考對實體用戶資料信息進行影化處理、離散化存儲[1]。在達到提供給其他應用“最低可用程度”的信息支撐基礎之上，避免用戶敏感信息的“過度提供”。

影化后的目標架構模式如圖1所示。

在期望的目標架構中，隱私數據中心保存著真實的終端用戶數據信息（以下簡稱實化數據）。是在進行關系分割后，以散列化方式存儲的。它包含了相關信息數據全集，但卻不具備關聯關系，形成了一個本身不具備應用價值的隱私數據集合。而在生產庫中存放的則是影化后信息數據，它包含一定的信息、以及和實化數據的關聯細節(jié)信息，但不在沒有隱私數據中心的信息支撐下，應用價值有限。真正掌握從影化數據對應到實化數據方法的是接口層，但因缺少元數據的支撐，無法進行信息組裝、提取。三個部分為一整體又相互獨立，缺少任何一方，均無實際應用意義，均為“無根之木，無源之水”。

由于大型IT系統(tǒng)的用戶數據量巨大，記錄信息數以億計，去隱私化的效率至為關鍵；同時數據去隱私化后，相關信息不能影響后續(xù)的應用、統(tǒng)計、分析過程[2]。因此必須能夠確?！坝盎焙髷祿目捎眯?。原有數據記錄通過影化后，保留最低可用的應用信息，將多余部分、隱私部分進行影化隱藏，替而代之的是由影化標識、影化一級域信息、分隔符、二級域等信息組成的內部關聯數據信息。

考慮到利于運算和性能高效，其中一、二級域信息均為數字類型，以期在運算效率獲得有效保障[3]。經過上述的影化處理后，數據中的“有效敏感”信息將完成去隱私化，對外呈現是無法讀懂但卻包含著和實化數據關聯信息的數據。

在現有主流技術方案下，獲取記錄信息獲取到的多是真實數據或加密后的靜態(tài)信息數據。而在實施影化后，接口獲取的信息將是影化后的去隱私化數據，如果此時已經滿足應用要求，則不再進一步提供真實數據，即實化數據，滿足了去隱私化要求。

如果某一應用確實需要獲取實化數據。那么將進一步調用接口層來完成影化數據實化操作。以應用需要獲取實化姓名為例：通過信息中存在的影化標識，可推斷該數據為影化數據，那么進而可根據其中的一級域信息和二級域信息，通過接口層來訪問隱私數據中心，用以獲取實化數據。

過程如圖2所示。

首先根據一級域信息參與第一次置換運算，得到二次指向目標信息。在二次指向目標對象中，然后根據二級域信息在指向目標處做為進行匹配定位，進而得到實化數據信息。為了更高級別的安全要求，實化數據可采用相應的加密算法進行加密存儲。

在得到加密實化數據后，接口層進行解密，并將解密信息返回應用，從而完成向應用提供實化數據過程。但是否需要數據實化，完全由接口層根據不同的應用需求來定制。若無實際的實化需求，則默認返回影化數據，即去隱私信息數據，完成最低可用程度的信息提供。

影化后應用全景如圖3所示。

2應用價值分析

影化方案能夠實現：分散管理，防范批量拖庫；分等分級、分步實施改造；掌握密權，可定期變更修改；內部改造，外圍應用無感知。

2.1分散管理，防范批量拖庫

生產庫、隱私數據中心、接口層各自獨立部署維護。如圖2所示，生產庫、隱私數據中心、接口層三位一體。生產庫去隱私化、缺少有效信息，但掌握著關聯信息；隱私數據中心存放真實數據，卻無關聯信息；接口層第三方維護，只有方法沒有數據；三者缺一無法獲取實化數據。生產庫、隱私數據中心采用不同的權利策略（應用、維護分離）；接口層分段開發(fā)，并和維護分離，達到分散管理，防范批量拖庫等類似大批量敏感數據泄露事件。

2.2分等分級、分步實施改造

對于未“影化”數據由接口直接提供；對于“影化”數據根據實際需要選擇性“實化”處理；可根據信息涉秘級別，分步實施“影化”處理，甚至可生產、實施同步進行。因此對于提供高流量支撐服務，高度關注內外部客戶滿意度的IT系統(tǒng)來說，等分級、分布實施改造的意義重大。

2.3掌握密權，可定期變更修改

掌握“影化”信息定義權；掌握“影化”邏輯定義權；掌握“影化”范圍權；掌握“影化”信息部署權；掌握“影化”實施計劃權；掌握“影化”變更權（存儲位置、加解密算法）從而達到掌握密權，可定期變更修改。

2.4內部改造，外圍應用無感知

由于數據影化的改造工程，屬于系統(tǒng)內部優(yōu)化，對外部應用無任何感知，因此不需要涉及外圍應用的同步改造，改造工程量可控，且應用穩(wěn)定性得到了保障。

3結束語

本方案適用于多系統(tǒng)并存，相互之間存在生產-消費關系；系統(tǒng)中存在著多角色人員介入情況。為了應用實現，數據、邏輯本身須是透明的，但在部署管理上做到三權分立，相互制約。所以在具體應用中須割裂各角色、各流程、各系統(tǒng)直接與間接聯系，實現生產、消費角色分離。不可存在某一方面在整體均可涉及的情況。同時用戶隱私數據量非常巨大，并且數據類型繁多，需要兼顧數據加密的效率和效果，此方式將對存儲、效率、易維護性帶來較大沖擊，但此文只是一種對新思路的探討、一種準備，在行業(yè)技術有所重大突破時，可有效降低或規(guī)避上訴問題后，再分步按需實施。

參考文獻：

[1] 顏亮， 文剛， 李林嘯. 影子文件實現文件透明加密技術研究[J]. 信息安全與通信保密， 2014 （9）： 98-107.

[2] 趙雪章， 席運江. 一種基于混沌理論的數據加密算法設計[J]. 計算機仿真， 2011， 28（2）： 120-123。

[3] Cormen T H，Leiserson C E. 算法導論[M]. 2版. 北京： 機械工業(yè)出版社， 2006： 20-35.