数据安全使用方案研究

陈智扬

（中国移动通信集团广东有限公司 广东省广州市 510623）

1 引言

运营商内部的数据流动主要有三个途径，一个是维护工作直接从后台取数，流转到个人终端；另一个是从业务系统前台获取数据，下载到用户/业务员终端；第三种是通过业务接口获取数据。

（1）后台维护过程中的数据管控，已经通过4A系统进行管控，无论是登录到数据库，还是从数据库获取数据进行下载，全程都受到4A系统的管控。

（2）业务系统的数据接口，可以通过加强对接口的使用管控，用接口流量数据分析来辅助管理，降低数据泄露的风险。

（3）用户从业务前台获取的数据，目前可以直接从业务系统下载到用户/业务员的终端，主要通过业务系统分析和控制数据获取与下载的权限。

无论何种数据，其访问控制均需要提供细粒度的权限管控，下载均需要进行精细的审批管控，当数据流转到终端后，就很难控制对数据文件的流转、分发及拷贝等，控制与审计难度显著增大，且在终端的管控存在推广难度。

本方案主要侧重业务系统前台数据下载保护，加强对敏感数据的下载管控，辅助以敏感数据识别、数据水印、数据加密等安全能力，实现绝大部分的数据下载与使用在云端完成，提升敏感数据使用的安全性。

2 前台数据下载保护方案

2.1 方案简介

本方案旨在将业务系统的前台数据下载操作，全部转移到云端，数据保存在云端，对数据的分析使用也同样在云端进行，如无特殊要求，将不允许将数据下载到用户终端。

在企业内部建立云端存储，为每个用户建立个人专属文件夹，形成内部使用的个人数据存储，允许用户将文件存储到个人专属文件夹，并在云端进行文件编辑与分析，同时提供接口，将业务系统的下载业务全部重定向到云端存储，将业务系统的前端下载行为进行统一管理。流程业务简介如图1所示。

2.2 统一帐号管理

用户在登录操作各类应用系统进行业务操作时，会使用到多个业务系统的帐号，同时新增的个人专属文件夹同样存在帐号与权限管理，因此需要一个统一的覆盖所有业务系统和个人专属文件夹的帐号管理能力，将用户在不同业务系统帐号进行统一管理，并建立统一的关联管理，确保用户在不同业务系统上的下载文件，都可以下载到对应的数据存储目录中。

各电信运营商很早就组织进行全国性的身份安全管控系统（4A系统）建设，对各业务系统进行接入管控，与本安全防护场景下的身份帐号管理场景高度一致，可保持用户在不同业务系统中的身份一致性，4A系统提供的高强度身份认证也保证了用户身份的准确性与唯一性。同时如前文所述，4A系统也提供了业务系统的维护接入，在直接从数据库等进行后台数据导出的场景下，4A系统控制了数据导出的环境和操作通道，同时提供用于保存导出数据的存储同样可用来存储用户在业务系统前台下载的数据。

图1：流程业务简介

图2：云端使用与编辑数据

2.3 云端存储

云端存储是本方案的关键点之一，依照运营商以省为单位的建设习惯与模式，可以在省内建设统一的云端存储，覆盖全省用户使用。云端存储建设后可以推广到全省，各地市/分支机构在使用之前需要对云存储和带宽进行评估，避免带来网络上的瓶颈和新的业务风险。

不同业务也需要依据实际使用情况，统计并估算对存储的容量需求，以在推广过程中更贴合实际业务使用场景。

对存储的容量需求可以依照业务系统过去三个月的下载总量进行评估，对网络带宽的评估需要对网络架构进行评估，从带宽总量、业务系统日常访问并发量、文件下载操作并发量及业务办理峰值时间段的峰值来进行综合估算。

个人专属文件夹可以与企业内部各业务进行数据共享，各类业务的下载数据均可以放入个人专属数据存储。业务系统将下载的数据存放路径重定向到个人文件夹，为下载和使用数据打造成的“数据安全屋”，规避数据下载到个人终端后的不可控风险。

2.4 业务接口

建立云端存储和个人专属数据存储后，需要引导业务系统将数据保存到个人数据存储。

表1：文件细化权限管控方案

由于个人专属存储需要对接各类不同的业务系统，从标准化的角度出发，应规划统一的数据下载重定向接口，实现业务系统的下载功能改造。业务系统按照统一标准接口进行开发，将原本可以将数据下载个人终端的功能改造成为只能保存到个人专属数据存储。

接口交互过程中需要确认的内容包括：用户身份信息、业务系统信息、用户下载数据文件名、数据文件大小、文件保存网络位置等。

每个用户从业务系统下载数据时都将数据文件存放到个人数据存储，在个人数据存储中，用户可以进行查看与编辑。

2.5 在线使用与编辑

用户从业务前台下载的数据存放到个人数据存储后，需要提供对数据文件的使用与编辑能力，否则还需要大量下载文件到个人终端。

数据文件的在线使用与编辑能力，可以由虚拟化图形服务器提供，如4A系统的图形网关等。业务使用方需要提供各类数据编辑与使用的程序，并安装到对应的虚拟化图形服务器上。

由于虚拟化的图形服务器几乎可以满足所有的数据使用与编辑软件的安装，因此个人数据存储几乎可以满足所有对数据文件的使用与编辑需求。

用户按照各自的数据使用与编辑需求提交对数据编辑软件的安装需求，如常用的Office软件、专用的数据处理软件等，由统一的维护团队进行软件安装规划与维护，同时需要制定软件的安装、更新与维护的分工界面和操作流程。如图2所示。

2.6 数据下载细粒度权限控制

个人数据存储上的数据文件，仍然存在下载到个人终端的需求，但细粒度的下载权限控制，可以有效降低数据下载规模。

依照文件的敏感识别能力，可以制定如表1所示的权限管控细化方案。

数据文件在下载前，应对数据文件进行相关识别处理：

（1）敏感程度识别，依照不同敏感级别设置不同级别的审批人。

（2）数据量识别，依照需要下载的数据量设置不同级别的审批人。

（3）数据安全控制，提供数据脱敏、数据加密、数据水印等数据安全能力，最大限度控制数据文件在个人终端后的安全性。

借助细粒度的权限控制，与云端的数据文件操作使用能力，预期可以有效降低用户将文件下载到本地终端的意愿，推动文件的在线分析使用，保障数据安全性。

2.7 数据文件安全控制

为加强数据的安全性控制，系统提供数据文件供用户下载时，可以调用数据安全管控的能力对数据文件进行处理，如数据水印、数据脱敏、数据加密等，为下载到用户终端的数据文件提供基础的安全性保障。

数据水印：数据水印通过在文件中增加与文件下载用户相关的信息，增加用户在打开、操作及流转过程中的痕迹，便于震慑意图获取或者泄露数据文件的情形。将水印信息以明文形式或者隐藏形式展示对应了不同的适用场景，即明水印和暗水印，暗水印更加隐蔽，可用于数据泄露后进行溯源。

数据脱敏：数据脱敏是对敏感数据进行模糊化处理，根据不同的敏感数据分类，设置不同的脱敏策略规则，对明文的敏感数据进行脱敏处理，避免敏感数据流转到未授权的用户。

数据加密：数据加密是对数据文件进行处理，只有通过特定密码才可以进行查看，避免文件被人无意获取后造成的泄密。

2.8 使用效果预测

用户在业务系统上的非下载行为与之前保持一致，均是从个人终端发起进行操作，业务操作过程中无数据下载操作，则全程与“数据安全屋”无关，只有在执行下载操作时，才会触发与云端存储的连接，将文件与数据存储到“数据安全屋”，进而受到各类数据使用与下载的管控。

通过增加个人数据存储，为用户提供数据使用与编辑的“数据安全屋”，可以将数据流通的通道进行集中，将用户数据操作行为上云，在集中的云端存储中进行各类安全控制，既与运营商各类业务上云的要求相符，也基本实现了“数据不落地”的效果，大大提升了对前台业务数据的下载管控能力。

3 结语

本文提出了一种在企业内部加强对业务系统数据下载与使用行为的管控方法，该方法是对运营商现有数据安全管控方案与能力的补充，结合了云端存储、虚拟化图形服务器和数据安全的各项能力，并为业务系统提供了标准接口，业务影响小，集中了数据流转路径，有效控制了数据下载规模，可以有效控制运营商内部的数据安全性。