當前,數據作為最重要、最有價值的生產要素之一,已經成為組織機構最核心的資產。為激活數據要素價值,數據分發共享、委托處理的場景和范圍日益增加,數據面臨的泄露、竊取等風險也日趨嚴峻。數據水印作為一種保障數據安全的重要技術手段,可以在數據遭到泄露、竊取后,通過提取水印信息,證明數據的所有權,并定位泄露源頭進而實現溯源追責。
水印技術分為明水印和暗水印。明水印是將水印信息(員工姓名、員工號、時間、公司名稱或logo等信息)覆蓋在保護目標之上,可被肉眼觀察到的水印,可應用于前端頁面敏感數據的展示、桌面水印和打印水印等方面,起到警示和震懾作用。暗水印是將水印信息(數據所有者版權信息、分發單位名稱、接收單位名稱、分發時間、數據用途、員工姓名、員工號等信息)隱藏在載體數據中,不易被肉眼觀察到的水印,可應用于結構化和非結構化數據的分發共享、票務防偽、隱蔽通信等場景,起到溯源追責、數據確權(版權保護)等作用。數據水印是一種暗水印。本文分析和探討了數據水印的嵌入和溯源過程、常見技術方法、場景應用等方面。
JR/T 0223—2021《金融數據安全 數據生命周期安全規范》中定義數據水印是指從原始環境向目標環境進行敏感數據交換時,通過一定的方法向數據中植入水印標記,從而使數據具有可識別分發者、分發對象、分發時間、分發目的等因素,同時保留目標環境業務所需的數據特性或內容的數據處理過程。
定義中所指的‘水印標記’即上文提到的水印信息。植入水印信息的數據不僅可識別分發者(可證明數據所有權)、分發對象(可追溯數據泄露責任方)、分發時間、分發目的等因素,還具有可證明真偽(如票務防偽)等能力。此外,添加水印信息的數據不影響目標環境業務使用。
1)魯棒性:含水印信息的數據遭到惡意攻擊后,數據所有方仍可以完整提取出水印信息;
2)完整性(高仿真、低污染、透明性):嵌入水印信息的過程中,無需修改源數據,保證源數據的完整性;
3)安全性:在未知水印溯源參數的情況下,攻擊者很難對嵌入的水印信息進行偽造和修改;
4)可檢測性:可通過水印溯源算法從嵌入水印信息的數據中提取水印;
5)可逆性:嵌入水印信息的數據可通過專業工具去除水印,且不會對源數據造成破壞。
數據水印實現形式一般有如下幾種:
1)數據庫水印,即原始數據庫與添加水印后的數據庫類型一致。數據水印系統支持的數據庫類型一般有Oracle、MySQL、SQLServer等關系型數據庫,hadoop、hive 等大數據和組件,達夢等國產數據庫;
2)非結構化數據水印或文件水印,即對文件、圖像、視頻等添加水印。數據水印系統支持的文件類型一般有txt、csv等;
3)異構水印,包含異庫水印(即原始數據庫與添加水印后的數據庫類型不一致,如Oracle到MySQL)、文件到數據庫水印、數據庫到文件水印。
數據水印作為一種保障數據安全的重要技術手段,在各行業得到了普遍重視和應用,當前已在電信、金融、政務等行業和地方標準中被廣泛提及。
1)《電信網和互聯網數據水印技術要求與測試方法》(報批稿)
該標準適用于電信網和互聯網數據的水印,給出了數據水印技術應用架構,總結了水印嵌入和水印溯源過程,并提出了數據水印的效果評估原則。
2)《JRT 0223-2021 金融數據安全 數據生命周期安全規范》
3)《DB11/T 2049-2022 政務大數據安全技術框架》(北京市地方標準)
1)普通空格(U+0020),最常用的空格,在英文輸入法(或中文輸入法半角狀態)下由鍵盤空格鍵直接輸出;
2)不間斷空格(U+00A0, ),html里比較常見的空格,當存在多個空格時,可以禁止瀏覽器合并空格;
3)零寬空格(U+200B),不占位,廣泛適用于富文本編輯器中,用于格式阻斷;
4)全寬空格(U+3000),與一個漢字同寬;
5)半寬空格(U+2002),常用于對齊的目的,如將三個漢字和四個漢字的兩邊對齊;
6)發寬空格(U+200A),像頭發一樣窄,常用于Mac電腦中。
借助以上空格,可以將二進制水印比特位1和0嵌入到文件數據中,如‘U+0020’代表1,‘U+200B’代表0,每隔一個字符或文字插入一個代表1或0的空格,完成水印的嵌入過程,如圖1所示。
圖1 空格水印算法數據水印嵌入示意圖
1)將原始載體圖像的像素值由十進制轉換成二進制;
2)用二進制水印比特位的1和0替換目標載體圖像的最低比特位;
3)將含有水印信息的二進制數據轉換為十進制像素值,從而得到含水印信息的圖像。
圖2 最低比特位水印算法數據水印嵌入示意圖
1)人為在數據庫表中添加若干行,每個字段按源數據形式填充內容;
2)選擇帶有數字的字段(如身份證號碼、電話號碼、金額等)嵌入水印信息。
圖3 偽行水印技術構造偽行示意圖
1)從屬性列資源庫中選擇與原有屬性列相關聯的屬性進行添加,如客戶消費記錄表包含‘賬單編號’、‘消費時間’、‘消費金額’三個屬性列,則選擇‘支付方式’比選擇‘工作單位’隱蔽性更好;
2)向構造的偽列中嵌入水印信息。
數據對外分發共享包括向合作方、外包方等第三方分發共享以及向行業主管部門進行數據共享等場景。向第三方共享數據場景下,可能存在數據接收方轉賣數據、開發利用數據進而獲取利益等行為,嚴重損害組織機構利益,此種情況下如何證明對數據的所有權?此外,同一份數據往往涉及多個數據接收方,如果其中一方由于安全失責導致了數據泄露,如何進行溯源追責?
為降低數據分發共享場景中的數據安全風險,可以在管理手段(合同協議、審批授權等)的基礎上,根據數據的安全級別采用數據水印、脫敏等技術手段,降低數據泄露風險,保障數據的機密性。當發生數據泄露時,可借助數據水印技術實現數據確權和溯源追責。
場景二:內部人員數據泄露場景中的溯源追責
2023年數據泄露調查報告顯示,人為因素是數據泄露的主要原因,且五分之一的數據泄露來自于內部員工。組織機構內部可能存在因員工的設備遭受木馬、病毒攻擊而導致數據無意泄露,或惡意員工將下載的數據文件上傳至互聯網、非法下載數據售賣給第三方等故意泄露行為。
為降低組織機構數據泄露風險,可以在管理手段(數據安全意識培訓、合同約束等)的基礎上,采用權限管理、訪問控制、下載文件時添加數據水印等技術手段,降低數據泄露風險,保障數據的機密性。當發生數據泄露時,可借助數據水印技術實現溯源追責。
場景三:電子商務中的票務防偽
隨著互聯網技術、現代交通的快速發展和智能手機的普及,電子商務已經觸及我們日常生活的方方面面,并伴隨著電子票據的大量流通和使用。非法牟利者可利用技術手段偽造電子票據,從而獲得可觀利益。
為降低電子票據被偽造風險,可以采用數據水印技術在電子票據中嵌入防偽信息,票據驗證方通過掃描電子票據是否含有防偽信息而證實其真偽。
場景四:利用公共網絡進行隱蔽通信
當前,人們交流的方式主要為網絡通信,如何利用公共網絡安全傳輸信息是關鍵。發送方利用加密算法傳遞信息時,由于加密后的數據混亂無序,極易引起網絡攻擊者的注意。攻擊者截獲加密的信息后,如破解成功并進行篡改后再發送至接收方,可損害信息的機密性和完整性,嚴重危害通信雙方的權益。利用數據水印的隱蔽性特點,發送方可將要傳遞的信息隱藏在音視頻等多媒體載體中,從而實現隱蔽通信。
利用數據水印技術的隱蔽性特點,發送方可將信息隱藏在音視頻等多媒體中,從而實現隱蔽通信。
場景五:網絡數據分級標識及管理
數據安全分類分級是開展數據差異化保護的基礎。當前,很多企業的數據安全分類分級成果停留在文檔清單的程度,很難結合數據的安全級別落地差異化的技術保護手段,數據在存儲、傳輸、使用等處理活動中,仍然存在敏感數據泄露等風險。
為落地不同安全級別數據的差異化技術保護手段,可將數據的安全級別(如電信行業劃分為一級、二級、三級、四級共4個安全級別)作為水印信息,嵌入到源數據中,以實現對數據進行安全級別標識。當含有水印信息的數據通過網關等安全產品時,水印信息被提取,從而獲得源數據的安全級別,進而根據安全級別觸發差異化的防護手段,如允許非敏感數據(如前文所述的一級和二級數據)外發,攔截敏感數據(如前文所述的三級和四級數據)外發等。
數據水印應用包含水印嵌入和水印溯源兩個過程。水印嵌入即利用水印添加算法將預處理(如加密、添加校驗位等)的水印信息嵌入到數據庫表數據、非結構化數據的過程。水印溯源即利用水印溯源算法從數據庫表數據、非結構化數據提取預處理的水印信息,進而逆處理(如解密、驗證校驗位等)得到原始水印信息的過程。
數據水印嵌入流程如圖5所示。
圖5 數據水印嵌入示意圖
1)數據分發單位將數據庫或非結構化數據接入數據水印系統,建議將敏感數據的下載過程也接入數據水印系統;
2)創建水印信息:如數據水印的目的是數據確權,水印信息為數據所有單位的版權信息;如數據水印的目的是溯源追責,水印信息可包含分發單位名稱、接收單位名稱、分發時間、數據用途等信息;或者組合以上信息,同時用于數據確權和溯源追責,解決場景一的安全風險;內部人員下載敏感數據時添加的水印信息是員工姓名、員工號、下載時間、單位名稱等信息,解決場景二的安全風險;票務防偽場景下添加的水印信息是防偽信息,解決場景三的安全風險;隱蔽通信場景下添加的水印信息是待傳遞的秘密信息,解決場景四的安全風險;網絡數據分級標識及管理場景中添加的水印信息是數據的安全級別,以落地場景五的網絡數據差異化技術保護。水印信息內容確定后,繼續選擇水印算法,文本水印一般基于不可見字符水印算法、空格水印算法,圖像水印一般基于最低比特位水印算法,數據庫水印一般采用偽行或偽列水印算法;
3)創建水印任務:根據數據接收方的需求選擇數據水印載體(如數據庫同庫水印、非結構化數據水印、異構水印等),并關聯水印信息;
4)運行水印任務:數據水印系統預處理水印信息,預處理源數據(如對數據庫表的元組或屬性列進行排序以防止排序攻擊,同時通過遺傳算法、螢火蟲算法等確定添加水印的最佳位置),并通過水印嵌入算法,向數據載體添加水印。
完成水印信息嵌入后,數據分發方將數據載體發送至數據接收方,此過程需同時采用身份鑒別、脫敏、傳輸加密、日志記錄等技術手段。
數據水印溯源流程如圖6至圖9所示。
1)數據所有單位或分發單位將疑似泄露數據接入數據水印系統。票務防偽場景下,電子票據的驗證方將電子票據接入數據水印系統;隱蔽通信場景下,數據接收方將水印數據接入數據水印系統;網絡數據分級標識及管理場景下,網關等安全產品調用或集成數據水印系統,以實現水印信息提取;
2)水印溯源:數據水印系統識別數據載體的水印位置并提取預處理的水印信息,進而逆處理提取出水印信息。
數據所有單位通過提取水印信息(數據所有單位版權信息)證明其對數據的所有權,數據分發單位通過提取水印信息(分發單位名稱、接收單位名稱、分發時間、數據用途等)定位數據泄露的責任主體,如圖6所示,以上兩方面可實現場景一下的數據確權和溯源追責。數據所有單位通過提取水印信息(員工姓名、員工號、下載時間、單位名稱等)定位數據泄露的內部員工,如圖6所示,從而實現場景二下的溯源追責。
圖6 對外分發共享和內部人員泄露場景下的數據水印溯源示意圖
電子票據的驗證方通過提取水印信息(防偽信息)驗證電子票據的真偽,如圖7所示,從而實現場景三下的票務防偽。
圖7 票務防偽場景下的數據水印溯源示意圖
數據接收方通過提取水印信息獲取秘密信息,如圖8所示,從而實現場景四下的隱蔽通信。
圖8 隱蔽通信場景下的數據水印溯源示意圖
數據通過網關等安全產品時,通過提取水印信息,獲得源數據的安全級別,進而根據安全級別觸發差異化的防護手段,如圖9所示,從而實現場景五下的網絡數據標識及管理。
圖9 網絡數據分級標識及管理場景下的數據水印溯源示意圖
當前,數據水印作為重要的數據安全技術手段和數據共享流通中的“追蹤器”,將助力企業實現數據確權和溯源追責。
但數據水印技術尚未成熟,仍存在諸多技術短板:面向多單位分發數據時便捷性差;水印算法抗攻擊能力低,常見的數據庫攻擊有子集添加攻擊、修改攻擊、刪除攻擊、排序攻擊、混合攻擊等;針對短小文本或數據庫表的元組數少的情況,如何在水印嵌入容量(增大嵌入容量可提高魯棒性)和隱蔽性之間尋找平衡;各安全廠商數據水印算法各異,僅依賴算法保密性來保障安全性等等。諸多的技術短板亟需業內人士予以關注和技術攻關。
轉載自:數據安全共同體計劃
浙公網安備 33010502006954號 
