王哲 罗真 任吉媛 刘阜阳

摘要    近年来业内随着信息安全管控点正在经历从网络安全到内容安全的转变，如何防止内部敏感业务数据、隐私信息泄露成为安全防护的重点。本文以数据同步技术为基础，从数据同步管理、数据虚拟化管理、数据授权管理、数据脱敏管理、数据审计管理五个方面研究并实现测试环境数据安全管理技术，满足企业信息化发展中面临的合规及风控需求。

【关键词】虚拟化 数据安全

1 研究背景

关键数据是维系企业发展的重要动力。在IT技术高速发展的背景下，各行业各企业内部办公实现了高度信息化，提高了公司的管理能力、工作效率。网络技术的发展实现了信息的充分共享，公司在享受它带来便利的同时，随之也带来了信息管理问题。

业务系统的核心是数据，当业务系统在测试环境中试运行时，需要测试环境提供相应的数据基础设备，同时测试环境会有与生产环境进行数据共享使用的情况，也需要有相关高效安全的方式提供给测试环境。近年来业内随着信息安全管控点正在经历从网络安全到内容安全的转变，如何防止内部敏感业务数据、隐私信息泄露成为安全防护的重点。这就需要从数据内容本身出发，基于目标导向主动寻求一个整体的数据安全解决方案，来满足未来企业信息化发展中面临的合规及风控需求。

2 研究内容

2.1 在线数据隔离使用

由于在线业务数据的实时性与真实性，直接读取和修改在线业务数据是十分危险的行为，需要对测试人员和第三发业务提供在线业务数据的安全使用方式，既能够保证在线业务数据的正常使用与分享，同时也能防止在线业务数据发生数据泄露事件。支持对在线业务数据的隔离使用，保证在线业务数据的安全合规使用。

2.2 数据全生命周期安全管理

支持从业务数据源头进行监控，从业务数据被访问、查询、修改、拷贝导出等全生命周期进行安全管理，提供从身份认证、授权控制到操作审计等多层次安全防护措施，对业务数据中各个环节进行安全管控，防止数据泄露行为。

2.3 数据拷贝安全管理

针对确实需要对外分享使用数据拷贝的情况，需要改变用户原有直接复制数据库以及数据项内容等不安全行为，提供相应技术手段保证拷贝数据的安全分享。并能够根据法律法规对敏感数据进行发现，自动化联动相关管控手段提供敏感数据安全合规技术，保证拷贝数据合法合规地使用。

2.4 数据安全统一管理

根据企业真实测试数据安全需求，制定数据安全管理措施，并结合当前现有技术设计并建设安全产品功能，同时能够对多业务的敏感数据进行整体统一管理，减轻管理压力，提升管理效率。

3 设计与实现

3.1 方案概述

测试环境数据安全管理方案以数据同步技术为基础，自动对在线业务系统源数据进行周期同步，为第三方业务系统以及测试人員提供测试数据管理平台，隔离在线业务数据的直接使用，保证在线业务数据的完整性与安全性。同时结合授权管理、审计管理、脱敏控制等安全管理机制，对所有针对测试数据安全管理平台访问的测试人员提供统一数据安全管理及数据使用管理集中管理，杜绝原有的分散式获取在线业务数据的情况，从业务系统源数据创建之初就进行安全管控，针对测试人员以及第三方业务系统访问和使用核心业务数据全生命周期的各个环节提供流程化的安全管理措施，保证数据安全体系的闭环管理。

3.2 技术架构

测试环境数据安全管理平台共分为数据同步管理、数据虚拟化管理、数据授权管理、数据脱敏管理、数据审计管理等5大功能模块，以下将对主要功能模块进行介绍：

（1）数据同步管理：数据同步模块将源数据同步到敏感数据安全管理平台，为测试人员以及业务系统提供拷贝数据安全使用和共享，杜绝直接对业务数据进行使用。

（2）数据虚拟化管理：根据同步到敏捷数据安全管理平台的业务数据进行动态虚拟，保证可以同时为测试人员和业务系统提供隔离独立的虚拟数据库，方便测试人员查询和业务系统验证使用。

（3）数据授权管理、数据脱敏管理与数据审计管理。

3.3 部署架构

测试环境数据管理平台采用旁路接入方式，不改变原有网络及存储架构，不影响原网络与业务性能，减少风险。

通过使用基于数据库虚拟化技术的数据管理平台，用户无需在备机端创建一套与主机一模一样的业务系统，只需在容灾服务器安装一套数据库软件，可以把虚拟数据库快速挂载到备机端完成接管，接管后的虚拟数据库可读、可写，与业务数据库没有任何区别。

4 研究成效

4.1 安全与业务隔离管理

测试环境数据安全管理平台专注为公司业务系统提供安全的数据使用平台，采用数据同步技术对在线业务数据进行有效同步，杜绝测试人员以及业务系统对在线业务数据进行直接使用，避免了对在线业务数据使用压力，将安全使用与日常业务系统进行分离，既不干扰日常业务系统的使用，也不会对正常的数据使用需求进行禁止，在安全与需求之间进行了良好的平衡。与传统测试管理产品相比，聚焦在数据安全使用和分享环节。

4.2 测试与业务一体化安全共享

测试环境数据安全管理平台为测试人员与业务系统提供了安全、高效的数据共享与使用平台，该平台采用数据库虚拟化技术，对业务数据进行多重虚拟化，一套数据可以方便地同时为测试操作、统计分析、上线验证等多种应用场景提供数据安全分享。解决了原来测试和业务使用数据的安全隐患，并形成统一解决方案，节省建设成本，也降低了测试压力。

4.3 全面数据安全管控方案

测试环境数据安全管理平台以数据库虚拟化技术为基础，对数据从创建、使用、修改、分享、复制、删除等各个环节进行严格控制，提供灵活的授权管理机制，适应测试人员以及业务系统的多场景安全管理，为企业公司使用业务数据提供从身份认证、访问授权、审计管理、脱敏化分享等全面的业务数据安全管控方案。与传统单点安全控制方案相比，提供立体化多方面的安全防护，且各组件不具有单点管理孤岛和单点性能压力，更加易于管理。

参考文献

[1]Data masking. WIKIPEDIA. http：// en.wikipedia.org/wiki/Data_ masking.2015

[2]Stam.信息安全原理与实践[M].清华大学出版社，2013.

[3]曾庆凯.信息安全体系结构[M].电子工业出版社，2010.