王 征 朱 光

(西南財經大學 計算機與人工智能學院&研究生院 成都 611130)

近年來，國內外學界/業(yè)界參考企業(yè)數據治理的定義，提出了政務數據治理的定義：“數據驅動的政務環(huán)境中，圍繞具備更高可用性的數據標準與數據模型，規(guī)劃構建采集、存儲、管理、服務等一整套制度體系的系統(tǒng)工程”；其中，廣義的政務數據治理包含政務數據管理和數據價值實現(xiàn)兩部分，集成了數據架構、主政數據、數據質量、時序數據等諸多數據管理活動[1-2]。由于政務數據治理工作是高度有序與緊密銜接的，因而任何一處信息隱患造成的危害都可能在后續(xù)治理環(huán)節(jié)中被放大，因此其中的數據安全與隱私保護工作顯得尤為重要；而弱隱私信息保護是目前需要關注的重點之一。弱隱私信息是指單獨難以造成重大信息安全事故、但會給數據處理過程帶來較大安全隱患的隱私信息，例如單獨的手機號，如不配合姓名、身份證號、銀行卡號等其他弱隱私信息，詐騙分子也難以通過它開展犯罪活動。目前，針對政務數據治理中的弱隱私安全問題，國內外專家學者提出了眾多的解決方案與配套模型，但由于弱隱私信息存在安全特征弱、影響關聯(lián)復雜、治理應用線路長等特點，因此尚缺乏準確、全面、高效的弱隱私信息監(jiān)測方法與模型[3]?；诖?，本文提出了面向政務數據治理的弱隱私信息追蹤監(jiān)測模型(WPTM)，構建了基于關聯(lián)動態(tài)信息追蹤與靜態(tài)安全結構特征檢測融合的配套算法，實施危害性評估，為政務數據治理工作提供信息安全參考與告警。

1 文獻綜述

針對當前政務數據治理中的弱隱私信息問題，以及相關解決方案存在的問題，本研究的開展依據與核心思想如下：我國電子政務系統(tǒng)結構的“二網四庫十二金”，其中二網指公眾信息網(外網)與電子政務內網，二者通常采用物理隔離，因此內網中的信息很少發(fā)生技術上的泄露；但隨著數字化治理工作的深入開展，越來越多的業(yè)務需要內外網協(xié)同工作，同時公眾信息網中處理的涉密(主要是涉及公眾的弱隱私信息)也越來越多，因此必須對其中的弱隱私保護問題進行研究和解決。政府信息安全管理機構及相關部門可以應用WPTM模型中的模型及子算法，對其治理域內的信息進行過濾與篩查，并采用弱隱私結構特征識別技術，實施弱隱私信息的危害性評估，縱向上評估其對政務數據治理業(yè)務流的危害程度，橫向上評估其對政務數據治理生態(tài)環(huán)境的影響程度，從而全面對其弱隱私安全結構特征進行識別，并生成信息安全警示與輔助決策信息?；谏鲜鏊枷?，本研究對當前國內外相關研究成果進行了總結與剖析，并對其中的缺陷與不足提出了改進與優(yōu)化路徑。

從當前政務數據治理的安全現(xiàn)狀來看，主流的安全管理策略中還缺乏針對流程數據中弱隱私信息的跟蹤監(jiān)測方法與模型；政務數據治理中常用的隱私保護和動態(tài)關聯(lián)分析方法，一方面對隱私信息源(主要是文件)的監(jiān)測不徹底，通常采用分時段進行特定文件的橫向關聯(lián)掃描分析，而不是全程式的跟蹤分析；另一方面大量模型和系統(tǒng)仍采用硬性隱私判別規(guī)則，漏檢率較高，響應速度也較慢，因此WPTM模型針對這些問題提出了相關的破解方案。國內外相關研究成果主要集中在顯性公開數據的安全過濾模型、數據訪問流程管控等方面，鮮見弱隱私信息相關的成果。田賢鵬、張豹等人指出：政務數據治理工作中的信息融合以及安全隱患，對整個數據治理生態(tài)構成了一定的威脅[4-5]。吳信東、熊翠蘭等發(fā)現(xiàn)近年大數據背景下的信息開放和共享，使得隱私和信息安全問題被顯著放大，因此政務數據治理中的弱隱私問題已成為學界與業(yè)界的關注焦點[6-7]。占南等人指出：當前的政務數據治理中，忽視了弱隱私信息的關聯(lián)融合式泄露，導致了相關的安全事故頻發(fā)，迫切需要構建在應用與治理流程中進行弱隱私信息安全監(jiān)測的算法與模型[8]?；诖?，本研究一方面將研究弱隱私信息在政務數據治理生態(tài)中的靜態(tài)結構特征，另一方面將對治理過程中弱隱私信息的動態(tài)變遷特征與形態(tài)進行剖析，從而為跟蹤監(jiān)測工作奠定數據基礎。

從當前的政務數據治理的安全管理方式來看，基于局部文件與內存掃描的安全監(jiān)控方法仍然處于主流地位，缺少動態(tài)的、全域的弱隱私信息安全監(jiān)測模型與手段。國內外相關研究成果主要集中在文件的隱私評估、內存監(jiān)測管理、文件的外部訪問控制等方面，鮮見弱隱私信息的應用流程監(jiān)測相關成果。Alhuwail Dari，Birch Kean等人指出：數據治理生態(tài)中的信息具有動態(tài)性、融合性和流動性，應對這種數據管理模式之下的隱私安全給予足夠的重視[9-10]。Holt Alison和Gillan Ana等人指出弱隱私信息隱蔽性較強，導致其很難通過單一文件或端口進行監(jiān)測，必須設計持續(xù)跟蹤的動態(tài)監(jiān)測算法，才能對其安全性進行評估[11-12]。PerezPozuelo Ignacio等人通過構建對電子政務系統(tǒng)中的公開文件進行了融合式安全檢測，發(fā)現(xiàn)了部分國外網站中的弱隱私信息漏洞；而進一步的研究發(fā)現(xiàn)，電子政務服務器的緩沖、信息交換區(qū)等臨時存儲空間中更多的弱隱私信息[13]?；诖?，WPTM模型將重點研究如何根據弱隱私信息的關聯(lián)影響范圍與可能危害程度進行安全甄別，實現(xiàn)全程、全面、有效的弱隱私信息安全參考與告警。

最后，從當前的政務數據治理中的弱隱私安全管理模型與工具來看，應對外部入侵與非法訪問為主的防火墻技術仍然處于主導地位，缺少從自身治理環(huán)境出發(fā)、監(jiān)測與評估內部弱隱私信息安全的算法與模型。國內外相關研究成果主要集中在對外防御網絡入侵、非法訪問等方面，鮮見對內進行基于數據治理進行弱隱私信息安全管理的相關成果。Brous Paul, Mara Maretti等人指出當前政務數據治理安全算法，大多仍然拘泥于訪問模式識別，管理效率較低，很難解決弱隱私數據的低安全辨識度和低匹配度問題[14-15]。Mark Keil, Jones Kerina, Delacroix Sylvie等人研發(fā)了若干針對政務系統(tǒng)的全局隱私偵測系統(tǒng)，盡管取得了較高的監(jiān)測精度，但由于需要進行全局一致性偵測，系統(tǒng)開銷較大[16-18]?；诖?，WPTM模型中的子算法與配套模型，將重點對政務數據治理環(huán)境中的內部弱隱私信息進行安全監(jiān)測，重點研究它們在治理流程與應用過程出現(xiàn)的安全隱患，從而保證弱隱私信息在可控的安全域內公開與應用。

2 模型結構與處理流程

WPTM模型主要包括幾個功能模塊(如圖1所示)：首先是信息對象監(jiān)測模塊，該模塊主要對政務數據治理過程中應用到的各種信息對象進行監(jiān)測，并生成其元數據(文件名、修改時間、存儲位置等)備用。其次是信息特征掃描模塊，該模塊主要對政務數據治理過程中動態(tài)生成的各類信息對象進行弱隱私信息特征掃描，重點從其內容與結構上進行安全特征分析。再次是動態(tài)關聯(lián)追蹤模塊，該模塊主要對政務數據治理過程中各信息對象之間的關系進行檢測，重點從對象間關系、對象與治理環(huán)境之間的關系進行安全分析。最后是交互管理模塊，該模塊主要為安全管理人員提供管理接口與全程安全視圖，如：在發(fā)生弱隱私信息報警時。

圖1 WPTM結構與處理流程

Step1：當政務數據治理過程中的信息對象被處理時，將觸發(fā)信息對象監(jiān)測模塊?；跀祿卫砩鷳B(tài)中既有的安全監(jiān)測評估先驗概率信息集(既往評估數據)，對弱隱私信息對象(主要是文件)的靜態(tài)安全結構進行初始化，之后可以對其權重進行調節(jié)，使之逼近穩(wěn)定狀態(tài)；最終，上文中的監(jiān)測對象集合可以演變?yōu)楦潞鬆顟B(tài)和預測狀態(tài)，并存儲在數據庫中備用：

xt=ft(xt-1,vt-1)

(1)

yt=ht(xt,wt)

(2)

算式(1)和(2)中，ft與ht是弱隱私信息監(jiān)測對象與安全等級之間構成的系統(tǒng)動力方程，在t時刻，監(jiān)測對象的更新后狀態(tài)與預測狀態(tài)用xt與yt代表，而其中的環(huán)境干擾與測度干擾用vt與wt代表，這些變量間是彼此獨立的；由此可以將整個數據治理過程的弱隱私信息對象集合定義為：

x0:t={x0,x1,…，xt}

(3)

y0:t={y0,y1,…，yt}

(4)

Step2：當靜態(tài)的弱隱私信息對象進入動態(tài)的政務數據治理過程中，并處于被處理或應用狀態(tài)時，信息特征掃描模塊將對其結構與內容進行掃描；并通過p(xt,yt)對其后續(xù)的安全信息進行預測，有：

(5)

政務數據治理過程中生成的臨時文件和處理操作的安全性都將在該步驟中由動態(tài)關聯(lián)追蹤模塊進行監(jiān)測；由此，對整個治理過程持續(xù)進行監(jiān)測，可得其在整個過程中的安全狀態(tài)(詳細的分解算法將在下文中詳述)：

p(xt|yt)∝p(yt|xt)p(xt|yt-1)

(6)

(7)

3 關鍵算法

WPTM模型中的核心算法包括弱隱私信息特征掃描子算法和關聯(lián)動態(tài)追蹤子算法。其中，前者主要對政務數據處理過程中產生的、獨立的中間信息對象與處理應用場景進行安全結構特征掃描；后者主要對政務數據處理過程中的信息對象間的關系結構進行動態(tài)追蹤，從而發(fā)掘其中影響信息安全的關鍵對象。

3.1 弱隱私信息特征掃描子算法

既往的信息安全要素特征掃描或者監(jiān)測框架，往往忽略弱隱私信息的融合安全結構特征，片面基于其單獨或若干的信息特征進行掃描，而弱隱私信息，特別是復雜政務數據治理環(huán)境中的弱隱私信息，其信息暴露過程通常較為復雜，既往算法難以奏效?；谏鲜?，本研究一方面對弱隱私的安全結構特征進行挖掘，另一方面通過其應用場景進行融合式安全結構特征掃描，從而大大提高了弱隱私信息的識別精度與覆蓋度。

由于政務數據治理環(huán)境中的弱隱私信息，在不同信息應用空間(場景)中呈現(xiàn)的安全性與重要性是完全不同的，因此，本研究構建了動態(tài)的數據治理空間的安全核函數，從而對不同信息空間的弱隱私信息賦予差異化的權重，以便更為精準的對其安全結構特征進行描述。WPTM框架中，采用的核函數為：

(8)

(9)

由于弱隱私信息在數據治理環(huán)境中的結構存在變換關系，因此需要對其結構特征模型的變化進行微觀變換記錄，構建變換記錄函數，有：

(10)

(11)

此時，可以生成弱隱私信息對象的結構特征，有：

Gx(x,y)=H(x+1,y)-H(x-1,y)

(12)

Gy(x,y)=H(x,y+1)-H(x,y-1)

(13)

其中，H(x,y)靜態(tài)安全信息表征此，而Gx,Gy可以生成：

(14)

結構傾向可以表示為：

(15)

為了進一步對數據治理過程中的信息元素進行動態(tài)權重度量，利用橫向時間軸變遷相似性算法，可以分解出弱隱私信息對象安全結構變遷的概率分布；其兩次相關處理的安全分布分別為pu、qu，n設為其安全維度，則有：

(16)

(17)

此時，可以通過政務數據治理中通用的安全檢測框架預期安全程度和當前安全程度(To與Tc)進行測度，最終的安全程度如下：

(18)

此時，可以引入更替系數α來表征當前弱隱私信息對象的結構安全程度，有：Tt-1,Tt，可以得到Tc的更替辦法為：

Tc=αTt+(1-α)Tt-1

(19)

由于政務數據治理中的信息結構操作差異較大，為避免誤報警，設定了數據治理操作影響閾值dthr，當兩次操作之內的安全程度相差不超限的情況下，并不告警或關停操作，有：

d(To,Tc)>dthr

(20)

3.2 關聯(lián)動態(tài)信息追蹤子算法

如上文所述，在政務數據治理過程中，弱隱私信息對象的重要性在不同的過程中、不同階段中是不斷變化的，因此WPTM模型通過關聯(lián)動態(tài)信息追蹤子算法對其進行全面監(jiān)測。上節(jié)中子算法對其自身的安全結構特征進行了刻畫與監(jiān)測，本節(jié)中將通過關聯(lián)動態(tài)信息追蹤子算法對弱隱私信息對象在周邊對象集合的關聯(lián)安全程度進行刻畫，從而進一步提高安全偵測的準確性與全面性。

(21)

(22)

落實到具體的弱隱私對象的關聯(lián)動態(tài)信息追蹤過程中，有如下處理過程：

首先通過政務數據治理部門獲取弱隱私信息的m類安全問題，其中每類安全問題中n項指標：x1,x2,…,xm，而具體的弱隱私關聯(lián)信息安全指標項為y1,y2,…,yt，有：

xi={xi(1),xi(2),…,xi(n)}i=1,2,…,m

(23)

yj={yj(1),yj(2),…,yj(n)}j=1,2,…,t

(24)

此時，可以將同一個數據治理過程中的弱隱私關聯(lián)信息安全程度表述為：

(25)

此時，將對xi與yi之間的關聯(lián)信息安全度進行測算：

(26)

(27)

為加快處理速度，通過(22)式對上式進行了化簡，有：

(28)

此時，兩種安全度之間的差可以表述為：

εij(k)=ξij(k)-rij

(29)

ξij(k)=εij(k)+rij

(30)

進一步對(28)式進行刻畫，可得：

(31)

最終，通過對該值進行判斷，即可得到當前的弱隱私信息是否會對具體數據治理過程中的關聯(lián)信息造成重大安全影響，并發(fā)出報警或記錄。

4 算例與實驗

為了檢驗面向政務數據治理的弱隱私信息追蹤監(jiān)測模型(WPTM)的實際效能，開展了相應數據跟蹤實驗與安全算例剖析。本研究并未采用高級服務器實施安全偵測，相關硬件環(huán)境包括HP Z710商用服務器(至強E40處理器，16G內存)和百兆以太網；軟件環(huán)境包括Windows Server2016操作系統(tǒng)、Suse操作系統(tǒng)以及MySQL數據庫。上述軟硬件均為電子政務網絡中常用配置，保證了實驗與算例的真實性與普適性。相關的算例剖析與實驗結果如下：

4.1 算例剖析

WPTM的算例基于某電子政務中心的財政服務數據治理環(huán)境展開，其基本步驟如圖1中所示，相關過程中的算例細節(jié)如下：

Step1：基于數據治理生態(tài)中既有的安全評估先驗概率信息集(既往評估數據)，對弱隱私信息安全結構進行初始化，之后可以對其權重進行調節(jié)，使之逼近穩(wěn)定狀態(tài)，從而進行跟蹤過程中的第一次結構檢測。在該項檢測中，DaikuanID.xlsx等3個文件均未出現(xiàn)安全閾值超標的情況。實際上，這3個文件均包含了身份證號等隱私信息，但由于這些信息不能單獨形成破壞，安全閾值并未超標，因此繼續(xù)進行后續(xù)監(jiān)測。

Step2：當弱隱私信息在數據治理過程中被處理或應用后，將根據第3節(jié)中的算法進行監(jiān)測，對其安全狀態(tài)以及在當前數據治理步驟中的信息安全重要程度進行追蹤。DaikuanID.xlsx與其他文件臨時合并，生成了“貸款所需放款銀行卡號、貸款人姓名、身份證號”這一信息結構，WPTM中子算法經過處理，發(fā)現(xiàn)其已經屬于高危信息，提高了其安全優(yōu)先級，并將其初步判定為弱隱私信息。

Step3：通過數據治理操作跟蹤與弱隱私信息融合概率的調偏，求得監(jiān)測目標在最大相似狀態(tài)的權重，從而根據3.2節(jié)中的子算法進一步從全局對弱隱私信息的安全狀態(tài)進行追蹤和分析。在該步驟中，3.2節(jié)中的子算法進一步檢測到“貸款所需放款銀行卡號、貸款人姓名、身份證號”信息結構中引入了“電話號碼、地址”信息，其安全閾值嚴重超標，此時將該臨時文件截獲，并將生成該臨時文件的若干源文件及地址進行記錄。

Step4：數據治理操作完成后，對弱隱私信息的監(jiān)測進入最后縱向融合階段；將綜合前3個步驟中的局部與全局安全信息進行全過程迭代計算，從而獲得上述3項弱隱私信息的總體安全度，并作出最后的安全評估，最終將安全報告(臨時文件、源文件以及相關的數據治理過程記錄)提交給管理員。

4.2 實驗結果分析

由于算例剖析是通過外部視角對政務數據治理過程進行安全性檢測，因此無法以內部管理視角對其進行運行效能方面的實驗。為保證WPTM的適用性，通過某高校網站(靜態(tài)偵測文件超過230萬個，動態(tài)跟蹤數據治理過程8 000多項)對其進行了性能實驗，相關結果如下：

在弱隱私信息偵測方面，WPTM模型從230萬份文件中偵測到3份包含弱隱私信息的文件，其中包含有超過800條學生隱私信息(因數據治理過程是動態(tài)的，數量一直不斷增長)，為該校排除了重大信息安全隱患。

圖2 內存資源占用對比

如圖2所示，在系統(tǒng)內存資源占用方面，WPTM在整個靜態(tài)偵測周期內(與前后兩個工作日的同時段內存使用情況進行對比)并未過多占用內存資源；此外，網絡流量監(jiān)測顯示WPTM模型帶來的附加網絡流量也很小，并未引起網絡負載過大，體現(xiàn)了較高的實用性。

如圖3所示，在系統(tǒng)計算資源(CPU)占用方面，WPTM在整個動態(tài)弱隱私信息偵測周期內(與前后兩個工作日的同時段CPU使用情況進行對比)并未過多占用計算資源，顯示了良好的性價比。

圖3 CPU占用率對比

綜上所述，WPTM及其配套子算法的弱隱私信息檢測能力良好，并且由于其采用靜態(tài)安全結構偵測與關聯(lián)動態(tài)信息追蹤的方法相結合，避免了靜態(tài)對象的反復動態(tài)刷新和評估，降低了系統(tǒng)資源開銷，具有較高的可用性。

5 結 語

針對政府數據治理過程中暴露出來的弱隱私泄露等實際問題，本研究構建了面向政務數據治理的弱隱私信息追蹤監(jiān)測模型，給出了該模型的結構與關鍵子算法。該模型一方面對弱隱私的結構特征進行挖掘，并通過應用場景進行融合式安全特征掃描；另一方面通過關聯(lián)信息安全追蹤子算法對弱隱私信息對象在處理過程中的安全程度進行刻畫，從而實現(xiàn)弱隱私信息的數據治理過程全監(jiān)測。針對未來可能出現(xiàn)的問題，還計劃對政府數據治理中的情報信息功率評估、暫存流式文件等問題開展進一步的研究。