通过数据影化、离散化存储实现敏感信息防护

摘要：该文主要探讨对IT系统中涉敏信息实施“影化”处理、离散化存储。利用混淆映射置换和分层映射方式，将用户隐私信息转换为无法识别的离散数据流，完成对信息系统中的敏感信息隐藏，防止拖库等批量资料信息非法获取的情况发生。

关键词：信息安全；影化数据；离散存储

1原理与解决方案

在大型企业内部，核心数据库中的客户信息数据，同时也用来为同系统内的各类子系统所使用。“只有更了解客户，才能为客户更好的服务”，在系统内部的确切数据是必须透明的，且应有范围、有选择的提供给其他子系统应用，从而达到更好的为客户、为市场服务。如了解终端用户的类别、归属等信息，提供更贴身的服务。

影子反映着某一时刻特定实物留下的特征印记，虽不能代替实体所有属性，但在特定方面可和实体一样提供一致的信息，并保留着定位实体的关联信息。借助影子和实体之间的理念，我们思考对实体用户资料信息进行影化处理、离散化存储[1]。在达到提供给其他应用“最低可用程度”的信息支撑基础之上，避免用户敏感信息的“过度提供”。

影化后的目标架构模式如图1所示。

在期望的目标架构中，隐私数据中心保存着真实的终端用户数据信息（以下简称实化数据）。是在进行关系分割后，以散列化方式存储的。它包含了相关信息数据全集，但却不具备关联关系，形成了一个本身不具备应用价值的隐私数据集合。而在生产库中存放的则是影化后信息数据，它包含一定的信息、以及和实化数据的关联细节信息，但不在没有隐私数据中心的信息支撑下，应用价值有限。真正掌握从影化数据对应到实化数据方法的是接口层，但因缺少元数据的支撑，无法进行信息组装、提取。三个部分为一整体又相互独立，缺少任何一方，均无实际应用意义，均为“无根之木，无源之水”。

由于大型IT系统的用户数据量巨大，记录信息数以亿计，去隐私化的效率至为关键；同时数据去隐私化后，相关信息不能影响后续的应用、统计、分析过程[2]。因此必须能够确保“影化”后数据的可用性。原有数据记录通过影化后，保留最低可用的应用信息，将多余部分、隐私部分进行影化隐藏，替而代之的是由影化标识、影化一级域信息、分隔符、二级域等信息组成的内部关联数据信息。

考虑到利于运算和性能高效，其中一、二级域信息均为数字类型，以期在运算效率获得有效保障[3]。经过上述的影化处理后，数据中的“有效敏感”信息将完成去隐私化，对外呈现是无法读懂但却包含着和实化数据关联信息的数据。

在现有主流技术方案下，获取记录信息获取到的多是真实数据或加密后的静态信息数据。而在实施影化后，接口获取的信息将是影化后的去隐私化数据，如果此时已经满足应用要求，则不再进一步提供真实数据，即实化数据，满足了去隐私化要求。

如果某一应用确实需要获取实化数据。那么将进一步调用接口层来完成影化数据实化操作。以应用需要获取实化姓名为例：通过信息中存在的影化标识，可推断该数据为影化数据，那么进而可根据其中的一级域信息和二级域信息，通过接口层来访问隐私数据中心，用以获取实化数据。

过程如图2所示。

首先根据一级域信息参与第一次置换运算，得到二次指向目标信息。在二次指向目标对象中，然后根据二级域信息在指向目标处做为进行匹配定位，进而得到实化数据信息。为了更高级别的安全要求，实化数据可采用相应的加密算法进行加密存储。

在得到加密实化数据后，接口层进行解密，并将解密信息返回应用，从而完成向应用提供实化数据过程。但是否需要数据实化，完全由接口层根据不同的应用需求来定制。若无实际的实化需求，则默认返回影化数据，即去隐私信息数据，完成最低可用程度的信息提供。

影化后应用全景如图3所示。

2应用价值分析

影化方案能够实现：分散管理，防范批量拖库；分等分级、分步实施改造；掌握密权，可定期变更修改；内部改造，外围应用无感知。

2.1分散管理，防范批量拖库

生产库、隐私数据中心、接口层各自独立部署维护。如图2所示，生产库、隐私数据中心、接口层三位一体。生产库去隐私化、缺少有效信息，但掌握着关联信息；隐私数据中心存放真实数据，却无关联信息；接口层第三方维护，只有方法没有数据；三者缺一无法获取实化数据。生产库、隐私数据中心采用不同的权利策略（应用、维护分离）；接口层分段开发，并和维护分离，达到分散管理，防范批量拖库等类似大批量敏感数据泄露事件。

2.2分等分级、分步实施改造

对于未“影化”数据由接口直接提供；对于“影化”数据根据实际需要选择性“实化”处理；可根据信息涉秘级别，分步实施“影化”处理，甚至可生产、实施同步进行。因此对于提供高流量支撑服务，高度关注内外部客户满意度的IT系统来说，等分级、分布实施改造的意义重大。

2.3掌握密权，可定期变更修改

掌握“影化”信息定义权；掌握“影化”逻辑定义权；掌握“影化”范围权；掌握“影化”信息部署权；掌握“影化”实施计划权；掌握“影化”变更权（存储位置、加解密算法）从而达到掌握密权，可定期变更修改。

2.4内部改造，外围应用无感知

由于数据影化的改造工程，属于系统内部优化，对外部应用无任何感知，因此不需要涉及外围应用的同步改造，改造工程量可控，且应用稳定性得到了保障。

3结束语

本方案适用于多系统并存，相互之间存在生产-消费关系；系统中存在着多角色人员介入情况。为了应用实现，数据、逻辑本身须是透明的，但在部署管理上做到三权分立，相互制约。所以在具体应用中须割裂各角色、各流程、各系统直接与间接联系，实现生产、消费角色分离。不可存在某一方面在整体均可涉及的情况。同时用户隐私数据量非常巨大，并且数据类型繁多，需要兼顾数据加密的效率和效果，此方式将对存储、效率、易维护性带来较大冲击，但此文只是一种对新思路的探讨、一种准备，在行业技术有所重大突破时，可有效降低或规避上诉问题后，再分步按需实施。

参考文献：

[3] Cormen T H，Leiserson C E. 算法导论[M]. 2版. 北京： 机械工业出版社， 2006： 20-35.