通过数据影化、离散化存储实现敏感信息防护
摘要:该文主要探讨对IT系统中涉敏信息实施“影化”处理、离散化存储。利用混淆映射置换和分层映射方式,将用户隐私信息转换为无法识别的离散数据流,完成对信息系统中的敏感信息隐藏,防止拖库等批量资料信息非法获取的情况发生。
关键词:信息安全;影化数据;离散存储
1原理与解决方案
在大型企业内部,核心数据库中的客户信息数据,同时也用来为同系统内的各类子系统所使用。“只有更了解客户,才能为客户更好的服务”,在系统内部的确切数据是必须透明的,且应有范围、有选择的提供给其他子系统应用,从而达到更好的为客户、为市场服务。如了解终端用户的类别、归属等信息,提供更贴身的服务。
影子反映着某一时刻特定实物留下的特征印记,虽不能代替实体所有属性,但在特定方面可和实体一样提供一致的信息,并保留着定位实体的关联信息。借助影子和实体之间的理念,我们思考对实体用户资料信息进行影化处理、离散化存储[1]。在达到提供给其他应用“最低可用程度”的信息支撑基础之上,避免用户敏感信息的“过度提供”。
影化后的目标架构模式如图1所示。
在期望的目标架构中,隐私数据中心保存着真实的终端用户数据信息(以下简称实化数据)。是在进行关系分割后,以散列化方式存储的。它包含了相关信息数据全集,但却不具备关联关系,形成了一个本身不具备应用价值的隐私数据集合。而在生产库中存放的则是影化后信息数据,它包含一定的信息、以及和实化数据的关联细节信息,但不在没有隐私数据中心的信息支撑下,应用价值有限。真正掌握从影化数据对应到实化数据方法的是接口层,但因缺少元数据的支撑,无法进行信息组装、提取。三个部分为一整体又相互独立,缺少任何一方,均无实际应用意义,均为“无根之木,无源之水”。
由于大型IT系统的用户数据量巨大,记录信息数以亿计,去隐私化的效率至为关键;同时数据去隐私化后,相关信息不能影响后续的应用、统计、分析过程[2]。因此必须能够确保“影化”后数据的可用性。原有数据记录通过影化后,保留最低可用的应用信息,将多余部分、隐私部分进行影化隐藏,替而代之的是由影化标识、影化一级域信息、分隔符、二级域等信息组成的内部关联数据信息。
考虑到利于运算和性能高效,其中一、二级域信息均为数字类型,以期在运算效率获得有效保障[3]。经过上述的影化处理后,数据中的“有效敏感”信息将完成去隐私化,对外呈现是无法读懂但却包含着和实化数据关联信息的数据。
在现有主流技术方案下,获取记录信息获取到的多是真实数据或加密后的静态信息数据。而在实施影化后,接口获取的信息将是影化后的去隐私化数据,如果此时已经满足应用要求,则不再进一步提供真实数据,即实化数据,满足了去隐私化要求。
如果某一应用确实需要获取实化数据。那么将进一步调用接口层来完成影化数据实化操作。以应用需要获取实化姓名为例:通过信息中存在的影化标识,可推断该数据为影化数据,那么进而可根据其中的一级域信息和二级域信息,通过接口层来访问隐私数据中心,用以获取实化数据。
过程如图2所示。
首先根据一级域信息参与第一次置换运算,得到二次指向目标信息。在二次指向目标对象中,然后根据二级域信息在指向目标处做为进行匹配定位,进而得到实化数据信息。为了更高级别的安全要求,实化数据可采用相应的加密算法进行加密存储。
在得到加密实化数据后,接口层进行解密,并将解密信息返回应用,从而完成向应用提供实化数据过程。但是否需要数据实化,完全由接口层根据不同的应用需求来定制。若无实际的实化需求,则默认返回影化数据,即去隐私信息数据,完成最低可用程度的信息提供。
影化后应用全景如图3所示。
2应用价值分析
影化方案能够实现:分散管理,防范批量拖库;分等分级、分步实施改造;掌握密权,可定期变更修改;内部改造,外围应用无感知。
2.1分散管理,防范批量拖库
生产库、隐私数据中心、接口层各自独立部署维护。如图2所示,生产库、隐私数据中心、接口层三位一体。生产库去隐私化、缺少有效信息,但掌握着关联信息;隐私数据中心存放真实数据,却无关联信息;接口层第三方维护,只有方法没有数据;三者缺一无法获取实化数据。生产库、隐私数据中心采用不同的权利策略(应用、维护分离);接口层分段开发,并和维护分离,达到分散管理,防范批量拖库等类似大批量敏感数据泄露事件。
2.2分等分级、分步实施改造
对于未“影化”数据由接口直接提供;对于“影化”数据根据实际需要选择性“实化”处理;可根据信息涉秘级别,分步实施“影化”处理,甚至可生产、实施同步进行。因此对于提供高流量支撑服务,高度关注内外部客户满意度的IT系统来说,等分级、分布实施改造的意义重大。
2.3掌握密权,可定期变更修改
掌握“影化”信息定义权;掌握“影化”逻辑定义权;掌握“影化”范围权;掌握“影化”信息部署权;掌握“影化”实施计划权;掌握“影化”变更权(存储位置、加解密算法)从而达到掌握密权,可定期变更修改。
2.4内部改造,外围应用无感知
由于数据影化的改造工程,属于系统内部优化,对外部应用无任何感知,因此不需要涉及外围应用的同步改造,改造工程量可控,且应用稳定性得到了保障。
3结束语
本方案适用于多系统并存,相互之间存在生产-消费关系;系统中存在着多角色人员介入情况。为了应用实现,数据、逻辑本身须是透明的,但在部署管理上做到三权分立,相互制约。所以在具体应用中须割裂各角色、各流程、各系统直接与间接联系,实现生产、消费角色分离。不可存在某一方面在整体均可涉及的情况。同时用户隐私数据量非常巨大,并且数据类型繁多,需要兼顾数据加密的效率和效果,此方式将对存储、效率、易维护性带来较大冲击,但此文只是一种对新思路的探讨、一种准备,在行业技术有所重大突破时,可有效降低或规避上诉问题后,再分步按需实施。
参考文献:
[3] Cormen T H,Leiserson C E. 算法导论[M]. 2版. 北京: 机械工业出版社, 2006: 20-35.