電子政務(wù)數(shù)據(jù)脫敏關(guān)鍵技術(shù)應(yīng)用研究

郭贊宇，張旗

（1.工業(yè)和信息化部網(wǎng)絡(luò)安全產(chǎn)業(yè)發(fā)展中心（工業(yè)和信息化部信息中心），北京 100846；2.中孚信息股份有限公司，山東 濟南 250101）

0 引言

“數(shù)據(jù)脫敏”又被稱為“數(shù)據(jù)去隱私化”或“數(shù)據(jù)變形”，是在給定的規(guī)則、策略下對敏感數(shù)據(jù)進行變形、轉(zhuǎn)換和混淆等差異化處理的一種技術(shù)機制，主要解決敏感數(shù)據(jù)在非可信環(huán)境中安全使用的問題[1]。隨著國家電子政務(wù)體系建設(shè)的不斷推進，數(shù)據(jù)成為組織的核心資產(chǎn)，并受到前所未有的重視。但在各種利益的驅(qū)使下，電子政務(wù)系統(tǒng)成為不法分子攻擊的重點目標，數(shù)據(jù)泄露事件層出不窮，傳統(tǒng)以網(wǎng)絡(luò)為中心的安全策略已向以數(shù)據(jù)為中心轉(zhuǎn)變。數(shù)據(jù)脫敏作為數(shù)據(jù)安全不可或缺技術(shù)，在確保數(shù)據(jù)機密性、可用性和完整性，防止數(shù)據(jù)被泄露、篡改和破壞等方面發(fā)揮著重要的作用，已引起行業(yè)的高度關(guān)注。

1 相關(guān)背景

1.1 政策法規(guī)要求

政務(wù)信息安全關(guān)系國家安全、社會穩(wěn)定和公眾利益，一旦泄露則極易造成侵犯隱私、社會影響大、公信力和聲譽受損等惡性后果。為了強化數(shù)據(jù)安全合規(guī)性建設(shè)，國家行政機構(gòu)先后出臺各類相關(guān)的監(jiān)管法規(guī)，如《中華人民共和國數(shù)據(jù)安全法》《信息安全等級保護管理辦法》和《政務(wù)信息資源共享管理暫行辦法》等，對于重要敏感數(shù)據(jù)保護的要求，主要包括：

1）識別所涉及的敏感數(shù)據(jù)，并建立和維護敏感數(shù)據(jù)的目錄，明確對應(yīng)的保護策略和機制；

2）提供安全通信機制，保障通過互聯(lián)網(wǎng)所傳遞敏感數(shù)據(jù)的機密性和完整性；

3）運用安全防護機制，對保存有敏感數(shù)據(jù)的數(shù)據(jù)庫、文件和存儲依照策略實施加密、訪問控制、監(jiān)控與審計等保護措施。

另外， 《網(wǎng)絡(luò)安全等級保護基本要求》規(guī)定第三級安全要求滿足： “應(yīng)用系統(tǒng)必須提供敏感標記設(shè)置功能”和“依據(jù)安全策略嚴格控制用戶對有敏感標記重要信息資源的操作”等條件。

1.2 具體的安全要求

政務(wù)大數(shù)據(jù)平臺不僅實現(xiàn)了政務(wù)信息的共享交互，更為數(shù)據(jù)資產(chǎn)的匯聚整合和挖掘分析提供了支撐，給政府決策、公民服務(wù)、城市管理和公共安全等帶來了極大的便利，也使隱私、敏感信息保護面臨嚴峻的挑戰(zhàn)。數(shù)據(jù)脫敏的目標是實現(xiàn)數(shù)據(jù)高度安全與信息價值最大化之間矛盾平衡，應(yīng)該實現(xiàn)以下幾個方面的要求。

a）防止敏感數(shù)據(jù)泄漏

要求對重要敏感信息脫敏處理后，再提供給第三方使用，防止數(shù)據(jù)泄漏。

b）確保數(shù)據(jù)邏輯關(guān)聯(lián)可用性

脫敏策略和算法應(yīng)保證脫敏數(shù)據(jù)的有效性（保持原有的數(shù)據(jù)類型和業(yè)務(wù)格式不變）、完整性（保證長度不變、數(shù)據(jù)含義不丟失）、關(guān)系性（保持表間、表內(nèi)數(shù)據(jù)關(guān)聯(lián)關(guān)系），以提升測試、開發(fā)和應(yīng)用環(huán)節(jié)的數(shù)據(jù)真實性和可用性。

c）保證數(shù)據(jù)開放共享的安全

對數(shù)據(jù)庫訪問者的用戶名、IP、工具類型和時間等進行監(jiān)控，控制數(shù)據(jù)訪問結(jié)果的差異化，滿足細粒度的數(shù)據(jù)訪問需求。

d）實現(xiàn)脫敏規(guī)則可配置

根據(jù)不同的業(yè)務(wù)應(yīng)用需要，可動態(tài)地配置脫敏規(guī)則及算法，并且在配置條件不變的情況下，同源數(shù)據(jù)脫敏結(jié)果必須保持一致。

2 數(shù)據(jù)脫敏技術(shù)分析

2.1 數(shù)據(jù)脫敏規(guī)則

數(shù)據(jù)脫敏分為靜態(tài)數(shù)據(jù)脫敏和動態(tài)數(shù)據(jù)脫敏兩種，靜態(tài)數(shù)據(jù)脫敏適用于開發(fā)、測試環(huán)節(jié)的防數(shù)據(jù)泄漏場景；動態(tài)數(shù)據(jù)脫敏滿足“脫敏即使用”需求，適用于快速、低風險、平穩(wěn)提供生產(chǎn)數(shù)據(jù)庫的實時隱私保護。脫敏規(guī)則取決于脫敏算法，可產(chǎn)生不同的脫敏結(jié)果[2]，具體內(nèi)容如表1所示。

表1 脫敏規(guī)則

在實際中，根據(jù)脫敏對象數(shù)據(jù)類型、應(yīng)用場景和保持特征確定對應(yīng)的脫敏規(guī)則；另外，還需考慮算法開銷因素。

2.2 敏感數(shù)據(jù)識別與分類

對敏感數(shù)據(jù)安全交互共享實施保護，需要先對其進行識別與分類處理。

a）敏感信息發(fā)現(xiàn)識別

傳統(tǒng)對敏感字段識別主要通過基于關(guān)鍵字、正則表達式或數(shù)據(jù)指紋的規(guī)則庫匹配實現(xiàn)，但如若規(guī)則庫內(nèi)容不全，則極易造成漏報。隨著識別算法的不斷優(yōu)化和數(shù)據(jù)模型的日趨完善，利用機器學習算法挖掘潛在的關(guān)鍵字，并完善充實規(guī)則庫，進而主動地發(fā)現(xiàn)重要敏感的政務(wù)數(shù)據(jù)。

b）敏感信息分類分級

依據(jù)政府數(shù)據(jù)分類分級相關(guān)標準，按主題、行業(yè)和服務(wù)對政務(wù)數(shù)據(jù)分類，并按照數(shù)據(jù)的價值、內(nèi)容敏感程度、影響和共享范圍劃分敏感級別[3]。為了實現(xiàn)對敏感信息的威脅評級，可構(gòu)建k-means聚類模型，以篩選疑似高危信息，通過威脅評分模型進行評級，對敏感數(shù)據(jù)給出高危、中危和低危的標簽。

2.3 不同類型數(shù)據(jù)的脫敏處理

2.3.1 流式數(shù)據(jù)脫敏

對于實時計算、動態(tài)增加、響應(yīng)要求及時的流式數(shù)據(jù)脫敏處理，通過以下方式實現(xiàn)。

a）基于Storm的流式數(shù)據(jù)脫敏

基于Storm的流式數(shù)據(jù)脫敏處理流程圖如圖1所示。分布式Storm數(shù)據(jù)流處理系統(tǒng)的核心組件spout負責輸入流管理，適用于增量聚類的實時計算處理，增量數(shù)據(jù)脫敏處理依據(jù)數(shù)據(jù)脫敏算法庫中的脫敏規(guī)則。兩種流式數(shù)據(jù)脫敏方式：對于第三方應(yīng)用接口接入的數(shù)據(jù)，經(jīng)Kafka消息中間件提交Storm實時計算，通過開箱即用的分布式RPC，無需等待全量數(shù)據(jù)形成，系統(tǒng)即可讀取歷史數(shù)據(jù)并結(jié)合相應(yīng)的算法，實現(xiàn)泛化處理數(shù)據(jù)，極大地提高了脫敏效率；對于全量數(shù)據(jù)，數(shù)據(jù)脫敏模塊直接調(diào)取基于全量數(shù)據(jù)的脫敏算法，處理生成脫敏結(jié)果。

圖1 基于Storm的流式數(shù)據(jù)脫敏處理流程圖

b）基于Spark Streaming的流式數(shù)據(jù)脫敏

基于Spark Streaming的流式數(shù)據(jù)脫敏處理流程圖如圖2所示。Spark Streaming接收實時輸入數(shù)據(jù)流，可將數(shù)據(jù)分成多個batch，再交由Spark引擎處理，以批量生成最終結(jié)果流，具有可擴展、高吞吐量和容錯等特點。因此，基于Spark Streaming的流式數(shù)據(jù)脫敏，也可視為微批處理的數(shù)據(jù)脫敏，適用于需要有狀態(tài)計算且延遲性要求不高的流式數(shù)據(jù)脫敏應(yīng)用。

圖2 基于SparkStreaming的流式數(shù)據(jù)脫敏處理流程圖

流式數(shù)據(jù)脫敏的特點是“數(shù)據(jù)發(fā)生即可脫敏”，但難以利用全量數(shù)據(jù)做復雜的關(guān)聯(lián)處理。

2.3.2 批量數(shù)據(jù)脫敏

批量數(shù)據(jù)脫敏面向的數(shù)據(jù)源狀態(tài)比較穩(wěn)定，相對流式數(shù)據(jù)脫敏而言，批量數(shù)據(jù)脫敏可根據(jù)數(shù)據(jù)間的關(guān)聯(lián)關(guān)系，運用復雜的脫敏算法和安全策略，以得到更好的脫敏效果。在實際應(yīng)用中，對基于Flume采集的批量數(shù)據(jù)，可以編寫內(nèi)容攔截器來實現(xiàn)敏感詞過濾，再調(diào)用脫敏程序?qū)^濾后的結(jié)果進行處理；對于關(guān)系型數(shù)據(jù)庫的批量數(shù)據(jù)采集，利用Sqoop實現(xiàn)敏感數(shù)據(jù)的抽取，再通過UDF任務(wù)調(diào)度程序，完成批量數(shù)據(jù)脫敏處理。

3 數(shù)據(jù)脫敏在政務(wù)大數(shù)據(jù)平臺中的應(yīng)用

政務(wù)大數(shù)據(jù)平臺[4]為多源數(shù)據(jù)的匯集整合、分析挖掘和共享交互提供支撐，通過用戶認證、權(quán)限管理及數(shù)據(jù)加密等技術(shù)可增強數(shù)據(jù)安全性，但無法完全解決數(shù)據(jù)內(nèi)部泄露、惡意攻擊等問題。引入數(shù)據(jù)脫敏機制，可保證數(shù)據(jù)可用性的同時，解耦敏感內(nèi)容與數(shù)據(jù)業(yè)務(wù)的關(guān)聯(lián)，提升對數(shù)據(jù)的細粒度安全控制。

3.1 政務(wù)數(shù)據(jù)脫敏業(yè)務(wù)

所有接入政務(wù)大數(shù)據(jù)平臺的重要敏感數(shù)據(jù)，要求加密存儲至政務(wù)數(shù)據(jù)中心的貼源數(shù)據(jù)庫，對于高頻使用、屬性較穩(wěn)定的敏感數(shù)據(jù)，根據(jù)安全策略和脫敏規(guī)則，經(jīng)脫敏處理后存儲至脫敏數(shù)據(jù)庫，供上層應(yīng)用高效地調(diào)取。數(shù)據(jù)脫敏涉及大數(shù)據(jù)接入平臺、安全管理平臺、密鑰中心和數(shù)據(jù)中心等系統(tǒng)的交互協(xié)同[5]，業(yè)務(wù)關(guān)系如圖4所示，其中各個模塊的功能如下所述。

圖3 基于批量數(shù)據(jù)脫敏處理流程圖

圖4 政務(wù)數(shù)據(jù)脫敏業(yè)務(wù)邏輯關(guān)系圖

a）數(shù)據(jù)源

各類敏感數(shù)據(jù)源根據(jù)密鑰中心分發(fā)的加密證書，與政務(wù)大數(shù)據(jù)接入平臺建立加密傳輸通道，確保數(shù)據(jù)傳輸安全。

b）密鑰服務(wù)中心

按照統(tǒng)一安全加密和認證授權(quán)策略，為各類合法的用戶、應(yīng)用服務(wù)及設(shè)備提供密鑰配置管理、密鑰/證書的生成與分發(fā)等服務(wù)，為敏感數(shù)據(jù)加密和脫敏處理提供密鑰。

c）政務(wù)大數(shù)據(jù)接入平臺

提供ETL/ELT服務(wù)機制，負責政務(wù)數(shù)據(jù)匯集整合，支撐批量、流式數(shù)據(jù)處理。根據(jù)政務(wù)數(shù)據(jù)分類分級策略，利用密鑰服務(wù)中心產(chǎn)生的加密密鑰加密敏感數(shù)據(jù)，再提交政務(wù)數(shù)據(jù)中心存儲。

d）數(shù)據(jù)安全管理平臺

實現(xiàn)政務(wù)數(shù)據(jù)分類分級、敏感數(shù)據(jù)識別標注、制定加密/脫敏規(guī)則和統(tǒng)一數(shù)據(jù)權(quán)限管理等安全功能，為數(shù)據(jù)脫敏業(yè)務(wù)提供基礎(chǔ)環(huán)境。

e）政務(wù)數(shù)據(jù)中心

提供具備SQL引擎的安全存儲機制，將加密后的政務(wù)數(shù)據(jù)存儲至貼源數(shù)據(jù)庫，同時，為提高數(shù)據(jù)服務(wù)效率，可根據(jù)業(yè)務(wù)需求，定制化地配置庫中常用的敏感數(shù)據(jù)，先對其解密還原，再按安全策略和脫敏規(guī)則進行分布式脫敏處理，將結(jié)果存儲至脫敏庫中。

3.2 政務(wù)數(shù)據(jù)處理流程

政務(wù)數(shù)據(jù)處理主要包括兩大部分，即：數(shù)據(jù)接入處理和數(shù)據(jù)脫敏處理。

具體的業(yè)務(wù)處理流程如圖5所示。

圖5 政務(wù)數(shù)據(jù)脫敏業(yè)務(wù)處理流程圖

4 結(jié)束語

數(shù)據(jù)脫敏為平衡數(shù)據(jù)安全與開放共享的矛盾提供了有效的手段，面對復雜業(yè)務(wù)場景，需要建立敏感數(shù)據(jù)管理策略，結(jié)合數(shù)據(jù)分類分級、內(nèi)容識別分析、數(shù)據(jù)流轉(zhuǎn)監(jiān)管與審計等技術(shù)，進一步地實現(xiàn)敏感數(shù)據(jù)地圖、敏感數(shù)據(jù)血緣和敏感數(shù)據(jù)搜索等功能，以支撐政務(wù)數(shù)據(jù)安全管理體系。