1 项目背景
1.1 医疗信息化发展迅速
随着信息技术的快速发展,国内越来越多的医院正加速实施基于信息化平台、HIS系统的整体建设,以提高医院的服务水平与核心竞争力。医疗信息化即医疗服务的数字化、网络化、信息化,是指通过计算机科学和现代网络通信技术及数据库技术,为各医院之间以及医院所属各部门之间提供病人信息和管理信息的收集、存储、处理、提取和数据交换,并满足所有授权用户的功能需求。
由于信息化不仅提升了医生的工作效率,使医生有更多的时间为患者服务,更提高了患者满意度和信任度,无形之中树立起了医院的科技形象。因此,医疗业务应用与基础网络平台的逐步融合正成为国内医院,尤其是大中型医院信息化发展的新方向。
近年来,我国出台了多项政策推动医疗卫生相关事业发展,包括《2006-2020年国家信息化发展战略》、《基于健康档案的区域卫生信息平台建设指南(试行)》、《卫生部关于规范城乡居民健康档案管理的指导意见》、《电子病历基本架构与数据标准(试行)》、《卫生综合管理信息平台建设指南(试行)》、《“十二五”卫生信息化建设工程规划》、《卫生信息化建设指导意见与初步发展规划(2011-2015)》等。尤其是在卫生部“十二五”规划中明确“3521工程”以来,我国医疗卫生行业信息化发展水平突飞猛进,加大了在基础网络建设、健康档案、电子病历、新农合、综合管理等方面信息化水平建设。
2016年6月底,国务院办公厅印发《关于促进和规范健康医疗大数据应用发展的指导意见》,正式将健康医疗大数据应用发展纳入国家大数据战略布局,部署通过“互联网+健康医疗”探索服务新模式、培育发展新业态,努力建设人民满意的医疗卫生事业,为打造健康中国提供有力支撑。该意见的发布,将极大地促进医疗信息化的发展,推动健康医疗大数据资源共享开放,在帮助医疗行业实现互联网+的同时,还将加速医疗大数据的应用。
1.2 医疗信息安全形势严峻
近年来,随着信息技术的发展和国家、医院对信息化建设的持续投入,我国医疗信息化的发展日新月异,各种信息系统不断上线,包括医院信息管理系统(HIS)、临床信息系统(CIS)、医学影像存储与管理系统(PACS)、检验信息管理系统(LIS)、电子病历系统(EMRS)等。这些信息系统的建设给医院管理和患者服务带来了极大的便利,大大提高了医疗服务质量和医院的管理水平。
但随之而来的是,医疗业务管理业务对信息系统的依赖性也越来越高,信息系统的任何短暂停顿都可能会导致业务运行的中断。与此同时,信息系统运行的环境却越来越恶劣,开放式的使用环境各类计算机病毒各类恶意非恶意的破坏都在威胁着信息系统的安全。信息安全事件时有发生,设备故障、系统缺陷、病毒破坏、黑客攻击、人为错误或意外灾害等原因导致速度下降甚至系统崩溃,严重影响医院医疗活动的正常开展。因此,加强医院信息系统的信息安全建设就具有十分重要的意义。现有的信息系统纵横交错,构成了庞大的计算机网络系统。一个大型医院少则数百台、多则上千台计算机同时联网,运行着各个业务平台和信息系统。医疗信息系统的安全性直接关系到医院医疗工作的正常运行,一旦网络瘫痪或数据丢失,将会给医院和病人带来巨大的灾难和难以弥补的损失。
医院信息系统包含各类功能模块和众多业务应用,而支撑应用业务系统的硬件设备数量也越来越多,所受到的信息安全威胁复杂多变,主要来自外部和内部两个方面:
1)外部信息安全威胁:除水灾、火灾、地震、雷击、电源供应不稳定、温度湿度不合适、消防设施不到位、静电防护不合格等常见灾害之外,医疗信息系统常常还容易受到来自网络的攻击威胁。医院是一个开放环境,人员来去自由、身份复杂,同时医疗信息系统的网络是一个开放式的网络,恶意攻击人员容易通过漏洞或找到网络入口连接到医院网络,进而发动病毒攻击、窃取数据、篡改信息、毁坏系统等攻击。
2)内部信息安全威胁:内部威胁包括人为威胁和设备威胁。人为因素对网络系统安全的影响是多方面的,通常表现为非授权访问数据与程序、各用户职责不清、不充分的应用培训、不规范地使用计算机终端、用户密码过于简单和角色与权限分配不当等问题;设备故障则包括服务器故障、网络交换机故障、存储设备故障等。这些威胁极容易造成医院医疗信息系统处理速度缓慢甚至中断,轻则造成个人隐私或财务数据泄漏,重则导致系统崩溃,甚至造成医疗事故。
因此,针对面临的各种安全威胁进行有效防护、提高医疗信息系统的安全防护能力和安全运行能力,是医疗信息系统长期稳定的关键。医疗信息系统的安全保障方案一般从人员、技术和管理等各个方面着手,在物理、网络、主机、应用和数据备份等各个层面部署安全措施,通过人员和有效的管理来构建全方位的、立体的安全防护系统,以确保医疗信息系统持久、稳定、高效、安全地运行。
1.3 医疗数据信息急需保护
事实上,医疗信息系统是一个高风险、高科技、高实时性的系统,除了传统的网络安全风险之外,医疗数据的安全防护和病患隐私信息保护尤其面临极大的风险。
通过医疗信息系统,医疗行业每天都产生大量数据,这些数据一方面是对医疗过程的客观记录,另一方面可以通过数据挖掘而辅助临床决策、指导临床。随着卫生信息化的不断推进,区域平台建设的不断完善,医疗数据已经进入名副其实的大数据时代。健康大数据是随着近几年数字浪潮和信息现代化而出现的新名词,是指海量的健康数据集合,是具有更强的决策力、洞察发现力和流程优化能力的海量、高增长率和多样化的信息资产。健康大数据的意义在于对这些健康数据进行专业化处理和再利用,其整合再利用对于身体状况监测,疾病预防和健康趋势分析都具有积极的意义。但是,随着医疗数据采集、加工和应用,数据泄露时有发生,进而带来患者隐私的泄露。如何加强医疗大数据背景下医疗数据的安全防护和病患隐私信息的保护,成为亟待解决的问题。
由于医疗信息的特殊性,恶意攻击人员对于医患隐私信息的兴趣也显得更加突出。近年来,卫生行业的用户隐私泄漏事件常有发生。据权威安全机构称,在数据泄露事件中,有接近一半的的事件发生在医疗、保健产业。而医疗行业的医疗记录很容易被攻击的一个重要原因是其流动性比较大,数据分类好,黑客可以轻而易举的找到利益相关的数据。包括姓名、家庭住址、邮箱地 址、生日,甚至还包括保单号码、检验结果、诊断结果等。
以美国为例,2015年3月,美国第二大医疗保险服务商Anthem公司信息系统被黑客攻破,近8000万员工和客户资料被盗。该公司发布声明称:黑客获得了公司员工和客户的个人资料,当中包括姓名、生日、医保ID号、社会保险号、住宅地址、电子邮箱、雇佣情况,以及收入数据。2015年5月,美国加利福尼亚的UCLA医院发现其系统遭受黑客入侵,导致450万份医疗记录存在泄露风险,泄漏数据中包括大量医疗记录,其中甚至包括病人姓名、地址、生日、社保卡号、医保号码、药物清单和体检结果等内容。而通过与FBI合作展开调查,系统可能在2014年9月就遭受到入侵。而美国健康保险公司“PremeraBlueCross”的信息系统遭到网络攻击,则造成了1100万客户信息泄露。根据美国卫生部民权办公室的数据,单单在2015年第一季度全美就报告发生了87起数据泄露事件,受影响医疗机构达500多家,共计9230万个人信息泄露,同比上升了3709%。
而在国内,医疗机构近两年发生的数据泄密事件也比比皆是,很多漏洞集中在一些省市的疾控中心和卫生系统,导致数千万用户的医疗数据面临泄露的风险。这些数据包括用户的家庭住址、患病情况以及社保卡等敏感信息,不仅侵害到了用户隐私,甚至可能被黑客当做网络犯罪的工具,导致患者遭受严重的经济损失。试想一下:一个不知自己医保ID号被盗的受害者突发疾病,需要紧急切除胆囊,而病人病历上写的却是胆囊已于去年切除掉了。那么问题来了,是医生误诊还是有其他的情况呢?医生会出于安全考虑重新检查,这样就会延误手术时间,对病人生命带来一定的危害。当然,情况还可能会更糟糕——如果攻击者把病人病历上的血型和过敏药物也涂改掉的话,就会造成更为严重的后果,甚至危及生命。
2 项目必要性
2.1 数据安全和隐私保护
医疗大数据的建立的确给居民健康和医疗研究带来了极大的便利,但是,同时必须考虑由此带来的一系列隐私保护问题。大数据环境下隐私泄露的危险,不仅仅限于泄露本身,还在于在此数据的基础上对于下一步行为的预测与判断。例如成功入侵意味着犯罪分子可以利用这些数据破坏受害者医疗记录。
对于信息系统来讲,尽管在使用传统的信息安全防护手段,包括部署病毒查杀、防火墙、入侵检查以及身份鉴别、访问控制、安全管理平台等安全设备后,能对该信息系统的安全性起到积极的保护作用。但是,数据安全和隐私保护作为安全防护的最后一道关口,仍然需要高度重视。而由于医疗信息系统及医疗信息的特殊性,对于医疗数据安全和用户隐私保护更需要进行严格的保护。而在实际应用中,处于宣传的需求、出于统计分析的需求、出于综合关联分析的需求,可能允许多个信息系统能访问用户隐私数据,也可能存在多个渠道能够导出用户隐私数据,甚至应用系统“被迫必须”向测试系统提供一定的医疗信息和用户隐私信息,只是为了测试新开发的应用系统是否能够正常工作。而这些“需求”和“应用”则可能带来极大的隐私泄漏风险。
著名安全机构Trustwave发布了一份2015年医疗行业的安全报告,通过对398名专业的医疗专业人员(包括CIO、CISO、IT主管和普通的医护人员)的调查,发现有91%的调查对象认为针对医疗行业的网络攻击活动越来越多,然而用在保护病人敏感信息方面的预算却还不到10%。
根据美国独立研究机构波莱蒙研究所(Ponemon Institute)一份有关数据风险的最新研究报告,医疗保健信息泄露的补救成本最高,而且这一情况逐年加剧。在《2015年数据泄露成本研究》报告中,波莱蒙研究所研究人员下结论说,全世界范围内医疗保健信息泄露的平均成本是每条记录363美元,而在美国这一数字为398美元。波莱蒙研究所开展的该最新研究由IBM公司资助,共涵盖11个国家的350家公司,涉及到16个行业。该研究在2014年从美国、英国、德国、澳大利亚、法国、巴西、日本、意 大利、印度、阿联酋和沙特收集到的数据基础上进行的。
2.2 数据脱敏保护隐私安全
为了解决医疗行业数据和隐私信息被盗,传统上技术人员会使用数据分割和加密存储两种方法。其中,数据分割是指对将完整的用户数据分割成几段后分别存储,并注意控制医疗机构和管理人员查看数据内容的权限;加密存储是指采用密码技术将要存储的数据加密后再存储到介质上,一般的加密技术包括软件层加密和硬件层加密。
而这两种数据安全的保护方法都存在一定的局限性,不足以应对医疗信息系统复杂使用场景下的用户隐私保护。
比如,随着医疗信息化的快速发展,医疗信息系统中积累了大量包括用户个人信息和病患隐私等敏感信息的数据。这些数据不仅仅存在于医疗信息系统,而且在当前大数据应用的很多工作场景中都会得到使用,包括业务分析、数据挖据、开发测试、审计监管,在这些场景中使用的大部分都是真实数据。如果这些数据产生外泄,其影响不仅会给医院和患者带来巨大的经济损失,而且会给医院的声誉及社会效应带来负面影响,降低客户对医院的信任度,容易引发医院的声誉风险,动摇医院的生存之本。
再有,而随着互联网+的兴起,医疗信息系统的建设和改造趋于频繁,特别是在数据分析和数据挖掘方面。对于大部分医院来说,由于自身技术水平短板,信息系统开发主要依赖外包实现,往往将系统外包给第三方开发服务商,这将导致有些真实生产数据就可能应用到业务分析、开发测试和外包业务等场景,使敏感信息面临泄漏风险。
根据有关调研机构最新公布的数据状况调查报告显示,许多组织和机构使用实际数据进行测试和开发,超过69%的被调查者使用实际数据进行应用测试,62% 的被调查者使用实际数据进行软件开发,而45%的被调查者没有对开发和测试中使用的真实数据予以保护。在外包开发或测试的项目中,有51%与第三方共享真实数据,35%出于安全顾虑不进行外包。而且,大多数时候,这些公司实际没有办法知道外包的测试环境中使用的实际数据是否已遭到破坏。进而,75%的被调查者甚至不相信或不确定其机构能够检测到开发或测试中真实数据的被盗或意外丢失,经历过违规的被调查者中有54%表示违规导致了运营中断。这些数据表明在敏感数据的使用过程中,大部分单位都没有进行数据脱敏而直接使用真实数据,这将打来着严重的风险。
数据脱敏(Data Masking),又称数据漂白、数据去隐私化或数据变形,指对某些敏感信息通过脱敏规则进行数据的变形,实现敏感隐私数据的可靠保护。这样,就可以在开发、测试和其它非生产环境以及外包环境中安全地使用脱敏后的真实数据集。
很多单位和组织已经意识到了数据脱敏的重要性。著名咨询公司Gartner在《2014数据脱敏技术魔力象限》报告中就指出:“有越来越多的企业在通过战略方法进行数据脱敏。目前,全新的数据脱敏应用案例也在快速的涌现出来。这些新的应用案例包括:适用于大型数据平台的DDM(动态数据脱敏技术)和SDM(静态数据脱敏技术),以及在云访问安全代理中用来解决云平台内数据安全问题的数据脱敏技术应用。”
2.3 数据脱敏技术优势
数据脱敏是为了确保在非生产环境下使用生产数据更加安全,但是其又与纯粹的数据加密不同,数据加密可能是将数据库中有意义的字符通过加密后转变成了无意义字符,而脱敏是将数据通过一定的算法变成另一种样式,而这种样式是可读的,并且与原数据保持了同样的格式,能保存在原来的数据库表中。例如:对于某个时间串“19850110”,通过数据加密会得到“f%(KJt#v!=pEi%
”,而通过数据脱敏,则可能会得到“19920703
”。
数据加密的优点是使用了加密算法,安全性似乎更高,但是其缺点是数据明显变化,不能满足原来的数据格式要求(如不再是数字、不再是正确的信用卡号);而且,数据加密得到的密文其长度一般会比原文增加,从而密文数据无法保存到原来数据库中。
相反地,数据脱敏则具有良好地优势。其脱敏变换后的结果是一个“看起来很真实的数据”,不仅仅数据长度、格式保持不变,而且还能满足原来的数据格式要求,比如身份证号仍然变换成身份证号、信用卡号仍然变换成信用卡号。这些优点是的数据脱密结果可以被已有的业务分析、数据挖据、开发测试等系统使用。下图展示了一个数据脱敏的例子。
图 1 数据脱敏样例
数据脱敏方式主要有三种:手工脱敏、手工造数据脱敏、专业脱敏工具。
1)手工脱敏方式
技术人员编写各应用系统的shell变形处理脚本,通过执行shell脚本来达到数据脱敏的目的,此方式存在的问题有:
a)需要手工编写脚本,对技术人员掌握系统的能力要求比较高,且编写和测试工作量相当大;
b)屏蔽规则不统一,对于相同的敏感信息,由于编写人的变形规则不一致,导致变形后结果不一致;
c)主外键关联不一致,在涉及主外键的脱敏时,经常由于考虑不周,造成主外键脱敏以后,无法进行关联。
2)造数据脱敏方式
造数据的脱敏方式,是人工写造数程序,程序随机生成业务数据后,插入到相关的业务数据库中。造数据的脱敏方式存在以下问题:
a)随机生成的数据已脱离相关业务逻辑。业务之间的依赖关系统无法保证;
b)每次脱敏前均要编写、修改相关程序,工作量大,脱敏进度、质量无法保证。
3)专业脱敏平台
通过数据脱敏平台,实现数据的抽取、脱敏、装载的自动运行,减少不必要的人机交互过程,实现整个流程的批量化、自动化、智能化处理。专业脱敏平台的优势包括:
a)保障数据脱敏效率和质量,确保脱敏过的数据完整性和一致性;
b)脱敏流程可记录、可保存、可重用;
c)脱敏流程、敏感信息灵活配置;
d)提供流程审计功能;
3 方案目标
本方案定位于生产环境数据安全导出,通过建立专业数据脱敏平台,对医疗信息系统生产系统数据要导出到测试系统的数据进行识别,自动发现找到敏感信息,实现目标数据库直接脱敏和数据文件采集脱敏,达到高质量脱敏数据交付目标,并通过任务监控管理,保证数据脱敏变换过程的自动化和高效执行,以保护隐私数据。
同时,本方案以“统一控制数据出口”为原则,以“规范数据使用管理”为思路,从数据使用方面进行安全管控,在隐私数据安全脱敏的同时,致力于保障脱敏后数据业务连贯性,为各系统间业务测试提供完整、一致的数据信息服务。即脱敏目标为:不仅保证经过脱敏后的数据不能联系到客户、不能定位出客户的身份,同时脱敏后的数据还能保留原表逻辑结构,能支持相关业务系统进行数据分析和挖掘使用。
4 系统解决方案
4.1 设计原则
l 可靠性原则
系统应防止数据丢失或出错,提供对数据丢失和出错实现恢复和容错的机制和数据丢失出错的解决方案。根据系统的重要程度,制定可靠性级别,避免单点故障,保证系统的正常使用。
l 安全性原则
数据脱敏系统中保证数据安全,具有用户认证、授权和访问控制功能,能对系统数据、操作等方面的安全提供保障。按照业务系统要求来搭建数据脱敏平台。
l 适应性原则
支持多种数据源,支持多种数据库平台,支持多种软硬件平台。
l 可扩展性原则
采用通用软件开发平台开发,具备良好的可移植性。采用标准开放接口,支持与其它系统的数据交换和共享。
l 实用性原则
数据脱敏平台能结合业务系统的实际情况,优化技术路线,提供高质量、高速度的脱敏能力。
l 易操作原则
系统操作简单、便捷,因此,系统将力求直观、方便、可操作,便于用户使用和管理,以发挥系统的最大实际效益。
4.2 逻辑架构
数聚世界数据脱敏平台是一个集隐私数据自动发现、数据提取、数据脱敏、测试数据管理、数据装载等功能于一体的软件平台。该平台包含多种脱敏算法,实现对源数据库和源文件安全脱敏功能,达到高质量脱敏数据交付目标。其逻辑架构如下图所示。
图 2 数聚世界数据脱敏平台逻辑架构
4.3 总体架构
数聚世界数据脱敏平台和企业内部管理流程结合,充分体现重要数据“使用申请、脱敏交付、用后销毁”等安全业务流程,并提供高性能的数据脱敏能力,其可以在管理员的简单操作下,管理从业务生产系统源数据库到测试数库的脱敏过程,将重要、敏感的生产数据抽取、脱敏并生成测试数据。本方案的总体架构如下图所示:
图 3 数聚世界数据脱敏平台总体架构
本脱敏平台支持业务系统的测试数据管理以及脱敏,将生产数据抽取、脱敏并生成测试数据,供目标应用使用。本方案支持通过数据库接口、文件接口以及定制接口对数据源和目标数据读取和保存。
1)生产数据
生成数据包括业务系统的数据库及数据文件,在进入脱敏平台之前,可以通过单独的抽取数据组件从生产数据中抽取需要脱敏的数据,并形成抽取库。
2)脱敏平台
用于测试数据的管理以及脱敏的流程控制等。通过配置管理、脱敏变换、脱敏引擎和任务监管等功能模块,实现对抽取数据的脱敏处理,并将脱敏后数据保存到目标数据库或数据文件。
3)目标数据
目标数据包含了通过生产数据以及数据脱敏系统脱敏后生成的所有测试数据,包括数据库、文件等格式,用于提供给数据分析、挖掘利用及测试开发项目组使用。
4.4 系统功能
4.4.1 基本功能要求
1)支持Oracle、SQL server、GBase、Mysql、MongoDB等多种数据库,支持TXT、CSV、DOC、DOCX等格式文档,支持源数据库和目标数据库异构;
2)自动发现和批评。自动对数据源进行扫描,支持自动发现敏感数据,支持自动匹配最佳变则;
3)权限控制功能。对脱敏系统本身进行配置、管理、审计权限分离;
4)日志和报表功能。有相应的日志、审计、报表功能。日志要求记录已脱敏的数据库、表的数量;成功和异常脱敏的数据条目数;记录未成功脱敏的条目信息;报表能将日志记录信息按照图、表等形式展现;
5)任务管理功能。支持多任务管理,允许同时运行多个脱敏任务。
4.4.2 脱敏规则要求
1)需要具备屏蔽、变形、替换、随机等算法。例如:将地址信息变换为随机地址、将信用卡号变换为符合规则的行用卡号、将出生日期变换为恰当的出生日期、将手机号码部分隐藏,用*号代替、将车牌号替换为随机数字和字母等;
2)具备根据不同的字段组合和算法定义成一套脱敏策略,支持多套策略的制定,根据不同的应用场景和数据库,选择使用已定义策略进行相应数据的脱敏。例如支持对保留身份证号中的年代信息、对其他信息进行变换,以便于按照年代对数据进行统计;
3)每一种隐私信息至少有10种以上变换规则,允许管理员指定,支持可逆和不可逆变换规则。
4.4.3 脱敏场景支持
1)支持脱敏后生成csv、dmp、TXT等文件;
2)支持源数据库直接到目标数据库的脱敏;
3)支持在数据从生产库迁移到测试库的过程中脱敏;
5)支持保留数据关联。不破坏原始数据的逻辑关系,特别是在大数据量的情况下,脱敏后的数据关联规律要保留,便于数据挖局分析使用;
6)支持对数据库索引的脱敏,且保留索引关系;
7)支持保留数据唯一性。原来相同的字段值脱敏后也相同,原不同的字段值脱敏后也不同。例如客户的身份证号码仍保持唯一性。
4.4.4 审计管理要求
1)内置常用的审计报告,包括用户信息、脱敏配置信息、任务信息等;
2)支持自定制的查询、审计报告,可以对所有用户、所有操作、所有任务、所有状态进行定制,例如某个业务系统的所有脱敏任务状态审计等;
3)管理员可依据审计人员属性针对不同审计人员分配不同类别的审计报表;
4)所有审计报表均可导出并下载成csv、xls等格式文件,并提供打印支持。
4.4.5 权限管理要求
1)具备完善、统一的权限管理体系,可以针对不同用户设置不同角色,不同角色设置不同权限,不同业务对象授权给不同用户等全方位的权限保护措施,实现数据行级的权限控制;
2)支持增加操作员,支持为操作员分配和赋予相应的角色权限;
2)支持“三员安全管理”,默认包括“系统管理员”、“安全管理员”以及“安全审计员”3种用户角色,分别负责系统运维管理、用户权限管理以及系统审计等职责。三个角色分工不同,相互监督,确保系统安全运行。
4.5 平台组成
数聚世界数据脱敏平台主要由系统管理、数据接口、脱敏变换、脱敏引擎、任务管理和日志审计等模块组成。如下图所示。
图 4 数聚世界数据脱敏平台组成结构
本脱敏平台具备完善、标准的脱敏流程配置管理功能,通过图形化、界面化的操作,可以同时满足针对多个业务系统、多个用户、多种方式实现脱敏流程的配置管理,该模块主要通过数据源配置、数据目标配置、脱敏表管理、脱敏文件管理、数据导出导入接口等功能模块实现。
脱敏变换、脱敏引擎为本脱敏平台的核心技术。数据脱敏平台应具备完善、统一的脱敏引擎管理体系。本脱敏引擎可以针对不同业务系统、不同表、不同脱敏规则、不同规则来源实现脱敏规则的分类、分级的管理,同时内置屏蔽算法管理、算法添加管理、算法参数控制管理等。采用的数据脱敏规则包括随机化、模糊化、置空、重复值屏蔽、随机替换、数字变换、查表替换等规则。
本脱敏平台具备完善的脱敏任务监控、警报通知以及日志记录功能,主要通过状态监控、调试配置、子任务状态、日志文件来实现。系统具有清晰简洁的监控手段,可以监控到脱敏进程的执行情况,并有明确的成功与失败标志,确保运维人员能够清晰判断执行结果。系统能记录当日的数据选取范围及笔数,数据脱敏的笔数,处理的起止时间点等相关处理信息,提供其他系统的查询接口或查询办法。每个环节应有详细的运行日志并可实时查看,重要执行环节应提供通知通告功能。
4.6 技术架构
数聚世界数据脱敏平台遵循JavaEE技术规范,采用组件化、动态化的软件技术,利用一致的可共享的数据模型,致力于提高系统的灵活性、可扩展性、安全性以及并发处理能力。数据脱敏系统按照多层架构体系,将界面控制、业务逻辑和数据映射分离,实现系统内部的松耦合,能够灵活、快速地响应业务变化对系统的需求。
图 5 数聚世界数据脱敏平台技术架构
从技术架构角度,该系统基于先进的五层架构设计。
最下层为数据组织层,包括数据库存储、数据文件以及数据适配等模块;
第二层为核心引擎层,包括数脱敏引擎和引擎装配模块;
第三层为业务逻辑层,实现系统的所有业务逻辑管理,实现系统管理、脱敏变换、任务管理和日志审计等功能;
第四层为逻辑界面层,包括动态界面生成、界面配置等;
第五层为物理界面层,包括IE展示、移动终端设备展示等。
5 系统部署
5.1 部署方式
数聚世界数据脱敏平台将源系统数据库中敏感信息数据进行抽取、脱敏、装载等一系列操作,实现目标(非生产)环境数据库智能搭建、敏感信息脱敏等功能,达到客户敏感数据屏蔽/脱敏需求。一般情况下,网络部署方式如下图所示。
图 6 数聚世界数据脱敏平台部署方式
界面采用B/S登录方式,在浏览器打开中平台地址https://IP:8904,出现系统的登录窗口,输入用户及其密码即可登录系统。
5.2 软硬件需求建议
|
序号 |
组件 |
描述 |
|
1 |
操作系统 |
建议:Linux 64位 |
|
2 |
数据库 |
建议:Oracle9i及以上 |
|
3 |
硬件服务器需求 |
建议:4CPU、64GB内存 |
|
4 |
有效空间 |
建议:2TB |
6 性能指标
数聚世界数据脱敏平台支持同时针对多个不同系统/数据库开展脱敏操作,平台具备多线程并发处理机制,对服务器等硬件系统资源使用充分高效。单机部署时,数据脱敏性能指标大于5000万条/小时,系统界面响应时间小于2秒。
