陳天瑩，陳劍鋒,2,3

（1.中國(guó)電子科技網(wǎng)絡(luò)信息安全有限公司，四川 成都 610041；2.中國(guó)電科網(wǎng)絡(luò)空間安全技術(shù)重點(diǎn)實(shí)驗(yàn)室，四川 成都 610041；3.保密通信重點(diǎn)實(shí)驗(yàn)室，四川 成都 610041）

大數(shù)據(jù)環(huán)境下的智能數(shù)據(jù)脫敏系統(tǒng)*

陳天瑩1，陳劍鋒1,2,3

（1.中國(guó)電子科技網(wǎng)絡(luò)信息安全有限公司，四川 成都 610041；2.中國(guó)電科網(wǎng)絡(luò)空間安全技術(shù)重點(diǎn)實(shí)驗(yàn)室，四川 成都 610041；3.保密通信重點(diǎn)實(shí)驗(yàn)室，四川 成都 610041）

隨著大數(shù)據(jù)時(shí)代的到來(lái)，大數(shù)據(jù)中蘊(yùn)藏的巨大商業(yè)價(jià)值得以挖掘并面世，同時(shí)也帶來(lái)了隱私、敏感信息保護(hù)方面的棘手難題。大數(shù)據(jù)安全區(qū)別于傳統(tǒng)信息安全的本質(zhì)在于數(shù)據(jù)層面，即如何在實(shí)現(xiàn)大數(shù)據(jù)高效共享、分析挖掘的同時(shí)，保護(hù)敏感及隱私信息不被泄露。通過(guò)對(duì)現(xiàn)有數(shù)據(jù)脫敏技術(shù)原理、機(jī)制和過(guò)程等方面的深入研究，總結(jié)當(dāng)前主流脫敏方法存在的缺點(diǎn)和不足，創(chuàng)新性地提出了大數(shù)據(jù)環(huán)境下的智能數(shù)據(jù)脫敏系統(tǒng)。該系統(tǒng)能夠以集中式、低耦合和高容量的方式，幫助政府、企業(yè)等用戶解決敏感及隱私數(shù)據(jù)在共享、交換及使用過(guò)程中的難題。

大數(shù)據(jù)安全；數(shù)據(jù)脫敏；信息安全；數(shù)據(jù)隱私

0 引 言

信息技術(shù)與經(jīng)濟(jì)社會(huì)的交匯融合引發(fā)了數(shù)據(jù)的迅猛增長(zhǎng)，數(shù)據(jù)成為國(guó)家基礎(chǔ)性戰(zhàn)略資源。進(jìn)入大數(shù)據(jù)時(shí)代，企業(yè)收集的數(shù)據(jù)越來(lái)越多，數(shù)據(jù)外泄事件一再發(fā)生，企業(yè)信息受到嚴(yán)重威脅。為此，企業(yè)積極投資于數(shù)據(jù)隱私和數(shù)據(jù)安全技術(shù)，將不可預(yù)見(jiàn)的安全成本最小化并減少風(fēng)險(xiǎn)損失。Ponemon Institute公司針對(duì)美國(guó)近年來(lái)數(shù)據(jù)外泄成本進(jìn)行的基礎(chǔ)研究發(fā)現(xiàn)，平均每起數(shù)據(jù)外泄的成本為720萬(wàn)美元，每條外泄記錄的成本為214美元，其中最高的數(shù)據(jù)外泄比率來(lái)自于內(nèi)部人員的疏忽，占比為41%[1]。這意味在業(yè)務(wù)分析、開(kāi)發(fā)測(cè)試、審計(jì)監(jiān)管等使用場(chǎng)合中，敏感數(shù)據(jù)具有極高的安全風(fēng)險(xiǎn)。如何在這些階段中確保生產(chǎn)數(shù)據(jù)的安全，已經(jīng)成為業(yè)界極為關(guān)注的問(wèn)題。

在大數(shù)據(jù)快速推動(dòng)國(guó)家信息化發(fā)展的整體趨勢(shì)下，第十三個(gè)五年規(guī)劃綱要中明確提出：“實(shí)施國(guó)家大數(shù)據(jù)戰(zhàn)略，推進(jìn)數(shù)據(jù)資源開(kāi)放共享?！比欢餍袠I(yè)數(shù)據(jù)資源中往往包含大量的敏感和重要信息，一旦泄露或遭到非法利用，將會(huì)給個(gè)人甚至是國(guó)家?guī)?lái)無(wú)法彌補(bǔ)的損失。同時(shí)，隨著大數(shù)據(jù)分析的成熟和價(jià)值挖掘的深入，從看似安全的數(shù)據(jù)中還原出用戶的敏感、隱私信息已不再困難。如何在數(shù)據(jù)交換、共享及使用等過(guò)程中實(shí)現(xiàn)對(duì)敏感數(shù)據(jù)的定向、精準(zhǔn)和徹底脫敏，達(dá)到數(shù)據(jù)安全、可信、受控使用的目標(biāo)，是數(shù)據(jù)產(chǎn)生者和管理者亟待解決的技術(shù)問(wèn)題。

數(shù)據(jù)脫敏又稱數(shù)據(jù)去隱私化或數(shù)據(jù)變形，是在給定的規(guī)則、策略下對(duì)敏感數(shù)據(jù)進(jìn)行變換、修改的技術(shù)機(jī)制，能夠在很大程度上解決敏感數(shù)據(jù)在非可信環(huán)境中使用的問(wèn)題。Gartner認(rèn)為，數(shù)據(jù)脫敏應(yīng)成為相關(guān)企業(yè)在軟件開(kāi)發(fā)、數(shù)據(jù)分析和培訓(xùn)時(shí)的強(qiáng)制選項(xiàng)[2]。目前，數(shù)據(jù)脫敏的主要實(shí)踐者包括IBM、ORACLE和Informatica。他們憑借在傳統(tǒng)數(shù)據(jù)庫(kù)行業(yè)較早的進(jìn)入時(shí)間、較深厚的實(shí)踐經(jīng)驗(yàn)和技術(shù)積累，占據(jù)了多數(shù)市場(chǎng)份額。相較國(guó)內(nèi)，數(shù)據(jù)脫敏的研究和應(yīng)用剛剛起步，銀行、通信運(yùn)營(yíng)商根據(jù)自身需求制訂了一些數(shù)據(jù)脫敏解決方案，但多以靜態(tài)脫敏為主，設(shè)計(jì)流程固定，工具能力有限，專用性較強(qiáng)，配置規(guī)則復(fù)雜，維護(hù)困難，不能滿足數(shù)據(jù)交互流量的不斷增長(zhǎng)和復(fù)雜多變的安全處理需求[3-4]。

論文第一部分將介紹大數(shù)據(jù)環(huán)境下敏感數(shù)據(jù)面臨的風(fēng)險(xiǎn)、已有防護(hù)手段和數(shù)據(jù)脫敏原理，第二部分概括由目標(biāo)、策略和實(shí)現(xiàn)機(jī)制構(gòu)成的數(shù)據(jù)脫敏過(guò)程，第三部分則結(jié)合大數(shù)據(jù)環(huán)境的實(shí)際需求，設(shè)計(jì)并實(shí)現(xiàn)智能大數(shù)據(jù)脫敏系統(tǒng)，同時(shí)闡述其架構(gòu)、處理流程、基本功能及運(yùn)行模式。最后總結(jié)全文。

1 數(shù)據(jù)脫敏的動(dòng)機(jī)

1.1 敏感數(shù)據(jù)的安全風(fēng)險(xiǎn)

敏感數(shù)據(jù)又稱隱私數(shù)據(jù)，常見(jiàn)的有姓名、身份證號(hào)碼、住址、電話、銀行賬號(hào)、郵箱、密碼、醫(yī)療信息、教育背景等。這些與個(gè)人生活、工作密切相關(guān)的信息受到不同行業(yè)和政府?dāng)?shù)據(jù)隱私法規(guī)的管制。如果負(fù)責(zé)存儲(chǔ)和發(fā)布這些信息的企業(yè)或政府無(wú)法保證數(shù)據(jù)隱私，他們就會(huì)面臨嚴(yán)重的財(cái)務(wù)、法律或問(wèn)責(zé)風(fēng)險(xiǎn)，同時(shí)在用戶信任方面蒙受巨大損失。

敏感數(shù)據(jù)在其生命周期的各個(gè)環(huán)節(jié)，也即數(shù)據(jù)的產(chǎn)生、存儲(chǔ)、應(yīng)用、交換等環(huán)節(jié)中均存在被泄露和攻擊的風(fēng)險(xiǎn)。這些風(fēng)險(xiǎn)包括網(wǎng)絡(luò)協(xié)議漏洞、數(shù)據(jù)庫(kù)入侵、內(nèi)部人員越權(quán)訪問(wèn)、社會(huì)工程學(xué)、高級(jí)持續(xù)性威脅以及合法人員的錯(cuò)誤配置等。多數(shù)企業(yè)將安全工作的重心放在外圍安全和終端防護(hù)上，往往購(gòu)買防火墻、反病毒軟件，并對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行安全配置。但是，對(duì)于數(shù)據(jù)這一企業(yè)的核心資產(chǎn)而言，這種防護(hù)方式實(shí)現(xiàn)的能力有限。隨著大數(shù)據(jù)時(shí)代信息的價(jià)值性越來(lái)越突出，企業(yè)應(yīng)當(dāng)將安全投資側(cè)重于保護(hù)數(shù)據(jù)層面的攻擊風(fēng)險(xiǎn)，以取得理想的安全收益。

1.2 當(dāng)前的數(shù)據(jù)安全防護(hù)手段

數(shù)據(jù)安全是信息安全的重要一環(huán)。當(dāng)前，對(duì)數(shù)據(jù)安全的防護(hù)手段包括對(duì)稱/非對(duì)稱加密、同態(tài)加密、訪問(wèn)控制、安全審計(jì)和備份恢復(fù)等。

對(duì)稱/非對(duì)稱加密：加密是對(duì)原來(lái)為明文的數(shù)據(jù)按某種算法進(jìn)行處理，使其成為不可讀的亂碼，從而達(dá)到保護(hù)數(shù)據(jù)而不被非法竊取、閱讀的目的。傳統(tǒng)加密技術(shù)由對(duì)稱、非對(duì)稱和散列算法構(gòu)成，具有極高的安全強(qiáng)度，能夠保證數(shù)據(jù)在傳輸過(guò)程中的機(jī)密性和完整性。但是，由于數(shù)據(jù)在使用時(shí)必須完全解密，對(duì)最終用戶而言，敏感數(shù)據(jù)依然是明文，因而無(wú)法同時(shí)滿足敏感數(shù)據(jù)安全性和可用性的需求。

同態(tài)加密：同態(tài)加密是一種加密形式，允許人們通過(guò)精心設(shè)計(jì)的密碼算法對(duì)密文進(jìn)行特定的代數(shù)運(yùn)算并解密，其結(jié)果與對(duì)明文進(jìn)行同樣的運(yùn)算結(jié)果一致。同態(tài)加密能夠從根本上解決將數(shù)據(jù)及其操作委托給第三方時(shí)的保密問(wèn)題，但由于加密后的數(shù)據(jù)缺乏語(yǔ)義，因而除簡(jiǎn)單的統(tǒng)計(jì)外，無(wú)法執(zhí)行更精細(xì)的數(shù)據(jù)分析、挖掘和價(jià)值發(fā)現(xiàn)等操作。另外，當(dāng)前同態(tài)的性能也遠(yuǎn)未達(dá)到生產(chǎn)級(jí)別數(shù)據(jù)的處理需求。

訪問(wèn)控制：根據(jù)預(yù)定義的數(shù)據(jù)模型和用戶角色模型，對(duì)數(shù)據(jù)庫(kù)、數(shù)據(jù)表的訪問(wèn)行為進(jìn)行檢測(cè)和判斷，在必要時(shí)阻斷查詢語(yǔ)句以保護(hù)敏感信息的安全。訪問(wèn)控制雖然提供了一定意義上的敏感數(shù)據(jù)保護(hù)能力，但是這種粗粒度的攔截方式難以滿足甚至違背了大數(shù)據(jù)環(huán)境下共享交換、綜合分析挖掘的需求和原則。

安全審計(jì)：對(duì)數(shù)據(jù)請(qǐng)求進(jìn)行全時(shí)嚴(yán)密監(jiān)控，對(duì)敏感信息的訪問(wèn)者和訪問(wèn)時(shí)間進(jìn)行詳細(xì)的審核和記錄，通過(guò)安全分析檢測(cè)非法行為，并與其他手段聯(lián)動(dòng)對(duì)違規(guī)事件進(jìn)行處置。安全審計(jì)的缺點(diǎn)在于，它是一種事后核查機(jī)制，只能在發(fā)生數(shù)據(jù)泄漏問(wèn)題后才能生效，無(wú)法實(shí)時(shí)對(duì)攻擊進(jìn)行攔截和阻斷以實(shí)現(xiàn)防患于未然。

備份恢復(fù)：通過(guò)分布式存儲(chǔ)、冗余和恢復(fù)來(lái)實(shí)現(xiàn)數(shù)據(jù)的容災(zāi)安全性，是一種可用性機(jī)制。

綜上所述，這些手段均有各自的優(yōu)點(diǎn)和適應(yīng)領(lǐng)域，但它們用于敏感數(shù)據(jù)防護(hù)方面仍有欠缺，無(wú)法在不妨礙已有的數(shù)據(jù)處理、操作及分析過(guò)程的同時(shí)，實(shí)現(xiàn)對(duì)敏感數(shù)據(jù)的針對(duì)性保護(hù)。

1.3 數(shù)據(jù)脫敏原理

數(shù)據(jù)脫敏在保留數(shù)據(jù)原始特征的條件下，按需進(jìn)行敏感信息內(nèi)容的變換。只有授權(quán)的管理員或用戶，在必須知曉的情況下，才可通過(guò)特定應(yīng)用程序與工具訪問(wèn)數(shù)據(jù)的真實(shí)值，從而降低這些重要數(shù)據(jù)在共享和移動(dòng)時(shí)的風(fēng)險(xiǎn)。數(shù)據(jù)脫敏在不降低安全性的前提下，使原有數(shù)據(jù)的使用范圍和共享對(duì)象得以拓展，因而是大數(shù)據(jù)環(huán)境下最有效的敏感數(shù)據(jù)保護(hù)方法。

任何涉及敏感信息的行業(yè)都對(duì)數(shù)據(jù)脫敏有著天然的需求。其中，金融、政府和醫(yī)療行業(yè)首當(dāng)其沖。相關(guān)單位在應(yīng)用開(kāi)發(fā)、測(cè)試、培訓(xùn)等活動(dòng)中普遍使用真實(shí)數(shù)據(jù)，導(dǎo)致數(shù)據(jù)在暴露期間面臨嚴(yán)重泄露風(fēng)險(xiǎn)。在數(shù)據(jù)脫敏的幫助下，企業(yè)能夠按照數(shù)據(jù)使用目標(biāo)，通過(guò)定義精確、靈活的脫敏策略，按照用戶的權(quán)限等級(jí)，針對(duì)不同類別的數(shù)據(jù)以不同方式脫敏，實(shí)現(xiàn)跨工具、應(yīng)用程序和環(huán)境的迅速、一致性的訪問(wèn)限制。

數(shù)據(jù)脫敏通常遵循的幾條原則包括[5]：

（1）數(shù)據(jù)脫敏算法通常應(yīng)當(dāng)是不可逆的，必須防止使用非敏感數(shù)據(jù)推斷、重建敏感原始數(shù)據(jù)。但在一些特定場(chǎng)合，也存在可恢復(fù)式數(shù)據(jù)脫敏需求。

（2）脫敏后的數(shù)據(jù)應(yīng)具有原數(shù)據(jù)的大部分特征，因?yàn)樗鼈內(nèi)詫⒂糜陂_(kāi)發(fā)或測(cè)試場(chǎng)合。帶有數(shù)值分布范圍、具有指定格式（如信用卡號(hào)前四位指代銀行名稱）的數(shù)據(jù)，在脫敏后應(yīng)與原始信息相似；姓名和地址等字段應(yīng)符合基本的語(yǔ)言認(rèn)知，而不是無(wú)意義的字符串。在要求較高的情形下，還要求具有與原始數(shù)據(jù)一致的頻率分布、字段唯一性等。

（3）數(shù)據(jù)的引用完整性應(yīng)予保留，如果被脫敏的字段是數(shù)據(jù)表主鍵，那么相關(guān)的引用記錄必須同步更改。

（4）對(duì)所有可能生成敏感數(shù)據(jù)的非敏感字段同樣進(jìn)行脫敏處理。例如，在學(xué)生成績(jī)單中為隱藏姓名與成績(jī)的對(duì)應(yīng)關(guān)系，將“姓名”作為敏感字段進(jìn)行變換。但是，如果能夠憑借某“籍貫”的唯一性推導(dǎo)出“姓名”，則需要將“籍貫”一并變換。

（5）脫敏過(guò)程應(yīng)是自動(dòng)化、可重復(fù)的。因?yàn)閿?shù)據(jù)處于不停的變化中，期望對(duì)所需數(shù)據(jù)進(jìn)行一勞永逸式的脫敏并不現(xiàn)實(shí)。生產(chǎn)環(huán)境中數(shù)據(jù)的生成速度極快，脫敏過(guò)程必須能夠在規(guī)則的引導(dǎo)下自動(dòng)化進(jìn)行，才能達(dá)到可用性要求；另一種意義上的可重復(fù)性，是指脫敏結(jié)果的穩(wěn)定性。在某些場(chǎng)景下，對(duì)同一字段脫敏的每輪計(jì)算結(jié)果都相同或者都不同，以滿足數(shù)據(jù)使用方可測(cè)性、模型正確性、安全性等指標(biāo)的要求。

2 數(shù)據(jù)脫敏過(guò)程

2.1 脫敏目標(biāo)確認(rèn)

數(shù)據(jù)脫敏通常會(huì)帶來(lái)一定的業(yè)務(wù)性能開(kāi)銷，其運(yùn)行和維護(hù)過(guò)程也需要成本投入。企業(yè)應(yīng)根據(jù)自身的業(yè)務(wù)運(yùn)行特征、數(shù)據(jù)資產(chǎn)價(jià)值和風(fēng)險(xiǎn)承受能力制訂不同的脫敏目標(biāo)。

脫敏目標(biāo)中較為關(guān)鍵的部分是數(shù)據(jù)敏感程度的分級(jí)和確認(rèn)，包括確認(rèn)原始數(shù)據(jù)的主觀敏感度、在各種使用場(chǎng)景下的關(guān)聯(lián)性、脫敏后數(shù)據(jù)在系統(tǒng)開(kāi)發(fā)測(cè)試方面的可用性等。敏感信息字段名稱、敏感級(jí)別、字段類型、字段長(zhǎng)度、賦值規(guī)范等內(nèi)容，需要在這一過(guò)程中明確，以作為脫敏策略制訂的依據(jù)。

2.2 脫敏策略制訂

脫敏策略是在脫敏過(guò)程中貫徹的規(guī)則、規(guī)范、方法和限制的統(tǒng)稱。脫敏規(guī)則是根據(jù)數(shù)據(jù)及用戶的特點(diǎn)制訂的全局和個(gè)別配置，用以指導(dǎo)脫敏過(guò)程的實(shí)現(xiàn)；脫敏規(guī)范是數(shù)據(jù)在處理中必須遵循的安全法規(guī)及行業(yè)標(biāo)準(zhǔn)；脫敏方法是對(duì)敏感數(shù)據(jù)進(jìn)行具體變換操作的算法及流程；脫敏限制是應(yīng)用脫敏方法時(shí)受到的條件和制約，如時(shí)空復(fù)雜度要求、時(shí)效性要求、接口要求等。

在脫敏策略中，脫敏方法是數(shù)據(jù)脫敏的重心和難點(diǎn)，包括可恢復(fù)和不可恢復(fù)兩類，原理都是將原始數(shù)據(jù)轉(zhuǎn)換為“看起來(lái)很真實(shí)的假數(shù)據(jù)”。

幾種常見(jiàn)的脫敏方法包括[6]：

替換：以虛構(gòu)的數(shù)據(jù)代替真值。例如，建立一個(gè)較大的虛擬值數(shù)據(jù)表，對(duì)每一真實(shí)值記錄產(chǎn)生隨機(jī)種子，對(duì)原始數(shù)據(jù)內(nèi)容進(jìn)行哈希映射替換。這種方法得到的數(shù)據(jù)與真實(shí)數(shù)據(jù)非常相似。

無(wú)效化：以NULL或*****代替真值或真值的一部分，如遮蓋信用卡號(hào)的后12位。

置亂：對(duì)敏感數(shù)據(jù)列的值進(jìn)行重新隨機(jī)分布，混淆原有值和其他字段的聯(lián)系。這種方法不影響原有數(shù)據(jù)的統(tǒng)計(jì)特性，如最大/最小/方差等均與原數(shù)據(jù)無(wú)異。

均值化：針對(duì)數(shù)值型數(shù)據(jù)，首先計(jì)算它們的均值，然后使脫敏后的值在均值附近隨機(jī)分布，從而保持?jǐn)?shù)據(jù)的總和不變。通常用于產(chǎn)品成本表、工資表等場(chǎng)合。

反推斷：查找可能由某些字段推斷出另一敏感字段的映射，并對(duì)這些字段進(jìn)行脫敏，如從出生日期可推斷出身份證號(hào)、性別、地區(qū)的場(chǎng)景。

偏移：通過(guò)隨機(jī)移位改變數(shù)字?jǐn)?shù)據(jù)。

FPE：Format Preserving Encryption，即格式維持的加密是一種特殊的可逆脫敏方法。通過(guò)加密密鑰和算法對(duì)原始數(shù)據(jù)進(jìn)行加密，密文格式與原始數(shù)據(jù)在邏輯規(guī)則上一致，如都為日期、卡號(hào)、結(jié)構(gòu)化值等。通過(guò)解密密鑰可以恢復(fù)原始數(shù)據(jù)。

基于其他參考信息進(jìn)行屏蔽：根據(jù)預(yù)定義規(guī)則僅改變部分回應(yīng)內(nèi)容（例如，屏蔽VIP客戶姓名，但顯示其他客戶等）。

限制返回行數(shù)：僅提供響應(yīng)數(shù)據(jù)的子集，防止用戶訪問(wèn)到全部符合要求的數(shù)據(jù)。

2.3 數(shù)據(jù)脫敏實(shí)現(xiàn)

按照作用位置、實(shí)現(xiàn)原理不同，數(shù)據(jù)脫敏可以劃分為靜態(tài)數(shù)據(jù)脫敏（Static Data Masking，SDM）和動(dòng)態(tài)數(shù)據(jù)脫敏（Dynamic Data Masking，DDM）。隨著數(shù)據(jù)脫敏的應(yīng)用領(lǐng)域從非生產(chǎn)系統(tǒng)拓展到生產(chǎn)系統(tǒng)，業(yè)界的技術(shù)需求也逐步從SDM過(guò)渡到SDM/ DDM并重。

SDM一般用于非生產(chǎn)環(huán)境。在不能將敏感數(shù)據(jù)存儲(chǔ)于非生產(chǎn)環(huán)境的場(chǎng)合中，通過(guò)脫敏程序轉(zhuǎn)換生產(chǎn)數(shù)據(jù)，使數(shù)據(jù)內(nèi)容及數(shù)據(jù)間的關(guān)聯(lián)能夠滿足測(cè)試、開(kāi)發(fā)中的問(wèn)題排查需要，同時(shí)進(jìn)行數(shù)據(jù)分析、數(shù)據(jù)挖掘等分析活動(dòng)。而DDM通常用于生產(chǎn)環(huán)境，在敏感數(shù)據(jù)被低權(quán)限個(gè)體訪問(wèn)時(shí)才對(duì)其進(jìn)行脫敏，并能夠根據(jù)策略執(zhí)行相應(yīng)的脫敏方法。SDM與DDM的區(qū)別在于，是否在使用敏感數(shù)據(jù)時(shí)才進(jìn)行脫敏。這將影響脫敏規(guī)則的實(shí)現(xiàn)位置、脫敏方法和策略等參數(shù)。

目前，在傳統(tǒng)關(guān)系型數(shù)據(jù)庫(kù)中，SDM依然是重要的數(shù)據(jù)保護(hù)方法，其執(zhí)行能力、質(zhì)量和可擴(kuò)展性較好，適合在數(shù)據(jù)的時(shí)效性需求不高的場(chǎng)合中使用。然而，在大數(shù)據(jù)環(huán)境中，數(shù)據(jù)的海量、異構(gòu)、實(shí)時(shí)處理將成為常態(tài)，能夠在不影響數(shù)據(jù)使用的前提下，在用戶層面實(shí)現(xiàn)數(shù)據(jù)屏蔽、加密、隱藏、審計(jì)或內(nèi)容封鎖的DDM具有更強(qiáng)的優(yōu)勢(shì)。DDM基于橫向或縱向的安全等級(jí)要求，依據(jù)用戶角色、職責(zé)和其他規(guī)則變換敏感數(shù)據(jù)，其能力的發(fā)揮對(duì)大數(shù)據(jù)的廣泛、合規(guī)應(yīng)用至關(guān)重要。

動(dòng)態(tài)數(shù)據(jù)脫敏目前具有兩類實(shí)現(xiàn)機(jī)制：基于視圖的實(shí)現(xiàn)機(jī)制和基于代理的實(shí)現(xiàn)機(jī)制。

2.3.1 基于視圖的實(shí)現(xiàn)機(jī)制

在這類機(jī)制中，生產(chǎn)數(shù)據(jù)及脫敏后的數(shù)據(jù)版本通常存放在同一數(shù)據(jù)庫(kù)中，用戶能夠訪問(wèn)到的數(shù)據(jù)內(nèi)容范圍取決于其角色的權(quán)限等級(jí)。在用戶訪問(wèn)請(qǐng)求發(fā)出時(shí)，該請(qǐng)求被與數(shù)據(jù)庫(kù)集成的脫敏組件截獲，高權(quán)限用戶獲得原始數(shù)據(jù)的完整版本，低權(quán)限用戶或未使用指定方式訪問(wèn)的用戶獲得數(shù)據(jù)的脫敏版本。由于這種判決是在請(qǐng)求到達(dá)時(shí)刻完成，用戶與權(quán)限、脫敏數(shù)據(jù)視圖的對(duì)應(yīng)關(guān)系需要預(yù)先定義。在敏感數(shù)據(jù)被脫敏訪問(wèn)時(shí)，控制中心將收到一條通知或警告。

基于視圖的動(dòng)態(tài)數(shù)據(jù)脫敏的一種實(shí)現(xiàn)方式是編寫數(shù)據(jù)庫(kù)程序代碼，在權(quán)限判決后對(duì)請(qǐng)求語(yǔ)句進(jìn)行重寫，以尋址原始數(shù)據(jù)或脫敏數(shù)據(jù)；另一種方式是建立數(shù)據(jù)庫(kù)的真實(shí)視圖即虛擬數(shù)據(jù)表，使應(yīng)用程序如同訪問(wèn)真實(shí)數(shù)據(jù)表一樣訪問(wèn)脫敏后的數(shù)據(jù)。這種方式需要為虛擬數(shù)據(jù)表構(gòu)建觸發(fā)器、存儲(chǔ)過(guò)程等，以處理數(shù)據(jù)請(qǐng)求，其原理圖如圖1所示。

圖1 基于視圖的動(dòng)態(tài)脫敏實(shí)現(xiàn)機(jī)制

2.3.2 基于代理的實(shí)現(xiàn)機(jī)制

與視圖方式相比，基于代理的實(shí)現(xiàn)機(jī)制適應(yīng)性更強(qiáng)，靈活性也更高。用戶的數(shù)據(jù)請(qǐng)求被代理實(shí)時(shí)在線攔截并經(jīng)脫敏后返回，此過(guò)程對(duì)于用戶及應(yīng)用程序完全透明。這種機(jī)制與視圖方法的不同點(diǎn)在于，脫敏判決是在數(shù)據(jù)容器外實(shí)現(xiàn)，因而能夠適用于非關(guān)系型數(shù)據(jù)庫(kù)，如大數(shù)據(jù)環(huán)境。脫敏代理部署在數(shù)據(jù)容器的出口處以網(wǎng)關(guān)方式運(yùn)行，檢測(cè)并處理所有用戶與服務(wù)器間的數(shù)據(jù)請(qǐng)求及響應(yīng)。這種實(shí)現(xiàn)機(jī)制的好處是，無(wú)需對(duì)數(shù)據(jù)存儲(chǔ)方式及應(yīng)用程序代碼做出任何更改。

代理實(shí)現(xiàn)數(shù)據(jù)脫敏的具體方法是查詢語(yǔ)句或響應(yīng)語(yǔ)句替換。代理能自動(dòng)識(shí)別目標(biāo)為敏感數(shù)據(jù)的查詢語(yǔ)句，并將語(yǔ)句改寫為不包含敏感字段，或?qū)γ舾凶侄芜M(jìn)行變換處理的查詢語(yǔ)句。查詢結(jié)果返回代理時(shí)，會(huì)被重新計(jì)算、修改并包裝為與原請(qǐng)求一致的格式交付用戶，從而完成一次敏感信息的查詢過(guò)程，其原理圖如圖2所示。

圖2 基于代理的動(dòng)態(tài)脫敏實(shí)現(xiàn)機(jī)制

就這二類實(shí)現(xiàn)機(jī)制而言，基于視圖的方式盡管效率較高，但需要修改數(shù)據(jù)庫(kù)結(jié)構(gòu)及代碼，而基于代理的方式又在擴(kuò)展性和統(tǒng)一管理方面存在欠缺，兩者均難以應(yīng)對(duì)大數(shù)據(jù)環(huán)境中數(shù)據(jù)脫敏的嚴(yán)峻挑戰(zhàn)。因此，本文提出了智能大數(shù)據(jù)脫敏系統(tǒng)，通過(guò)分析大數(shù)據(jù)環(huán)境下的敏感數(shù)據(jù)類型、使用場(chǎng)景等，設(shè)計(jì)了合理的系統(tǒng)框架及脫敏方式。

3 系統(tǒng)實(shí)現(xiàn)

3.1 系統(tǒng)架構(gòu)

智能大數(shù)據(jù)脫敏系統(tǒng)架構(gòu)從底至上由四個(gè)層次構(gòu)成，即資源層、數(shù)據(jù)層，服務(wù)層和應(yīng)用層。橫向包含兩大管理功能，即安全管理和運(yùn)維管理。系統(tǒng)架構(gòu)圖如圖3所示。

資源層：為數(shù)據(jù)脫敏服務(wù)提供基礎(chǔ)性物理資源，包括計(jì)算資源、網(wǎng)絡(luò)資源和存儲(chǔ)資源等；

數(shù)據(jù)層：包括支持系統(tǒng)完成智能敏感數(shù)據(jù)發(fā)現(xiàn)、脫敏的各類數(shù)據(jù)庫(kù)、知識(shí)庫(kù)，針對(duì)不同敏感數(shù)據(jù)的脫敏規(guī)則庫(kù)，管理規(guī)則及規(guī)則集合的脫敏策略庫(kù)，支持智能敏感數(shù)據(jù)發(fā)現(xiàn)的本體知識(shí)庫(kù)和機(jī)器學(xué)習(xí)所形成的模型庫(kù)，運(yùn)維管理和安全管理所需的權(quán)限庫(kù)等。

服務(wù)層：以松耦合的方式承載數(shù)據(jù)脫敏所需的一系列核心服務(wù)及中間件，提供數(shù)據(jù)脫敏、規(guī)則化和服務(wù)化三大引擎，支撐大數(shù)據(jù)多元異構(gòu)敏感數(shù)據(jù)發(fā)現(xiàn)和脫敏操作。

圖3 智能大數(shù)據(jù)脫敏系統(tǒng)架構(gòu)

應(yīng)用層：面向最終用戶，按照數(shù)據(jù)類型，提供數(shù)據(jù)庫(kù)脫敏、文件脫敏以及多媒體脫敏；按照業(yè)務(wù)需求，分為測(cè)試和研發(fā)過(guò)程所需的靜態(tài)脫敏和生產(chǎn)過(guò)程中對(duì)敏感數(shù)據(jù)訪問(wèn)及應(yīng)用的動(dòng)態(tài)脫敏。

運(yùn)維管理：包括用戶、策略、數(shù)據(jù)源等系統(tǒng)要素及配置的管理，確保系統(tǒng)的可用性；

安全管理：包括權(quán)限、角色和合規(guī)性等安全隱私要素及配置的管理，確保系統(tǒng)的對(duì)外安全性和自身安全性。它與運(yùn)維管理的協(xié)同，使數(shù)據(jù)脫敏服務(wù)的運(yùn)行時(shí)刻處于嚴(yán)密和安全防護(hù)及監(jiān)控之下。

3.2 系統(tǒng)處理流程

智能大數(shù)據(jù)脫敏系統(tǒng)主體流程包括脫敏需求配置、敏感數(shù)據(jù)識(shí)別、脫敏策略配置、脫敏服務(wù)運(yùn)行和脫敏狀態(tài)監(jiān)控五個(gè)環(huán)節(jié)。

用戶需求配置：根據(jù)用戶的資產(chǎn)重要性和數(shù)據(jù)價(jià)值對(duì)脫敏的粒度、強(qiáng)度和目標(biāo)進(jìn)行定義和配置。

敏感數(shù)據(jù)識(shí)別：對(duì)目標(biāo)系統(tǒng)的全量數(shù)據(jù)進(jìn)行智能識(shí)別，獲取用戶數(shù)據(jù)源中數(shù)據(jù)元信息、數(shù)據(jù)結(jié)構(gòu)等。對(duì)數(shù)據(jù)字段的內(nèi)容進(jìn)行分析，對(duì)格式和語(yǔ)義進(jìn)行識(shí)別，對(duì)主鍵/外鍵進(jìn)行處理，識(shí)別出系統(tǒng)中存在的敏感數(shù)據(jù)。

脫敏策略配置：提供兩種脫敏策略的配置方式，一種是基于系統(tǒng)內(nèi)置的敏感數(shù)據(jù)類型，采用智能推薦方式進(jìn)行脫敏策略的配置；另一種是支持用戶自定義脫敏策略以及更改合適的脫敏算法。

脫敏服務(wù)運(yùn)行：按照用戶需求進(jìn)行靜態(tài)數(shù)據(jù)脫敏和動(dòng)態(tài)數(shù)據(jù)脫敏。

脫敏狀態(tài)監(jiān)控：持續(xù)對(duì)脫敏系統(tǒng)的運(yùn)行情況進(jìn)行監(jiān)控和審計(jì)，及時(shí)發(fā)現(xiàn)異常并做出響應(yīng)。定期將綜合后的運(yùn)行結(jié)果反饋用戶，完善脫敏需求配置，提升脫敏效果。

3.3 敏感數(shù)據(jù)識(shí)別方法

敏感數(shù)據(jù)識(shí)別是智能數(shù)據(jù)脫敏系統(tǒng)中的核心和關(guān)鍵。大數(shù)據(jù)環(huán)境中，非結(jié)構(gòu)化數(shù)據(jù)占85%以上，因而非結(jié)構(gòu)化數(shù)據(jù)的敏感數(shù)據(jù)識(shí)別、發(fā)現(xiàn)、處理是迫切需要解決的問(wèn)題，否則數(shù)據(jù)脫敏系統(tǒng)的實(shí)用性將大打折扣。圖4描述了數(shù)據(jù)庫(kù)（主要是結(jié)構(gòu)化數(shù)據(jù)）和文件（主要是非結(jié)構(gòu)化數(shù)據(jù)）的敏感數(shù)據(jù)識(shí)別方法，其核心技術(shù)采用數(shù)據(jù)特征學(xué)習(xí)以及自然語(yǔ)言處理等技術(shù)進(jìn)行敏感數(shù)據(jù)識(shí)別。

敏感數(shù)據(jù)識(shí)別分為兩個(gè)階段，即數(shù)據(jù)源注冊(cè)和數(shù)據(jù)脫敏任務(wù)執(zhí)行。

（1）數(shù)據(jù)源注冊(cè)階段。數(shù)據(jù)源注冊(cè)時(shí)，系統(tǒng)將連接注冊(cè)數(shù)據(jù)源，一方面驗(yàn)證數(shù)據(jù)源的聯(lián)通性，一方面將獲取該數(shù)據(jù)源的元數(shù)據(jù)和部分樣例數(shù)據(jù)。系統(tǒng)將對(duì)樣例數(shù)據(jù)執(zhí)行一次敏感數(shù)據(jù)的初步識(shí)別。其步驟如下：

①系統(tǒng)識(shí)別獲取的樣例數(shù)據(jù)，通過(guò)其數(shù)據(jù)類型（字符、數(shù)值等）和數(shù)據(jù)內(nèi)容進(jìn)行敏感數(shù)據(jù)識(shí)別。

②敏感數(shù)據(jù)識(shí)別由敏感數(shù)據(jù)識(shí)別引擎完成；敏感數(shù)據(jù)識(shí)別引擎采用規(guī)則、知識(shí)庫(kù)以及自然語(yǔ)言處理中的命名實(shí)體識(shí)別、特征詞提取，特征密度計(jì)算等方式進(jìn)行智能識(shí)別。

③如果字段屬于長(zhǎng)字段，則對(duì)該字段進(jìn)行標(biāo)記。

④如果字段不屬于長(zhǎng)字段，但無(wú)法進(jìn)行敏感數(shù)據(jù)識(shí)別，此時(shí)系統(tǒng)將對(duì)其字段描述進(jìn)行語(yǔ)義分析和理解，補(bǔ)充相關(guān)信息后進(jìn)行識(shí)別。

⑤識(shí)別出的字段將存儲(chǔ)在敏感字段識(shí)別庫(kù)中。

圖4 敏感數(shù)據(jù)識(shí)別方法

（2）數(shù)據(jù)脫敏任務(wù)執(zhí)行階段。為提高敏感數(shù)據(jù)發(fā)現(xiàn)以及數(shù)據(jù)脫敏的效率，在脫敏任務(wù)執(zhí)行階段，主要對(duì)長(zhǎng)字段進(jìn)行識(shí)別，步驟如下：

①系統(tǒng)根據(jù)用戶配置的參數(shù)對(duì)訪問(wèn)數(shù)據(jù)庫(kù)的所有SQL語(yǔ)句進(jìn)行解析，首先在敏感數(shù)據(jù)字段庫(kù)中查驗(yàn)?zāi)男儆诿舾凶侄?，已識(shí)別出的敏感字段按其脫敏策略執(zhí)行脫敏。

②如果字段為長(zhǎng)字段，則獲取每一條流經(jīng)系統(tǒng)的數(shù)據(jù)，送入敏感數(shù)據(jù)識(shí)別引擎中，作為文本型數(shù)據(jù)進(jìn)行識(shí)別。文本中可能包含多種敏感數(shù)據(jù)類型。

③根據(jù)識(shí)別結(jié)果進(jìn)行脫敏。

3.4 系統(tǒng)主要功能

智能大數(shù)據(jù)脫敏系統(tǒng)的功能按數(shù)據(jù)類型劃分，主要包括數(shù)據(jù)庫(kù)脫敏、文件脫敏、圖片及視頻脫敏幾個(gè)主要部分，組成圖如圖5所示。

圖5 智能大數(shù)據(jù)脫敏系統(tǒng)功能組成

敏感數(shù)據(jù)識(shí)別：將針對(duì)不同數(shù)據(jù)的特點(diǎn)，設(shè)計(jì)敏感數(shù)據(jù)識(shí)別所需的模型、算法、知識(shí)庫(kù)等，以覆蓋數(shù)據(jù)庫(kù)中敏感字段的識(shí)別、文本中敏感數(shù)據(jù)的識(shí)別、圖片和視頻中的敏感區(qū)域識(shí)別等；

數(shù)據(jù)脫敏：將針對(duì)不同類型的數(shù)據(jù)形態(tài)，實(shí)現(xiàn)不破壞其數(shù)據(jù)格式和可用性的數(shù)據(jù)脫敏處理。例如：當(dāng)對(duì)Word文件中的數(shù)據(jù)執(zhí)行脫敏時(shí)，脫敏完成后文件格式依然為Word。需要注意的是，針對(duì)不同的數(shù)據(jù)類型其脫敏的方式和方法也將會(huì)有所不同。

脫敏驗(yàn)證：數(shù)據(jù)脫敏的本質(zhì)是通過(guò)數(shù)據(jù)變形來(lái)保證對(duì)敏感信息的保護(hù)，主要目標(biāo)是安全使用數(shù)據(jù)。如果脫敏后的數(shù)據(jù)導(dǎo)致可用性降低或者喪失，將失去數(shù)據(jù)脫敏的意義。因此，對(duì)脫敏后的數(shù)據(jù)必須在完整性、一致性以及關(guān)聯(lián)性三個(gè)方面進(jìn)行驗(yàn)證。

3.5 服務(wù)模式

隨著大數(shù)據(jù)技術(shù)的發(fā)展和分布式計(jì)算技術(shù)的成熟，基于大數(shù)據(jù)平臺(tái)的脫敏服務(wù)為數(shù)據(jù)安全產(chǎn)品及相關(guān)服務(wù)設(shè)計(jì)提供了全新的思路和支撐環(huán)境，非常適合數(shù)據(jù)脫敏這一計(jì)算密集、時(shí)間敏感型的應(yīng)用?；诖髷?shù)據(jù)平臺(tái)的敏感數(shù)據(jù)智能探測(cè)、智能分析與統(tǒng)計(jì)、智能處理平臺(tái)，有望成為數(shù)據(jù)安全產(chǎn)品的重要發(fā)展方向。

按照動(dòng)態(tài)數(shù)據(jù)脫敏的基本原理和需求，將數(shù)據(jù)脫敏系統(tǒng)的存儲(chǔ)和計(jì)算依托大數(shù)據(jù)平臺(tái)實(shí)現(xiàn)，提供數(shù)據(jù)脫敏服務(wù)DMaaS（Data Masking as a Service）。它以集中控制和分布代理方式運(yùn)行，面向政府?dāng)?shù)據(jù)、醫(yī)療、教育行業(yè)數(shù)據(jù)和金融數(shù)據(jù)等，進(jìn)行按需定制和調(diào)用的脫敏服務(wù)，如圖6所示。

圖6 基于大數(shù)據(jù)平臺(tái)的動(dòng)態(tài)數(shù)據(jù)脫敏服務(wù)

基于大數(shù)據(jù)的數(shù)據(jù)脫敏平臺(tái)作為數(shù)據(jù)擁有者和數(shù)據(jù)使用者之間的關(guān)聯(lián)途徑，承載數(shù)據(jù)安全隱私保護(hù)的重要使命。大數(shù)據(jù)脫敏平臺(tái)以集中、松耦合方式進(jìn)行數(shù)據(jù)的保護(hù)與處理，為企業(yè)擁有的敏感和隱私信息提供靈活、實(shí)時(shí)的服務(wù)，不必對(duì)應(yīng)用程序和數(shù)據(jù)庫(kù)進(jìn)行昂貴且耗時(shí)的變更，也不會(huì)干擾開(kāi)發(fā)、測(cè)試及數(shù)據(jù)使用者履行其各自的職責(zé)。

根據(jù)應(yīng)用場(chǎng)景，DMaaS可以劃分為勞務(wù)、承包、中轉(zhuǎn)和托管四種應(yīng)用模式。

勞務(wù)模式：SDM實(shí)現(xiàn)方式，按照用戶需求將需要脫敏的數(shù)據(jù)一次性轉(zhuǎn)換完畢，并將結(jié)果交付用戶。

承包模式：私有化DDM實(shí)現(xiàn)方式，在用戶生產(chǎn)/測(cè)試環(huán)境中搭建DMaaS，持續(xù)運(yùn)行脫敏功能。

中轉(zhuǎn)模式：公有化DDM實(shí)現(xiàn)方式。在用戶數(shù)據(jù)環(huán)境外搭建DMaaS，應(yīng)用程序運(yùn)行結(jié)果在呈現(xiàn)前由脫敏服務(wù)處理并交付用戶，實(shí)現(xiàn)業(yè)務(wù)流程的靈活調(diào)用。

托管模式：公有化DDM/數(shù)據(jù)倉(cāng)庫(kù)實(shí)現(xiàn)方式。用戶的所有敏感數(shù)據(jù)存放在DMaaS中，業(yè)務(wù)需要訪問(wèn)數(shù)據(jù)時(shí)調(diào)用脫敏服務(wù)處理后提交至用戶。這種模式有利于數(shù)據(jù)的集中監(jiān)管和高強(qiáng)度隱私保護(hù)。

4 結(jié) 語(yǔ)

數(shù)據(jù)脫敏是大數(shù)據(jù)時(shí)代企業(yè)數(shù)據(jù)化運(yùn)行治理的必要安全機(jī)制，未來(lái)數(shù)據(jù)脫敏發(fā)展的趨勢(shì)包括精確理解用戶需求、更細(xì)的粒度、更高的精確度和可用度、更佳的自動(dòng)化程度、更好的抗破解能力、更強(qiáng)的擴(kuò)展能力和更友好的方式呈現(xiàn)等，從而滿足未來(lái)用戶多領(lǐng)域的數(shù)據(jù)交互、共享和融合需求。

[1] Ponemon Institute.Cost of Data Breach:Global Analysis [EB/OL].(2013-05-28)[2016-05-26].http://www.ponemon.org/,2015.

[2] Gartner.Gartner 2014 Magic Quadrant Data Masking Report[EB/OL].(2015-12-22)[2016-05-23].http://www. gartner.com.2014.

[3] 姜日敏.電信運(yùn)營(yíng)商數(shù)據(jù)脫敏系統(tǒng)建設(shè)方案探討[J].信息科技,2014(08):132-133. JIANG Ri-min.Data Masking System Construction Plans of Telecommunication Operator[J].Information Technology,2014(08):132-133.

[4] 劉明輝,張尼,張?jiān)朴碌?云環(huán)境下的敏感數(shù)據(jù)保護(hù)技術(shù)研究[J].電信科學(xué),2014(11):2-8. LIU Ming-hui,ZHANG Ni,ZHANG Yun-yong,et al.Research on Sensitive Data Protection Technology on Cloud Computing[J].Telecommunication Science,2014(11):2-8.

[5] Securosis Corporations.Understanding and Selecting Data Masking Solutions:Creating Secure and Useful Data[EB/OL].(2014-03-01)[2016-05-19].http:// www.techrepublic.com/resource-library/whitepapers/ understanding-and-selecting-data-masking-solutionscreating-secure-and-useful-data/.

[6] Informatica Corporation.Dynamic Data Masking Baseline Deployment[EB/OL].(2013-01-01)[2016-05-22]. https://www.informatica.com,2013.

陳天瑩（1982—），女，博士，高級(jí)工程師，主要研究方向?yàn)榇髷?shù)據(jù)、信息安全；

陳劍鋒（1983—），男，博士，高級(jí)工程師，主要研究方向?yàn)樾畔踩?、云?jì)算。

Intelligent Data Masking System for Big Data Productive Environment

CHEN Tian-ying1, CHEN Jian-feng1,2,3
（1.China Electronic Technology Cyber Security Co.,Ltd, Chengdu Sichuan 610041, China; 2.Cyberspace Security Technology Laboratory of CETC, Chengdu Sichuan 610041, China; 3.Science and Technology on Communication Security Laboratory, Chengdu Sichuan 610041, China）

With the arrival of big data era, huge amount of business interest in big data is explored and great potential value mined and utilized. However, this revolution also leads to severe problems of private and sensitive information protection. The main difference of between traditional information security and big data security lies in the data content layer, this means to protect private or sensitive data from being disclosed while retain the ability to effectively share, analyze and distribute such data. Through the in-depth research on current data masking principle, mechanism and process, the shortcomings and deficiencies of existing data masking methods are summed up, and an innovative solution dynamic data masking system suitable for big data productive environment is proposed, which can meet the needs of various enterprises with its service-centric architecture, high throughput capacity and low coupling nature for data masking, exchange and application.

big-data security; data masking; information security; data privacy

TP309.2

A

1002-0802(2016)-07-0915-08

10.3969/j.issn.1002-0802.2016.07.023

2016-03-12;

2016-06-12 Received date:2016-03-12;Revised date:2016-06-12