王旭東，葉水勇，朱 兵，陳清萍，蔡 翔，劉 琦，陳 明

（1.國網(wǎng)安徽省電力公司，安徽 合肥230022；2.國網(wǎng)黃山供電公司，安徽 黃山245000）

0 引言

公司為解決信息系統(tǒng)數(shù)據(jù)質(zhì)量不高及各信息系統(tǒng)之間數(shù)據(jù)共享程度偏低等問題，重點針對營、配、調(diào)等相關信息系統(tǒng)開展數(shù)據(jù)治理工作，旨在提升信息系統(tǒng)數(shù)據(jù)質(zhì)量、促進數(shù)據(jù)共享融合[1]。數(shù)據(jù)安全是數(shù)據(jù)治理工作的前提條件，項目針對數(shù)據(jù)治理過程中的數(shù)據(jù)安全課題開展專題研究，重點針對營銷客戶、電網(wǎng)GIS、生產(chǎn)經(jīng)營等敏感數(shù)據(jù)防泄密技術和數(shù)據(jù)安全防護技術開展研究和應用，達到數(shù)據(jù)收集、加工、應用各環(huán)節(jié)的安全，實現(xiàn)數(shù)據(jù)使用環(huán)境安全、數(shù)據(jù)權限可控、數(shù)據(jù)外發(fā)可控、數(shù)據(jù)交互安全的總體目標，為實現(xiàn)數(shù)據(jù)共享與融合應用、業(yè)務分析、系統(tǒng)接入、開發(fā)調(diào)試等各場景提供數(shù)據(jù)應用支撐。

1 國內(nèi)外研究水平綜述

項目擬從數(shù)據(jù)治理過程中的數(shù)據(jù)脫敏技術、數(shù)據(jù)安全分區(qū)技術、GIS數(shù)據(jù)安全防護及應用實踐等3個方面開展研究。

1）目前國外Oracle的Data Masking組件、IBM的InfoSphere OptimData Privacy、Informatica的Informatica DataMasking工具能實現(xiàn)數(shù)據(jù)庫脫敏，但是缺少對于中文數(shù)據(jù)的識別以及脫敏算法[2]。因此，國外的脫敏產(chǎn)品在國內(nèi)各行業(yè)沒有推廣應用。隨著國家對個人信息保護的重視，國內(nèi)運營商等企業(yè)對數(shù)據(jù)脫敏的研究開始具體實施。在技術層面，2014年思睿嘉得最先在國內(nèi)發(fā)布了非結構化數(shù)據(jù)的脫敏產(chǎn)品，但針對數(shù)據(jù)庫中存儲的結構化數(shù)據(jù)的脫敏技術國內(nèi)還在探索階段，

2）數(shù)據(jù)安全分區(qū)研究主要指在數(shù)據(jù)治理過程中的網(wǎng)絡配置、數(shù)據(jù)庫訪問的安全研究。目前國內(nèi)外區(qū)域類的安全產(chǎn)品已比較多，基本都是產(chǎn)品本身通過代理技術進行目標控制，不能做到數(shù)據(jù)拷貝行為審核管理。

3）地理信息數(shù)據(jù)涉及測繪領域國家機密，未經(jīng)加密，偏移的原始坐標是信息安全領域的絕密數(shù)據(jù)。國家對測繪數(shù)據(jù)的保護有專門立法保護。目前國網(wǎng)GIS平臺采用了內(nèi)網(wǎng)隔離的技術手段實現(xiàn)數(shù)據(jù)的安全防范[3]。

隨著移動互聯(lián)網(wǎng)建設，為進一步提升客戶服務質(zhì)量，圍繞著地理信息技術實現(xiàn)搶修快速到位，客戶位置精準把握，服務隊伍監(jiān)視等傳統(tǒng)業(yè)務應用需要借助移動終端，開展移動業(yè)務應用建設。在系統(tǒng)建設的過程中，需要用到內(nèi)網(wǎng)的保密數(shù)據(jù)在移動互聯(lián)網(wǎng)地圖進行疊加展示，結合位置服務支持業(yè)務應用建設，有必要在應用建設的同時對內(nèi)網(wǎng)加密的地理信息數(shù)據(jù)進行脫密融合，實現(xiàn)坐標數(shù)據(jù)在內(nèi)外網(wǎng)作業(yè)終端地圖進行定位。結合電網(wǎng)電系應用，實現(xiàn)數(shù)據(jù)服務端存儲，應用服務加密調(diào)用。

2 理論和實踐依據(jù)

2.1 數(shù)據(jù)脫敏技術

是指對某些敏感信息通過脫敏規(guī)則進行數(shù)據(jù)的變形，實現(xiàn)敏感隱私數(shù)據(jù)的可靠保護，在涉及客戶安全數(shù)據(jù)或者一些商業(yè)性敏感數(shù)據(jù)的情況下，在不違反系統(tǒng)規(guī)則條件下，對真實數(shù)據(jù)進行變形、屏蔽、替換、隨機化、加密改造。項目的難點在于管理敏感數(shù)據(jù)和提供靈活的脫敏方案策略，高效可并行的脫敏能力[4]。

2.2 分區(qū)數(shù)據(jù)安全防護

“應用代理”組件是分區(qū)安全的核心，負責中轉(zhuǎn)運維操作用戶的操作并與內(nèi)部其他組件進行交互[5]?！皯么怼苯M件收到運維人員的操作請求后調(diào)用“策略管理”組件對該操作行為進行核查，如果操作不符合安全策略，“應用代理”組件將拒絕該操作行為的執(zhí)行。 操作人員的操作行為通過“策略管理”組件的核查之后，“應用代理”組件則代替操作人員連接目標設備完成相應操作，并將操作返回結果返回給對應的操作人員。

2.3 GIS數(shù)據(jù)應用安全防護

根據(jù)GIS系統(tǒng)數(shù)據(jù)存儲方式和地理信息偏移算法等技術，在信息內(nèi)網(wǎng)和移動端創(chuàng)建基于GIS地理信息共享接口典型應用案例，驗證GIS空間數(shù)據(jù)應用的安全體系。

3 研究內(nèi)容和實施方案

3.1 數(shù)據(jù)治理過程中的數(shù)據(jù)脫敏

主要包括數(shù)據(jù)治理過程中數(shù)據(jù)脫敏的定義、需求收集與審核、數(shù)據(jù)脫敏的技術路線和方法，數(shù)據(jù)訪問技術規(guī)范。

3.1.1 敏感數(shù)據(jù)的識別研究

1）敏感數(shù)據(jù)標準研究。所謂敏感信息是指不當使用或未經(jīng)授權，被人接觸或修改會不利于國家利益或不利于個人依法享有的個人隱私權的所有信息[6]。工業(yè)和信息化部宣布了《信息安全技術 公共及商用服務信息系統(tǒng)個人信息保護指南》，這項標準最顯著的特點是將個人信息分為個人一般信息和個人敏感信息，并提出了默許同意和明示同意的概念。對于個人一般信息的處理可以建立在默許同意的基礎上，只要個人信息主體沒有明確表示反對，便可收集和利用。但對于個人敏感信息，則需要建立在明示同意的基礎上，在收集和利用之前，必須首先獲得個人信息主體明確的授權。

電力企業(yè)掌握大量的客戶信息，在數(shù)據(jù)治理過程中，各類信息化應用系統(tǒng)數(shù)據(jù)的匯集，可能存儲大量的敏感數(shù)據(jù)，在數(shù)據(jù)應用過程中存在數(shù)據(jù)泄漏風險。在什么情況下，或者在什么組合下，數(shù)據(jù)集能夠被判定為是敏感數(shù)據(jù)，需要進行標準和規(guī)則的制定，規(guī)劃敏感數(shù)據(jù)的應用制度。

2）敏感數(shù)據(jù)級別研究。敏感數(shù)據(jù)根據(jù)不同應用對象、數(shù)據(jù)自身敏感程度和影響力，可能需要進行敏感級別的劃分[9]。

3.1.2 數(shù)據(jù)脫敏的策略研究

1）對數(shù)據(jù)脫敏算法研究。根據(jù)不同數(shù)據(jù)特征，研究豐富高效的脫敏算法?？蓪ΤＲ姅?shù)據(jù)如客戶姓名、證件號、銀行賬戶、住址、電話號碼、組織機構代碼等敏感數(shù)據(jù)進行脫敏，脫敏算法具有如下特性：

（1）同義替換，使用相同含義的數(shù)據(jù)替換原有的敏感數(shù)據(jù)，如姓名脫敏后仍然為有意義的姓名，住址脫敏后仍然為住址。

（2）部分數(shù)據(jù)遮蔽，將原數(shù)據(jù)中部分或全部內(nèi)容，用“*”或“#”等字符進行替換，遮蓋部分或全部原文。

（3）混合屏蔽，將相關的列作為一個組進行屏蔽，以保證這些相關列中被屏蔽的數(shù)據(jù)保持同樣的關系，例如城市、省、郵編在屏蔽后保持一致。

（4）確定性屏蔽，確保在運行屏蔽后生成可重復的屏蔽值?？纱_保特定的值（如客戶號、身份證號碼、銀行卡號）在所有數(shù)據(jù)庫中屏蔽為同一個值。

（5）可逆脫敏，確保脫敏后的數(shù)據(jù)可還原，便于分析的結果還原為業(yè)務數(shù)據(jù)。

通過對不同特征的脫敏性需求，研究不同的實現(xiàn)算法，比如基于開發(fā)平臺創(chuàng)建函數(shù)和正則表達式等[7]。

2）脫敏字段的管理研究。敏感數(shù)據(jù)存儲于不同的業(yè)務系統(tǒng)，不同的業(yè)務系統(tǒng)又分布在不同的表中，不同的表中又有可能存在多個敏感數(shù)據(jù)字段，對脫敏字段的有效管理有助于數(shù)據(jù)脫敏工作的完整性和正確性[8]。同時脫敏算法是將敏感數(shù)據(jù)進行脫敏處理的規(guī)則，脫敏策略包含敏感數(shù)據(jù)特征以及對于這類數(shù)據(jù)的脫敏算法，通過脫敏字段管理，對于相似和同一類應用場景，用戶可將脫敏方案適用于該場景的脫敏方案，脫敏方案制定后，可被重復利用于該場景下不同批次數(shù)據(jù)的脫敏需求。

3.1.3 數(shù)據(jù)脫敏技術實現(xiàn)

1）數(shù)據(jù)脫敏技術原則。脫敏系統(tǒng)需有效保障脫敏后的數(shù)據(jù)可以滿足原始數(shù)據(jù)相同的業(yè)務規(guī)則，能夠代表實際業(yè)務屬性的虛構數(shù)據(jù)，能夠使脫敏數(shù)據(jù)的使用者從體驗上感覺數(shù)據(jù)是真實的，從而最終保證使用脫敏后的數(shù)據(jù)可以保證業(yè)務可靠運行。

（1）可重復和不可重復性。數(shù)據(jù)脫敏需要提供能夠重復脫敏相同數(shù)據(jù)的能力，在不同輪次的脫敏中，保證相同的隱私數(shù)據(jù)脫敏后的數(shù)據(jù)也是相同的[9]。從而保證數(shù)據(jù)在增量環(huán)境下能夠被有效關聯(lián)。另一方面，有些時候處于安全考慮，需要提供不可重復的脫敏能力，保證相同的數(shù)據(jù)在不同輪次脫敏產(chǎn)生的數(shù)據(jù)是不同的，從而防止逆向工程還原數(shù)據(jù)。

（2）數(shù)據(jù)有效性。為了保證業(yè)務系統(tǒng)和分析系統(tǒng)的正常運行，有些需要保證脫敏后的數(shù)據(jù)必須能夠準確反應原始數(shù)據(jù)的業(yè)務屬性和數(shù)據(jù)分布特征，例如對于原始數(shù)據(jù)中的姓名、地址等信息需要在脫敏后仍然具有可讀性，脫敏后的數(shù)據(jù)滿足業(yè)務系統(tǒng)的數(shù)據(jù)規(guī)則，能夠通過業(yè)務系統(tǒng)的數(shù)據(jù)有效性驗證，如身份證號、銀行卡號的校驗碼匹配等。

（3）數(shù)據(jù)真實性。脫敏后的數(shù)據(jù)需要保證是真實完整的，并且提供不改變原始數(shù)據(jù)尺寸，不包含無效信息的能力，防止敏感數(shù)據(jù)不符合目標數(shù)據(jù)的定義，造成無法順利入庫的情況。

（4）數(shù)據(jù)完整性。在執(zhí)行數(shù)據(jù)脫敏時，不會對數(shù)據(jù)庫中原始數(shù)據(jù)進行任何變更操作，所有的脫敏數(shù)據(jù)均在數(shù)據(jù)庫返回結果集中體現(xiàn)，不對原始數(shù)據(jù)產(chǎn)生任何影響。

2）脫敏工具的研發(fā)。脫敏任務可針對目標數(shù)據(jù)庫系統(tǒng)或結構化文件進行[10]。通過脫敏任務，與提供原始數(shù)據(jù)的業(yè)務系統(tǒng)和使用脫敏后數(shù)據(jù)的系統(tǒng)連接起來，用戶可在任務內(nèi)選擇脫敏數(shù)據(jù)來源、脫敏數(shù)據(jù)去向以及最適合的數(shù)據(jù)脫敏方案。

研發(fā)脫敏工具，提供任務維護管理功能，可對任務進行停止、啟動、重啟、暫停、繼續(xù)，并且支持任務并發(fā)，充分利用系統(tǒng)資源，提高脫敏效率。

3.2 數(shù)據(jù)治理安全分區(qū)

3.2.1 數(shù)據(jù)分區(qū)安全保護研究

根據(jù)數(shù)據(jù)治理技術支撐平臺服務器分區(qū)規(guī)劃，開展數(shù)據(jù)治理分區(qū)數(shù)據(jù)保護研究，研制集帳號管理、授權管理、認證管理和綜合審計于一體，整合應用系統(tǒng)、網(wǎng)絡設備、主機系統(tǒng)，確保合法用戶安全、方便使用特定資源的分區(qū)安全管理工具，攔截對數(shù)據(jù)中心數(shù)據(jù)庫等服務器非法訪問和惡意攻擊，對不合法命令進行命令阻斷，過濾掉對目標設備的非法訪問行為，保證數(shù)據(jù)中心服務器、數(shù)據(jù)庫安全可靠運行。

分區(qū)安全管理工具通過代理技術，在生產(chǎn)區(qū)等分區(qū)內(nèi)接管終端計算機對網(wǎng)絡和服務器的訪問，邏輯上將操作人員與目標設備隔離開來，建立從“操作人員→用戶賬號→授權→目標設備賬號→目標設備”的工作模式，研究設置細粒度的安全管控策略，如支持基于用戶角色的訪問控制，根據(jù)用戶、用戶組、訪問主機、目標系統(tǒng)賬號、訪問方式設置訪問策略，支持基于時間的訪問控制，支持基于訪問者IP的訪問控制，基于黑白名單的訪問控制等。分區(qū)安全管理工具采用雙機方式，消除單節(jié)點，不能因某一節(jié)點異常影響日常應用。

3.2.2 數(shù)據(jù)拷貝審核控制研究

對數(shù)據(jù)中心內(nèi)的服務器進行數(shù)據(jù)文件拷貝許可審核控制研究，對確實需要拷貝出的數(shù)據(jù)文件，自動發(fā)起申請與審核流程，經(jīng)過許可授權后才能進行數(shù)據(jù)拷貝。當對服務器進行操作時，數(shù)據(jù)分區(qū)安全系統(tǒng)首先對操作指令進行檢測和分析，當涉及高位指令時可以進行審批操作或阻斷操作。

對Linux服務器進行操作時，通過正則表達式匹配的模式，一旦涉及拷貝指令（如cp、copy等），分區(qū)安全管理平臺自動向管理員提交審批消息，若管理員同意，則指令生效，若管理員拒絕，則指令無效。對于Windows服務器，監(jiān)控剪貼板，當數(shù)據(jù)分析人員進行操作時，一旦涉及剪貼板向非本機發(fā)送粘貼指令，系統(tǒng)自動向管理員提交審批消息，管理員同意之后才能生效。

分區(qū)安全管理工具可接安徽電力短信平臺，研究采用短信通知的方式提醒管理員審核，進行短信回復完成許可審核。

3.2.3 操作行為過程審計研究

對授權人員的目標操作進行記錄、分析、展現(xiàn)，以幫助內(nèi)控工作事前規(guī)劃預防、事中實時監(jiān)控、違規(guī)行為響應、事后合規(guī)報告、事故追蹤回放。操作行為過程審計如圖1所示。

圖1 操作行為過程審計

3.3 電網(wǎng)GIS數(shù)據(jù)應用安全研究

3.3.1 進行電網(wǎng)GIS共享融合應用可行性研究

在電網(wǎng)GIS平臺的建設背景下，國網(wǎng)已經(jīng)實現(xiàn)內(nèi)網(wǎng)地圖服務統(tǒng)一部署，電力設施省集中存儲，移動端地圖服務統(tǒng)一部署[11]。預計在本年底完成內(nèi)網(wǎng)外網(wǎng)移動地圖坐標的統(tǒng)一非線性偏移。即應用層實現(xiàn)內(nèi)網(wǎng)系統(tǒng)坐標，外網(wǎng)地圖坐標均為偏移后坐標，原始采集坐標僅在服務端存儲。

《國家電網(wǎng)信通〔2016〕684號 國家電網(wǎng)公司關于加強和規(guī)范移動應用建設的通知》明確了信息安全要求，內(nèi)網(wǎng)電網(wǎng)資源數(shù)據(jù)不能穿透至外網(wǎng)進行展示。實現(xiàn)電力設施外網(wǎng)地圖定位，路徑導航功能，需依賴國網(wǎng)電力外網(wǎng)地圖服務平臺，以支持國網(wǎng)電力行業(yè)的移動應用需求。本課題研究GIS信息安全應用的規(guī)范體系，重點開展電網(wǎng)GIS地理信息數(shù)據(jù)的內(nèi)網(wǎng)應用規(guī)范和外網(wǎng)應用的可行性研究。

3.3.2 創(chuàng)建典型案例實用化GIS安全應用

目前各行業(yè)均有在百度、高德等互聯(lián)網(wǎng)地圖移動平臺上開展一些應用建設，百度、高德等地圖服務商在發(fā)布地圖服務時，其測繪的原始數(shù)據(jù)已經(jīng)完成脫密非線性偏移等操作。而電力內(nèi)網(wǎng)的坐標數(shù)據(jù)采用的是國網(wǎng)加密和偏移算法，即數(shù)據(jù)無法在百度、高德等地圖上疊加。理論上可以從國網(wǎng)偏移后的坐標轉(zhuǎn)換為原始坐標，再采用百度的偏移算法實現(xiàn)與百度地圖疊加。出于信息安全管理規(guī)范的遵從考慮，內(nèi)外網(wǎng)移動地圖應用可采用“國網(wǎng)統(tǒng)一”的移動地圖服務和數(shù)據(jù)導航服務。

課題收集GIS應用需求，根據(jù)GIS系統(tǒng)空間數(shù)據(jù)的加密和偏移方式特點，開展GIS空間數(shù)據(jù)在信息內(nèi)網(wǎng)和移動端應用規(guī)劃，評估有價值有意義的應用，創(chuàng)建典型應用案例進行安全應用研究。

3.3.3 進行GIS應用規(guī)劃方案的評估

通過典型案例的實際應用，對GIS應用規(guī)劃和GIS數(shù)據(jù)安全進行評估，為后續(xù)GIS共享融合安全應用提供參考[12]。

根據(jù)GIS系統(tǒng)數(shù)據(jù)存儲方式和地理信息偏移算法技術，創(chuàng)建基于GIS地理信息共享接口典型應用案例，驗證實用化結果和數(shù)據(jù)安全應用的體系。GIS應用規(guī)劃方案過程審計如圖2所示。

圖2 GIS應用規(guī)劃方過程審計

4 結束語

公司通過數(shù)據(jù)治理過程中數(shù)據(jù)安全防護系統(tǒng)的建設，從而達到數(shù)據(jù)收集、分析、加工、應用各環(huán)節(jié)的安全，阻止敏感數(shù)據(jù)泄漏，防止數(shù)據(jù)資產(chǎn)流失，為實現(xiàn)數(shù)據(jù)共享與融合應用提供數(shù)據(jù)質(zhì)量支撐，為業(yè)務分析、系統(tǒng)接入、開發(fā)調(diào)試等各場景提供數(shù)據(jù)應用支撐。