陶 刚

（云南中烟工业公司，云南 昆明 650051）

0 前言

随着信息化技术的飞速发展，云南中烟工业的信息化系统由各个业务部门根据其负责的业务提出建设需求，负责建设。这些业务系统建成后由业务部门推广、发展到云南中烟工业全体使用。随着时间的推移和业务的发展扩大、业务系统慢慢变多时就会发现，众多的业务系统间都是数据孤岛，每个系统都需要进行组织和用户管理。一旦发生人员异动（组织变更、借调、新员工入职、离职、返聘等），所有业务系统都需要全部更新一遍，这无疑增加管理工作和出错节点。更致命的是，现实业务中用户信息泄露屡见不鲜。

1 用户中心发展需求

早期用户的管理基于MFC/VB/DEPHI等桌面开发技术的应用，用户信息的使用仅在进入平台时使用账号密码进行登陆。但随着安全登陆、业务与业务、系统与系统之间交互需求的增长，个人信息的安全传递、集中安全管理变成了信息化建设中基础建设。

2 用户中心的设计

2.1 用户集中管理的设计

2.1.1 用户中心功能架构

针对业务系统分散管理用户信息的现状，需将用户账号及个人信息进行集中单独管理。与业务系统划定业务边界，对用户账号的生命周期进行管理。分别从用户信息的收集、安全存储、映射和消费进行管理。

图1 功能架构图

云南中烟工业用户中心可分为用户信息收集区、用户审核区、信息安全加密区、信息存储区、业务系统销消费核判断区和业务消费区六大部分。

用户信息收集区：以WEB应用、接口、EXCEL多种形式对用户信息收集。

用户审核区：管理员或业务处室根据业务需要进行用户入库的判断审核，并在使用和消费上给予用户对应的声明和通知。

信息安全加密区：对已审核的可入库的用户信息进行分析，对敏感信息进行脱敏处理、对账号安全、个人隐私信息利用国密算法进行加密处理。对整个用户信息进行拆分去核心化、在入库时进行匿名处理。

信息存储区：负责整个用户信息的存储。

业务系统消费审核判断区：在经过审批后建立业务系统的消费规则，分别从业务系统的用户信息初始化、增量控制、实时变更。

业务消费区：用户中心根据审批的规则在用户信息变更后实时向业务系统推送用户信息，或根据业务系统需求在消费规则内提供用户信息消费。

2.1.2 技术逻辑架构

云南中烟工业用户中心采用微服务架构进行开发和部署，利用前后端分离的程序结构进行开发。有利于为整个企业提供服务时更安全、稳定。

图2 架构图

网关服务负责负载均衡、服务熔断、灰度发布、向向代理、API认证及访问控制等任务。网关服务对外隔离非开放访问接口，同时对外提供给UI统一的服务接口。

以Consul实现服务注册发现服务实现微服务的注册、健康检查等功能。

利用Apollo实现配置中心，负责微服务体系中配置的信息，如数据库配置信息，日志级别，服务端口等的配置。

Rocket MQ作为消息队列，用于分发操作日志信息以及交易日志信息。

采用ELK实现日志监控分析功能，用于分析微服务调用中的性能，异常情况。

2.2 用户信息的安全保护

用户信息的安全分为用户信息安全传输和用户信息安全存储。在用户信息的使用过程中需对用户信息的消费方进行安全认证和管控，并对消费的方式、时效进行相关控制。使用加盐加密、匿名化等技术作为信息数据保障的基础安全保障。

2.2.1 数据加密和匿名化

用户信息的传输加密：一般信息系统会使用HTTPS等安全协议进行传输、使用SSL/TLS系列中的TLSv1.1和加入了现代加密算法的v1.2进行安全传输。

用户信息的安全加密存储：对用户信息中的个人信息隐私数据，采用以国密算法进行加密方式存储。如：使用国家密码局公布的SM4分组密码算法等等。

匿名化处理：用户信息收集后，将数据匿名化或去标识化。并将匿名信息与个人识别标识分开存储。进行用户信息消费时，优先使用已经匿名化的数据。

对于匿名化处理的方式：

a.使用泛化处理数据

使用泛化处理，实现 K 匿名效果。K 匿名是业界标准术语，这是一种技术，用于隐藏一群相似人员中各人的身份。

如果某数据集中的所有人都具有相同的敏感属性值，那么只要知道这些人属于相关数据集，就可能会知道这项敏感信息。为降低这种风险，我们可能会采用 L 多样性。L 多样性也是业界标准术语，用于表示敏感值中的多样性程度。

b.向数据中添加噪声

我们也可以使用向用户数据种添加噪声的技术完成差别隐私效果。通过差别隐私技术过滤后的数据，无法直接确认某个用户个人是否属于某个数据集。在使用者看来所有给定算法输出的结果看上去都基本相似，无论是否添加噪声结果都是如此。

2.2.2 用户信息的管理

完善的管理制度是隐私合规化的条件之一，用户信息的管理分为业务端和服务管理端。

在业务端需要在用户信息收集时对相关用途及使用范围进行声明，用户同意后才可收集。在用户账号的声明周期消亡时需停止并通知用户主体，并对其用户信息进行删除或匿名化归档。

在服务端对用户信息的展现、管理员的使用留痕。不仅对用户信息的消费上留痕，还需要对管理者对用户信息的维护留痕。对用户信息的导出需增加范围、审核、二次认证等多种安全保障手段。

3 用户信息的使用

3.1 消费规则的建立

针对企业用户信息数据的访问，需遵循最小权限原则，即最少的人访问最少的数据。

图3 流程图

业务部门在消费前，根据自己的业务情况向用户中心进行消费申请，用户中心对业务系统的消费申请进行审核并建立对应的消费规则。 最终将符合要求的消费规则作为用户中心的消费规则之一执行。

如：A业务系统进行消费时则遵从A业务部门申请的规则A消费。

图4 用户中心与业务系统图

3.2 安全消费

云南中烟工业用户中心提供多种方式供业务系统消费。包含但不限于：

a.用户中心实时推送同步消费

b.用户中心定时、定点推送同步消费

c.用户中心提供服务中心，业务系统自发请求消费

用户消费时，用户中心与业务系统进行服务端的互认后，用户中心分场景、按对应的预设申请规则给予业务系统不同的用户信息消费，实现对个人用户信息的按场景访问控制，按业务系统、按场景进行用户信息保护。

3.3 信息展示

业务系统在进行用户信息展示时，进行安全脱敏处理。用户的联系方式、通信地址、真实身份信息、涉及金融及资产的相关信息仅在注册时完全展现。

用户查看和修改个人信息时通过用户二次认证后进行全文展示。从而降低用户个人信息在展示环节的泄露风险。

例如： 姓名脱敏显示：**三、居民身份号码和社保卡号脱敏显示：***********6666、手机号码脱敏显示：138****8888、用户户籍地址脱敏显示：云南省五华区********。

4 结语

通过用户中心的建设对云南中烟工业用户信息进行规范化管理和安全存储，按需供销减少用户信息的泄露，从而实现用户信息的安全保护。 推动了企业信息化建设，在打破信息孤岛的同时提高用户信息的安全管理，为云南中烟工业信息化安全打下坚实基石。