以用戶中心進行信息安全管理的探索分析

陶 剛

（云南中煙工業公司，云南 昆明 650051）

0 前言

隨著信息化技術的飛速發展，云南中煙工業的信息化系統由各個業務部門根據其負責的業務提出建設需求，負責建設。這些業務系統建成后由業務部門推廣、發展到云南中煙工業全體使用。隨著時間的推移和業務的發展擴大、業務系統慢慢變多時就會發現，眾多的業務系統間都是數據孤島，每個系統都需要進行組織和用戶管理。一旦發生人員異動（組織變更、借調、新員工入職、離職、返聘等），所有業務系統都需要全部更新一遍，這無疑增加管理工作和出錯節點。更致命的是，現實業務中用戶信息泄露屢見不鮮。

1 用戶中心發展需求

早期用戶的管理基于MFC/VB/DEPHI等桌面開發技術的應用，用戶信息的使用僅在進入平臺時使用賬號密碼進行登陸。但隨著安全登陸、業務與業務、系統與系統之間交互需求的增長，個人信息的安全傳遞、集中安全管理變成了信息化建設中基礎建設。

2 用戶中心的設計

2.1 用戶集中管理的設計

2.1.1 用戶中心功能架構

針對業務系統分散管理用戶信息的現狀，需將用戶賬號及個人信息進行集中單獨管理。與業務系統劃定業務邊界，對用戶賬號的生命周期進行管理。分別從用戶信息的收集、安全存儲、映射和消費進行管理。

圖1 功能架構圖

云南中煙工業用戶中心可分為用戶信息收集區、用戶審核區、信息安全加密區、信息存儲區、業務系統銷消費核判斷區和業務消費區六大部分。

用戶信息收集區：以WEB應用、接口、EXCEL多種形式對用戶信息收集。

用戶審核區：管理員或業務處室根據業務需要進行用戶入庫的判斷審核，并在使用和消費上給予用戶對應的聲明和通知。

信息安全加密區：對已審核的可入庫的用戶信息進行分析，對敏感信息進行脫敏處理、對賬號安全、個人隱私信息利用國密算法進行加密處理。對整個用戶信息進行拆分去核心化、在入庫時進行匿名處理。

信息存儲區：負責整個用戶信息的存儲。

業務系統消費審核判斷區：在經過審批后建立業務系統的消費規則，分別從業務系統的用戶信息初始化、增量控制、實時變更。

業務消費區：用戶中心根據審批的規則在用戶信息變更后實時向業務系統推送用戶信息，或根據業務系統需求在消費規則內提供用戶信息消費。

2.1.2 技術邏輯架構

云南中煙工業用戶中心采用微服務架構進行開發和部署，利用前后端分離的程序結構進行開發。有利于為整個企業提供服務時更安全、穩定。

圖2 架構圖

網關服務負責負載均衡、服務熔斷、灰度發布、向向代理、API認證及訪問控制等任務。網關服務對外隔離非開放訪問接口，同時對外提供給UI統一的服務接口。

以Consul實現服務注冊發現服務實現微服務的注冊、健康檢查等功能。

利用Apollo實現配置中心，負責微服務體系中配置的信息，如數據庫配置信息，日志級別，服務端口等的配置。

Rocket MQ作為消息隊列，用于分發操作日志信息以及交易日志信息。

采用ELK實現日志監控分析功能，用于分析微服務調用中的性能，異常情況。

2.2 用戶信息的安全保護

用戶信息的安全分為用戶信息安全傳輸和用戶信息安全存儲。在用戶信息的使用過程中需對用戶信息的消費方進行安全認證和管控，并對消費的方式、時效進行相關控制。使用加鹽加密、匿名化等技術作為信息數據保障的基礎安全保障。

2.2.1 數據加密和匿名化

用戶信息的傳輸加密：一般信息系統會使用HTTPS等安全協議進行傳輸、使用SSL/TLS系列中的TLSv1.1和加入了現代加密算法的v1.2進行安全傳輸。

用戶信息的安全加密存儲：對用戶信息中的個人信息隱私數據，采用以國密算法進行加密方式存儲。如：使用國家密碼局公布的SM4分組密碼算法等等。

匿名化處理：用戶信息收集后，將數據匿名化或去標識化。并將匿名信息與個人識別標識分開存儲。進行用戶信息消費時，優先使用已經匿名化的數據。

對于匿名化處理的方式：

a.使用泛化處理數據

使用泛化處理，實現 K 匿名效果。K 匿名是業界標準術語，這是一種技術，用于隱藏一群相似人員中各人的身份。

如果某數據集中的所有人都具有相同的敏感屬性值，那么只要知道這些人屬于相關數據集，就可能會知道這項敏感信息。為降低這種風險，我們可能會采用 L 多樣性。L 多樣性也是業界標準術語，用于表示敏感值中的多樣性程度。

b.向數據中添加噪聲

我們也可以使用向用戶數據種添加噪聲的技術完成差別隱私效果。通過差別隱私技術過濾后的數據，無法直接確認某個用戶個人是否屬于某個數據集。在使用者看來所有給定算法輸出的結果看上去都基本相似，無論是否添加噪聲結果都是如此。

2.2.2 用戶信息的管理

完善的管理制度是隱私合規化的條件之一，用戶信息的管理分為業務端和服務管理端。

在業務端需要在用戶信息收集時對相關用途及使用范圍進行聲明，用戶同意后才可收集。在用戶賬號的聲明周期消亡時需停止并通知用戶主體，并對其用戶信息進行刪除或匿名化歸檔。

在服務端對用戶信息的展現、管理員的使用留痕。不僅對用戶信息的消費上留痕，還需要對管理者對用戶信息的維護留痕。對用戶信息的導出需增加范圍、審核、二次認證等多種安全保障手段。

3 用戶信息的使用

3.1 消費規則的建立

針對企業用戶信息數據的訪問，需遵循最小權限原則，即最少的人訪問最少的數據。

圖3 流程圖

業務部門在消費前，根據自己的業務情況向用戶中心進行消費申請，用戶中心對業務系統的消費申請進行審核并建立對應的消費規則。 最終將符合要求的消費規則作為用戶中心的消費規則之一執行。

如：A業務系統進行消費時則遵從A業務部門申請的規則A消費。

圖4 用戶中心與業務系統圖

3.2 安全消費

云南中煙工業用戶中心提供多種方式供業務系統消費。包含但不限于：

a.用戶中心實時推送同步消費

b.用戶中心定時、定點推送同步消費

c.用戶中心提供服務中心，業務系統自發請求消費

用戶消費時，用戶中心與業務系統進行服務端的互認后，用戶中心分場景、按對應的預設申請規則給予業務系統不同的用戶信息消費，實現對個人用戶信息的按場景訪問控制，按業務系統、按場景進行用戶信息保護。

3.3 信息展示

業務系統在進行用戶信息展示時，進行安全脫敏處理。用戶的聯系方式、通信地址、真實身份信息、涉及金融及資產的相關信息僅在注冊時完全展現。

用戶查看和修改個人信息時通過用戶二次認證后進行全文展示。從而降低用戶個人信息在展示環節的泄露風險。

例如： 姓名脫敏顯示：**三、居民身份號碼和社?？ㄌ柮撁麸@示：***********6666、手機號碼脫敏顯示：138****8888、用戶戶籍地址脫敏顯示：云南省五華區********。

4 結語

通過用戶中心的建設對云南中煙工業用戶信息進行規范化管理和安全存儲，按需供銷減少用戶信息的泄露，從而實現用戶信息的安全保護。 推動了企業信息化建設，在打破信息孤島的同時提高用戶信息的安全管理，為云南中煙工業信息化安全打下堅實基石。