中國(guó)聯(lián)通研究院 北京 100032

引言

大數(shù)據(jù)作為新一輪的科技浪潮，在經(jīng)濟(jì)社會(huì)各個(gè)領(lǐng)域都受到重視，對(duì)大數(shù)據(jù)的掌控、分析能力決定了企業(yè)乃至國(guó)家的核心競(jìng)爭(zhēng)力。

為充分發(fā)揮大數(shù)據(jù)價(jià)值，需要盤(pán)活數(shù)據(jù)資產(chǎn)，開(kāi)放共享數(shù)據(jù)。電信運(yùn)營(yíng)商和互聯(lián)網(wǎng)公司等擁有海量大數(shù)據(jù)，他們積極探索并投身建設(shè)大數(shù)據(jù)開(kāi)放平臺(tái)。一方面，封裝自有的數(shù)據(jù)資源以及數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)加工、數(shù)據(jù)挖掘分析能力，以數(shù)據(jù)服務(wù)的方式開(kāi)放給第三方(尤其是中小企業(yè)以及應(yīng)用開(kāi)發(fā)者)，開(kāi)發(fā)各種大數(shù)據(jù)創(chuàng)新服務(wù)；另一方面，與政府、公共服務(wù)部門(mén)以及跨領(lǐng)域行業(yè)開(kāi)展合作，融合加工多源異構(gòu)數(shù)據(jù)，融合開(kāi)放跨行業(yè)數(shù)據(jù)，帶動(dòng)產(chǎn)業(yè)發(fā)展新型業(yè)務(wù)形態(tài)[1-5]。

在大數(shù)據(jù)的開(kāi)放、運(yùn)營(yíng)或者變現(xiàn)過(guò)程中，如何保證開(kāi)放數(shù)據(jù)的合規(guī)性、避免敏感信息的泄漏、對(duì)交易數(shù)據(jù)進(jìn)行計(jì)量或者計(jì)費(fèi)以及對(duì)數(shù)據(jù)進(jìn)行審計(jì)等成為當(dāng)前亟需解決的問(wèn)題。

目前，國(guó)內(nèi)外對(duì)大數(shù)據(jù)開(kāi)放平臺(tái)的研究和實(shí)踐剛剛開(kāi)始，暫無(wú)完全針對(duì)大數(shù)據(jù)安全運(yùn)營(yíng)的法律法規(guī)[6-14]或者技術(shù)，僅有部分涉及其中的數(shù)據(jù)安全或者數(shù)據(jù)傳輸?shù)囊蠡蛘呒夹g(shù)點(diǎn)[15-18]。例如，文獻(xiàn)[16]提出一種分布式數(shù)據(jù)網(wǎng)關(guān)的體系結(jié)構(gòu)，提到分布式數(shù)據(jù)網(wǎng)關(guān)在安全方面的特點(diǎn)是通過(guò)數(shù)據(jù)服務(wù)的方式，保障數(shù)據(jù)本身的授權(quán)；通過(guò)數(shù)據(jù)網(wǎng)關(guān)安全模塊，實(shí)現(xiàn)交換和傳輸?shù)陌踩?；該方案只是保障?shù)據(jù)的正確傳輸，未涉及敏感數(shù)據(jù)的過(guò)濾、結(jié)果數(shù)據(jù)的合規(guī)檢查和審計(jì)等。文獻(xiàn)[17]公開(kāi)了一種服務(wù)網(wǎng)關(guān)系統(tǒng)，該服務(wù)網(wǎng)關(guān)系統(tǒng)建議采用防火墻、殺毒系統(tǒng)、IPS系統(tǒng)、數(shù)據(jù)流過(guò)濾系統(tǒng)、數(shù)據(jù)流殺毒系統(tǒng)、用戶(hù)認(rèn)證系統(tǒng)或訪問(wèn)日志記錄等工具系統(tǒng)的組合，實(shí)現(xiàn)網(wǎng)絡(luò)安全功能，保護(hù)服務(wù)網(wǎng)關(guān)上的數(shù)據(jù)安全和組織機(jī)構(gòu)網(wǎng)絡(luò)內(nèi)部數(shù)據(jù)的安全性；其中的數(shù)據(jù)流過(guò)濾系統(tǒng)用于保護(hù)組織內(nèi)部關(guān)鍵和敏感數(shù)據(jù)不從內(nèi)部泄漏，該方案只建議需引入敏感數(shù)據(jù)的過(guò)濾，未涉及過(guò)濾后結(jié)果數(shù)據(jù)的合規(guī)檢查和審計(jì)等。文獻(xiàn)[18]公開(kāi)了一種數(shù)據(jù)交換方法和系統(tǒng)及一種網(wǎng)關(guān)服務(wù)器，提出采用網(wǎng)關(guān)服務(wù)器實(shí)現(xiàn)外部系統(tǒng)和內(nèi)部系統(tǒng)之間數(shù)據(jù)消息的協(xié)議轉(zhuǎn)換，從而實(shí)現(xiàn)外部系統(tǒng)和內(nèi)部系統(tǒng)之間的數(shù)據(jù)交換；該方案只提出數(shù)據(jù)交換和傳輸要求，未涉及數(shù)據(jù)內(nèi)容的處理，尤其是敏感數(shù)據(jù)的過(guò)濾、結(jié)果數(shù)據(jù)的合規(guī)檢查和審計(jì)等。

為解決以上現(xiàn)實(shí)問(wèn)題，本文將探討一種面向大數(shù)據(jù)安全運(yùn)營(yíng)的數(shù)據(jù)服務(wù)網(wǎng)關(guān)Gateway，在數(shù)據(jù)開(kāi)放、運(yùn)營(yíng)或者變現(xiàn)交易過(guò)程中，對(duì)于定義的數(shù)據(jù)中的敏感信息，根據(jù)數(shù)據(jù)的脫敏要求進(jìn)行過(guò)濾和脫敏，保證輸出數(shù)據(jù)中無(wú)敏感內(nèi)容；針對(duì)不同用戶(hù)、不同數(shù)據(jù)類(lèi)型，根據(jù)不同的合規(guī)檢查規(guī)則，審核輸出數(shù)據(jù)，保證輸出數(shù)據(jù)的合規(guī)性；對(duì)于脫敏后輸出的合規(guī)數(shù)據(jù)，根據(jù)用戶(hù)的等級(jí)、輸出的數(shù)據(jù)量大小和數(shù)據(jù)價(jià)值屬性進(jìn)行計(jì)量和計(jì)費(fèi)；同時(shí)，在數(shù)據(jù)輸出過(guò)程中，對(duì)數(shù)據(jù)輸出的時(shí)間、對(duì)象(用戶(hù))、數(shù)據(jù)的元數(shù)據(jù)、脫敏規(guī)則、合規(guī)檢查規(guī)則等進(jìn)行永久性存檔，以便于未來(lái)的運(yùn)營(yíng)合規(guī)性審計(jì)。

1 數(shù)據(jù)服務(wù)網(wǎng)關(guān)Gateway內(nèi)涵分析

1.1 Gateway基本概念

數(shù)據(jù)服務(wù)網(wǎng)關(guān)Gateway是數(shù)據(jù)中心與數(shù)據(jù)服務(wù)需求者之間的數(shù)據(jù)服務(wù)中介模塊，對(duì)數(shù)據(jù)服務(wù)輸出數(shù)據(jù)進(jìn)行數(shù)據(jù)脫敏、合規(guī)檢查、安全審計(jì)等處理；數(shù)據(jù)服務(wù)需求者通過(guò)Gateway，提交取數(shù)申請(qǐng)，獲取數(shù)據(jù)服務(wù)。如圖1所示。

圖1 數(shù)據(jù)服務(wù)網(wǎng)關(guān)Gateway定位

圖1中，根據(jù)數(shù)據(jù)的流向，劃分為三個(gè)區(qū)域：1)數(shù)據(jù)內(nèi)網(wǎng)區(qū)。由數(shù)據(jù)中心構(gòu)成，是數(shù)據(jù)開(kāi)放服務(wù)的提供者和運(yùn)營(yíng)者。2)審核區(qū)。由Gateway構(gòu)成，是數(shù)據(jù)開(kāi)放服務(wù)運(yùn)營(yíng)的安全保障執(zhí)行者，包括8個(gè)功能模塊：用戶(hù)管理、服務(wù)管理、取數(shù)管理、規(guī)則管理、數(shù)據(jù)脫敏處理、安全審計(jì)、工單管理和系統(tǒng)管理。3)外網(wǎng)合作區(qū)。包括各類(lèi)數(shù)據(jù)服務(wù)的需求者，數(shù)據(jù)服務(wù)需求者可以是具體的自然人，也可以是第三方系統(tǒng)。

數(shù)據(jù)服務(wù)需求者通過(guò)Gateway，查詢(xún)數(shù)據(jù)服務(wù)信息，提出取數(shù)申請(qǐng)；經(jīng)審批通過(guò)后，由數(shù)據(jù)服務(wù)提供者/運(yùn)營(yíng)者將數(shù)據(jù)服務(wù)文件同步到Gateway，進(jìn)行數(shù)據(jù)脫敏、合規(guī)檢查，如滿足數(shù)據(jù)安全合規(guī)檢查要求，則可以輸出給數(shù)據(jù)服務(wù)需求者使用。

其中，數(shù)據(jù)服務(wù)信息(元數(shù)據(jù))由3類(lèi)信息構(gòu)成：1)服務(wù)基本信息。包括服務(wù)編碼、服務(wù)名稱(chēng)、服務(wù)類(lèi)型(實(shí)時(shí)服務(wù)或周期服務(wù))、服務(wù)周期(年、季、月、周或日；對(duì)于周期服務(wù))、周期數(shù)據(jù)就緒日期(對(duì)于周期服務(wù))、服務(wù)輸出集編碼、服務(wù)輸出集名稱(chēng)等；2)服務(wù)輸出字段信息。包括服務(wù)輸出集編碼、字段編碼、字段名稱(chēng)、字段數(shù)據(jù)類(lèi)型、字段描述等；3)服務(wù)計(jì)費(fèi)信息。例如每單元字段或每行的價(jià)格等。

1.2 用戶(hù)分類(lèi)

根據(jù)在Gateway中的職能分工，Gateway用戶(hù)可以分為數(shù)據(jù)服務(wù)需求者、業(yè)務(wù)管理人員和系統(tǒng)管理人員。

1)數(shù)據(jù)服務(wù)需求者。數(shù)據(jù)服務(wù)需求者就是對(duì)數(shù)據(jù)服務(wù)提出需求的用戶(hù)，包括機(jī)構(gòu)用戶(hù)和數(shù)據(jù)用戶(hù)。

其中，數(shù)據(jù)用戶(hù)是數(shù)據(jù)服務(wù)的需求用戶(hù)或第三方系統(tǒng)/應(yīng)用，并且每個(gè)數(shù)據(jù)用戶(hù)必須關(guān)聯(lián)一個(gè)機(jī)構(gòu)，數(shù)據(jù)用戶(hù)可以申請(qǐng)獲取數(shù)據(jù)服務(wù)，并獲得合規(guī)的服務(wù)數(shù)據(jù)。不同數(shù)據(jù)用戶(hù)間的資源隔離，可以獨(dú)立設(shè)定不用數(shù)據(jù)用戶(hù)的取數(shù)優(yōu)先級(jí)、服務(wù)元數(shù)據(jù)查看權(quán)限、服務(wù)數(shù)據(jù)取數(shù)權(quán)限(數(shù)據(jù)脫敏/合規(guī)檢查規(guī)則)、數(shù)據(jù)文件上傳/下載FTP。機(jī)構(gòu)用戶(hù)作為數(shù)據(jù)用戶(hù)的責(zé)任人，是數(shù)據(jù)用戶(hù)所在企業(yè)或組織機(jī)構(gòu)的責(zé)任人，一個(gè)機(jī)構(gòu)下只有一個(gè)機(jī)構(gòu)用戶(hù)，可以擁有多個(gè)數(shù)據(jù)用戶(hù)。機(jī)構(gòu)用戶(hù)和數(shù)據(jù)用戶(hù)均可以自行申請(qǐng)，通過(guò)對(duì)機(jī)構(gòu)用戶(hù)和數(shù)據(jù)用戶(hù)的申請(qǐng)及修改進(jìn)行審核，可以更好地追蹤和記錄服務(wù)數(shù)據(jù)的流向。一旦發(fā)生數(shù)據(jù)用戶(hù)數(shù)據(jù)泄密問(wèn)題，可以追溯相關(guān)機(jī)構(gòu)，協(xié)助追究責(zé)任。

2)業(yè)務(wù)管理人員。業(yè)務(wù)管理人員是數(shù)據(jù)服務(wù)需求的審批和管控人員，對(duì)服務(wù)輸出數(shù)據(jù)的安全性負(fù)責(zé)。

業(yè)務(wù)管理人員包括數(shù)據(jù)安全管理員和審核人員。其中，數(shù)據(jù)安全管理員負(fù)責(zé)分配用戶(hù)的密級(jí)、數(shù)據(jù)服務(wù)信息查看權(quán)限、取數(shù)權(quán)限、取數(shù)優(yōu)先級(jí)權(quán)限以及配置數(shù)據(jù)過(guò)濾、脫敏及合規(guī)檢查的規(guī)則。審核人員負(fù)責(zé)審核用戶(hù)的注冊(cè)/修改/注銷(xiāo)，以及審核數(shù)據(jù)過(guò)濾、脫敏及合規(guī)檢查的規(guī)則等。

3)系統(tǒng)管理人員。系統(tǒng)管理人員是指系統(tǒng)運(yùn)維支撐和系統(tǒng)設(shè)置的管理人員，主要負(fù)責(zé)系統(tǒng)基礎(chǔ)數(shù)據(jù)配置管理和系統(tǒng)日志監(jiān)控。系統(tǒng)管理人員包括運(yùn)維人員和系統(tǒng)管理員。其中，運(yùn)維人員負(fù)責(zé)系統(tǒng)日常運(yùn)營(yíng)和維護(hù)；負(fù)責(zé)數(shù)據(jù)用戶(hù)的數(shù)據(jù)文件上傳/下載FTP的對(duì)接測(cè)試；負(fù)責(zé)系統(tǒng)異常處理。系統(tǒng)管理員作為超級(jí)管理員，具有系統(tǒng)的全部權(quán)限。

2 Gateway架構(gòu)建議

Gateway系統(tǒng)功能架構(gòu)如圖2所示。其中，規(guī)則管理模塊是Gateway的關(guān)鍵模塊。

規(guī)則管理模塊用于對(duì)各機(jī)構(gòu)用戶(hù)和/或數(shù)據(jù)用戶(hù)的權(quán)限進(jìn)行獨(dú)立配置，針對(duì)不同的用戶(hù)和不同的數(shù)據(jù)服務(wù)生成不同的查看權(quán)限、取數(shù)申請(qǐng)授權(quán)、取數(shù)優(yōu)先級(jí)權(quán)限、數(shù)據(jù)過(guò)濾脫敏規(guī)則、合規(guī)檢查規(guī)則以及服務(wù)數(shù)據(jù)的輸出行數(shù)等，從而可實(shí)現(xiàn)不同數(shù)據(jù)用戶(hù)間的資源隔離。任何規(guī)則配置只能由數(shù)據(jù)安全管理員操作，并需經(jīng)過(guò)審核人員的審批后生效。

數(shù)據(jù)服務(wù)的查看權(quán)限，指機(jī)構(gòu)用戶(hù)和數(shù)據(jù)用戶(hù)能否在數(shù)據(jù)服務(wù)列表中看到該服務(wù)及其詳細(xì)信息。不同的用戶(hù)所看到的服務(wù)列表可以各不相同。

數(shù)據(jù)服務(wù)的取數(shù)申請(qǐng)授權(quán)，指數(shù)據(jù)用戶(hù)能否獲取該服務(wù)的數(shù)據(jù)。數(shù)據(jù)用戶(hù)可以在取數(shù)管理模塊針對(duì)有查看權(quán)限的服務(wù)，提交取數(shù)申請(qǐng)，經(jīng)過(guò)審核、配置取數(shù)申請(qǐng)授權(quán)后，可以通過(guò)取數(shù)管理模塊發(fā)起取數(shù)請(qǐng)求。

數(shù)據(jù)服務(wù)的取數(shù)優(yōu)先級(jí)權(quán)限，指多個(gè)數(shù)據(jù)用戶(hù)同時(shí)發(fā)起取數(shù)請(qǐng)求時(shí)，取數(shù)管理模塊創(chuàng)建取數(shù)任務(wù)的排序優(yōu)先級(jí)規(guī)則。

由于不同機(jī)構(gòu)用戶(hù)或數(shù)據(jù)用戶(hù)的密級(jí)要求一般不同，因此，為盡量避免多個(gè)數(shù)據(jù)用戶(hù)通過(guò)共享獲取的服務(wù)數(shù)據(jù)進(jìn)行重組而獲得敏感信息，針對(duì)不同用戶(hù)和不同數(shù)據(jù)服務(wù)配置不同的數(shù)據(jù)過(guò)濾脫敏規(guī)則和合規(guī)檢查規(guī)則。同一服務(wù)面向不同用戶(hù)獨(dú)立配置其數(shù)據(jù)過(guò)濾脫敏規(guī)則、合規(guī)檢查規(guī)則、服務(wù)數(shù)據(jù)的輸出行數(shù)。數(shù)據(jù)過(guò)濾脫敏規(guī)則和合規(guī)檢查規(guī)則可以隨機(jī)配置或預(yù)先配置，只要能盡量使得屬于同一個(gè)機(jī)構(gòu)用戶(hù)下的數(shù)據(jù)用戶(hù)很難通過(guò)獲取的服務(wù)數(shù)據(jù)恢復(fù)出敏感信息即可。

需要說(shuō)明的是，規(guī)則管理模塊中必須設(shè)置數(shù)據(jù)的合規(guī)檢查規(guī)則，從而確保提供給用戶(hù)的服務(wù)數(shù)據(jù)的合規(guī)性。在數(shù)據(jù)中心已經(jīng)配置有過(guò)濾脫敏功能的情況下，Gateway無(wú)需配置數(shù)據(jù)的過(guò)濾脫敏規(guī)則。

2.1 數(shù)據(jù)的過(guò)濾脫敏規(guī)則

圖2 數(shù)據(jù)服務(wù)網(wǎng)關(guān)Gateway功能架構(gòu)

過(guò)濾脫敏規(guī)則包括服務(wù)輸出字段篩選、字段的條件過(guò)濾和字段內(nèi)容處理。

1)服務(wù)輸出字段篩選。服務(wù)輸出字段篩選即為數(shù)據(jù)表的列過(guò)濾。例如，某服務(wù)的源數(shù)據(jù)中包括9個(gè)輸出字段，字段名稱(chēng)分別為省份、用戶(hù)編碼、姓名、出生日期、身份證號(hào)、手機(jī)號(hào)、套餐類(lèi)型、機(jī)型、月均話費(fèi)。根據(jù)文獻(xiàn)[6]規(guī)定，不允許輸出用戶(hù)姓名、出生日期、身份證件號(hào)碼、住址、電話號(hào)碼、賬號(hào)和密碼等字段；因此，針對(duì)數(shù)據(jù)用戶(hù)的該服務(wù)請(qǐng)求，規(guī)則管理模塊設(shè)置字段篩選規(guī)則使得該服務(wù)只輸出省份、用戶(hù)編碼、套餐類(lèi)型、機(jī)型和月均話費(fèi)5個(gè)字段，則服務(wù)源數(shù)據(jù)中的姓名、出生日期、身份證號(hào)和手機(jī)號(hào)這4個(gè)字段都將被過(guò)濾掉。

2)字段的條件過(guò)濾。字段的條件過(guò)濾即為數(shù)據(jù)表的行過(guò)濾。字段的條件過(guò)濾又可分為兩種過(guò)濾。第一種是根據(jù)字段的字典進(jìn)行的過(guò)濾。例如，上例服務(wù)中的輸出字段“省份”對(duì)應(yīng)的省份字典包括“北京”、“河北”、“天津”、“河南”、“山東”5個(gè)取值，規(guī)則管理模塊可以針對(duì)數(shù)據(jù)用戶(hù)設(shè)置該服務(wù)的輸出字段“省份”的取值過(guò)濾條件為只包括“北京”，則對(duì)于該數(shù)據(jù)用戶(hù)，服務(wù)源數(shù)據(jù)中的省份字段取值為“河北”、“天津”、“河南”、“山東”的數(shù)據(jù)行都被過(guò)濾掉。第二種是針對(duì)數(shù)值類(lèi)型的字段，根據(jù)數(shù)值比較表達(dá)式進(jìn)行的過(guò)濾。例如，上例服務(wù)中的輸出字段“月均話費(fèi)”的數(shù)據(jù)類(lèi)型是double，規(guī)則管理模塊針對(duì)數(shù)據(jù)用戶(hù)設(shè)置該服務(wù)的輸出字段“月均話費(fèi)”的取值過(guò)濾條件為：字段取值范圍在50～100之間，則服務(wù)源數(shù)據(jù)中的月均話費(fèi)字段的取值小于50或者大于100的數(shù)據(jù)行都被過(guò)濾掉。

3)字段內(nèi)容處理。字段內(nèi)容處理包括兩種處理。第一種是對(duì)特殊字符進(jìn)行替換的處理。例如，上例服務(wù)中，規(guī)則管理模塊針對(duì)數(shù)據(jù)用戶(hù)設(shè)置對(duì)該服務(wù)的輸出字段“用戶(hù)編碼”進(jìn)行特殊字符替換，將特殊字符(123)替換處理成＊＊＊，則服務(wù)源數(shù)據(jù)中的字段“用戶(hù)編碼”中的“123”都將被替換為“＊＊＊”。比如，服務(wù)源數(shù)據(jù)中的“用戶(hù)編碼”為“1235678”，經(jīng)過(guò)替換處理后顯示為“＊＊＊5678”。第二種是對(duì)連續(xù)位數(shù)的字符進(jìn)行截取替換的處理。截取替換包括：將前端N位字符替換成指定字符，將中間連續(xù)N位字符替換成指定字符，或?qū)⒑蠖藦牡趲孜婚_(kāi)始的字符替換成指定字符。

當(dāng)要求將“用戶(hù)編碼”中的前4位換成6666時(shí)，如果服務(wù)源數(shù)據(jù)中的“用戶(hù)編碼”為“1235678”，則經(jīng)過(guò)替換處理后顯示為“6666678”。

當(dāng)要求將“用戶(hù)編碼”中的第2至5位換成6666時(shí)，如果服務(wù)源數(shù)據(jù)中的“用戶(hù)編碼”為“1235678”，則經(jīng)過(guò)替換處理后顯示為“1666678”。

當(dāng)要求將“用戶(hù)編碼”中從第4位之后的字符換成6666時(shí)，如果服務(wù)源數(shù)據(jù)中的“用戶(hù)編碼”為“1235678”，則經(jīng)過(guò)替換處理后顯示為“1236666”。

2.2 數(shù)據(jù)的合規(guī)檢查規(guī)則

合規(guī)檢查規(guī)則包括數(shù)據(jù)字段匹配、數(shù)據(jù)字典匹配、數(shù)值范圍檢查和字段長(zhǎng)度檢查。

1)數(shù)據(jù)字段匹配。數(shù)據(jù)字段規(guī)則定義了輸出數(shù)據(jù)文件中包含的數(shù)據(jù)字段的個(gè)數(shù)，如果檢查發(fā)現(xiàn)服務(wù)源數(shù)據(jù)中出現(xiàn)了額外的字段，即判定為非法輸出數(shù)據(jù)。例如，上例服務(wù)中，應(yīng)當(dāng)只輸出省份、用戶(hù)編碼、套餐類(lèi)型、機(jī)型和月均話費(fèi)5個(gè)字段，如服務(wù)源數(shù)據(jù)中出現(xiàn)了6個(gè)(含)以上的字段，則判定該服務(wù)源數(shù)據(jù)為非法輸出數(shù)據(jù)。

2)數(shù)據(jù)字典匹配。數(shù)據(jù)字典規(guī)則定義了某輸出字段的所有合規(guī)值，如果檢查發(fā)現(xiàn)服務(wù)源數(shù)據(jù)中該字段的某個(gè)值出現(xiàn)了不在數(shù)據(jù)字典定義范圍內(nèi)的值，即判斷為非法輸出數(shù)據(jù)。例如，上例服務(wù)中，數(shù)據(jù)字典規(guī)則中定義了“省份”的合規(guī)值只有“北京”，如服務(wù)源數(shù)據(jù)中的“省份”字段的某個(gè)值出現(xiàn)了其他值，如“河北”、“天津”、“河南”或“山東”，則判定該服務(wù)源數(shù)據(jù)為非法輸出數(shù)據(jù)。

3)數(shù)值范圍檢查。數(shù)值范圍規(guī)則定義了數(shù)值類(lèi)型的輸出字段的合規(guī)范圍，如果檢查發(fā)現(xiàn)服務(wù)源數(shù)據(jù)中該字段的某個(gè)值出現(xiàn)了不在數(shù)值范圍內(nèi)的值，即判斷為非法輸出數(shù)據(jù)。例如，上例服務(wù)中，數(shù)值范圍規(guī)則中定義了“月均話費(fèi)”的合規(guī)數(shù)值范圍為50～100，如服務(wù)源數(shù)據(jù)中的“月均話費(fèi)”字段的某個(gè)值出現(xiàn)了該數(shù)值范圍外的值，如“48”或“102”，則判定該服務(wù)源數(shù)據(jù)為非法輸出數(shù)據(jù)。

4)字段長(zhǎng)度檢查。字段長(zhǎng)度規(guī)則定義了字符類(lèi)型的輸出字段的長(zhǎng)度的合規(guī)范圍，如果檢查發(fā)現(xiàn)服務(wù)源數(shù)據(jù)中該字段的某個(gè)值的長(zhǎng)度超出了該范圍，即判斷為非法輸出數(shù)據(jù)。例如，上例服務(wù)中，字段長(zhǎng)度規(guī)則中定義了“用戶(hù)編碼”的合規(guī)長(zhǎng)度范圍為50，如服務(wù)源數(shù)據(jù)中的“用戶(hù)編碼”字段的某個(gè)值長(zhǎng)度超出范圍，如長(zhǎng)度為51，則判定該服務(wù)源數(shù)據(jù)為非法輸出數(shù)據(jù)。

3 Gateway業(yè)務(wù)流程

Gateway業(yè)務(wù)流程如圖3所示，具體包括以下步驟。

步驟1：數(shù)據(jù)服務(wù)需求者(用戶(hù))通過(guò)Gateway的用戶(hù)管理模塊進(jìn)行用戶(hù)注冊(cè)。

步驟2：Gateway的服務(wù)管理模塊從數(shù)據(jù)中心同步各種數(shù)據(jù)服務(wù)的信息。

步驟3：Gateway的規(guī)則管理模塊對(duì)用戶(hù)進(jìn)行數(shù)據(jù)服務(wù)查詢(xún)權(quán)限的授權(quán)。

步驟4：用戶(hù)通過(guò)Gateway的取數(shù)管理模塊提交服務(wù)的取數(shù)申請(qǐng)。

圖3 數(shù)據(jù)服務(wù)網(wǎng)關(guān)Gateway業(yè)務(wù)流程

步驟5：Gateway的規(guī)則管理模塊對(duì)用戶(hù)進(jìn)行數(shù)據(jù)服務(wù)取數(shù)權(quán)限的配置。

步驟6：Gateway的取數(shù)管理向數(shù)據(jù)中心提交用戶(hù)授權(quán)服務(wù)的取數(shù)申請(qǐng)。

步驟7：數(shù)據(jù)中心生成服務(wù)源數(shù)據(jù)。如果用戶(hù)提交的是實(shí)時(shí)服務(wù)取數(shù)申請(qǐng)，則數(shù)據(jù)中心生成實(shí)時(shí)服務(wù)源數(shù)據(jù)；如果用戶(hù)提交的是周期服務(wù)的取數(shù)申請(qǐng)，則數(shù)據(jù)中心將根據(jù)周期服務(wù)的生成周期，生成周期服務(wù)源數(shù)據(jù)。

步驟8：數(shù)據(jù)中心將服務(wù)源數(shù)據(jù)(實(shí)時(shí)服務(wù)源數(shù)據(jù)或者周期服務(wù)源數(shù)據(jù)存儲(chǔ)信息)返回給Gateway。

步驟9：Gateway的數(shù)據(jù)脫敏處理模塊根據(jù)規(guī)則管理模塊中設(shè)置的針對(duì)該用戶(hù)的數(shù)據(jù)過(guò)濾脫敏規(guī)則，對(duì)服務(wù)源數(shù)據(jù)進(jìn)行數(shù)據(jù)過(guò)濾脫敏。具體的數(shù)據(jù)過(guò)濾脫敏可參照前述，此處不再贅述。

步驟10：Gateway的數(shù)據(jù)脫敏處理模塊根據(jù)規(guī)則管理模塊中針對(duì)該用戶(hù)設(shè)置的合規(guī)檢查規(guī)則，對(duì)經(jīng)過(guò)數(shù)據(jù)過(guò)濾脫敏后的服務(wù)源數(shù)據(jù)進(jìn)行數(shù)據(jù)合規(guī)檢查，如果存在不合規(guī)數(shù)據(jù)，則中斷本次服務(wù)數(shù)據(jù)取數(shù)流程。

步驟11：Gateway的數(shù)據(jù)脫敏處理模塊根據(jù)規(guī)則管理模塊中針對(duì)該用戶(hù)設(shè)置的服務(wù)數(shù)據(jù)的輸出行數(shù)，對(duì)滿足數(shù)據(jù)合規(guī)檢查規(guī)則的、過(guò)濾脫敏后的服務(wù)源數(shù)據(jù)，從首行開(kāi)始，順序截取規(guī)定行數(shù)的數(shù)據(jù)，生成服務(wù)數(shù)據(jù)。

步驟12：Gateway的取數(shù)管理模塊將服務(wù)數(shù)據(jù)返回給用戶(hù)，并進(jìn)行計(jì)量和計(jì)費(fèi)。實(shí)時(shí)服務(wù)的服務(wù)數(shù)據(jù)通過(guò)Web Service接口返回給用戶(hù)；周期服務(wù)的服務(wù)數(shù)據(jù)采用數(shù)據(jù)文件方式通過(guò)FTP接口推送到用戶(hù)的FTP服務(wù)器。對(duì)于輸出的服務(wù)數(shù)據(jù)，根據(jù)用戶(hù)的等級(jí)、輸出的數(shù)據(jù)量大小和數(shù)據(jù)價(jià)值屬性等進(jìn)行計(jì)量和計(jì)費(fèi)。

步驟13：Gateway的安全審計(jì)模塊負(fù)責(zé)記錄用戶(hù)的操作日志和取數(shù)日志，取數(shù)日志內(nèi)容包括數(shù)據(jù)輸出的時(shí)間、對(duì)象(用戶(hù))、數(shù)據(jù)的元數(shù)據(jù)、脫敏規(guī)則、合規(guī)檢查規(guī)則等，并定期對(duì)操作日志、取數(shù)日志進(jìn)行審計(jì)。

4 結(jié)束語(yǔ)

本文探討一種面向大數(shù)據(jù)安全運(yùn)營(yíng)的數(shù)據(jù)服務(wù)網(wǎng)關(guān)Gateway，該成果已在電信運(yùn)營(yíng)商的生產(chǎn)系統(tǒng)中應(yīng)用，現(xiàn)已成功支撐了運(yùn)營(yíng)商對(duì)外開(kāi)放服務(wù)數(shù)據(jù)的脫敏和合規(guī)檢查，并已通過(guò)工業(yè)和信息化部電信研究院的技術(shù)測(cè)試。測(cè)試結(jié)果表明，Gateway對(duì)外提供統(tǒng)一數(shù)據(jù)訪問(wèn)服務(wù)、取數(shù)控制服務(wù)與安全管控處理，能夠保障輸出數(shù)據(jù)的安全性，滿足中關(guān)于個(gè)人信息保護(hù)的相關(guān)法律法規(guī)、標(biāo)準(zhǔn)，在業(yè)務(wù)數(shù)據(jù)交互過(guò)程中符合的規(guī)定[6-14]。

當(dāng)前，電信運(yùn)營(yíng)商對(duì)外開(kāi)放數(shù)據(jù)服務(wù)還在起步階段，主要還是圍繞自有數(shù)據(jù)資源深度加工后的服務(wù)；隨著未來(lái)跨領(lǐng)域數(shù)據(jù)合作的推進(jìn)，跨領(lǐng)域數(shù)據(jù)的深度融合、共享、開(kāi)放、流通和交易，可能對(duì)數(shù)據(jù)的脫敏、合規(guī)性提出更高要求，這將是一個(gè)值得未來(lái)繼續(xù)深入研究、探索的課題。

參考文獻(xiàn)

[1] 中國(guó)計(jì)算機(jī)學(xué)會(huì)大數(shù)據(jù)專(zhuān)家委員會(huì)中關(guān)村大數(shù)據(jù)產(chǎn)業(yè)聯(lián)盟.中國(guó)大數(shù)據(jù)技術(shù)與產(chǎn)業(yè)發(fā)展報(bào)告(2014)[R].機(jī)械工業(yè)出版社,2015

[2] 范濟(jì)安,李衛(wèi),魏進(jìn)武.電信運(yùn)營(yíng)商的大數(shù)據(jù)發(fā)展戰(zhàn)略[J].信息通信技術(shù),2015,9(6):5-12

[3] 李衛(wèi),魏進(jìn)武.電信運(yùn)營(yíng)商數(shù)據(jù)開(kāi)放服務(wù)架構(gòu)[J].信息通信技術(shù),2015,9(6):24-28, 35

[4] 劉春,鄒海鋒,向勇.大數(shù)據(jù)環(huán)境下電信數(shù)據(jù)服務(wù)能力開(kāi)放研究[J].電信科學(xué),2014(3):156-161

[5] 馬琳,宋俊德,宋美娜.開(kāi)放平臺(tái):運(yùn)營(yíng)模式與技術(shù)架構(gòu)研究綜述[J].電信科學(xué),2012(6):125-140

[6] 中華人民共和國(guó)工業(yè)和信息化部2013年第24號(hào)令:電信和互聯(lián)網(wǎng)用戶(hù)個(gè)人信息保護(hù)規(guī)定[EB/OL].[2016-04-15].http://www.miit.gov.cn/n11293472/n11294912/n11296542/15514014.html

[7] GB/Z 28828-2012:信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個(gè)人信息保護(hù)指南[M].北京:中國(guó)標(biāo)準(zhǔn)出版社,2012

[8] 2014-1039T-YD:電信運(yùn)營(yíng)商的大數(shù)據(jù)應(yīng)用業(yè)務(wù)安全技術(shù)要求[S/OL].[2016-04-15].http://www.ccsa.org.cn

[9] 中華人民共和國(guó)國(guó)務(wù)院:中華人民共和國(guó)計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)管理暫行規(guī)定實(shí)施辦法[EB/OL].[2016-04-15].http://www.law-lib.com/law/law_view.asp?id=13818

[10] 中華人民共和國(guó)信息產(chǎn)業(yè)部令(第3號(hào)): 互聯(lián)網(wǎng)電子公告服務(wù)管理規(guī)定[EB/OL].[2016-04-15]http://www.gov.cn/gongbao/content/2001/content_61064.htm

[11] 中華人民共和國(guó)主席令第二十一號(hào): 中華人民共和國(guó)侵權(quán)責(zé)任法 [EB/OL].[2016-04-15].http://www.gov.cn/fl fg/2009-12/26/content_1497435.htm

[12] 中華人民共和國(guó)第九屆全國(guó)人民代表大會(huì)常務(wù)委員會(huì)第十九次會(huì)議: 全國(guó)人民代表大會(huì)常務(wù)委員會(huì)關(guān)于維護(hù)互聯(lián)網(wǎng)安全的決定[EB/OL].[2016-04-15].http://www.npc.gov.cn/wxzl/gongbao/2001-03/05/content_5131101.htm

[13] 中華人民共和國(guó)公安部令第82號(hào):互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施規(guī)定[EB/OL].[2016-04-15].http://news.xinhuanet.com/newmedia/2006-03/01/content_4240889.htm

[14] 2014B21:電信互聯(lián)網(wǎng)大數(shù)據(jù)開(kāi)放平臺(tái)標(biāo)準(zhǔn)化研究[EB/OL].[2014-04-15].http://www.ccsa.org.cn

[15] 胡坤,劉明輝,宮雪等.電信運(yùn)營(yíng)商應(yīng)用數(shù)據(jù)的安全管控與隱私保護(hù)研究[J].信息通信技術(shù),2013,7(6):63-67

[16] 丘金源.分布式數(shù)據(jù)網(wǎng)關(guān)研究[D].廣州,廣東工業(yè)大學(xué),2005

[17] 王春皓.服務(wù)網(wǎng)關(guān)系統(tǒng):中國(guó),CN200610062810.5[P].2006-09-27

[18] 任鋼,吳隆萍,陳文軍,等.一種數(shù)據(jù)交換方法和系統(tǒng)及一種網(wǎng)關(guān)服務(wù)器:中國(guó),CN 201410177069.1[P]. 2014-04-29