數(shù)據(jù)安全使用方案研究

陳智揚(yáng)

（中國移動通信集團(tuán)廣東有限公司 廣東省廣州市 510623）

1 引言

運(yùn)營商內(nèi)部的數(shù)據(jù)流動主要有三個途徑，一個是維護(hù)工作直接從后臺取數(shù)，流轉(zhuǎn)到個人終端；另一個是從業(yè)務(wù)系統(tǒng)前臺獲取數(shù)據(jù)，下載到用戶/業(yè)務(wù)員終端；第三種是通過業(yè)務(wù)接口獲取數(shù)據(jù)。

（1）后臺維護(hù)過程中的數(shù)據(jù)管控，已經(jīng)通過4A系統(tǒng)進(jìn)行管控，無論是登錄到數(shù)據(jù)庫，還是從數(shù)據(jù)庫獲取數(shù)據(jù)進(jìn)行下載，全程都受到4A系統(tǒng)的管控。

（2）業(yè)務(wù)系統(tǒng)的數(shù)據(jù)接口，可以通過加強(qiáng)對接口的使用管控，用接口流量數(shù)據(jù)分析來輔助管理，降低數(shù)據(jù)泄露的風(fēng)險。

（3）用戶從業(yè)務(wù)前臺獲取的數(shù)據(jù)，目前可以直接從業(yè)務(wù)系統(tǒng)下載到用戶/業(yè)務(wù)員的終端，主要通過業(yè)務(wù)系統(tǒng)分析和控制數(shù)據(jù)獲取與下載的權(quán)限。

無論何種數(shù)據(jù)，其訪問控制均需要提供細(xì)粒度的權(quán)限管控，下載均需要進(jìn)行精細(xì)的審批管控，當(dāng)數(shù)據(jù)流轉(zhuǎn)到終端后，就很難控制對數(shù)據(jù)文件的流轉(zhuǎn)、分發(fā)及拷貝等，控制與審計難度顯著增大，且在終端的管控存在推廣難度。

本方案主要側(cè)重業(yè)務(wù)系統(tǒng)前臺數(shù)據(jù)下載保護(hù)，加強(qiáng)對敏感數(shù)據(jù)的下載管控，輔助以敏感數(shù)據(jù)識別、數(shù)據(jù)水印、數(shù)據(jù)加密等安全能力，實(shí)現(xiàn)絕大部分的數(shù)據(jù)下載與使用在云端完成，提升敏感數(shù)據(jù)使用的安全性。

2 前臺數(shù)據(jù)下載保護(hù)方案

2.1 方案簡介

本方案旨在將業(yè)務(wù)系統(tǒng)的前臺數(shù)據(jù)下載操作，全部轉(zhuǎn)移到云端，數(shù)據(jù)保存在云端，對數(shù)據(jù)的分析使用也同樣在云端進(jìn)行，如無特殊要求，將不允許將數(shù)據(jù)下載到用戶終端。

在企業(yè)內(nèi)部建立云端存儲，為每個用戶建立個人專屬文件夾，形成內(nèi)部使用的個人數(shù)據(jù)存儲，允許用戶將文件存儲到個人專屬文件夾，并在云端進(jìn)行文件編輯與分析，同時提供接口，將業(yè)務(wù)系統(tǒng)的下載業(yè)務(wù)全部重定向到云端存儲，將業(yè)務(wù)系統(tǒng)的前端下載行為進(jìn)行統(tǒng)一管理。流程業(yè)務(wù)簡介如圖1所示。

2.2 統(tǒng)一帳號管理

用戶在登錄操作各類應(yīng)用系統(tǒng)進(jìn)行業(yè)務(wù)操作時，會使用到多個業(yè)務(wù)系統(tǒng)的帳號，同時新增的個人專屬文件夾同樣存在帳號與權(quán)限管理，因此需要一個統(tǒng)一的覆蓋所有業(yè)務(wù)系統(tǒng)和個人專屬文件夾的帳號管理能力，將用戶在不同業(yè)務(wù)系統(tǒng)帳號進(jìn)行統(tǒng)一管理，并建立統(tǒng)一的關(guān)聯(lián)管理，確保用戶在不同業(yè)務(wù)系統(tǒng)上的下載文件，都可以下載到對應(yīng)的數(shù)據(jù)存儲目錄中。

各電信運(yùn)營商很早就組織進(jìn)行全國性的身份安全管控系統(tǒng)（4A系統(tǒng)）建設(shè)，對各業(yè)務(wù)系統(tǒng)進(jìn)行接入管控，與本安全防護(hù)場景下的身份帳號管理場景高度一致，可保持用戶在不同業(yè)務(wù)系統(tǒng)中的身份一致性，4A系統(tǒng)提供的高強(qiáng)度身份認(rèn)證也保證了用戶身份的準(zhǔn)確性與唯一性。同時如前文所述，4A系統(tǒng)也提供了業(yè)務(wù)系統(tǒng)的維護(hù)接入，在直接從數(shù)據(jù)庫等進(jìn)行后臺數(shù)據(jù)導(dǎo)出的場景下，4A系統(tǒng)控制了數(shù)據(jù)導(dǎo)出的環(huán)境和操作通道，同時提供用于保存導(dǎo)出數(shù)據(jù)的存儲同樣可用來存儲用戶在業(yè)務(wù)系統(tǒng)前臺下載的數(shù)據(jù)。

圖1：流程業(yè)務(wù)簡介

圖2：云端使用與編輯數(shù)據(jù)

2.3 云端存儲

云端存儲是本方案的關(guān)鍵點(diǎn)之一，依照運(yùn)營商以省為單位的建設(shè)習(xí)慣與模式，可以在省內(nèi)建設(shè)統(tǒng)一的云端存儲，覆蓋全省用戶使用。云端存儲建設(shè)后可以推廣到全省，各地市/分支機(jī)構(gòu)在使用之前需要對云存儲和帶寬進(jìn)行評估，避免帶來網(wǎng)絡(luò)上的瓶頸和新的業(yè)務(wù)風(fēng)險。

不同業(yè)務(wù)也需要依據(jù)實(shí)際使用情況，統(tǒng)計并估算對存儲的容量需求，以在推廣過程中更貼合實(shí)際業(yè)務(wù)使用場景。

對存儲的容量需求可以依照業(yè)務(wù)系統(tǒng)過去三個月的下載總量進(jìn)行評估，對網(wǎng)絡(luò)帶寬的評估需要對網(wǎng)絡(luò)架構(gòu)進(jìn)行評估，從帶寬總量、業(yè)務(wù)系統(tǒng)日常訪問并發(fā)量、文件下載操作并發(fā)量及業(yè)務(wù)辦理峰值時間段的峰值來進(jìn)行綜合估算。

個人專屬文件夾可以與企業(yè)內(nèi)部各業(yè)務(wù)進(jìn)行數(shù)據(jù)共享，各類業(yè)務(wù)的下載數(shù)據(jù)均可以放入個人專屬數(shù)據(jù)存儲。業(yè)務(wù)系統(tǒng)將下載的數(shù)據(jù)存放路徑重定向到個人文件夾，為下載和使用數(shù)據(jù)打造成的“數(shù)據(jù)安全屋”，規(guī)避數(shù)據(jù)下載到個人終端后的不可控風(fēng)險。

2.4 業(yè)務(wù)接口

建立云端存儲和個人專屬數(shù)據(jù)存儲后，需要引導(dǎo)業(yè)務(wù)系統(tǒng)將數(shù)據(jù)保存到個人數(shù)據(jù)存儲。

表1：文件細(xì)化權(quán)限管控方案

由于個人專屬存儲需要對接各類不同的業(yè)務(wù)系統(tǒng)，從標(biāo)準(zhǔn)化的角度出發(fā)，應(yīng)規(guī)劃統(tǒng)一的數(shù)據(jù)下載重定向接口，實(shí)現(xiàn)業(yè)務(wù)系統(tǒng)的下載功能改造。業(yè)務(wù)系統(tǒng)按照統(tǒng)一標(biāo)準(zhǔn)接口進(jìn)行開發(fā)，將原本可以將數(shù)據(jù)下載個人終端的功能改造成為只能保存到個人專屬數(shù)據(jù)存儲。

接口交互過程中需要確認(rèn)的內(nèi)容包括：用戶身份信息、業(yè)務(wù)系統(tǒng)信息、用戶下載數(shù)據(jù)文件名、數(shù)據(jù)文件大小、文件保存網(wǎng)絡(luò)位置等。

每個用戶從業(yè)務(wù)系統(tǒng)下載數(shù)據(jù)時都將數(shù)據(jù)文件存放到個人數(shù)據(jù)存儲，在個人數(shù)據(jù)存儲中，用戶可以進(jìn)行查看與編輯。

2.5 在線使用與編輯

用戶從業(yè)務(wù)前臺下載的數(shù)據(jù)存放到個人數(shù)據(jù)存儲后，需要提供對數(shù)據(jù)文件的使用與編輯能力，否則還需要大量下載文件到個人終端。

數(shù)據(jù)文件的在線使用與編輯能力，可以由虛擬化圖形服務(wù)器提供，如4A系統(tǒng)的圖形網(wǎng)關(guān)等。業(yè)務(wù)使用方需要提供各類數(shù)據(jù)編輯與使用的程序，并安裝到對應(yīng)的虛擬化圖形服務(wù)器上。

由于虛擬化的圖形服務(wù)器幾乎可以滿足所有的數(shù)據(jù)使用與編輯軟件的安裝，因此個人數(shù)據(jù)存儲幾乎可以滿足所有對數(shù)據(jù)文件的使用與編輯需求。

用戶按照各自的數(shù)據(jù)使用與編輯需求提交對數(shù)據(jù)編輯軟件的安裝需求，如常用的Office軟件、專用的數(shù)據(jù)處理軟件等，由統(tǒng)一的維護(hù)團(tuán)隊進(jìn)行軟件安裝規(guī)劃與維護(hù)，同時需要制定軟件的安裝、更新與維護(hù)的分工界面和操作流程。如圖2所示。

2.6 數(shù)據(jù)下載細(xì)粒度權(quán)限控制

個人數(shù)據(jù)存儲上的數(shù)據(jù)文件，仍然存在下載到個人終端的需求，但細(xì)粒度的下載權(quán)限控制，可以有效降低數(shù)據(jù)下載規(guī)模。

依照文件的敏感識別能力，可以制定如表1所示的權(quán)限管控細(xì)化方案。

數(shù)據(jù)文件在下載前，應(yīng)對數(shù)據(jù)文件進(jìn)行相關(guān)識別處理：

（1）敏感程度識別，依照不同敏感級別設(shè)置不同級別的審批人。

（2）數(shù)據(jù)量識別，依照需要下載的數(shù)據(jù)量設(shè)置不同級別的審批人。

（3）數(shù)據(jù)安全控制，提供數(shù)據(jù)脫敏、數(shù)據(jù)加密、數(shù)據(jù)水印等數(shù)據(jù)安全能力，最大限度控制數(shù)據(jù)文件在個人終端后的安全性。

借助細(xì)粒度的權(quán)限控制，與云端的數(shù)據(jù)文件操作使用能力，預(yù)期可以有效降低用戶將文件下載到本地終端的意愿，推動文件的在線分析使用，保障數(shù)據(jù)安全性。

2.7 數(shù)據(jù)文件安全控制

為加強(qiáng)數(shù)據(jù)的安全性控制，系統(tǒng)提供數(shù)據(jù)文件供用戶下載時，可以調(diào)用數(shù)據(jù)安全管控的能力對數(shù)據(jù)文件進(jìn)行處理，如數(shù)據(jù)水印、數(shù)據(jù)脫敏、數(shù)據(jù)加密等，為下載到用戶終端的數(shù)據(jù)文件提供基礎(chǔ)的安全性保障。

數(shù)據(jù)水印：數(shù)據(jù)水印通過在文件中增加與文件下載用戶相關(guān)的信息，增加用戶在打開、操作及流轉(zhuǎn)過程中的痕跡，便于震懾意圖獲取或者泄露數(shù)據(jù)文件的情形。將水印信息以明文形式或者隱藏形式展示對應(yīng)了不同的適用場景，即明水印和暗水印，暗水印更加隱蔽，可用于數(shù)據(jù)泄露后進(jìn)行溯源。

數(shù)據(jù)脫敏：數(shù)據(jù)脫敏是對敏感數(shù)據(jù)進(jìn)行模糊化處理，根據(jù)不同的敏感數(shù)據(jù)分類，設(shè)置不同的脫敏策略規(guī)則，對明文的敏感數(shù)據(jù)進(jìn)行脫敏處理，避免敏感數(shù)據(jù)流轉(zhuǎn)到未授權(quán)的用戶。

數(shù)據(jù)加密：數(shù)據(jù)加密是對數(shù)據(jù)文件進(jìn)行處理，只有通過特定密碼才可以進(jìn)行查看，避免文件被人無意獲取后造成的泄密。

2.8 使用效果預(yù)測

用戶在業(yè)務(wù)系統(tǒng)上的非下載行為與之前保持一致，均是從個人終端發(fā)起進(jìn)行操作，業(yè)務(wù)操作過程中無數(shù)據(jù)下載操作，則全程與“數(shù)據(jù)安全屋”無關(guān)，只有在執(zhí)行下載操作時，才會觸發(fā)與云端存儲的連接，將文件與數(shù)據(jù)存儲到“數(shù)據(jù)安全屋”，進(jìn)而受到各類數(shù)據(jù)使用與下載的管控。

通過增加個人數(shù)據(jù)存儲，為用戶提供數(shù)據(jù)使用與編輯的“數(shù)據(jù)安全屋”，可以將數(shù)據(jù)流通的通道進(jìn)行集中，將用戶數(shù)據(jù)操作行為上云，在集中的云端存儲中進(jìn)行各類安全控制，既與運(yùn)營商各類業(yè)務(wù)上云的要求相符，也基本實(shí)現(xiàn)了“數(shù)據(jù)不落地”的效果，大大提升了對前臺業(yè)務(wù)數(shù)據(jù)的下載管控能力。

3 結(jié)語

本文提出了一種在企業(yè)內(nèi)部加強(qiáng)對業(yè)務(wù)系統(tǒng)數(shù)據(jù)下載與使用行為的管控方法，該方法是對運(yùn)營商現(xiàn)有數(shù)據(jù)安全管控方案與能力的補(bǔ)充，結(jié)合了云端存儲、虛擬化圖形服務(wù)器和數(shù)據(jù)安全的各項(xiàng)能力，并為業(yè)務(wù)系統(tǒng)提供了標(biāo)準(zhǔn)接口，業(yè)務(wù)影響小，集中了數(shù)據(jù)流轉(zhuǎn)路徑，有效控制了數(shù)據(jù)下載規(guī)模，可以有效控制運(yùn)營商內(nèi)部的數(shù)據(jù)安全性。