霍卓群

摘要：該文主要探討對(duì)IT系統(tǒng)中涉敏信息實(shí)施“影化”處理、離散化存儲(chǔ)。利用混淆映射置換和分層映射方式，將用戶隱私信息轉(zhuǎn)換為無(wú)法識(shí)別的離散數(shù)據(jù)流，完成對(duì)信息系統(tǒng)中的敏感信息隱藏，防止拖庫(kù)等批量資料信息非法獲取的情況發(fā)生。

關(guān)鍵詞：信息安全；影化數(shù)據(jù)；離散存儲(chǔ)

中圖分類號(hào)：TP309 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2015）09-0046-02

1原理與解決方案

在大型企業(yè)內(nèi)部，核心數(shù)據(jù)庫(kù)中的客戶信息數(shù)據(jù)，同時(shí)也用來為同系統(tǒng)內(nèi)的各類子系統(tǒng)所使用?！爸挥懈私饪蛻簦拍転榭蛻舾玫姆?wù)”，在系統(tǒng)內(nèi)部的確切數(shù)據(jù)是必須透明的，且應(yīng)有范圍、有選擇的提供給其他子系統(tǒng)應(yīng)用，從而達(dá)到更好的為客戶、為市場(chǎng)服務(wù)。如了解終端用戶的類別、歸屬等信息，提供更貼身的服務(wù)。

影子反映著某一時(shí)刻特定實(shí)物留下的特征印記，雖不能代替實(shí)體所有屬性，但在特定方面可和實(shí)體一樣提供一致的信息，并保留著定位實(shí)體的關(guān)聯(lián)信息。借助影子和實(shí)體之間的理念，我們思考對(duì)實(shí)體用戶資料信息進(jìn)行影化處理、離散化存儲(chǔ)[1]。在達(dá)到提供給其他應(yīng)用“最低可用程度”的信息支撐基礎(chǔ)之上，避免用戶敏感信息的“過度提供”。

影化后的目標(biāo)架構(gòu)模式如圖1所示。

在期望的目標(biāo)架構(gòu)中，隱私數(shù)據(jù)中心保存著真實(shí)的終端用戶數(shù)據(jù)信息（以下簡(jiǎn)稱實(shí)化數(shù)據(jù)）。是在進(jìn)行關(guān)系分割后，以散列化方式存儲(chǔ)的。它包含了相關(guān)信息數(shù)據(jù)全集，但卻不具備關(guān)聯(lián)關(guān)系，形成了一個(gè)本身不具備應(yīng)用價(jià)值的隱私數(shù)據(jù)集合。而在生產(chǎn)庫(kù)中存放的則是影化后信息數(shù)據(jù)，它包含一定的信息、以及和實(shí)化數(shù)據(jù)的關(guān)聯(lián)細(xì)節(jié)信息，但不在沒有隱私數(shù)據(jù)中心的信息支撐下，應(yīng)用價(jià)值有限。真正掌握從影化數(shù)據(jù)對(duì)應(yīng)到實(shí)化數(shù)據(jù)方法的是接口層，但因缺少元數(shù)據(jù)的支撐，無(wú)法進(jìn)行信息組裝、提取。三個(gè)部分為一整體又相互獨(dú)立，缺少任何一方，均無(wú)實(shí)際應(yīng)用意義，均為“無(wú)根之木，無(wú)源之水”。

由于大型IT系統(tǒng)的用戶數(shù)據(jù)量巨大，記錄信息數(shù)以億計(jì)，去隱私化的效率至為關(guān)鍵；同時(shí)數(shù)據(jù)去隱私化后，相關(guān)信息不能影響后續(xù)的應(yīng)用、統(tǒng)計(jì)、分析過程[2]。因此必須能夠確?！坝盎焙髷?shù)據(jù)的可用性。原有數(shù)據(jù)記錄通過影化后，保留最低可用的應(yīng)用信息，將多余部分、隱私部分進(jìn)行影化隱藏，替而代之的是由影化標(biāo)識(shí)、影化一級(jí)域信息、分隔符、二級(jí)域等信息組成的內(nèi)部關(guān)聯(lián)數(shù)據(jù)信息。

考慮到利于運(yùn)算和性能高效，其中一、二級(jí)域信息均為數(shù)字類型，以期在運(yùn)算效率獲得有效保障[3]。經(jīng)過上述的影化處理后，數(shù)據(jù)中的“有效敏感”信息將完成去隱私化，對(duì)外呈現(xiàn)是無(wú)法讀懂但卻包含著和實(shí)化數(shù)據(jù)關(guān)聯(lián)信息的數(shù)據(jù)。

在現(xiàn)有主流技術(shù)方案下，獲取記錄信息獲取到的多是真實(shí)數(shù)據(jù)或加密后的靜態(tài)信息數(shù)據(jù)。而在實(shí)施影化后，接口獲取的信息將是影化后的去隱私化數(shù)據(jù)，如果此時(shí)已經(jīng)滿足應(yīng)用要求，則不再進(jìn)一步提供真實(shí)數(shù)據(jù)，即實(shí)化數(shù)據(jù)，滿足了去隱私化要求。

如果某一應(yīng)用確實(shí)需要獲取實(shí)化數(shù)據(jù)。那么將進(jìn)一步調(diào)用接口層來完成影化數(shù)據(jù)實(shí)化操作。以應(yīng)用需要獲取實(shí)化姓名為例：通過信息中存在的影化標(biāo)識(shí)，可推斷該數(shù)據(jù)為影化數(shù)據(jù)，那么進(jìn)而可根據(jù)其中的一級(jí)域信息和二級(jí)域信息，通過接口層來訪問隱私數(shù)據(jù)中心，用以獲取實(shí)化數(shù)據(jù)。

過程如圖2所示。

首先根據(jù)一級(jí)域信息參與第一次置換運(yùn)算，得到二次指向目標(biāo)信息。在二次指向目標(biāo)對(duì)象中，然后根據(jù)二級(jí)域信息在指向目標(biāo)處做為進(jìn)行匹配定位，進(jìn)而得到實(shí)化數(shù)據(jù)信息。為了更高級(jí)別的安全要求，實(shí)化數(shù)據(jù)可采用相應(yīng)的加密算法進(jìn)行加密存儲(chǔ)。

在得到加密實(shí)化數(shù)據(jù)后，接口層進(jìn)行解密，并將解密信息返回應(yīng)用，從而完成向應(yīng)用提供實(shí)化數(shù)據(jù)過程。但是否需要數(shù)據(jù)實(shí)化，完全由接口層根據(jù)不同的應(yīng)用需求來定制。若無(wú)實(shí)際的實(shí)化需求，則默認(rèn)返回影化數(shù)據(jù)，即去隱私信息數(shù)據(jù)，完成最低可用程度的信息提供。

影化后應(yīng)用全景如圖3所示。

2應(yīng)用價(jià)值分析

影化方案能夠?qū)崿F(xiàn)：分散管理，防范批量拖庫(kù)；分等分級(jí)、分步實(shí)施改造；掌握密權(quán)，可定期變更修改；內(nèi)部改造，外圍應(yīng)用無(wú)感知。

2.1分散管理，防范批量拖庫(kù)

生產(chǎn)庫(kù)、隱私數(shù)據(jù)中心、接口層各自獨(dú)立部署維護(hù)。如圖2所示，生產(chǎn)庫(kù)、隱私數(shù)據(jù)中心、接口層三位一體。生產(chǎn)庫(kù)去隱私化、缺少有效信息，但掌握著關(guān)聯(lián)信息；隱私數(shù)據(jù)中心存放真實(shí)數(shù)據(jù)，卻無(wú)關(guān)聯(lián)信息；接口層第三方維護(hù)，只有方法沒有數(shù)據(jù)；三者缺一無(wú)法獲取實(shí)化數(shù)據(jù)。生產(chǎn)庫(kù)、隱私數(shù)據(jù)中心采用不同的權(quán)利策略（應(yīng)用、維護(hù)分離）；接口層分段開發(fā)，并和維護(hù)分離，達(dá)到分散管理，防范批量拖庫(kù)等類似大批量敏感數(shù)據(jù)泄露事件。

2.2分等分級(jí)、分步實(shí)施改造

對(duì)于未“影化”數(shù)據(jù)由接口直接提供；對(duì)于“影化”數(shù)據(jù)根據(jù)實(shí)際需要選擇性“實(shí)化”處理；可根據(jù)信息涉秘級(jí)別，分步實(shí)施“影化”處理，甚至可生產(chǎn)、實(shí)施同步進(jìn)行。因此對(duì)于提供高流量支撐服務(wù)，高度關(guān)注內(nèi)外部客戶滿意度的IT系統(tǒng)來說，等分級(jí)、分布實(shí)施改造的意義重大。

2.3掌握密權(quán)，可定期變更修改

掌握“影化”信息定義權(quán)；掌握“影化”邏輯定義權(quán)；掌握“影化”范圍權(quán)；掌握“影化”信息部署權(quán)；掌握“影化”實(shí)施計(jì)劃?rùn)?quán)；掌握“影化”變更權(quán)（存儲(chǔ)位置、加解密算法）從而達(dá)到掌握密權(quán)，可定期變更修改。

2.4內(nèi)部改造，外圍應(yīng)用無(wú)感知

由于數(shù)據(jù)影化的改造工程，屬于系統(tǒng)內(nèi)部?jī)?yōu)化，對(duì)外部應(yīng)用無(wú)任何感知，因此不需要涉及外圍應(yīng)用的同步改造，改造工程量可控，且應(yīng)用穩(wěn)定性得到了保障。

3結(jié)束語(yǔ)

本方案適用于多系統(tǒng)并存，相互之間存在生產(chǎn)-消費(fèi)關(guān)系；系統(tǒng)中存在著多角色人員介入情況。為了應(yīng)用實(shí)現(xiàn)，數(shù)據(jù)、邏輯本身須是透明的，但在部署管理上做到三權(quán)分立，相互制約。所以在具體應(yīng)用中須割裂各角色、各流程、各系統(tǒng)直接與間接聯(lián)系，實(shí)現(xiàn)生產(chǎn)、消費(fèi)角色分離。不可存在某一方面在整體均可涉及的情況。同時(shí)用戶隱私數(shù)據(jù)量非常巨大，并且數(shù)據(jù)類型繁多，需要兼顧數(shù)據(jù)加密的效率和效果，此方式將對(duì)存儲(chǔ)、效率、易維護(hù)性帶來較大沖擊，但此文只是一種對(duì)新思路的探討、一種準(zhǔn)備，在行業(yè)技術(shù)有所重大突破時(shí)，可有效降低或規(guī)避上訴問題后，再分步按需實(shí)施。

參考文獻(xiàn)：

[1] 顏亮， 文剛， 李林嘯. 影子文件實(shí)現(xiàn)文件透明加密技術(shù)研究[J]. 信息安全與通信保密， 2014 （9）： 98-107.

[2] 趙雪章， 席運(yùn)江. 一種基于混沌理論的數(shù)據(jù)加密算法設(shè)計(jì)[J]. 計(jì)算機(jī)仿真， 2011， 28（2）： 120-123。

[3] Cormen T H，Leiserson C E. 算法導(dǎo)論[M]. 2版. 北京： 機(jī)械工業(yè)出版社， 2006： 20-35.