陶 剛

（云南中煙工業(yè)公司，云南 昆明 650051）

0 前言

隨著信息化技術(shù)的飛速發(fā)展，云南中煙工業(yè)的信息化系統(tǒng)由各個(gè)業(yè)務(wù)部門根據(jù)其負(fù)責(zé)的業(yè)務(wù)提出建設(shè)需求，負(fù)責(zé)建設(shè)。這些業(yè)務(wù)系統(tǒng)建成后由業(yè)務(wù)部門推廣、發(fā)展到云南中煙工業(yè)全體使用。隨著時(shí)間的推移和業(yè)務(wù)的發(fā)展擴(kuò)大、業(yè)務(wù)系統(tǒng)慢慢變多時(shí)就會(huì)發(fā)現(xiàn)，眾多的業(yè)務(wù)系統(tǒng)間都是數(shù)據(jù)孤島，每個(gè)系統(tǒng)都需要進(jìn)行組織和用戶管理。一旦發(fā)生人員異動(dòng)（組織變更、借調(diào)、新員工入職、離職、返聘等），所有業(yè)務(wù)系統(tǒng)都需要全部更新一遍，這無(wú)疑增加管理工作和出錯(cuò)節(jié)點(diǎn)。更致命的是，現(xiàn)實(shí)業(yè)務(wù)中用戶信息泄露屢見(jiàn)不鮮。

1 用戶中心發(fā)展需求

早期用戶的管理基于MFC/VB/DEPHI等桌面開(kāi)發(fā)技術(shù)的應(yīng)用，用戶信息的使用僅在進(jìn)入平臺(tái)時(shí)使用賬號(hào)密碼進(jìn)行登陸。但隨著安全登陸、業(yè)務(wù)與業(yè)務(wù)、系統(tǒng)與系統(tǒng)之間交互需求的增長(zhǎng)，個(gè)人信息的安全傳遞、集中安全管理變成了信息化建設(shè)中基礎(chǔ)建設(shè)。

2 用戶中心的設(shè)計(jì)

2.1 用戶集中管理的設(shè)計(jì)

2.1.1 用戶中心功能架構(gòu)

針對(duì)業(yè)務(wù)系統(tǒng)分散管理用戶信息的現(xiàn)狀，需將用戶賬號(hào)及個(gè)人信息進(jìn)行集中單獨(dú)管理。與業(yè)務(wù)系統(tǒng)劃定業(yè)務(wù)邊界，對(duì)用戶賬號(hào)的生命周期進(jìn)行管理。分別從用戶信息的收集、安全存儲(chǔ)、映射和消費(fèi)進(jìn)行管理。

圖1 功能架構(gòu)圖

云南中煙工業(yè)用戶中心可分為用戶信息收集區(qū)、用戶審核區(qū)、信息安全加密區(qū)、信息存儲(chǔ)區(qū)、業(yè)務(wù)系統(tǒng)銷消費(fèi)核判斷區(qū)和業(yè)務(wù)消費(fèi)區(qū)六大部分。

用戶信息收集區(qū)：以WEB應(yīng)用、接口、EXCEL多種形式對(duì)用戶信息收集。

用戶審核區(qū)：管理員或業(yè)務(wù)處室根據(jù)業(yè)務(wù)需要進(jìn)行用戶入庫(kù)的判斷審核，并在使用和消費(fèi)上給予用戶對(duì)應(yīng)的聲明和通知。

信息安全加密區(qū)：對(duì)已審核的可入庫(kù)的用戶信息進(jìn)行分析，對(duì)敏感信息進(jìn)行脫敏處理、對(duì)賬號(hào)安全、個(gè)人隱私信息利用國(guó)密算法進(jìn)行加密處理。對(duì)整個(gè)用戶信息進(jìn)行拆分去核心化、在入庫(kù)時(shí)進(jìn)行匿名處理。

信息存儲(chǔ)區(qū)：負(fù)責(zé)整個(gè)用戶信息的存儲(chǔ)。

業(yè)務(wù)系統(tǒng)消費(fèi)審核判斷區(qū)：在經(jīng)過(guò)審批后建立業(yè)務(wù)系統(tǒng)的消費(fèi)規(guī)則，分別從業(yè)務(wù)系統(tǒng)的用戶信息初始化、增量控制、實(shí)時(shí)變更。

業(yè)務(wù)消費(fèi)區(qū)：用戶中心根據(jù)審批的規(guī)則在用戶信息變更后實(shí)時(shí)向業(yè)務(wù)系統(tǒng)推送用戶信息，或根據(jù)業(yè)務(wù)系統(tǒng)需求在消費(fèi)規(guī)則內(nèi)提供用戶信息消費(fèi)。

2.1.2 技術(shù)邏輯架構(gòu)

云南中煙工業(yè)用戶中心采用微服務(wù)架構(gòu)進(jìn)行開(kāi)發(fā)和部署，利用前后端分離的程序結(jié)構(gòu)進(jìn)行開(kāi)發(fā)。有利于為整個(gè)企業(yè)提供服務(wù)時(shí)更安全、穩(wěn)定。

圖2 架構(gòu)圖

網(wǎng)關(guān)服務(wù)負(fù)責(zé)負(fù)載均衡、服務(wù)熔斷、灰度發(fā)布、向向代理、API認(rèn)證及訪問(wèn)控制等任務(wù)。網(wǎng)關(guān)服務(wù)對(duì)外隔離非開(kāi)放訪問(wèn)接口，同時(shí)對(duì)外提供給UI統(tǒng)一的服務(wù)接口。

以Consul實(shí)現(xiàn)服務(wù)注冊(cè)發(fā)現(xiàn)服務(wù)實(shí)現(xiàn)微服務(wù)的注冊(cè)、健康檢查等功能。

利用Apollo實(shí)現(xiàn)配置中心，負(fù)責(zé)微服務(wù)體系中配置的信息，如數(shù)據(jù)庫(kù)配置信息，日志級(jí)別，服務(wù)端口等的配置。

Rocket MQ作為消息隊(duì)列，用于分發(fā)操作日志信息以及交易日志信息。

采用ELK實(shí)現(xiàn)日志監(jiān)控分析功能，用于分析微服務(wù)調(diào)用中的性能，異常情況。

2.2 用戶信息的安全保護(hù)

用戶信息的安全分為用戶信息安全傳輸和用戶信息安全存儲(chǔ)。在用戶信息的使用過(guò)程中需對(duì)用戶信息的消費(fèi)方進(jìn)行安全認(rèn)證和管控，并對(duì)消費(fèi)的方式、時(shí)效進(jìn)行相關(guān)控制。使用加鹽加密、匿名化等技術(shù)作為信息數(shù)據(jù)保障的基礎(chǔ)安全保障。

2.2.1 數(shù)據(jù)加密和匿名化

用戶信息的傳輸加密：一般信息系統(tǒng)會(huì)使用HTTPS等安全協(xié)議進(jìn)行傳輸、使用SSL/TLS系列中的TLSv1.1和加入了現(xiàn)代加密算法的v1.2進(jìn)行安全傳輸。

用戶信息的安全加密存儲(chǔ)：對(duì)用戶信息中的個(gè)人信息隱私數(shù)據(jù)，采用以國(guó)密算法進(jìn)行加密方式存儲(chǔ)。如：使用國(guó)家密碼局公布的SM4分組密碼算法等等。

匿名化處理：用戶信息收集后，將數(shù)據(jù)匿名化或去標(biāo)識(shí)化。并將匿名信息與個(gè)人識(shí)別標(biāo)識(shí)分開(kāi)存儲(chǔ)。進(jìn)行用戶信息消費(fèi)時(shí)，優(yōu)先使用已經(jīng)匿名化的數(shù)據(jù)。

對(duì)于匿名化處理的方式：

a.使用泛化處理數(shù)據(jù)

使用泛化處理，實(shí)現(xiàn) K 匿名效果。K 匿名是業(yè)界標(biāo)準(zhǔn)術(shù)語(yǔ)，這是一種技術(shù)，用于隱藏一群相似人員中各人的身份。

如果某數(shù)據(jù)集中的所有人都具有相同的敏感屬性值，那么只要知道這些人屬于相關(guān)數(shù)據(jù)集，就可能會(huì)知道這項(xiàng)敏感信息。為降低這種風(fēng)險(xiǎn)，我們可能會(huì)采用 L 多樣性。L 多樣性也是業(yè)界標(biāo)準(zhǔn)術(shù)語(yǔ)，用于表示敏感值中的多樣性程度。

b.向數(shù)據(jù)中添加噪聲

我們也可以使用向用戶數(shù)據(jù)種添加噪聲的技術(shù)完成差別隱私效果。通過(guò)差別隱私技術(shù)過(guò)濾后的數(shù)據(jù)，無(wú)法直接確認(rèn)某個(gè)用戶個(gè)人是否屬于某個(gè)數(shù)據(jù)集。在使用者看來(lái)所有給定算法輸出的結(jié)果看上去都基本相似，無(wú)論是否添加噪聲結(jié)果都是如此。

2.2.2 用戶信息的管理

完善的管理制度是隱私合規(guī)化的條件之一，用戶信息的管理分為業(yè)務(wù)端和服務(wù)管理端。

在業(yè)務(wù)端需要在用戶信息收集時(shí)對(duì)相關(guān)用途及使用范圍進(jìn)行聲明，用戶同意后才可收集。在用戶賬號(hào)的聲明周期消亡時(shí)需停止并通知用戶主體，并對(duì)其用戶信息進(jìn)行刪除或匿名化歸檔。

在服務(wù)端對(duì)用戶信息的展現(xiàn)、管理員的使用留痕。不僅對(duì)用戶信息的消費(fèi)上留痕，還需要對(duì)管理者對(duì)用戶信息的維護(hù)留痕。對(duì)用戶信息的導(dǎo)出需增加范圍、審核、二次認(rèn)證等多種安全保障手段。

3 用戶信息的使用

3.1 消費(fèi)規(guī)則的建立

針對(duì)企業(yè)用戶信息數(shù)據(jù)的訪問(wèn)，需遵循最小權(quán)限原則，即最少的人訪問(wèn)最少的數(shù)據(jù)。

圖3 流程圖

業(yè)務(wù)部門在消費(fèi)前，根據(jù)自己的業(yè)務(wù)情況向用戶中心進(jìn)行消費(fèi)申請(qǐng)，用戶中心對(duì)業(yè)務(wù)系統(tǒng)的消費(fèi)申請(qǐng)進(jìn)行審核并建立對(duì)應(yīng)的消費(fèi)規(guī)則。 最終將符合要求的消費(fèi)規(guī)則作為用戶中心的消費(fèi)規(guī)則之一執(zhí)行。

如：A業(yè)務(wù)系統(tǒng)進(jìn)行消費(fèi)時(shí)則遵從A業(yè)務(wù)部門申請(qǐng)的規(guī)則A消費(fèi)。

圖4 用戶中心與業(yè)務(wù)系統(tǒng)圖

3.2 安全消費(fèi)

云南中煙工業(yè)用戶中心提供多種方式供業(yè)務(wù)系統(tǒng)消費(fèi)。包含但不限于：

a.用戶中心實(shí)時(shí)推送同步消費(fèi)

b.用戶中心定時(shí)、定點(diǎn)推送同步消費(fèi)

c.用戶中心提供服務(wù)中心，業(yè)務(wù)系統(tǒng)自發(fā)請(qǐng)求消費(fèi)

用戶消費(fèi)時(shí)，用戶中心與業(yè)務(wù)系統(tǒng)進(jìn)行服務(wù)端的互認(rèn)后，用戶中心分場(chǎng)景、按對(duì)應(yīng)的預(yù)設(shè)申請(qǐng)規(guī)則給予業(yè)務(wù)系統(tǒng)不同的用戶信息消費(fèi)，實(shí)現(xiàn)對(duì)個(gè)人用戶信息的按場(chǎng)景訪問(wèn)控制，按業(yè)務(wù)系統(tǒng)、按場(chǎng)景進(jìn)行用戶信息保護(hù)。

3.3 信息展示

業(yè)務(wù)系統(tǒng)在進(jìn)行用戶信息展示時(shí)，進(jìn)行安全脫敏處理。用戶的聯(lián)系方式、通信地址、真實(shí)身份信息、涉及金融及資產(chǎn)的相關(guān)信息僅在注冊(cè)時(shí)完全展現(xiàn)。

用戶查看和修改個(gè)人信息時(shí)通過(guò)用戶二次認(rèn)證后進(jìn)行全文展示。從而降低用戶個(gè)人信息在展示環(huán)節(jié)的泄露風(fēng)險(xiǎn)。

例如： 姓名脫敏顯示：**三、居民身份號(hào)碼和社?？ㄌ?hào)脫敏顯示：***********6666、手機(jī)號(hào)碼脫敏顯示：138****8888、用戶戶籍地址脫敏顯示：云南省五華區(qū)********。

4 結(jié)語(yǔ)

通過(guò)用戶中心的建設(shè)對(duì)云南中煙工業(yè)用戶信息進(jìn)行規(guī)范化管理和安全存儲(chǔ)，按需供銷減少用戶信息的泄露，從而實(shí)現(xiàn)用戶信息的安全保護(hù)。 推動(dòng)了企業(yè)信息化建設(shè)，在打破信息孤島的同時(shí)提高用戶信息的安全管理，為云南中煙工業(yè)信息化安全打下堅(jiān)實(shí)基石。