李鵬 王明 張海洋

摘 ?要：本論文主要目標是討論民航旅客敏感信息保護的解決方案，介紹了中國民航信息網(wǎng)絡(luò)股份有限公司（本文簡稱：中航信）通過建設(shè)數(shù)據(jù)脫敏平臺、流程體系來達到數(shù)據(jù)保護的目標，并對中航信數(shù)據(jù)脫敏系統(tǒng)的建設(shè)經(jīng)驗進行了總結(jié)。主要包括數(shù)據(jù)分類分級、敏感數(shù)據(jù)管理、數(shù)據(jù)脫敏平臺、數(shù)據(jù)脫敏算法等。

關(guān)鍵詞：民航旅客數(shù)據(jù);數(shù)據(jù)脫敏;保密性;可用性

中圖分類號：V354-39;TP393.08 ? ? ?文獻標識碼：A 文章編號：2096-4706（2019）05-0150-03

Abstract：The main purpose of this paper is to discuss the solution of sensitive information protection for civil aviation passengers. It introduces that TravelSky Technology Limited （shorter form：TravelSky）achieves the goal of data protection by building data desensitization platform and process system，and summarizes the construction experience of TravelSky data desensitization system. It mainly includes data classification ，sensitive data management，data desensitization platform，data desensitization algorithm and so on.

Keywords：civil aviation passenger data;data desensitization;confidentiality;availability

0 ?引 ?言

0.1 ?數(shù)據(jù)安全背景

信息安全已上升到國家安全層面。一方面，《中華人民共和國網(wǎng)絡(luò)安全法》于2017年6月1日起施行，重在保護公民個人信息安全。另一方面，信息安全事件頻發(fā)，CSDN、12306和日本航空等數(shù)據(jù)泄露事件造成了極其嚴重的影響。

中國民航信息網(wǎng)絡(luò)股份有限公司（本文簡稱：中航信）所運營的民航商務(wù)信息系統(tǒng)被國務(wù)院列為八大系統(tǒng)之一，既包含旅客身份等敏感信息，也包含票價等商業(yè)機密信息。數(shù)據(jù)安全責任重大，數(shù)據(jù)脫敏則是保障數(shù)據(jù)安全行之有效的首選方案，通過數(shù)據(jù)脫敏還可以在保障數(shù)據(jù)安全的同時不影響正常測試、開發(fā)和數(shù)據(jù)分析工作的開展，符合數(shù)據(jù)使用需求。因此，針對本課題的研究工作十分必要。

0.2 ?研究現(xiàn)狀

在銀行、電信等數(shù)據(jù)敏感行業(yè)，數(shù)據(jù)脫敏工作已經(jīng)廣泛開展。

IBM、Oracle已有成熟的數(shù)據(jù)脫敏產(chǎn)品，HP提供定制解決方案，天融信等國內(nèi)企業(yè)也都有成功的實施案例。

中航信運營的信息系統(tǒng)安全性要求非常高;Unisys主機等特殊硬件及架構(gòu)沒有成熟的經(jīng)驗可借鑒;民航業(yè)務(wù)的復(fù)雜性決定了較多的定制化要求。因此，中航信自主建設(shè)了適用于民航旅客數(shù)據(jù)脫敏的技術(shù)平臺及解決方案。

1 ?應(yīng)用前景和社會經(jīng)濟效益

1.1 ?民航領(lǐng)域

隨著民航旅客運輸量持續(xù)高增長，2018年旅客運輸量6.1億人次，同比增長10.9%，國際航協(xié)預(yù)測到2037年全球航空客運量將達到82億人次。脫敏技術(shù)應(yīng)用空間廣闊。

1.2 ?大數(shù)據(jù)領(lǐng)域

數(shù)據(jù)交換、融通的需求迫切，但數(shù)據(jù)的機密性要求制約了流動性，迫切需要一種業(yè)務(wù)和技術(shù)手段保障民航大數(shù)據(jù)的安全流動。

2 ?建設(shè)內(nèi)容

2.1 ?敏感數(shù)據(jù)梳理

首先，中航信系統(tǒng)中存在海量高維度數(shù)據(jù)、分散在數(shù)百個系統(tǒng)、依賴關(guān)系錯綜復(fù)雜，需要詳細調(diào)研以確定數(shù)據(jù)脫敏范圍;其次，部分數(shù)據(jù)來源于航空公司等外部系統(tǒng);最后，數(shù)據(jù)的存儲方式存在較大差異。

2.2 ?數(shù)據(jù)分類分級體系建設(shè)

為明確對業(yè)務(wù)數(shù)據(jù)的安全保護要求，首先需要對業(yè)務(wù)數(shù)據(jù)進行分類分級。數(shù)據(jù)分類分級是實施數(shù)據(jù)安全防護、確保系統(tǒng)信息安全的基礎(chǔ)。

數(shù)據(jù)分類可以有多種維度，常見的分類維度有數(shù)據(jù)主題、數(shù)據(jù)形態(tài)、數(shù)據(jù)元特征、數(shù)據(jù)應(yīng)用、數(shù)據(jù)部署地點、數(shù)據(jù)生成時間等。本技術(shù)標準以數(shù)據(jù)主題為主維度，數(shù)據(jù)形態(tài)為輔維度進行分類。

2.3 ?脫敏平臺建設(shè)

數(shù)據(jù)脫敏平臺是實施數(shù)據(jù)脫敏的工具平臺（如圖1所示），需要滿足以下五點。

（1）關(guān)系型數(shù)據(jù)庫、大數(shù)據(jù)、Unisys主機、文件型數(shù)據(jù)脫敏;（2）脫敏后的數(shù)據(jù)需要保持一致性、關(guān)聯(lián)關(guān)系、數(shù)據(jù)格式合規(guī)性;（3）多種算法類型（如：證件、姓名、?？涂ā㈦娫挼龋┘八惴ńM合;（4）敏感數(shù)據(jù)的多種識別模式（智能識別）和動態(tài)脫敏;（5）其他：多線程并發(fā);異常策略控制;性能;脫敏后數(shù)據(jù)業(yè)務(wù)可用性。

2.3.1 ?算法支撐

（1）業(yè)界通用原子算法。連接、哈希、截取、隨機、遞增、運算、替換、混淆、均化、老化（年輕化）、加密、映射等;（2）針對民航業(yè)務(wù)開發(fā)算法。結(jié)合中航信數(shù)據(jù)特征定制開發(fā)算法5大類20個子類，開發(fā)敏感數(shù)據(jù)識別規(guī)則30多種;（3）通過密鑰機制保障跨平臺脫敏后一致性。數(shù)據(jù)脫敏覆蓋Linux、UNIX、Unisys等環(huán)境，通過批次、因子、密鑰保障脫敏后數(shù)據(jù)的機密性、一致性和關(guān)聯(lián)關(guān)系。為避免密鑰被嗅探，只傳輸因子。管理員也無權(quán)訪問密鑰，規(guī)避人員風險（如圖2所示）。

2.3.2 ?數(shù)據(jù)庫類型支持

（1）業(yè)界常用數(shù)據(jù)庫：Oracle、SQL Server、MySQL、Informix、PostgreSQL、DB2、Sybase、EDB、達夢等;（2）Unisys主機系統(tǒng)，自主創(chuàng)新開發(fā)，該系統(tǒng)專業(yè)性強，采用獨特的文件型數(shù)據(jù)結(jié)構(gòu)，缺乏數(shù)據(jù)脫敏案例和參考資料，需要根據(jù)需求自主定制開發(fā);（3）大數(shù)據(jù)脫敏支持：同樣在沒有參考資料的情況下摸索開發(fā)，目前支持：GreenPlum、HDFS、HBase、HIVE、Impala等，屬于技術(shù)首創(chuàng);（4）文件系統(tǒng)支撐：文本、XML、JSON、序列化格式文件。

2.3.3 ?定制化功能開發(fā)（如表1所示）

2.3.4 ?平臺自身建設(shè)

（1）分布式。為了更好發(fā)揮分布式計算的高性能和資源利用率，采用分布式架構(gòu)設(shè)計。充分發(fā)揮大數(shù)據(jù)架構(gòu)的優(yōu)勢，同時支持MapReduce和Spark;（2）自主可控。中航信作為關(guān)鍵基礎(chǔ)設(shè)施的維護者，始終堅持自主可控，平臺代碼全部定制開發(fā)，平臺數(shù)據(jù)庫支持商業(yè)和開源數(shù)據(jù)庫軟件。

2.4 ?中轉(zhuǎn)環(huán)境建設(shè)

為保障數(shù)據(jù)傳遞安全，約定：

（1）非生產(chǎn)環(huán)境無敏感數(shù)據(jù);（2）非生產(chǎn)環(huán)境不直連生產(chǎn)系統(tǒng)。

通過中轉(zhuǎn)環(huán)境存放生產(chǎn)數(shù)據(jù)、脫敏、脫敏后數(shù)據(jù)推送。為了保障生產(chǎn)與測試的安全隔離，參考完整性訪問控制Biba模型，通過中航信數(shù)據(jù)擺渡系統(tǒng)實現(xiàn)物理隔離、安全高效傳輸。

2.5 ?數(shù)據(jù)脫敏標準建設(shè)

依托數(shù)據(jù)脫敏工作的成果，結(jié)合敏感數(shù)據(jù)分類定級標準，建立數(shù)據(jù)脫敏標準及數(shù)據(jù)交換標準，其內(nèi)容包括：敏感數(shù)據(jù)的定級;敏感數(shù)據(jù)的分類;敏感數(shù)據(jù)脫敏的標準算法;脫敏數(shù)據(jù)交換規(guī)則等。

2.6 ?數(shù)據(jù)脫敏非功能要求

非功能要求：性能、可擴展、安全性等均已經(jīng)過實踐驗證，各系統(tǒng)24小時內(nèi)完成脫敏。

2.7 ?數(shù)據(jù)脫敏效果驗證

為檢驗脫敏效果，采用技術(shù)驗證和業(yè)務(wù)驗證兩種方式：

（1）技術(shù)驗證：通過工具統(tǒng)計實際脫敏、未脫敏數(shù)據(jù)量，脫敏覆蓋率99%以上;（2）業(yè)務(wù)驗證：脫敏后數(shù)據(jù)導入業(yè)務(wù)系統(tǒng)，業(yè)務(wù)實測數(shù)據(jù)有效率99%以上。

3 ?數(shù)據(jù)脫敏工具簡介

3.1 ?商業(yè)的專業(yè)軟件

目前市場上主流的商業(yè)軟件Data Masking、Optim產(chǎn)品等。國內(nèi)廠商的脫敏工具也可滿足傳統(tǒng)數(shù)據(jù)庫的脫敏需求。

3.2 ?ETL工具

使用ETL工具進行數(shù)據(jù)脫敏，比如：Data Integration（or Kettle）。開源脫敏工具大大降低了成本。同時，支持個性化開發(fā)。

3.3 ?中航信數(shù)據(jù)脫敏平臺

中航信數(shù)據(jù)脫敏平臺支持業(yè)界常見關(guān)系型數(shù)據(jù)庫、Unisys主機和大數(shù)據(jù)脫敏，部分技術(shù)屬于行業(yè)首創(chuàng)，同時支持國產(chǎn)數(shù)據(jù)庫。年累計脫敏數(shù)據(jù)量達到400億條以上。

4 ?全生命周期的數(shù)據(jù)脫敏工作流程

概括為：提交數(shù)據(jù)申請，數(shù)據(jù)申請審核，中轉(zhuǎn)平臺數(shù)據(jù)準備，數(shù)據(jù)脫敏（算法、配置、執(zhí)行、驗證、分發(fā)）。

5 ?結(jié) ?論

中航信數(shù)據(jù)脫敏解決方案在以旅客服務(wù)為核心的新一代民航信息系統(tǒng)建設(shè)中保障敏感數(shù)據(jù)安全和數(shù)據(jù)的可用性，起草行業(yè)標準，為民航企業(yè)間數(shù)據(jù)交換提供統(tǒng)一標準和安全保障，有助于提高民航IT企業(yè)的協(xié)同工作效率，為數(shù)據(jù)交換奠定基礎(chǔ)，為客戶帶來更多價值，為民航事業(yè)的蓬勃健康發(fā)展貢獻力量。

參考文獻：

[1] 宋燕妮.《網(wǎng)絡(luò)安全法》的主要特點及施行工作 [J].中國信息安全，2017（6）：63-66.

[2] 彭明田.中國民航信息系統(tǒng)現(xiàn)狀及發(fā)展展望 [J].計算機工程，2005，31（S1）：61-63.

[3] 陳瑜.80%大數(shù)據(jù)交易涉及個人信息 ?專家呼吁統(tǒng)一脫敏標準推行安全眾籌 [EB/OL].http：//www.legaldaily.com.cn/IT/content/2016-07/11/content_6722436.htm？node=69477，2016-07-11.

[4] 夏冰.網(wǎng)絡(luò)安全法和網(wǎng)絡(luò)安全等級保護2.0 [M].北京：電子工業(yè)出版社，2017.

[5] 李呈祥.大數(shù)據(jù)與數(shù)據(jù)脫敏 [EB/OL].https：//blog.csdn.net/wgrzhuaq/article/details/51984709，2016-07-21.

[6] Wikipedia.Data masking [DB/OL].Wikipedia，2017-06-25.

[7] IBM.Dynamic Data Masking with IBM Optim [DB/OL].www.IBM.com，2017-06-25.

[8] Net 2000 Ltd.“Data Masking：What You Need to Know” [Z].A Net 2000 Ltd. White Paper，Retrieved 2017.

作者簡介：李鵬（1979-），男，漢族，北京人，部門經(jīng)理，高級職稱，從事軟件測試工作超過10年，碩士，研究方向：信息安全、測試管理;王明（1981-），男，漢族，北京人，高級測試管理工程師，工程師，本科，研究方向：數(shù)據(jù)安全、安全開發(fā)、自動化安全測試、滲透測試;張海洋（1985-），男，漢族，河北保定人，測試管理工程師，工程師，本科，研究方向：數(shù)據(jù)安全、源代碼安全、黑盒安全測試、滲透測試。