民航重要信息系統(tǒng)旅客敏感數(shù)據(jù)的脫敏技術(shù)研究

李鵬 王明 張海洋

摘 ?要：本論文主要目標(biāo)是討論民航旅客敏感信息保護(hù)的解決方案，介紹了中國(guó)民航信息網(wǎng)絡(luò)股份有限公司（本文簡(jiǎn)稱：中航信）通過建設(shè)數(shù)據(jù)脫敏平臺(tái)、流程體系來達(dá)到數(shù)據(jù)保護(hù)的目標(biāo)，并對(duì)中航信數(shù)據(jù)脫敏系統(tǒng)的建設(shè)經(jīng)驗(yàn)進(jìn)行了總結(jié)。主要包括數(shù)據(jù)分類分級(jí)、敏感數(shù)據(jù)管理、數(shù)據(jù)脫敏平臺(tái)、數(shù)據(jù)脫敏算法等。

關(guān)鍵詞：民航旅客數(shù)據(jù);數(shù)據(jù)脫敏;保密性;可用性

中圖分類號(hào)：V354-39;TP393.08 ? ? ?文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：2096-4706（2019）05-0150-03

Abstract：The main purpose of this paper is to discuss the solution of sensitive information protection for civil aviation passengers. It introduces that TravelSky Technology Limited （shorter form：TravelSky）achieves the goal of data protection by building data desensitization platform and process system，and summarizes the construction experience of TravelSky data desensitization system. It mainly includes data classification ，sensitive data management，data desensitization platform，data desensitization algorithm and so on.

Keywords：civil aviation passenger data;data desensitization;confidentiality;availability

0 ?引 ?言

0.1 ?數(shù)據(jù)安全背景

信息安全已上升到國(guó)家安全層面。一方面，《中華人民共和國(guó)網(wǎng)絡(luò)安全法》于2017年6月1日起施行，重在保護(hù)公民個(gè)人信息安全。另一方面，信息安全事件頻發(fā)，CSDN、12306和日本航空等數(shù)據(jù)泄露事件造成了極其嚴(yán)重的影響。

中國(guó)民航信息網(wǎng)絡(luò)股份有限公司（本文簡(jiǎn)稱：中航信）所運(yùn)營(yíng)的民航商務(wù)信息系統(tǒng)被國(guó)務(wù)院列為八大系統(tǒng)之一，既包含旅客身份等敏感信息，也包含票價(jià)等商業(yè)機(jī)密信息。數(shù)據(jù)安全責(zé)任重大，數(shù)據(jù)脫敏則是保障數(shù)據(jù)安全行之有效的首選方案，通過數(shù)據(jù)脫敏還可以在保障數(shù)據(jù)安全的同時(shí)不影響正常測(cè)試、開發(fā)和數(shù)據(jù)分析工作的開展，符合數(shù)據(jù)使用需求。因此，針對(duì)本課題的研究工作十分必要。

0.2 ?研究現(xiàn)狀

在銀行、電信等數(shù)據(jù)敏感行業(yè)，數(shù)據(jù)脫敏工作已經(jīng)廣泛開展。

IBM、Oracle已有成熟的數(shù)據(jù)脫敏產(chǎn)品，HP提供定制解決方案，天融信等國(guó)內(nèi)企業(yè)也都有成功的實(shí)施案例。

中航信運(yùn)營(yíng)的信息系統(tǒng)安全性要求非常高;Unisys主機(jī)等特殊硬件及架構(gòu)沒有成熟的經(jīng)驗(yàn)可借鑒;民航業(yè)務(wù)的復(fù)雜性決定了較多的定制化要求。因此，中航信自主建設(shè)了適用于民航旅客數(shù)據(jù)脫敏的技術(shù)平臺(tái)及解決方案。

1 ?應(yīng)用前景和社會(huì)經(jīng)濟(jì)效益

1.1 ?民航領(lǐng)域

隨著民航旅客運(yùn)輸量持續(xù)高增長(zhǎng)，2018年旅客運(yùn)輸量6.1億人次，同比增長(zhǎng)10.9%，國(guó)際航協(xié)預(yù)測(cè)到2037年全球航空客運(yùn)量將達(dá)到82億人次。脫敏技術(shù)應(yīng)用空間廣闊。

1.2 ?大數(shù)據(jù)領(lǐng)域

數(shù)據(jù)交換、融通的需求迫切，但數(shù)據(jù)的機(jī)密性要求制約了流動(dòng)性，迫切需要一種業(yè)務(wù)和技術(shù)手段保障民航大數(shù)據(jù)的安全流動(dòng)。

2 ?建設(shè)內(nèi)容

2.1 ?敏感數(shù)據(jù)梳理

首先，中航信系統(tǒng)中存在海量高維度數(shù)據(jù)、分散在數(shù)百個(gè)系統(tǒng)、依賴關(guān)系錯(cuò)綜復(fù)雜，需要詳細(xì)調(diào)研以確定數(shù)據(jù)脫敏范圍;其次，部分?jǐn)?shù)據(jù)來源于航空公司等外部系統(tǒng);最后，數(shù)據(jù)的存儲(chǔ)方式存在較大差異。

2.2 ?數(shù)據(jù)分類分級(jí)體系建設(shè)

為明確對(duì)業(yè)務(wù)數(shù)據(jù)的安全保護(hù)要求，首先需要對(duì)業(yè)務(wù)數(shù)據(jù)進(jìn)行分類分級(jí)。數(shù)據(jù)分類分級(jí)是實(shí)施數(shù)據(jù)安全防護(hù)、確保系統(tǒng)信息安全的基礎(chǔ)。

數(shù)據(jù)分類可以有多種維度，常見的分類維度有數(shù)據(jù)主題、數(shù)據(jù)形態(tài)、數(shù)據(jù)元特征、數(shù)據(jù)應(yīng)用、數(shù)據(jù)部署地點(diǎn)、數(shù)據(jù)生成時(shí)間等。本技術(shù)標(biāo)準(zhǔn)以數(shù)據(jù)主題為主維度，數(shù)據(jù)形態(tài)為輔維度進(jìn)行分類。

2.3 ?脫敏平臺(tái)建設(shè)

數(shù)據(jù)脫敏平臺(tái)是實(shí)施數(shù)據(jù)脫敏的工具平臺(tái)（如圖1所示），需要滿足以下五點(diǎn)。

（1）關(guān)系型數(shù)據(jù)庫、大數(shù)據(jù)、Unisys主機(jī)、文件型數(shù)據(jù)脫敏;（2）脫敏后的數(shù)據(jù)需要保持一致性、關(guān)聯(lián)關(guān)系、數(shù)據(jù)格式合規(guī)性;（3）多種算法類型（如：證件、姓名、常客卡、電話等）及算法組合;（4）敏感數(shù)據(jù)的多種識(shí)別模式（智能識(shí)別）和動(dòng)態(tài)脫敏;（5）其他：多線程并發(fā);異常策略控制;性能;脫敏后數(shù)據(jù)業(yè)務(wù)可用性。

2.3.1 ?算法支撐

（1）業(yè)界通用原子算法。連接、哈希、截取、隨機(jī)、遞增、運(yùn)算、替換、混淆、均化、老化（年輕化）、加密、映射等;（2）針對(duì)民航業(yè)務(wù)開發(fā)算法。結(jié)合中航信數(shù)據(jù)特征定制開發(fā)算法5大類20個(gè)子類，開發(fā)敏感數(shù)據(jù)識(shí)別規(guī)則30多種;（3）通過密鑰機(jī)制保障跨平臺(tái)脫敏后一致性。數(shù)據(jù)脫敏覆蓋Linux、UNIX、Unisys等環(huán)境，通過批次、因子、密鑰保障脫敏后數(shù)據(jù)的機(jī)密性、一致性和關(guān)聯(lián)關(guān)系。為避免密鑰被嗅探，只傳輸因子。管理員也無權(quán)訪問密鑰，規(guī)避人員風(fēng)險(xiǎn)（如圖2所示）。

2.3.2 ?數(shù)據(jù)庫類型支持

（1）業(yè)界常用數(shù)據(jù)庫：Oracle、SQL Server、MySQL、Informix、PostgreSQL、DB2、Sybase、EDB、達(dá)夢(mèng)等;（2）Unisys主機(jī)系統(tǒng)，自主創(chuàng)新開發(fā)，該系統(tǒng)專業(yè)性強(qiáng)，采用獨(dú)特的文件型數(shù)據(jù)結(jié)構(gòu)，缺乏數(shù)據(jù)脫敏案例和參考資料，需要根據(jù)需求自主定制開發(fā);（3）大數(shù)據(jù)脫敏支持：同樣在沒有參考資料的情況下摸索開發(fā)，目前支持：GreenPlum、HDFS、HBase、HIVE、Impala等，屬于技術(shù)首創(chuàng);（4）文件系統(tǒng)支撐：文本、XML、JSON、序列化格式文件。

2.3.3 ?定制化功能開發(fā)（如表1所示）

2.3.4 ?平臺(tái)自身建設(shè)

（1）分布式。為了更好發(fā)揮分布式計(jì)算的高性能和資源利用率，采用分布式架構(gòu)設(shè)計(jì)。充分發(fā)揮大數(shù)據(jù)架構(gòu)的優(yōu)勢(shì)，同時(shí)支持MapReduce和Spark;（2）自主可控。中航信作為關(guān)鍵基礎(chǔ)設(shè)施的維護(hù)者，始終堅(jiān)持自主可控，平臺(tái)代碼全部定制開發(fā)，平臺(tái)數(shù)據(jù)庫支持商業(yè)和開源數(shù)據(jù)庫軟件。

2.4 ?中轉(zhuǎn)環(huán)境建設(shè)

為保障數(shù)據(jù)傳遞安全，約定：

（1）非生產(chǎn)環(huán)境無敏感數(shù)據(jù);（2）非生產(chǎn)環(huán)境不直連生產(chǎn)系統(tǒng)。

通過中轉(zhuǎn)環(huán)境存放生產(chǎn)數(shù)據(jù)、脫敏、脫敏后數(shù)據(jù)推送。為了保障生產(chǎn)與測(cè)試的安全隔離，參考完整性訪問控制Biba模型，通過中航信數(shù)據(jù)擺渡系統(tǒng)實(shí)現(xiàn)物理隔離、安全高效傳輸。

2.5 ?數(shù)據(jù)脫敏標(biāo)準(zhǔn)建設(shè)

依托數(shù)據(jù)脫敏工作的成果，結(jié)合敏感數(shù)據(jù)分類定級(jí)標(biāo)準(zhǔn)，建立數(shù)據(jù)脫敏標(biāo)準(zhǔn)及數(shù)據(jù)交換標(biāo)準(zhǔn)，其內(nèi)容包括：敏感數(shù)據(jù)的定級(jí);敏感數(shù)據(jù)的分類;敏感數(shù)據(jù)脫敏的標(biāo)準(zhǔn)算法;脫敏數(shù)據(jù)交換規(guī)則等。

2.6 ?數(shù)據(jù)脫敏非功能要求

非功能要求：性能、可擴(kuò)展、安全性等均已經(jīng)過實(shí)踐驗(yàn)證，各系統(tǒng)24小時(shí)內(nèi)完成脫敏。

2.7 ?數(shù)據(jù)脫敏效果驗(yàn)證

為檢驗(yàn)脫敏效果，采用技術(shù)驗(yàn)證和業(yè)務(wù)驗(yàn)證兩種方式：

（1）技術(shù)驗(yàn)證：通過工具統(tǒng)計(jì)實(shí)際脫敏、未脫敏數(shù)據(jù)量，脫敏覆蓋率99%以上;（2）業(yè)務(wù)驗(yàn)證：脫敏后數(shù)據(jù)導(dǎo)入業(yè)務(wù)系統(tǒng)，業(yè)務(wù)實(shí)測(cè)數(shù)據(jù)有效率99%以上。

3 ?數(shù)據(jù)脫敏工具簡(jiǎn)介

3.1 ?商業(yè)的專業(yè)軟件

目前市場(chǎng)上主流的商業(yè)軟件Data Masking、Optim產(chǎn)品等。國(guó)內(nèi)廠商的脫敏工具也可滿足傳統(tǒng)數(shù)據(jù)庫的脫敏需求。

3.2 ?ETL工具

使用ETL工具進(jìn)行數(shù)據(jù)脫敏，比如：Data Integration（or Kettle）。開源脫敏工具大大降低了成本。同時(shí)，支持個(gè)性化開發(fā)。

3.3 ?中航信數(shù)據(jù)脫敏平臺(tái)

中航信數(shù)據(jù)脫敏平臺(tái)支持業(yè)界常見關(guān)系型數(shù)據(jù)庫、Unisys主機(jī)和大數(shù)據(jù)脫敏，部分技術(shù)屬于行業(yè)首創(chuàng)，同時(shí)支持國(guó)產(chǎn)數(shù)據(jù)庫。年累計(jì)脫敏數(shù)據(jù)量達(dá)到400億條以上。

4 ?全生命周期的數(shù)據(jù)脫敏工作流程

概括為：提交數(shù)據(jù)申請(qǐng)，數(shù)據(jù)申請(qǐng)審核，中轉(zhuǎn)平臺(tái)數(shù)據(jù)準(zhǔn)備，數(shù)據(jù)脫敏（算法、配置、執(zhí)行、驗(yàn)證、分發(fā)）。

5 ?結(jié) ?論

中航信數(shù)據(jù)脫敏解決方案在以旅客服務(wù)為核心的新一代民航信息系統(tǒng)建設(shè)中保障敏感數(shù)據(jù)安全和數(shù)據(jù)的可用性，起草行業(yè)標(biāo)準(zhǔn)，為民航企業(yè)間數(shù)據(jù)交換提供統(tǒng)一標(biāo)準(zhǔn)和安全保障，有助于提高民航IT企業(yè)的協(xié)同工作效率，為數(shù)據(jù)交換奠定基礎(chǔ)，為客戶帶來更多價(jià)值，為民航事業(yè)的蓬勃健康發(fā)展貢獻(xiàn)力量。

參考文獻(xiàn)：

[1] 宋燕妮.《網(wǎng)絡(luò)安全法》的主要特點(diǎn)及施行工作 [J].中國(guó)信息安全，2017（6）：63-66.

[2] 彭明田.中國(guó)民航信息系統(tǒng)現(xiàn)狀及發(fā)展展望 [J].計(jì)算機(jī)工程，2005，31（S1）：61-63.

[3] 陳瑜.80%大數(shù)據(jù)交易涉及個(gè)人信息 ?專家呼吁統(tǒng)一脫敏標(biāo)準(zhǔn)推行安全眾籌 [EB/OL].http：//www.legaldaily.com.cn/IT/content/2016-07/11/content_6722436.htm？node=69477，2016-07-11.

[4] 夏冰.網(wǎng)絡(luò)安全法和網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0 [M].北京：電子工業(yè)出版社，2017.

[5] 李呈祥.大數(shù)據(jù)與數(shù)據(jù)脫敏 [EB/OL].https：//blog.csdn.net/wgrzhuaq/article/details/51984709，2016-07-21.

[6] Wikipedia.Data masking [DB/OL].Wikipedia，2017-06-25.

[7] IBM.Dynamic Data Masking with IBM Optim [DB/OL].www.IBM.com，2017-06-25.

[8] Net 2000 Ltd.“Data Masking：What You Need to Know” [Z].A Net 2000 Ltd. White Paper，Retrieved 2017.

作者簡(jiǎn)介：李鵬（1979-），男，漢族，北京人，部門經(jīng)理，高級(jí)職稱，從事軟件測(cè)試工作超過10年，碩士，研究方向：信息安全、測(cè)試管理;王明（1981-），男，漢族，北京人，高級(jí)測(cè)試管理工程師，工程師，本科，研究方向：數(shù)據(jù)安全、安全開發(fā)、自動(dòng)化安全測(cè)試、滲透測(cè)試;張海洋（1985-），男，漢族，河北保定人，測(cè)試管理工程師，工程師，本科，研究方向：數(shù)據(jù)安全、源代碼安全、黑盒安全測(cè)試、滲透測(cè)試。