張媛馬杰

（1．南京金州城北污水處理有限公司，江蘇 南京 210015；2．南京審計(jì)大學(xué)實(shí)驗(yàn)中心，江蘇 南京 211815）

[關(guān)鍵字] 敏感數(shù)據(jù)；安全防護(hù)；開放環(huán)境；實(shí)驗(yàn)室

1 引言

云計(jì)算服務(wù)的廣泛應(yīng)用促使高校機(jī)房和實(shí)驗(yàn)室的服務(wù)模式產(chǎn)生了深刻變革，除了滿足日常教學(xué)和各類考試基本需求，還擴(kuò)展了課程與學(xué)生信息匹配管理、實(shí)驗(yàn)室門禁與課程管理、自由開放上機(jī)管理、遠(yuǎn)程控制機(jī)器狀態(tài)等等細(xì)化功能；并且允許校內(nèi)利用移動(dòng)設(shè)備和智能終端，通過互聯(lián)網(wǎng)獲取某實(shí)驗(yàn)室使用、預(yù)約等服務(wù)。但實(shí)驗(yàn)室服務(wù)功能的復(fù)雜和多樣化也在web服務(wù)器端產(chǎn)生了大量多類型、碎片化、低安全度的數(shù)據(jù)信息，這些數(shù)據(jù)來源于實(shí)驗(yàn)室各個(gè)業(yè)務(wù)功能數(shù)據(jù)庫(kù)，是實(shí)驗(yàn)室高效管理、優(yōu)良服務(wù)的保證。其中一些數(shù)據(jù)如師生身份信息、賬號(hào)、位置、服務(wù)日志和內(nèi)容等信息被非法查詢、引用甚至篡改，輕則侵犯用戶隱私，降低師生使用體驗(yàn)感受，重則帶來經(jīng)濟(jì)損失，甚至影響學(xué)校聲譽(yù)。因此，在實(shí)驗(yàn)室本地web服務(wù)器端和遠(yuǎn)程數(shù)據(jù)庫(kù)存端都必須實(shí)現(xiàn)對(duì)敏感數(shù)據(jù)的科學(xué)管理、分類評(píng)估和安全防護(hù)，這既是大數(shù)據(jù)時(shí)代信息安全的要求，也是實(shí)驗(yàn)室各項(xiàng)功能穩(wěn)定運(yùn)行的保證。

2 高校實(shí)驗(yàn)室web服務(wù)器敏感數(shù)據(jù)及其分級(jí)、分類

實(shí)驗(yàn)室的web服務(wù)器敏感數(shù)據(jù)是指影響實(shí)驗(yàn)室功能正常運(yùn)行的所有數(shù)據(jù)信息，數(shù)據(jù)來源于師生個(gè)人、實(shí)驗(yàn)室計(jì)算機(jī)、智能終端、互聯(lián)網(wǎng)、物聯(lián)設(shè)備5個(gè)方面。師生個(gè)人信息包括類賬號(hào)和密碼、個(gè)人特征、個(gè)體位置、課程與身份信息關(guān)系數(shù)據(jù)等信息，這些數(shù)據(jù)主要以文字、表格明文保存；實(shí)驗(yàn)室計(jì)算機(jī)和智能終端信息包括管理主機(jī)、實(shí)驗(yàn)室web服務(wù)器的運(yùn)營(yíng)日記、設(shè)備參數(shù)、位置信息，多以系統(tǒng)文件和數(shù)據(jù)庫(kù)形式存儲(chǔ)；互聯(lián)網(wǎng)數(shù)據(jù)信息主要是用戶經(jīng)過網(wǎng)絡(luò)方向的學(xué)習(xí)平臺(tái)、下載的課程資源、軟件等，以壓縮文件格式形式存儲(chǔ)；物聯(lián)設(shè)備數(shù)據(jù)信息主要由視頻監(jiān)控設(shè)備、門禁控制系統(tǒng)、讀卡裝置等設(shè)備采集的數(shù)據(jù)組成，以視頻、數(shù)據(jù)庫(kù)等格式簡(jiǎn)單加密保存。這些實(shí)驗(yàn)室web服務(wù)器端敏感數(shù)據(jù)類型多樣、動(dòng)態(tài)多變、結(jié)構(gòu)復(fù)雜、存儲(chǔ)分散、數(shù)據(jù)量大；這些重要數(shù)據(jù)依據(jù)云計(jì)算服務(wù)的安全等級(jí)要求和實(shí)驗(yàn)室運(yùn)行管理的相關(guān)性分為高度敏感數(shù)據(jù)(advanced sensitive)和普通敏感數(shù)據(jù)(general sensitive)。高度敏感數(shù)據(jù)是指對(duì)實(shí)驗(yàn)室IT服務(wù)系統(tǒng)構(gòu)建、網(wǎng)絡(luò)學(xué)習(xí)資源后臺(tái)數(shù)據(jù)和實(shí)驗(yàn)室服務(wù)質(zhì)量保障產(chǎn)生巨大影響的關(guān)鍵數(shù)據(jù)，如實(shí)驗(yàn)室系統(tǒng)管理的相關(guān)云計(jì)算系統(tǒng)架構(gòu)信息、IT服務(wù)配置參數(shù)、服務(wù)運(yùn)行日志和備份數(shù)據(jù)，這類數(shù)據(jù)一旦泄露，意味著底層web服務(wù)器被非法控制，將會(huì)對(duì)整個(gè)實(shí)驗(yàn)室基礎(chǔ)架構(gòu)造成無法修復(fù)的破壞，因此需要高級(jí)別全方位的風(fēng)險(xiǎn)管控和安全防護(hù)。而普通敏感數(shù)據(jù)則是指與實(shí)驗(yàn)室各項(xiàng)功能及使用者關(guān)聯(lián)性較為緊密的數(shù)據(jù)，這類數(shù)據(jù)主要由師生身份信息、課程與實(shí)驗(yàn)室匹配關(guān)系、各類課程資源平臺(tái)賬號(hào)密碼、瀏覽記錄、視頻監(jiān)控、刷卡軌跡記錄等組成，授權(quán)方可以通過普通敏感數(shù)據(jù)的采集、挖掘、分析、融合等操作，研究教學(xué)數(shù)據(jù)中蘊(yùn)含的教育教學(xué)規(guī)律。這類敏感數(shù)據(jù)開放程度很高，若被非法入侵和篡改，會(huì)對(duì)實(shí)驗(yàn)室服務(wù)功能和用戶體驗(yàn)造成不利影響，但不至于破壞整個(gè)實(shí)驗(yàn)室web服務(wù)器資源平臺(tái)和遠(yuǎn)程分布式存儲(chǔ)數(shù)據(jù)庫(kù)。

3 實(shí)驗(yàn)室敏感數(shù)據(jù)面臨的風(fēng)險(xiǎn)與安防需求

3.1 敏感數(shù)據(jù)的識(shí)別與存儲(chǔ)

在開放式實(shí)驗(yàn)室web服務(wù)器中，敏感數(shù)據(jù)分布在大量的實(shí)驗(yàn)室功能數(shù)據(jù)集群中，數(shù)據(jù)類型和存儲(chǔ)位置、狀態(tài)、邏輯位置、格式等信息都有很大的隨機(jī)性和突發(fā)性，在這樣的情況下只能運(yùn)用智能化手段來梳理和識(shí)別敏感數(shù)據(jù)。常見的敏感數(shù)據(jù)識(shí)別過程包括數(shù)據(jù)獲取、格式解析、內(nèi)容分類三個(gè)步驟[1]。首先對(duì)服務(wù)器、數(shù)據(jù)庫(kù)、云存儲(chǔ)等環(huán)境下獲取的數(shù)據(jù)檢索特定文件或數(shù)據(jù)中的關(guān)鍵字段定義和相關(guān)標(biāo)識(shí)檢測(cè)來初步判斷是否歸為敏感數(shù)據(jù)，再運(yùn)用人工智能的理論和技術(shù)將設(shè)定的自然語言規(guī)律用計(jì)算機(jī)軟件模擬處理，按照分級(jí)和分類要求準(zhǔn)確描述各類敏感數(shù)據(jù)，并對(duì)敏感文件進(jìn)行加密隔離存儲(chǔ)和授權(quán)訪問操作。

存儲(chǔ)服務(wù)器主要負(fù)責(zé)對(duì)敏感數(shù)據(jù)進(jìn)行加密、封裝、存儲(chǔ)和授權(quán)使用，這里的數(shù)據(jù)狀態(tài)主要是靜態(tài)數(shù)據(jù)和動(dòng)態(tài)數(shù)據(jù)。靜態(tài)敏感數(shù)據(jù)是指用戶文檔、學(xué)習(xí)資料等不參與關(guān)系運(yùn)算的用戶信息，這部分敏感信息所占比例不多；動(dòng)態(tài)數(shù)據(jù)是指需要?jiǎng)討B(tài)驗(yàn)證或者參與云計(jì)算功能服務(wù)的數(shù)據(jù)。將敏感數(shù)據(jù)按級(jí)別和類型歸檔之后要匯聚到服務(wù)器端分析，依據(jù)用戶、設(shè)備、來源等規(guī)則，對(duì)不同類型等級(jí)的敏感數(shù)據(jù)設(shè)置有區(qū)別的加密存儲(chǔ)方式、存儲(chǔ)位置、添加特殊識(shí)別標(biāo)識(shí)；這樣做之后即使在發(fā)生數(shù)據(jù)非法泄露，也可以根據(jù)事先設(shè)定的標(biāo)簽排查泄露源頭。隨著實(shí)驗(yàn)室功能的增加，敏感數(shù)據(jù)復(fù)雜程度和處理難度的上升，存儲(chǔ)需求和控制難度快速增長(zhǎng)，在這個(gè)層面上僅僅依靠實(shí)驗(yàn)室的web服務(wù)器難以對(duì)大量數(shù)據(jù)執(zhí)行全面、廣泛的敏感篩選和存儲(chǔ)管理。

3.2 實(shí)驗(yàn)室服務(wù)功能對(duì)敏感數(shù)據(jù)的開放需求與有效隔離

實(shí)驗(yàn)室的服務(wù)功能以各種關(guān)系數(shù)據(jù)獲取為基礎(chǔ)，大量敏感數(shù)據(jù)的高度開放和快速流動(dòng)，使得敏感數(shù)據(jù)的監(jiān)控難度不斷增長(zhǎng)，這些普通敏感數(shù)據(jù)高流動(dòng)性也造成了用戶信息很容易受到威脅。在保證敏感數(shù)據(jù)的開放性和實(shí)驗(yàn)室服務(wù)功能擴(kuò)展的前提下，如何確保敏感數(shù)據(jù)的安全、精確、快捷，是實(shí)踐運(yùn)用中急需解決的關(guān)鍵問題。而敏感數(shù)據(jù)量指數(shù)級(jí)增長(zhǎng)、數(shù)據(jù)安全管理協(xié)議的執(zhí)行力度、web服務(wù)器管理員的技術(shù)水平、管理流程的科學(xué)性也影響著敏感數(shù)據(jù)的安全性。

實(shí)驗(yàn)室擴(kuò)展服務(wù)功能涉及的數(shù)據(jù)信息來源廣泛，課程信息和身份信息等敏感數(shù)據(jù)經(jīng)?？绶?wù)器和互聯(lián)網(wǎng)之間進(jìn)行數(shù)據(jù)提取和交換操作，數(shù)據(jù)的開放、流動(dòng)和共享帶來了新的防護(hù)風(fēng)險(xiǎn)，實(shí)驗(yàn)室web服務(wù)器為多個(gè)用戶以虛擬租用資源的方式提供共享資源，而這些用戶信息很可能會(huì)綁定到同一個(gè)物理資源，如果web服務(wù)器中的內(nèi)存管理和虛擬化軟件存在安全漏洞，網(wǎng)絡(luò)安全或用戶權(quán)限等管理策略并未及時(shí)更新，惡意用戶可以通過病毒、遠(yuǎn)程控制等方式掃描漏洞，獲取全部操作權(quán)限，篡改數(shù)據(jù)信息，達(dá)到竊取和侵犯敏感數(shù)據(jù)的非法目的。實(shí)驗(yàn)室在日常使用中，也有部分特定用戶為了自己使用便利，在教師端或者服務(wù)器端繞過系統(tǒng)控制安裝特定軟件，共享給所有普通用戶。類似情況下，后臺(tái)web服務(wù)器管員難以將課程數(shù)據(jù)、服務(wù)運(yùn)行關(guān)系數(shù)據(jù)、權(quán)限限制策略等敏感數(shù)據(jù)進(jìn)行實(shí)時(shí)分級(jí)存儲(chǔ)、網(wǎng)絡(luò)隔離和訪問控制。因此，在實(shí)驗(yàn)室功能服務(wù)系統(tǒng)架構(gòu)層面，敏感數(shù)據(jù)防護(hù)設(shè)計(jì)必須符合使用邏輯，實(shí)現(xiàn)敏感數(shù)據(jù)有效隔離，避免依靠數(shù)據(jù)管理人員能力、經(jīng)驗(yàn)來排查數(shù)據(jù)隱患。而敏感數(shù)據(jù)存儲(chǔ)分布于不同位置的數(shù)據(jù)中心和信息節(jié)點(diǎn)上，以往基于物理機(jī)的數(shù)據(jù)防護(hù)手段完全失效。敏感數(shù)據(jù)的防護(hù)邊界不斷擴(kuò)大，實(shí)驗(yàn)室不同服務(wù)功能數(shù)據(jù)信息分布到不同的存儲(chǔ)服務(wù)器，這需要在更多的地方實(shí)施數(shù)據(jù)隔離，增加了敏感數(shù)據(jù)安防的復(fù)雜程度。

3.3 本地web服務(wù)器數(shù)據(jù)庫(kù)與分布式云存儲(chǔ)的安防隱患

實(shí)驗(yàn)室本地web服務(wù)器需要讀取大量敏感數(shù)據(jù)以匹配服務(wù)功能，管理人員會(huì)對(duì)本地?cái)?shù)據(jù)修改、增加臨時(shí)授權(quán)人員，這些行為很容易造成敏感數(shù)據(jù)被越權(quán)訪問、攻擊和非法篡改；但卻難以找到有效的安全監(jiān)控日志追擊破壞者蹤跡。雖然可以采取周期備份和災(zāi)難恢復(fù)的方式挽救損失，但是長(zhǎng)期備份不僅導(dǎo)致數(shù)據(jù)量龐大，增加本地web服務(wù)器的計(jì)算成本，也會(huì)影響實(shí)驗(yàn)室各項(xiàng)功能的正常運(yùn)行。因此必須對(duì)本地web服務(wù)器采用自動(dòng)化安防檢測(cè)、保證病毒庫(kù)實(shí)時(shí)更新、敏感度動(dòng)態(tài)評(píng)級(jí)、數(shù)據(jù)無縫備份與恢復(fù)。

實(shí)驗(yàn)室開放環(huán)境擴(kuò)展功能調(diào)用的是遠(yuǎn)程云計(jì)算產(chǎn)生的分布存儲(chǔ)共享敏感數(shù)據(jù)，由于存在非法用戶、惡意代碼的攻擊，有可能出現(xiàn)非法獲得本地服務(wù)器超級(jí)管理員權(quán)限后直接接觸到原始高級(jí)敏感數(shù)據(jù)，而對(duì)遠(yuǎn)程高級(jí)敏感數(shù)據(jù)的識(shí)別、評(píng)估和防護(hù)將會(huì)大幅增加云存儲(chǔ)的復(fù)雜程度和運(yùn)行負(fù)荷。這些風(fēng)險(xiǎn)和隱患對(duì)分布式云計(jì)算安全服務(wù)提出了更高的科學(xué)性要求和技術(shù)要求。

3.4 敏感數(shù)據(jù)的安防需求

實(shí)驗(yàn)室web服務(wù)器端敏感數(shù)據(jù)的防護(hù)需要從敏感數(shù)據(jù)調(diào)取、使用和使用后的處理三個(gè)階段全方位開展。調(diào)取敏感數(shù)據(jù)依據(jù)來源、形式、重要等級(jí)進(jìn)行分類，掌握各種靜態(tài)敏感數(shù)據(jù)的狀態(tài)信息，進(jìn)行規(guī)范存儲(chǔ)和管理，防止靜態(tài)數(shù)據(jù)的完全開放調(diào)用。使用敏感數(shù)據(jù)過程中無論靜態(tài)還是動(dòng)態(tài)數(shù)據(jù)，必須做脫敏處理。數(shù)據(jù)脫敏是指對(duì)某些敏感信息通過脫敏規(guī)則進(jìn)行數(shù)據(jù)的變形，實(shí)現(xiàn)敏感隱私數(shù)據(jù)的可靠保護(hù)。在涉及用戶安全和服務(wù)質(zhì)量保證的情況下，利用系統(tǒng)安全配置策略對(duì)敏感數(shù)據(jù)實(shí)施變形加工，消去敏感屬性改造并提供測(cè)試使用，如身份信息、課程平臺(tái)賬號(hào)密碼、校園卡號(hào)、門禁控制信息等都需要進(jìn)行數(shù)據(jù)脫敏。避免非法掃描檢索，防止惡意調(diào)用和數(shù)據(jù)外泄。但僅僅改變這些關(guān)鍵字段、標(biāo)簽等靜態(tài)屬性還無法實(shí)現(xiàn)監(jiān)控敏感數(shù)據(jù)的動(dòng)態(tài)流轉(zhuǎn)、操作以及敏感文件的訪問和控制，必須加入智能防護(hù)功能模塊，對(duì)違規(guī)訪問和調(diào)用進(jìn)行判定，分析潛在泄露途徑，實(shí)施封鎖控制。整個(gè)實(shí)驗(yàn)室web服務(wù)器敏感數(shù)據(jù)安防需求邏輯結(jié)構(gòu)如圖1所示：

圖1 敏感數(shù)據(jù)安防需求邏輯

4 敏感數(shù)據(jù)防護(hù)方案設(shè)計(jì)

4.1 防護(hù)方案結(jié)構(gòu)

本研究在實(shí)驗(yàn)室實(shí)際運(yùn)行需求和敏感數(shù)據(jù)分析與安全管理框架相結(jié)合的基礎(chǔ)上提出了實(shí)驗(yàn)室web服務(wù)器端敏感數(shù)據(jù)防護(hù)方案。該方案在過往敏感數(shù)據(jù)保護(hù)以隔離、簡(jiǎn)單算法加密、身份驗(yàn)證和訪問權(quán)限為主的防護(hù)模式基礎(chǔ)上，經(jīng)過對(duì)本地服務(wù)器數(shù)據(jù)和遠(yuǎn)程云計(jì)算數(shù)據(jù)的采集、依據(jù)敏感數(shù)據(jù)的關(guān)聯(lián)分析和敏感內(nèi)容識(shí)別，實(shí)施自然語言分析和系統(tǒng)防護(hù)策略自動(dòng)判定，準(zhǔn)確發(fā)現(xiàn)隱藏在大量分布數(shù)據(jù)中的敏感信息，實(shí)現(xiàn)敏感數(shù)據(jù)的精確發(fā)現(xiàn)、敏感度分級(jí)分類、有效隔離和保護(hù)。

非法用戶通過漏洞掃描、數(shù)據(jù)關(guān)聯(lián)，竊取敏感信息。該方案重點(diǎn)關(guān)注4個(gè)方面：第一，實(shí)時(shí)、準(zhǔn)確地識(shí)別判定敏感數(shù)據(jù)；第二，敏感數(shù)據(jù)的防護(hù)不能以犧牲實(shí)驗(yàn)室服務(wù)功能和服務(wù)質(zhì)量為代價(jià)；第三，必須保證敏感數(shù)據(jù)保護(hù)的有效隔離和高級(jí)敏感數(shù)據(jù)的無縫恢復(fù)；第四，對(duì)敏感數(shù)據(jù)防護(hù)系統(tǒng)運(yùn)行的有效性精確展示。方案結(jié)構(gòu)如圖2所示。

本防護(hù)方案主要由數(shù)據(jù)收集、本地web服務(wù)器數(shù)據(jù)和遠(yuǎn)程數(shù)據(jù)存儲(chǔ)、敏感數(shù)據(jù)分析、安防管理、系統(tǒng)決策和判定結(jié)果展示6大模塊組成。數(shù)據(jù)收集模塊主要負(fù)責(zé)采集實(shí)驗(yàn)室IT服務(wù)系統(tǒng)構(gòu)建、服務(wù)器參數(shù)配置、用戶瀏覽記錄、惡意攻擊日志、運(yùn)行監(jiān)控?cái)?shù)據(jù)以及與教學(xué)和考試相關(guān)的數(shù)據(jù)；數(shù)據(jù)存儲(chǔ)模塊負(fù)責(zé)對(duì)匯聚的數(shù)據(jù)進(jìn)行分類存儲(chǔ)和安防管理，根據(jù)數(shù)據(jù)調(diào)用頻率、關(guān)鍵字段和價(jià)值屬性，對(duì)數(shù)據(jù)進(jìn)行敏感度初步分級(jí)歸檔，安全的敏感數(shù)據(jù)經(jīng)過高速傳輸堆棧經(jīng)分布至遠(yuǎn)程服務(wù)器緩存，把高級(jí)敏感數(shù)據(jù)存儲(chǔ)到遠(yuǎn)程云服務(wù)器中，把低敏感度數(shù)據(jù)存儲(chǔ)至本地web服務(wù)器數(shù)據(jù)庫(kù)中；數(shù)據(jù)分析模塊完成敏感度類型和級(jí)別精準(zhǔn)劃分，并對(duì)敏感數(shù)據(jù)做關(guān)聯(lián)性分析、攻擊日志敏感分析、惡意腳本分析、存儲(chǔ)系統(tǒng)可靠性分析、威脅程度分析、防護(hù)系統(tǒng)運(yùn)行可靠性分析等等；安防管理模塊負(fù)責(zé)安防日志的審核、敏感數(shù)據(jù)存儲(chǔ)系統(tǒng)的穩(wěn)定性保障、敏感數(shù)據(jù)災(zāi)難恢復(fù)的備份管理、數(shù)據(jù)敏感度實(shí)時(shí)監(jiān)控、用戶個(gè)人信息的加密處理；系統(tǒng)決策模塊負(fù)責(zé)敏感數(shù)據(jù)安防管理策略的制定，為敏感數(shù)據(jù)的持續(xù)監(jiān)控、安防預(yù)警、系統(tǒng)優(yōu)化、遠(yuǎn)程數(shù)據(jù)安全提供技術(shù)依據(jù)；判定結(jié)果展示模塊是整個(gè)防護(hù)管理方案與系統(tǒng)管理員的數(shù)據(jù)接口，可以把web服務(wù)器受到的非法攻擊、預(yù)測(cè)威脅、防護(hù)效果等以量化數(shù)據(jù)的形式表述，增強(qiáng)了敏感數(shù)據(jù)管理的可讀性。

圖2 敏感數(shù)據(jù)防護(hù)方案結(jié)構(gòu)

4.2 防護(hù)系統(tǒng)部署

實(shí)驗(yàn)室web服務(wù)器敏感數(shù)據(jù)防護(hù)部署方案如圖3所示，其中，敏感數(shù)據(jù)核心管理服務(wù)器是整個(gè)敏感數(shù)據(jù)防護(hù)系統(tǒng)的關(guān)鍵服務(wù)器，負(fù)責(zé)下發(fā)敏感數(shù)據(jù)脫敏規(guī)則、保護(hù)策略，采集系統(tǒng)防護(hù)工作日志，生成實(shí)驗(yàn)室web服務(wù)器全局環(huán)境的敏感數(shù)據(jù)安全事件圖形和報(bào)表。敏感數(shù)據(jù)識(shí)別歸檔服務(wù)器，掃描本地服務(wù)器數(shù)據(jù)和云數(shù)據(jù)完成敏感數(shù)據(jù)的識(shí)別并分類分級(jí)歸檔。脫敏服務(wù)器負(fù)責(zé)執(zhí)行安全策略，對(duì)敏感數(shù)據(jù)實(shí)施脫敏運(yùn)算。通過網(wǎng)絡(luò)調(diào)用復(fù)制核心數(shù)據(jù)到泄露監(jiān)控設(shè)備進(jìn)行惡意腳本掃描、流量監(jiān)測(cè)，防止核心脫敏數(shù)據(jù)從互聯(lián)網(wǎng)接口泄露。在本地web服務(wù)器，教師主機(jī)和云共享資源平臺(tái)上安裝敏感數(shù)據(jù)防護(hù)代理軟件，負(fù)責(zé)采集和識(shí)別敏感數(shù)據(jù)，并將結(jié)果上傳至敏感數(shù)據(jù)發(fā)現(xiàn)服務(wù)器。

圖3 敏感數(shù)據(jù)防護(hù)系統(tǒng)部署方案

5 結(jié)束語

本研究分析了開放環(huán)境下高校實(shí)驗(yàn)室web服務(wù)器和遠(yuǎn)程云計(jì)算數(shù)據(jù)庫(kù)敏感數(shù)據(jù)防護(hù)問題的新特性，充分結(jié)合實(shí)驗(yàn)室業(yè)務(wù)職能、用戶需求，在前人研究的基礎(chǔ)上歸納了適合高校實(shí)驗(yàn)室的敏感數(shù)據(jù)防護(hù)需求邏輯關(guān)系，重點(diǎn)加強(qiáng)對(duì)敏感數(shù)據(jù)的識(shí)別、分級(jí)分類、防御規(guī)則構(gòu)建、敏感數(shù)據(jù)分布存儲(chǔ)和安全管理效果評(píng)估等幾個(gè)關(guān)鍵環(huán)節(jié)的掌控，并設(shè)計(jì)了實(shí)驗(yàn)室web服務(wù)器敏感數(shù)據(jù)防護(hù)方案。在實(shí)踐運(yùn)行過程中還應(yīng)不斷提升敏感數(shù)據(jù)洞察力、敏感度劃分的科學(xué)性、訪問控制的自動(dòng)化和脫敏算法的改進(jìn)。實(shí)現(xiàn)對(duì)敏感數(shù)據(jù)服務(wù)器存儲(chǔ)的實(shí)時(shí)監(jiān)控、訪問者的身份識(shí)別與權(quán)限分配、本地服務(wù)器數(shù)據(jù)庫(kù)的漏洞修復(fù)、敏感數(shù)據(jù)的有效隔離，阻止非法訪問和惡意竊取敏感數(shù)據(jù)。

在當(dāng)前實(shí)驗(yàn)室服務(wù)功能的擴(kuò)展和用戶新的需求不斷出現(xiàn)的情況下，敏感數(shù)據(jù)的開放性、高流動(dòng)性、結(jié)構(gòu)復(fù)雜程度、關(guān)聯(lián)性都會(huì)繼續(xù)增加，后續(xù)還要加深提升實(shí)驗(yàn)室本地web服務(wù)器敏感數(shù)據(jù)的安全性，如保護(hù)能力的研究。高校實(shí)驗(yàn)室不僅為用戶增加應(yīng)用功能，也要將最前沿的數(shù)據(jù)防護(hù)技術(shù)運(yùn)用到敏感數(shù)據(jù)保護(hù)中去，不斷提升數(shù)據(jù)防護(hù)工作的自動(dòng)化、智能化和流程化水平，這樣才能為實(shí)驗(yàn)室服務(wù)模式的持續(xù)變革和升級(jí)做好支撐，為廣大師生提供智慧化服務(wù)。