《資訊保安技術 資料安全能力成熟度模型》（GB/T 37988-2019）簡稱DSMM正式成為國標對外發布，並已正式實施。美創科技將以DSMM資料安全治理思路為依託，針對各過程域，基於充分定義級視角（3級），提供資料安全建設實踐建議，形成系列文章。本文作為資料安全能力成熟度模型系列第十一篇文章，將介紹資料處理安全階段的資料分析安全過程域（PA11）。

 

01 定義

資料分析安全，DSMM官方描述定義為透過在資料分析過程採取適當的安全控制措施，防止資料探勘、分析過程中有價值資訊和個人隱私洩漏的安全風險。

DSMM標準在充分定義級對資料分析安全要求如下：

 

1 、組織建設

美創科技專家建議組織應設立負責資料分析安全的崗位和人員，負責整體的資料分析安全原則制定、提供相應技術支援。

2 、制度流程

①      應明確資料處理與分析過程的安全規範，覆蓋構建資料倉儲、建模、分析、挖掘、展現等方面的安全要求，明確個人資訊保護、資料獲取方式、訪問介面、授權機制、分析邏輯安全、分析結果安全等內容；

②      應明確資料分析安全稽核流程，對資料分析的資料來源、資料分析需求、分析邏輯進行稽核，以確保資料分析目的、分析操作等當面的正當性；

③      應採取必要的監控審計措施，確保實際進行的分析操作與分析結果使用與其宣告的一致，整體保證資料分析的預期不會超過相關分析團隊對資料的許可權範圍；

④      應明確資料分析結果輸出和使用的安全稽核、合規評估和授權流程,防止資料分析結果輸出造成安全風險；

3 、技術工具

①      在針對個人資訊的資料分析中，組織應採用多種技術手段以降低資料分析過程中的隱私洩漏風險，如差分隱私保護、K匿名；

②      應記錄並儲存資料處理與分析過程中對個人資訊、重要資料等敏感資料的操作行為；

③      應提供組織統一的資料處理與分析系統，並能夠呈現資料處理前後資料間的對映關係。

4 、人員能力

應能夠基於合規性要求、相關標準對資料安全分析中所可能引發的資料聚合的安全風險進行有效的評估，並能夠針對分析場景提出有效的解決方案。

02 實踐指南

1 、組織建設

美創科技專家建議組織機構在條件允許的情況下應該設立資料分析部門並招募相關的技術人員與管理人員，負責為公司提供必要的資料分析技術支援，負責為公司制定整體的資料分析安全方案和相關制度，並推動相關要求確實可靠的落地執行。除此之外，還需要為公司定義資料的獲取方式、授權機制、資料使用等內容，明確應該使用那些資料分析工具以及相應工具的規範使用方法，還應該建立針對資料分析結果的稽核機制，以及針對資料分析過程中的審計機制，確保資料分析的結果可用性和資料分析事件的可追溯性。

2 、 人員能力

針對資料分析部門的管理人員來說，必須具備良好的資料安全風險意識，熟悉國家網路安全法律法規以及組織機構所屬行業的政策和監管要求，在進行資料分析管理以及資料分析安全制度制定的時候，嚴格按照《網路安全法》、《資料安全法》等國家相關法律法規和行業規範執行，同時還需要相關的管理人員具備一定資料分析安全管理經驗，擁有良好的資料分析專業知識基礎，熟悉常見的資料分析流程、主流的資料分析工具，能夠結合業界標準、合規要求，對在大資料分析中可能引發的資料聚合的安全風險進行有效地評估和預防，並制定相應的資料分析安全解決方案。

 

針對資料分析部門的技術人員來說，必須具備良好的資料分析安全風險意識，熟悉相關的法律法規以及政策要求，熟悉主流廠商的典型資料分析案例，熟悉主流資料分析工具的使用方法，熟練掌握至少一門程式語言，擁有至少一年以上的資料分析實施經驗，熟悉公司內部應有場景，外部業務需求，能夠快速有效的執行由資料分析安全部門輸出的定製化資料分析方案，並保障資料質量。同時還應該具備一定的日誌分析能力，應急響應能力，當在資料分析過程中發生了什麼突發事件或意外情況，能夠及時根據日誌記錄對分析結果進行溯源，保障分析結果的完整性和可用性。

3 、落地執行性確認

針對資料分析崗位人員能力的實際落地執行性確認，可透過內部審計、外部審計等形式以調研訪談、問卷調查、流程觀察、檔案調閱、技術檢測等多種方式實現。

4 、制度流程

①       資料分析安全管理目的

在大資料環境下，企業對多來源多型別資料集進行關聯分析和深度挖掘，可以復原匿名化資料，進而能夠識別特定個人，獲取有價值的個人資訊或敏感資料。資料分析安全管理用於規範資料分析的行為，透過在資料分析過程採取適當的安全控制措施，防止資料探勘、分析過程中有價值資訊和個人隱私洩露的安全風險。

②     資料分析安全規範

資料分析在各行各業都有著廣泛的應用，一般情況下，美創科技專家建議資料分析可以分為以下步驟：

明確分析需求→收集資料→建立模型→評估模型→資料分析→評估分析結果

l   明確分析需求

明確資料分析的需求是確保資料分析過程有效性的首要條件，可以為收集資料、分析資料提供清晰的目標。資料分析安全管理部門應根據實際情況，充分理解業務規則以及使用者需求，提出對資訊的需求。

• 收集資料

收集資料的過程包括收集原始資料、清洗資料、構造資料、整合資料、格式化資料。

• 建立模型

根據分析需求和收集到的資料，提出一類或者幾類可能的模型，然後對選定模型的可靠程度和精確程度做出推斷。建立模型包括選擇合適的建模技術、引數調優、生成測試計劃、構建模型。

• 評估模型

模型的評估由資料分析安全管理部分負責，在模型評估過程中，需要考慮：

a.  資料分析管理部門需對模型進行較為全面的評價，並提交將模型提交至上級領導部門稽核，需上級領導部門稽核後方可使用該模型。

b.  對於分析演算法的變更要重新進行風險評估，以確保演算法的變更不會導致敏感資訊和個人隱私的洩露。

• 資料分析

資料分析是將收集的資料，按照模型，透過加工、整理和分析、時期轉化為資訊。

• 評估分析結果
  
  

5 、技術工具簡述

目前主流的有語法隱私保護技術、語義隱私保護技術。

①       語法隱私保護技術

語法隱私通常是在統計資料庫中進行操作，資料通常是以表格的形式釋出，表格中包含了不同的屬性，如以醫療資料的病人就診記錄為例，表格中的屬性主要可分為以下4種型別：

語法隱私保護技術

• 標識屬性：該屬效能夠準確的識別出某個人的真實身份，如表中的身份證。

• 半標識屬性：該屬效能夠與外部的資訊結合來追溯識別出資料集中（全部或者部分）資訊所指的個人，或者減少識別某些人真實身份確認的不確定性，如透過年齡、性別、職業。

• 敏感屬性：該屬性是個體表示敏感的，不想被他人所知道的資訊，如疾病。

• 非敏感屬性：這類屬性是個體認為不敏感的，且如果被他人知道並不會對個體造成傷害，如國籍。
  
  

語法隱私保護技術基於這樣一種事實；資料的釋出可能使得某些個體的隱私造成洩漏。保護這些個體隱私的第一個步驟實在釋出資料之前剔除或者使用隨機數字來代替表格中的標識屬性即脫敏。但這種簡單的去除標識的方法並不能為個體提供足夠的隱私保證，這是由於透過半標識屬性與公開發布的資訊的組合仍然能夠識別出個體的真實身份。因此為了保護隱私不被洩漏，語法保護技術通常是直接修改初始資料的半標識屬性的值來保護資料的隱私。

而隱私洩漏可以分為

• 身份洩漏，即個體的真實身份洩漏；

• 屬性洩漏，即個體的敏感資訊洩漏；

• 表格洩漏，即個體是否在資料集中的資訊被洩漏。

在資料釋出、處理、應用階段，資料收集者可以透過語法隱私保護技術來匿名資料，然後共享給第三方。語法隱私技術主要是透過K匿名技術。

②     語義隱私保護技術

語義隱私保護技術是為了保護不論個體是否在公開發布的資料集中的隱私。例如現在有一個資料集提供一項查詢功能，即可以查詢某個地區的某個行業的人員每年上交的平均稅費。假設個體的每年上繳稅費是敏感資訊，不能被他人知道，在這種情況下，某個攻擊者知道了小明所上繳稅費比在上海的公務員所上繳的平均稅費低800元，儘管攻擊者並不知道小明在稅費上面的任何資訊，透過該資料集提供的查詢功能，攻擊者可以推斷出小明每年所上繳的稅費，值得注意的是，小明的隱私資訊洩漏並部依賴於小明是否在所公開的資料集中。

語義隱私保護技術通常適用於以下兩種環境：

• 非互動環境：該環境指資料收集者和資料應用者之間沒有直接互動，資料收集者可以直接共享、釋出資料集，而資料收集者並沒有限定資料應用者的資料使用。

• 互動環境：該環境是指資料收集者提供基於資料的查詢服務，且不會將資料公開發布。這個保護技術通常是用來保證查詢結果不被攻擊者利用從而獲得需要保密的資訊

 

語法隱私保護技術通常是在釋出資料之前修改原始資料，而語義隱私保護技術通常是在真實發布的查詢結果之中加入噪音，語義隱私保護主要透過差分隱私技術進行解決。

③       技術工具工作流程和目標

資料分析安全涉及到的技術工具，需要實現以下幾個目標：

l  生成釋出資料庫：基於語法或語義隱私保護技術涉及到的技術手法，生成釋出資料庫。

l  生成日誌記錄：記錄資料分析者提交的查詢任務以及返回的結果，生成日誌儲存。

技術工具工作流程

  

美創科技對於資料處理階段的資料分析安全過程域的實踐指南就展開至此，《資料安全能力成熟度模型》實踐指南系列持續更新中，歡迎持續關注。