张媛马杰

（1．南京金州城北污水处理有限公司，江苏 南京 210015；2．南京审计大学实验中心，江苏 南京 211815）

[关键字] 敏感数据；安全防护；开放环境；实验室

1 引言

云计算服务的广泛应用促使高校机房和实验室的服务模式产生了深刻变革，除了满足日常教学和各类考试基本需求，还扩展了课程与学生信息匹配管理、实验室门禁与课程管理、自由开放上机管理、远程控制机器状态等等细化功能；并且允许校内利用移动设备和智能终端，通过互联网获取某实验室使用、预约等服务。但实验室服务功能的复杂和多样化也在web服务器端产生了大量多类型、碎片化、低安全度的数据信息，这些数据来源于实验室各个业务功能数据库，是实验室高效管理、优良服务的保证。其中一些数据如师生身份信息、账号、位置、服务日志和内容等信息被非法查询、引用甚至篡改，轻则侵犯用户隐私，降低师生使用体验感受，重则带来经济损失，甚至影响学校声誉。因此，在实验室本地web服务器端和远程数据库存端都必须实现对敏感数据的科学管理、分类评估和安全防护，这既是大数据时代信息安全的要求，也是实验室各项功能稳定运行的保证。

2 高校实验室web服务器敏感数据及其分级、分类

实验室的web服务器敏感数据是指影响实验室功能正常运行的所有数据信息，数据来源于师生个人、实验室计算机、智能终端、互联网、物联设备5个方面。师生个人信息包括类账号和密码、个人特征、个体位置、课程与身份信息关系数据等信息，这些数据主要以文字、表格明文保存；实验室计算机和智能终端信息包括管理主机、实验室web服务器的运营日记、设备参数、位置信息，多以系统文件和数据库形式存储；互联网数据信息主要是用户经过网络方向的学习平台、下载的课程资源、软件等，以压缩文件格式形式存储；物联设备数据信息主要由视频监控设备、门禁控制系统、读卡装置等设备采集的数据组成，以视频、数据库等格式简单加密保存。这些实验室web服务器端敏感数据类型多样、动态多变、结构复杂、存储分散、数据量大；这些重要数据依据云计算服务的安全等级要求和实验室运行管理的相关性分为高度敏感数据(advanced sensitive)和普通敏感数据(general sensitive)。高度敏感数据是指对实验室IT服务系统构建、网络学习资源后台数据和实验室服务质量保障产生巨大影响的关键数据，如实验室系统管理的相关云计算系统架构信息、IT服务配置参数、服务运行日志和备份数据，这类数据一旦泄露，意味着底层web服务器被非法控制，将会对整个实验室基础架构造成无法修复的破坏，因此需要高级别全方位的风险管控和安全防护。而普通敏感数据则是指与实验室各项功能及使用者关联性较为紧密的数据，这类数据主要由师生身份信息、课程与实验室匹配关系、各类课程资源平台账号密码、浏览记录、视频监控、刷卡轨迹记录等组成，授权方可以通过普通敏感数据的采集、挖掘、分析、融合等操作，研究教学数据中蕴含的教育教学规律。这类敏感数据开放程度很高，若被非法入侵和篡改，会对实验室服务功能和用户体验造成不利影响，但不至于破坏整个实验室web服务器资源平台和远程分布式存储数据库。

3 实验室敏感数据面临的风险与安防需求

3.1 敏感数据的识别与存储

在开放式实验室web服务器中，敏感数据分布在大量的实验室功能数据集群中，数据类型和存储位置、状态、逻辑位置、格式等信息都有很大的随机性和突发性，在这样的情况下只能运用智能化手段来梳理和识别敏感数据。常见的敏感数据识别过程包括数据获取、格式解析、内容分类三个步骤[1]。首先对服务器、数据库、云存储等环境下获取的数据检索特定文件或数据中的关键字段定义和相关标识检测来初步判断是否归为敏感数据，再运用人工智能的理论和技术将设定的自然语言规律用计算机软件模拟处理，按照分级和分类要求准确描述各类敏感数据，并对敏感文件进行加密隔离存储和授权访问操作。

存储服务器主要负责对敏感数据进行加密、封装、存储和授权使用，这里的数据状态主要是静态数据和动态数据。静态敏感数据是指用户文档、学习资料等不参与关系运算的用户信息，这部分敏感信息所占比例不多；动态数据是指需要动态验证或者参与云计算功能服务的数据。将敏感数据按级别和类型归档之后要汇聚到服务器端分析，依据用户、设备、来源等规则，对不同类型等级的敏感数据设置有区别的加密存储方式、存储位置、添加特殊识别标识；这样做之后即使在发生数据非法泄露，也可以根据事先设定的标签排查泄露源头。随着实验室功能的增加，敏感数据复杂程度和处理难度的上升，存储需求和控制难度快速增长，在这个层面上仅仅依靠实验室的web服务器难以对大量数据执行全面、广泛的敏感筛选和存储管理。

3.2 实验室服务功能对敏感数据的开放需求与有效隔离

实验室的服务功能以各种关系数据获取为基础，大量敏感数据的高度开放和快速流动，使得敏感数据的监控难度不断增长，这些普通敏感数据高流动性也造成了用户信息很容易受到威胁。在保证敏感数据的开放性和实验室服务功能扩展的前提下，如何确保敏感数据的安全、精确、快捷，是实践运用中急需解决的关键问题。而敏感数据量指数级增长、数据安全管理协议的执行力度、web服务器管理员的技术水平、管理流程的科学性也影响着敏感数据的安全性。

实验室扩展服务功能涉及的数据信息来源广泛，课程信息和身份信息等敏感数据经常跨服务器和互联网之间进行数据提取和交换操作，数据的开放、流动和共享带来了新的防护风险，实验室web服务器为多个用户以虚拟租用资源的方式提供共享资源，而这些用户信息很可能会绑定到同一个物理资源，如果web服务器中的内存管理和虚拟化软件存在安全漏洞，网络安全或用户权限等管理策略并未及时更新，恶意用户可以通过病毒、远程控制等方式扫描漏洞，获取全部操作权限，篡改数据信息，达到窃取和侵犯敏感数据的非法目的。实验室在日常使用中，也有部分特定用户为了自己使用便利，在教师端或者服务器端绕过系统控制安装特定软件，共享给所有普通用户。类似情况下，后台web服务器管员难以将课程数据、服务运行关系数据、权限限制策略等敏感数据进行实时分级存储、网络隔离和访问控制。因此，在实验室功能服务系统架构层面，敏感数据防护设计必须符合使用逻辑，实现敏感数据有效隔离，避免依靠数据管理人员能力、经验来排查数据隐患。而敏感数据存储分布于不同位置的数据中心和信息节点上，以往基于物理机的数据防护手段完全失效。敏感数据的防护边界不断扩大，实验室不同服务功能数据信息分布到不同的存储服务器，这需要在更多的地方实施数据隔离，增加了敏感数据安防的复杂程度。

3.3 本地web服务器数据库与分布式云存储的安防隐患

实验室本地web服务器需要读取大量敏感数据以匹配服务功能，管理人员会对本地数据修改、增加临时授权人员，这些行为很容易造成敏感数据被越权访问、攻击和非法篡改；但却难以找到有效的安全监控日志追击破坏者踪迹。虽然可以采取周期备份和灾难恢复的方式挽救损失，但是长期备份不仅导致数据量庞大，增加本地web服务器的计算成本，也会影响实验室各项功能的正常运行。因此必须对本地web服务器采用自动化安防检测、保证病毒库实时更新、敏感度动态评级、数据无缝备份与恢复。

实验室开放环境扩展功能调用的是远程云计算产生的分布存储共享敏感数据，由于存在非法用户、恶意代码的攻击，有可能出现非法获得本地服务器超级管理员权限后直接接触到原始高级敏感数据，而对远程高级敏感数据的识别、评估和防护将会大幅增加云存储的复杂程度和运行负荷。这些风险和隐患对分布式云计算安全服务提出了更高的科学性要求和技术要求。

3.4 敏感数据的安防需求

实验室web服务器端敏感数据的防护需要从敏感数据调取、使用和使用后的处理三个阶段全方位开展。调取敏感数据依据来源、形式、重要等级进行分类，掌握各种静态敏感数据的状态信息，进行规范存储和管理，防止静态数据的完全开放调用。使用敏感数据过程中无论静态还是动态数据，必须做脱敏处理。数据脱敏是指对某些敏感信息通过脱敏规则进行数据的变形，实现敏感隐私数据的可靠保护。在涉及用户安全和服务质量保证的情况下，利用系统安全配置策略对敏感数据实施变形加工，消去敏感属性改造并提供测试使用，如身份信息、课程平台账号密码、校园卡号、门禁控制信息等都需要进行数据脱敏。避免非法扫描检索，防止恶意调用和数据外泄。但仅仅改变这些关键字段、标签等静态属性还无法实现监控敏感数据的动态流转、操作以及敏感文件的访问和控制，必须加入智能防护功能模块，对违规访问和调用进行判定，分析潜在泄露途径，实施封锁控制。整个实验室web服务器敏感数据安防需求逻辑结构如图1所示：

图1 敏感数据安防需求逻辑

4 敏感数据防护方案设计

4.1 防护方案结构

本研究在实验室实际运行需求和敏感数据分析与安全管理框架相结合的基础上提出了实验室web服务器端敏感数据防护方案。该方案在过往敏感数据保护以隔离、简单算法加密、身份验证和访问权限为主的防护模式基础上，经过对本地服务器数据和远程云计算数据的采集、依据敏感数据的关联分析和敏感内容识别，实施自然语言分析和系统防护策略自动判定，准确发现隐藏在大量分布数据中的敏感信息，实现敏感数据的精确发现、敏感度分级分类、有效隔离和保护。

非法用户通过漏洞扫描、数据关联，窃取敏感信息。该方案重点关注4个方面：第一，实时、准确地识别判定敏感数据；第二，敏感数据的防护不能以牺牲实验室服务功能和服务质量为代价；第三，必须保证敏感数据保护的有效隔离和高级敏感数据的无缝恢复；第四，对敏感数据防护系统运行的有效性精确展示。方案结构如图2所示。

本防护方案主要由数据收集、本地web服务器数据和远程数据存储、敏感数据分析、安防管理、系统决策和判定结果展示6大模块组成。数据收集模块主要负责采集实验室IT服务系统构建、服务器参数配置、用户浏览记录、恶意攻击日志、运行监控数据以及与教学和考试相关的数据；数据存储模块负责对汇聚的数据进行分类存储和安防管理，根据数据调用频率、关键字段和价值属性，对数据进行敏感度初步分级归档，安全的敏感数据经过高速传输堆栈经分布至远程服务器缓存，把高级敏感数据存储到远程云服务器中，把低敏感度数据存储至本地web服务器数据库中；数据分析模块完成敏感度类型和级别精准划分，并对敏感数据做关联性分析、攻击日志敏感分析、恶意脚本分析、存储系统可靠性分析、威胁程度分析、防护系统运行可靠性分析等等；安防管理模块负责安防日志的审核、敏感数据存储系统的稳定性保障、敏感数据灾难恢复的备份管理、数据敏感度实时监控、用户个人信息的加密处理；系统决策模块负责敏感数据安防管理策略的制定，为敏感数据的持续监控、安防预警、系统优化、远程数据安全提供技术依据；判定结果展示模块是整个防护管理方案与系统管理员的数据接口，可以把web服务器受到的非法攻击、预测威胁、防护效果等以量化数据的形式表述，增强了敏感数据管理的可读性。

图2 敏感数据防护方案结构

4.2 防护系统部署

实验室web服务器敏感数据防护部署方案如图3所示，其中，敏感数据核心管理服务器是整个敏感数据防护系统的关键服务器，负责下发敏感数据脱敏规则、保护策略，采集系统防护工作日志，生成实验室web服务器全局环境的敏感数据安全事件图形和报表。敏感数据识别归档服务器，扫描本地服务器数据和云数据完成敏感数据的识别并分类分级归档。脱敏服务器负责执行安全策略，对敏感数据实施脱敏运算。通过网络调用复制核心数据到泄露监控设备进行恶意脚本扫描、流量监测，防止核心脱敏数据从互联网接口泄露。在本地web服务器，教师主机和云共享资源平台上安装敏感数据防护代理软件，负责采集和识别敏感数据，并将结果上传至敏感数据发现服务器。

图3 敏感数据防护系统部署方案

5 结束语

本研究分析了开放环境下高校实验室web服务器和远程云计算数据库敏感数据防护问题的新特性，充分结合实验室业务职能、用户需求，在前人研究的基础上归纳了适合高校实验室的敏感数据防护需求逻辑关系，重点加强对敏感数据的识别、分级分类、防御规则构建、敏感数据分布存储和安全管理效果评估等几个关键环节的掌控，并设计了实验室web服务器敏感数据防护方案。在实践运行过程中还应不断提升敏感数据洞察力、敏感度划分的科学性、访问控制的自动化和脱敏算法的改进。实现对敏感数据服务器存储的实时监控、访问者的身份识别与权限分配、本地服务器数据库的漏洞修复、敏感数据的有效隔离，阻止非法访问和恶意窃取敏感数据。

在当前实验室服务功能的扩展和用户新的需求不断出现的情况下，敏感数据的开放性、高流动性、结构复杂程度、关联性都会继续增加，后续还要加深提升实验室本地web服务器敏感数据的安全性，如保护能力的研究。高校实验室不仅为用户增加应用功能，也要将最前沿的数据防护技术运用到敏感数据保护中去，不断提升数据防护工作的自动化、智能化和流程化水平，这样才能为实验室服务模式的持续变革和升级做好支撑，为广大师生提供智慧化服务。