黃繼明 孫 偉 張武軍 陸佳星

1(中山大學(xué)電子信息與工程學(xué)院(微電子學(xué)院) 廣州 510006) 2(信息技術(shù)教育部重點實驗室(中山大學(xué)) 廣州 510006) 3(中山大學(xué)附屬第一醫(yī)院信息數(shù)據(jù)中心 廣州 510006)

隨著移動互聯(lián)網(wǎng)以及智能終端的發(fā)展，互聯(lián)網(wǎng)的數(shù)據(jù)量呈現(xiàn)指數(shù)級增長[1].借助數(shù)據(jù)分析技術(shù)以及人工智能算法，數(shù)據(jù)已經(jīng)成為生產(chǎn)要素被寫入到國家的發(fā)展戰(zhàn)略當(dāng)中.《中華人民共和國國民經(jīng)濟和社會發(fā)展第十四個五年規(guī)劃和2035年遠景目標(biāo)綱要》明確提出：一方面要使數(shù)據(jù)連起來、跑起來、用起來，另外一方面要強化數(shù)據(jù)的安全保障.中國人大相繼通過了《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國個人信息保護法》等一系列基本法，進一步強調(diào)數(shù)據(jù)安全重要的戰(zhàn)略意義、深遠的影響以及嚴(yán)峻的形勢[2].數(shù)據(jù)的安全和使用是相互矛盾的，如何平衡兩者，既確保數(shù)據(jù)的高效使用，又保證數(shù)據(jù)的安全可靠是一個值得研究的課題[3].

以對象為中心的個人數(shù)據(jù)空間技術(shù)依托于數(shù)據(jù)分層的結(jié)構(gòu)，以及基于標(biāo)簽技術(shù)的數(shù)據(jù)管理模型，為解決個人數(shù)據(jù)的高效使用提供了解決方案[4].本文基于個人數(shù)據(jù)空間，引入數(shù)據(jù)治理技術(shù)，以“圍繞數(shù)據(jù)安全使用”為目的，提出了一種以數(shù)據(jù)安全標(biāo)識為基礎(chǔ)的數(shù)據(jù)管理模型，稱之為個人可信數(shù)據(jù)空間(personal trust data space, PTDS).

數(shù)據(jù)安全標(biāo)識技術(shù)是基于密碼技術(shù)，結(jié)合數(shù)據(jù)安全等級評估模型以及標(biāo)簽技術(shù)的可信數(shù)據(jù)安全標(biāo)注與識別技術(shù)，能夠為數(shù)據(jù)安全管控以及數(shù)據(jù)安全體系提供基礎(chǔ)支持和保障，以此構(gòu)建個人數(shù)據(jù)空間的安全維度.

1 個人可信數(shù)據(jù)空間概述

數(shù)據(jù)空間是一組記錄所有主體相關(guān)的數(shù)據(jù)以及其關(guān)系的集合，著重于數(shù)據(jù)的可控性和主體性.因此，PTDS在數(shù)據(jù)流和業(yè)務(wù)流上與關(guān)系型數(shù)據(jù)庫形成了鮮明的差異，特別在數(shù)據(jù)模型、構(gòu)建方式、面向類型、查詢模式等方面[5-6].關(guān)于個人數(shù)據(jù)空間數(shù)據(jù)維的介紹以及其構(gòu)建方式可以參考文獻[4]，本文著重于PTDS在安全維的介紹與構(gòu)建.

PTDS相較于其他數(shù)據(jù)管理模式的最大特點在于充分考慮了主體數(shù)據(jù)的安全使用，更加關(guān)注數(shù)據(jù)空間中數(shù)據(jù)的安全屬性，通過在個人數(shù)據(jù)空間上結(jié)合數(shù)據(jù)治理技術(shù)保證主體的數(shù)據(jù)安全.數(shù)據(jù)治理技術(shù)是一套多種數(shù)據(jù)安全工具協(xié)同組合的產(chǎn)品級解決方案，而且是從管理制度到工具支撐，從決策層到技術(shù)層，自上而下貫穿整個組織架構(gòu)的完整體系鏈條[7-8].基于“標(biāo)識數(shù)據(jù)、動態(tài)防護、梳理角色、明確流程、精確管控”的理念，PTDS根據(jù)數(shù)據(jù)的價值性以及敏感性對空間內(nèi)的每一條數(shù)據(jù)進行安全評估，并利用數(shù)據(jù)維的標(biāo)簽技術(shù)進行標(biāo)識.依托于細(xì)顆粒度的數(shù)據(jù)安全標(biāo)識，采取動態(tài)的防護技術(shù)，即不同的安全等級采取不同程度的安全保護措施，平衡數(shù)據(jù)的可用性以及安全性.通過梳理空間內(nèi)的角色，明確數(shù)據(jù)主體的數(shù)據(jù)管理方式以及使用者獲取數(shù)據(jù)的流程，構(gòu)建個人數(shù)據(jù)管理以及安全審計體系，保障個人數(shù)據(jù)分享的合規(guī)性.

在數(shù)據(jù)管理上集成數(shù)據(jù)治理技術(shù)不僅可以保證基于PTDS的業(yè)務(wù)都能保障主體的數(shù)據(jù)安全，明確其數(shù)據(jù)主權(quán)不受侵害，還可以將開發(fā)者從實現(xiàn)數(shù)據(jù)安全中解放出來，著重于個人數(shù)據(jù)價值的發(fā)掘與業(yè)務(wù)需求的開發(fā).

2 數(shù)據(jù)安全標(biāo)識技術(shù)

數(shù)據(jù)安全標(biāo)識是數(shù)據(jù)安全屬性的信息載體，是與客體數(shù)據(jù)安全相關(guān)的屬性的格式化封裝[9].它由數(shù)據(jù)安全等級評估模型以及密碼技術(shù)組成，前者根據(jù)數(shù)據(jù)的屬性評估其安全等級，為數(shù)據(jù)全生命周期安全管控提供支撐，后者可以確保數(shù)據(jù)的完整性以及可用性.

2.1 安全等級評估方法

PTDS基于數(shù)據(jù)的價值性以及敏感性2個維度來評估數(shù)據(jù)的安全等級.下面首先討論如何定量數(shù)據(jù)的價值性.PTDS為業(yè)務(wù)提供其所需的數(shù)據(jù)集，數(shù)據(jù)的價值可以通過被業(yè)務(wù)調(diào)用的數(shù)量來衡量.本文以V表示數(shù)據(jù)的價值,假設(shè)某數(shù)據(jù)被n個業(yè)務(wù)調(diào)用，數(shù)據(jù)空間共有N個業(yè)務(wù).該數(shù)據(jù)的價值可通過下式計算：

上式由n與N的比值與n取不同的權(quán)重相加得到.當(dāng)N比較小時，突出被多少百分比的業(yè)務(wù)調(diào)用來衡量數(shù)據(jù)的價值.而N很大時，突出數(shù)據(jù)的被調(diào)用量來衡量數(shù)據(jù)的價值.根據(jù)V，可以對數(shù)據(jù)的價值進行評級(如表1所示).

表1 價值性等級賦值表

數(shù)據(jù)的敏感性由用戶對數(shù)據(jù)的公開程度來定性，數(shù)據(jù)空間的主體可以對數(shù)據(jù)選擇公開、授權(quán)后公開、保密.根據(jù)用戶的選擇，PTDS對數(shù)據(jù)的敏感性進行如下的賦值(如表2所示).

表2 敏感性等級賦值表

經(jīng)過對數(shù)據(jù)的價值性以及敏感性進行等級賦予后，可以根據(jù)兩者的組合產(chǎn)生9個級別的安全等級.基于該安全等級評估模型，PTDS可以對空間內(nèi)每條數(shù)據(jù)進行評估，產(chǎn)生一個安全等級.根據(jù)數(shù)據(jù)的安全等級不同，PTDS可對不同的數(shù)據(jù)采取不同的安全措施.如表3所示，安全等級高的數(shù)據(jù)在其生命周期中得到更為完善的安全保障.相反地，對于安全等級低的數(shù)據(jù)采用更加簡潔的數(shù)據(jù)安全措施.

表3 數(shù)據(jù)安全分級及安全技術(shù)對照表

2.2 數(shù)據(jù)安全標(biāo)識結(jié)構(gòu)

數(shù)據(jù)安全標(biāo)識由標(biāo)識頭、標(biāo)識體以及校驗體組成(如圖1所示)[9].

圖1 數(shù)據(jù)安全標(biāo)識結(jié)構(gòu)

標(biāo)識頭是關(guān)于數(shù)據(jù)安全標(biāo)識的元信息，包括唯一標(biāo)識、標(biāo)識時間以及有效期.通過標(biāo)識頭可以為使用者提供數(shù)據(jù)安全標(biāo)識的屬性信息.

標(biāo)識體描述數(shù)據(jù)的安全屬性，其中包括數(shù)據(jù)屬性標(biāo)簽集、數(shù)據(jù)安全等級.數(shù)據(jù)標(biāo)識標(biāo)簽集是由PTDS數(shù)據(jù)維提供用于描述數(shù)據(jù)的元數(shù)據(jù)，如數(shù)據(jù)來源、數(shù)據(jù)類型等.安全等級是由上述安全等級評估模型產(chǎn)生的.

校驗體是結(jié)合密碼技術(shù)來保證數(shù)據(jù)標(biāo)識以及數(shù)據(jù)本身的完整性、不可篡改性以及可用性.對標(biāo)識頭和數(shù)據(jù)體進行數(shù)據(jù)摘要提取形成內(nèi)容摘要，保證標(biāo)識頭以及標(biāo)識體的數(shù)據(jù)是完整和未經(jīng)篡改的.對內(nèi)容摘要進行數(shù)字簽名，形成密文校驗碼，保證內(nèi)容摘要的完整性，進而保證數(shù)據(jù)安全標(biāo)識是安全可靠的.

基于PTDS的標(biāo)簽技術(shù)，可以為空間內(nèi)每條數(shù)據(jù)賦予對應(yīng)的數(shù)據(jù)安全標(biāo)識，為細(xì)顆粒度的數(shù)據(jù)安全管控提供數(shù)據(jù)支撐.基于數(shù)據(jù)安全標(biāo)識技術(shù)對PTDS進行安全體系的構(gòu)建，實現(xiàn)數(shù)據(jù)的精確管控.

3 PTDS的安全體系

PTDS基于“標(biāo)識數(shù)據(jù)、動態(tài)防護、梳理角色、明確流程、精確管控”的安全策略，“標(biāo)識數(shù)據(jù)”是指對空間內(nèi)每一條數(shù)據(jù)進行數(shù)據(jù)安全標(biāo)識.基于數(shù)據(jù)安全標(biāo)識可以對數(shù)據(jù)采用不同程度的安全保護措施，并且數(shù)據(jù)安全標(biāo)識隨著數(shù)據(jù)安全等級以及數(shù)據(jù)屬性的變化而改變，實現(xiàn)“動態(tài)防護”.安全體系還對數(shù)據(jù)空間內(nèi)的角色進行梳理，劃分為數(shù)據(jù)主體以及數(shù)據(jù)使用者.基于不同的角色，明確其訪問數(shù)據(jù)的流程，實現(xiàn)精確管控.

3.1 身份認(rèn)證與內(nèi)容訪問流程

PTDS對數(shù)據(jù)使用者實行“身份認(rèn)證、權(quán)限管控”的數(shù)據(jù)管控策略，明確使用者首先需要通過身份認(rèn)證，判斷該角色是否具備訪問的資格.經(jīng)過認(rèn)證后，還需判斷其是否具備訪問該數(shù)據(jù)的權(quán)限，具備權(quán)限的使用者才能對該數(shù)據(jù)進行操作.對于第1次訪問或者缺乏相應(yīng)數(shù)據(jù)的訪問權(quán)限的使用者，都需要向數(shù)據(jù)主體發(fā)送授權(quán)審批，待審批通過后才能獲得相應(yīng)的權(quán)限.依托數(shù)據(jù)的安全標(biāo)識以及雙重管控策略能防止高安全等級的數(shù)據(jù)流向低安全等級的使用者，充分保障數(shù)據(jù)的安全(如圖2所示).

圖2 內(nèi)容訪問流程圖

PTDS為數(shù)據(jù)主體提供權(quán)限審批以及權(quán)限管理的功能，身份認(rèn)證審批可以讓主體明確什么應(yīng)用訪問了自己的數(shù)據(jù)空間，權(quán)限管理審批可以明確應(yīng)用調(diào)用了自己的什么數(shù)據(jù)，讓主體清晰數(shù)據(jù)流動的全生命周期.利用標(biāo)簽技術(shù)的特性，主體可以根據(jù)自身的需求動態(tài)調(diào)整其安全標(biāo)識，從而進一步保障數(shù)據(jù)的安全性.

PTDS的安全系統(tǒng)貫穿了整個數(shù)據(jù)流動的全生命周期(如圖3所示)，其中可分為數(shù)據(jù)收集、數(shù)據(jù)管理、數(shù)據(jù)共享以及數(shù)據(jù)銷毀這4個階段.對于數(shù)據(jù)收集環(huán)節(jié)，數(shù)據(jù)從數(shù)據(jù)源提取到數(shù)據(jù)空間里，將數(shù)據(jù)進行數(shù)據(jù)安全等級評估，生成數(shù)據(jù)安全標(biāo)識，根據(jù)安全標(biāo)識采取不同的安全措施進行保護；對于數(shù)據(jù)管理環(huán)節(jié)，權(quán)限審批以及權(quán)限管理功能為數(shù)據(jù)主體提供數(shù)據(jù)管理的方式，明確其數(shù)據(jù)主權(quán)，保障主體的數(shù)據(jù)安全；對于數(shù)據(jù)共享環(huán)節(jié)，在身份認(rèn)證體系下對使用者進行權(quán)限管控，低安全等級的使用者不允許訪問安全等級高的數(shù)據(jù)，不僅查其身份，還需要查其權(quán)限，雙重把控下保障數(shù)據(jù)共享的安全；對于數(shù)據(jù)銷毀環(huán)節(jié)，PTDS劃分了2種用戶，使用者不再是數(shù)據(jù)擁有者、管理者，也解決了以往系統(tǒng)數(shù)據(jù)無法被銷毀的局面.

圖3 PTDS數(shù)據(jù)全生命周期示意圖

在該安全系統(tǒng)構(gòu)建之下，PTDS符合《中華人民共和國數(shù)據(jù)安全法》的要求，也滿足如其他數(shù)據(jù)安全標(biāo)準(zhǔn)如歐盟的通用數(shù)據(jù)保護條例(general data protection regulation, GDPR)中讓用戶明確其數(shù)據(jù)使用情況、保障用戶數(shù)據(jù)安全等要求[10].

3.2 安全架構(gòu)

PTDS的系統(tǒng)安全架構(gòu)如圖4所示，從下到上分別為安全分級層、安全標(biāo)注層、安全技術(shù)層以及安全控制層.

圖4 PTDS數(shù)據(jù)安全架構(gòu)圖

安全分級層基于數(shù)據(jù)安全評估模型，對空間內(nèi)每條數(shù)據(jù)進行安全等級評估，并隨著數(shù)據(jù)的屬性值變化，動態(tài)調(diào)整其數(shù)據(jù)安全等級.

安全標(biāo)注層根據(jù)數(shù)據(jù)安全標(biāo)識生成規(guī)則，分別形成標(biāo)識頭、標(biāo)識體以及校驗信息，并且利用標(biāo)簽技術(shù)標(biāo)記對應(yīng)的數(shù)據(jù)，形成與數(shù)據(jù)的強綁定.

安全技術(shù)層集成了各種數(shù)據(jù)安全技術(shù)，并且根據(jù)數(shù)據(jù)的安全標(biāo)識對數(shù)據(jù)進行相應(yīng)的安全技術(shù)處理.

安全控制層為2類角色提供對應(yīng)的訪問入口，管理訪問為數(shù)據(jù)主體提供權(quán)限審批以及權(quán)限管理的接口，而內(nèi)容訪問為使用者提供訪問數(shù)據(jù)、身份認(rèn)證、權(quán)限申請的接口.

在PTDS安全架構(gòu)的構(gòu)建之下，數(shù)據(jù)空間內(nèi)所有的數(shù)據(jù)對于主體而言都是安全可控的，對于使用者來說數(shù)據(jù)都是完整的、沒有被篡改的，可以充分利用空間內(nèi)各類數(shù)據(jù)，實現(xiàn)數(shù)據(jù)的互融互通以及高效利用.

4 結(jié) 語

隨著數(shù)字經(jīng)濟的進一步發(fā)展，大數(shù)據(jù)已經(jīng)成為各國爭取的戰(zhàn)略制高點，數(shù)據(jù)安全也被提到新的高度.面向“確保數(shù)據(jù)的高效使用以及保障數(shù)據(jù)的安全使用”的目標(biāo)，本文介紹了以對象為中心的個人數(shù)據(jù)空間技術(shù)，并且在安全維度上結(jié)合數(shù)據(jù)治理技術(shù)，提出了一種以安全標(biāo)識為基礎(chǔ)的數(shù)據(jù)安全體系框架和技術(shù)架構(gòu)，通過身份認(rèn)證、審批授權(quán)、動態(tài)管理來明確主體的數(shù)據(jù)權(quán)利，保障個人數(shù)據(jù)的安全，為當(dāng)前數(shù)據(jù)融合提供安全可靠的解決方案.