王哲 羅真 任吉媛 劉阜陽

摘要??? 近年來業(yè)內(nèi)隨著信息安全管控點正在經(jīng)歷從網(wǎng)絡(luò)安全到內(nèi)容安全的轉(zhuǎn)變，如何防止內(nèi)部敏感業(yè)務(wù)數(shù)據(jù)、隱私信息泄露成為安全防護的重點。本文以數(shù)據(jù)同步技術(shù)為基礎(chǔ)，從數(shù)據(jù)同步管理、數(shù)據(jù)虛擬化管理、數(shù)據(jù)授權(quán)管理、數(shù)據(jù)脫敏管理、數(shù)據(jù)審計管理五個方面研究并實現(xiàn)測試環(huán)境數(shù)據(jù)安全管理技術(shù)，滿足企業(yè)信息化發(fā)展中面臨的合規(guī)及風(fēng)控需求。

【關(guān)鍵詞】虛擬化 數(shù)據(jù)安全

1 研究背景

關(guān)鍵數(shù)據(jù)是維系企業(yè)發(fā)展的重要動力。在IT技術(shù)高速發(fā)展的背景下，各行業(yè)各企業(yè)內(nèi)部辦公實現(xiàn)了高度信息化，提高了公司的管理能力、工作效率。網(wǎng)絡(luò)技術(shù)的發(fā)展實現(xiàn)了信息的充分共享，公司在享受它帶來便利的同時，隨之也帶來了信息管理問題。

業(yè)務(wù)系統(tǒng)的核心是數(shù)據(jù)，當(dāng)業(yè)務(wù)系統(tǒng)在測試環(huán)境中試運行時，需要測試環(huán)境提供相應(yīng)的數(shù)據(jù)基礎(chǔ)設(shè)備，同時測試環(huán)境會有與生產(chǎn)環(huán)境進行數(shù)據(jù)共享使用的情況，也需要有相關(guān)高效安全的方式提供給測試環(huán)境。近年來業(yè)內(nèi)隨著信息安全管控點正在經(jīng)歷從網(wǎng)絡(luò)安全到內(nèi)容安全的轉(zhuǎn)變，如何防止內(nèi)部敏感業(yè)務(wù)數(shù)據(jù)、隱私信息泄露成為安全防護的重點。這就需要從數(shù)據(jù)內(nèi)容本身出發(fā)，基于目標(biāo)導(dǎo)向主動尋求一個整體的數(shù)據(jù)安全解決方案，來滿足未來企業(yè)信息化發(fā)展中面臨的合規(guī)及風(fēng)控需求。

2 研究內(nèi)容

2.1 在線數(shù)據(jù)隔離使用

由于在線業(yè)務(wù)數(shù)據(jù)的實時性與真實性，直接讀取和修改在線業(yè)務(wù)數(shù)據(jù)是十分危險的行為，需要對測試人員和第三發(fā)業(yè)務(wù)提供在線業(yè)務(wù)數(shù)據(jù)的安全使用方式，既能夠保證在線業(yè)務(wù)數(shù)據(jù)的正常使用與分享，同時也能防止在線業(yè)務(wù)數(shù)據(jù)發(fā)生數(shù)據(jù)泄露事件。支持對在線業(yè)務(wù)數(shù)據(jù)的隔離使用，保證在線業(yè)務(wù)數(shù)據(jù)的安全合規(guī)使用。

2.2 數(shù)據(jù)全生命周期安全管理

支持從業(yè)務(wù)數(shù)據(jù)源頭進行監(jiān)控，從業(yè)務(wù)數(shù)據(jù)被訪問、查詢、修改、拷貝導(dǎo)出等全生命周期進行安全管理，提供從身份認證、授權(quán)控制到操作審計等多層次安全防護措施，對業(yè)務(wù)數(shù)據(jù)中各個環(huán)節(jié)進行安全管控，防止數(shù)據(jù)泄露行為。

2.3 數(shù)據(jù)拷貝安全管理

針對確實需要對外分享使用數(shù)據(jù)拷貝的情況，需要改變用戶原有直接復(fù)制數(shù)據(jù)庫以及數(shù)據(jù)項內(nèi)容等不安全行為，提供相應(yīng)技術(shù)手段保證拷貝數(shù)據(jù)的安全分享。并能夠根據(jù)法律法規(guī)對敏感數(shù)據(jù)進行發(fā)現(xiàn)，自動化聯(lián)動相關(guān)管控手段提供敏感數(shù)據(jù)安全合規(guī)技術(shù)，保證拷貝數(shù)據(jù)合法合規(guī)地使用。

2.4 數(shù)據(jù)安全統(tǒng)一管理

根據(jù)企業(yè)真實測試數(shù)據(jù)安全需求，制定數(shù)據(jù)安全管理措施，并結(jié)合當(dāng)前現(xiàn)有技術(shù)設(shè)計并建設(shè)安全產(chǎn)品功能，同時能夠?qū)Χ鄻I(yè)務(wù)的敏感數(shù)據(jù)進行整體統(tǒng)一管理，減輕管理壓力，提升管理效率。

3 設(shè)計與實現(xiàn)

3.1 方案概述

測試環(huán)境數(shù)據(jù)安全管理方案以數(shù)據(jù)同步技術(shù)為基礎(chǔ)，自動對在線業(yè)務(wù)系統(tǒng)源數(shù)據(jù)進行周期同步，為第三方業(yè)務(wù)系統(tǒng)以及測試人員提供測試數(shù)據(jù)管理平臺，隔離在線業(yè)務(wù)數(shù)據(jù)的直接使用，保證在線業(yè)務(wù)數(shù)據(jù)的完整性與安全性。同時結(jié)合授權(quán)管理、審計管理、脫敏控制等安全管理機制，對所有針對測試數(shù)據(jù)安全管理平臺訪問的測試人員提供統(tǒng)一數(shù)據(jù)安全管理及數(shù)據(jù)使用管理集中管理，杜絕原有的分散式獲取在線業(yè)務(wù)數(shù)據(jù)的情況，從業(yè)務(wù)系統(tǒng)源數(shù)據(jù)創(chuàng)建之初就進行安全管控，針對測試人員以及第三方業(yè)務(wù)系統(tǒng)訪問和使用核心業(yè)務(wù)數(shù)據(jù)全生命周期的各個環(huán)節(jié)提供流程化的安全管理措施，保證數(shù)據(jù)安全體系的閉環(huán)管理。

3.2 技術(shù)架構(gòu)

測試環(huán)境數(shù)據(jù)安全管理平臺共分為數(shù)據(jù)同步管理、數(shù)據(jù)虛擬化管理、數(shù)據(jù)授權(quán)管理、數(shù)據(jù)脫敏管理、數(shù)據(jù)審計管理等5大功能模塊，以下將對主要功能模塊進行介紹：

（1）數(shù)據(jù)同步管理：數(shù)據(jù)同步模塊將源數(shù)據(jù)同步到敏感數(shù)據(jù)安全管理平臺，為測試人員以及業(yè)務(wù)系統(tǒng)提供拷貝數(shù)據(jù)安全使用和共享，杜絕直接對業(yè)務(wù)數(shù)據(jù)進行使用。

（2）數(shù)據(jù)虛擬化管理：根據(jù)同步到敏捷數(shù)據(jù)安全管理平臺的業(yè)務(wù)數(shù)據(jù)進行動態(tài)虛擬，保證可以同時為測試人員和業(yè)務(wù)系統(tǒng)提供隔離獨立的虛擬數(shù)據(jù)庫，方便測試人員查詢和業(yè)務(wù)系統(tǒng)驗證使用。

（3）數(shù)據(jù)授權(quán)管理、數(shù)據(jù)脫敏管理與數(shù)據(jù)審計管理。

3.3 部署架構(gòu)

測試環(huán)境數(shù)據(jù)管理平臺采用旁路接入方式，不改變原有網(wǎng)絡(luò)及存儲架構(gòu)，不影響原網(wǎng)絡(luò)與業(yè)務(wù)性能，減少風(fēng)險。

通過使用基于數(shù)據(jù)庫虛擬化技術(shù)的數(shù)據(jù)管理平臺，用戶無需在備機端創(chuàng)建一套與主機一模一樣的業(yè)務(wù)系統(tǒng)，只需在容災(zāi)服務(wù)器安裝一套數(shù)據(jù)庫軟件，可以把虛擬數(shù)據(jù)庫快速掛載到備機端完成接管，接管后的虛擬數(shù)據(jù)庫可讀、可寫，與業(yè)務(wù)數(shù)據(jù)庫沒有任何區(qū)別。

4 研究成效

4.1 安全與業(yè)務(wù)隔離管理

測試環(huán)境數(shù)據(jù)安全管理平臺專注為公司業(yè)務(wù)系統(tǒng)提供安全的數(shù)據(jù)使用平臺，采用數(shù)據(jù)同步技術(shù)對在線業(yè)務(wù)數(shù)據(jù)進行有效同步，杜絕測試人員以及業(yè)務(wù)系統(tǒng)對在線業(yè)務(wù)數(shù)據(jù)進行直接使用，避免了對在線業(yè)務(wù)數(shù)據(jù)使用壓力，將安全使用與日常業(yè)務(wù)系統(tǒng)進行分離，既不干擾日常業(yè)務(wù)系統(tǒng)的使用，也不會對正常的數(shù)據(jù)使用需求進行禁止，在安全與需求之間進行了良好的平衡。與傳統(tǒng)測試管理產(chǎn)品相比，聚焦在數(shù)據(jù)安全使用和分享環(huán)節(jié)。

4.2 測試與業(yè)務(wù)一體化安全共享

測試環(huán)境數(shù)據(jù)安全管理平臺為測試人員與業(yè)務(wù)系統(tǒng)提供了安全、高效的數(shù)據(jù)共享與使用平臺，該平臺采用數(shù)據(jù)庫虛擬化技術(shù)，對業(yè)務(wù)數(shù)據(jù)進行多重虛擬化，一套數(shù)據(jù)可以方便地同時為測試操作、統(tǒng)計分析、上線驗證等多種應(yīng)用場景提供數(shù)據(jù)安全分享。解決了原來測試和業(yè)務(wù)使用數(shù)據(jù)的安全隱患，并形成統(tǒng)一解決方案，節(jié)省建設(shè)成本，也降低了測試壓力。

4.3 全面數(shù)據(jù)安全管控方案

測試環(huán)境數(shù)據(jù)安全管理平臺以數(shù)據(jù)庫虛擬化技術(shù)為基礎(chǔ)，對數(shù)據(jù)從創(chuàng)建、使用、修改、分享、復(fù)制、刪除等各個環(huán)節(jié)進行嚴格控制，提供靈活的授權(quán)管理機制，適應(yīng)測試人員以及業(yè)務(wù)系統(tǒng)的多場景安全管理，為企業(yè)公司使用業(yè)務(wù)數(shù)據(jù)提供從身份認證、訪問授權(quán)、審計管理、脫敏化分享等全面的業(yè)務(wù)數(shù)據(jù)安全管控方案。與傳統(tǒng)單點安全控制方案相比，提供立體化多方面的安全防護，且各組件不具有單點管理孤島和單點性能壓力，更加易于管理。

參考文獻

[1]Data masking. WIKIPEDIA. http：// en.wikipedia.org/wiki/Data_ masking.2015

[2]Stam.信息安全原理與實踐[M].清華大學(xué)出版社，2013.

[3]曾慶凱.信息安全體系結(jié)構(gòu)[M].電子工業(yè)出版社，2010.