福建移动经营分析系统信息安全管理技术研讨-谢志崇

建移劢经营分析系统信息安全管理 技术交流 2011年 8月 录 业界做法和我们的方案 经分安全面临的挑战 我们对安全的理解 应用案例分析 总结及后续计划 密 4 比以往更多的数据 信息来源： 2008 400 年快速增长 2003 2011 息风险、威胁持续增加 信息安全管理成为 罚款 1500万 ! 赔赏 5000万 ! 后台和内部人员非法操作 丌仅是中国移劢的问题，其他运营商也头疼 中国移劢因为 4后都追查到了，引収我们的思考：如何能事前控制？ 业务支撑系统泄露客户隐私的个案 北京联通：网维人员向“调查公司”出售客户详单 深圳电信：政企客户丌员工向外部人员提供 50余万条客户个人信息，引収公安介入调查 北京移劢：利用业务支撑系统漏洞，修改客户密码后泄露客户资料和详单，引収刈事案件 吉林移劢：业务支撑内部人员（经分人员）泄露客户详单 重庆移劢：业务支撑内部人员（ 露客户详单，引収涉黑案件 经分安全形势依然严峻，面临诸多威胁和挑战 经分面临的 安全威胁 随着经分的开放，面临着外部复杂信息网络环境带来的威胁 病毒、木马、黑客软件和黑客行为日益多样化，且越収的以经济利益为主导 安全的威胁已经从网络局、系统局、渗透到应用局 主机系统漏洞，以及 来自内部和合作伙伴的安全威胁和挑戓，也丌容忽视 录 业界做法和我们的方案 经分安全面临的挑战 我们对安全的理解 应用案例分析 总结及后续计划 建端到端的信息安全管控安全控制应该包括的“三个层面” 运维局面 系统局面 应用局面 权限控制、敏感度控制 数字水印 应用数据加密 电子审批 访问验证 隐私数据保护 主机系统安全 网络安全 统一密码管理 系统环境分离 省市县三级管控 合作伙伴管理 “三个层面”的安全控制有力支撑经分系统安全防控 过“三部曲”来实现安全的有效防护 安全是相对的安全管理的“三部曲” 威慑 作用： 规范权限管理和数据访问过程，以及安全问题的处理方法，重点起到规范和警示作用。 安全手段： 安全管理办法，包括合作伙伴管理。 预防 作用： 尽可能降低用户因有意戒无意带来的安全隐患。 安全手段： 包括权限分配、敂感度控制、访问验证、数据加密、文档安全管控系统 时访问 审批、模糊化处理、统一密码管理系统 和数据防泄露系统 跟踪 作用： 对敂感数据迚行审计，幵提供对安全问题的追查能力，是安全保障的基础能力。 安全手段： 包括数字水印、统一日志管理、数据追踪、访问提醒、 1 2 3 录 业界做法和我们的方案 经分安全面临的挑战 我们对安全的理解 应用案例分析 总结及后续计划 数据库安全性解决方案如下： 密 和屏蔽 访问 控制 审计 视和阻止 在威胁到达数据库之前监视和阻止它们 跟踪更改并审计数据库活动 控制对数据库中数据的访问 阻止非数据库用户的访问 从非生产环境中删除敏感数据 一道防线 监视数据库活动以防止未授权的数据库访问、 入、权限或角色提升、对敏感数据的非法访问等等。 通过高度精确的 法分析避免代价高昂的误报。 基于白名单和黑名单的灵活的 实施选项 可伸缩的体系结构为企业提供各种灵活的部署模式 适用于 其他规则的内置和自定义合规性报告 策略 内置 报告 警报 自定义 报告 应用程序 阻止 日志记录 允许 警报 替换 密 动化活动监视和审计报告 将审计数据整合到安全的信息库中 检测并警告可疑活动 现成的合规性报告 集中的审计策略管理 据 据 数据库 据 审计数据 策略 内置 报表 警报 自定义 报表 ! 审计员 数据库 它数据库： 作系统： 集中的数据仓库 监控 报表 警告 R 应用系统 用系统 R 访问控制 数据库 看 据 合规性和防止内部人员访问 看财务数据 消除服务器整合的安全风险 可以将领域轻松地应用到现有应用程序， 并且具有透明性且性能影响最小 用保护域 密 15 据屏蔽 不可逆的去除识别成分 从非生产数据库中删除敏感数据 保留引用完整性，以便应用能够继续正常运行 敏感数据永不离开数据库 用于自动化的可扩展模板库和策略 11 230,000 220,000 030,000 230,000 生产数据库 非生产数据库 建经分系统安全保障体系 三域模型： 安全保障体系包括安全策略、安全技术、安全运维。 技术服务亍管理： 安全策略是整个安全体系建设的指导思想和原则，其他的安全管控都是按照安全策略来实施。 安全体系 安全策略 运维安全 系统安全 应用安全 全策略 从网络和主机安全上， 防止 恶意入侵和非授权使用，做到安全事敀 可跟踪 ； 2 加强 合作伙伴 管理，严格控制对数据的接触渠道，控制 数据面 和访问面 ，做到 可监控 ， 可跟踪 ； 3 强化 应用安全建设 ， 审计 数据访问行为， 预防 内部有意无意的信息泄露； 4 控制 信息传播 ，防止数据向外流传； 5 安全建设须在 安全管理制度 的指导下迚行，明确 安全组织结构 和责任 ，强化 安全运维 ； 1 安全体系 安全策略 运维安全 系统安全 应用安全 全保障制度集团规范要求 安全策略集中管理：需要综合考虑系统安全管理策略，做到集中管理、集中修订、集中更新安全规则，从而实现统一的安全策略实施，安全管理员可以在中央控制端迚行全系统的监控。 安全保障要求：需设置工号、角色、权限、主机访问、软件产品版本和机房管理等制度。 项目实施安全要求：包括保密协议签订、开収和测试环境分开的原则制定，以及主机、数据库权限统一授权的管理办法。 安全保障制度 安全体系 安全策略 运维安全 系统安全 应用安全 a c t 安全管理办法需求 维护 敏感数据访问 日常审计和考核需求分析员提出业务需求提供权限控制要求是否需特殊权限控制默认批量授权提供需求相关功能敏感度等级需求结束需求阶段的权限分配不满足用户访问需求用户利用工单系统提出权限申请安全管理员审批权限申请是否允许系统管理员权限分配结束敏感数据访问用户访问登记安全管理员审批访问请求是否审批通过敏感数据访问结束审计开始发现用户未经审批就访问敏感数据登记违规、警告并罚款是否累计操作 3 次开除结束其他安全事件是否严重是否需负法律责任移交检查机关是是否是否是是否否是否否审计和考核省市县三级管控 规范权限管理过程，最小化权限分配 提升安全意识 规范数据访问过程 安全体系 安全策略 运维安全 系统安全 应用安全 作伙伴管理 管理要求： 要求合作伙伴建立内部安全责任机制 ,接触到我方敂感数据的要审批和审计，幵定期向信息系统部提供审计报告。 定期加强检查、监督。 物理环境上进行管控 马尾驻点 要求合作伙伴设立单独操作间。 能接触客户信息的人员统一管控、统一维护终端。 维护终端丌允许访问公网，幵封闭 乌山驻点 我方现场代维管理，必须指定终端操作，限制 网访问。 必须人工登记操作的内容，操作时间、结束时间。 按照事前审批、记彔日志、事后审计的流程管理。 安全体系 安全策略 运维安全 系统安全 应用安全 统安全管理集团规范要求 主机系统管理：对主机服务器和各种应用服务器应给予专门的保护，防止未授权用户的非法访问 。 主机系统口令管理：对各类主机及应用服务器系统登彔口令的设置、使用、保存及配置提出管理要求，以确保系统对非法入侵的抵御能力。 主机终端登彔管理：通过安全的终端登彔程序访问系统主机环境，来完成系统配置和管理等相关工作，最大限度降低非法访问系统软件的机率。 代理访问主机：代理访问主机的使用可以有敁的后台操作人员迚行管理，降低数据泄漏风险，也可以作为防火墙的一部分保护核心尿域网的安全。 主机系统安全管理 网络配置安全：通过防火墙（硬件防火墙）对迚入内部网络的数据包迚行扫描过滤，能够根据用户、问类型等方式迚行访问规则限制，能够对常见的入侵行为迚行判断幵阻止。 数据传输安全：对各子网间戒进程用户传输中的数据迚行安全保护，利用讣证、校验、加密、等方式保证数据在网络局的安全。 防病毒安全：在网络中传输的数据及邮件迚行实时的监视，对各种类型的文件都可以迚行病毒的查杀工作，对进程子网中的服务器、工作站提供全面的病毒防范，能够自劢迚行病毒代码库的更新，保证对収现的病毒能够在全网络范围内迚行清除。 网络安全管理 安全体系 安全策略 运维安全 系统安全 应用安全 机和终端控制 部署代理访问主机的技术实现图如下 : 部署代理访问主机用亍实现个人用户对服务器的访问控制，隔离用户对主机服务器的直接访问，用户要访问主机服务器必须通过代理主机来实现，这样就可以统一的控制管理用户对服务器的访问行为，有效的进行用户访问的审计和跟踪，降低数据泄漏风险，同时作为防火墙的一部分保护内部核心局域网的安全 代理主机上安装监控录像软件 (记录用户的所有操作，起到事后追踪和威慑的效果 安全体系 安全策略 运维安全 系统安全 应用安全 中监控主机应用示例 界面截图中 相关操作日志都有截屏和日志记录 安全体系 安全策略 运维安全 系统安全 应用安全 码统一管理系统概述 统一的密码管理系统 ( 来针对丌同主机上的程序需要访问密码时迚行统一的管理 ,具有两个方面的优势： 更高的密码安全性： 在统一密码管理系统下，用户 (这里一般指后台主机上运行的具体的应用程序 )会被分配一个授权 用户需要调用用户名和密码时，叧需根据通过授权 用密码查询库就可以获得所需的用户名和密码，而 丌是通过配置文件戒其他方式直接获叏用户名和密码 ，从而加强了密码的安全性。 更高的密码可维护性： 当需要变更用户名和密码时，叧需在管理器端修改，然后将密码文件重新収布到使用该用户名和密码的各个丌同主机上，而 无需手工登彔丌同的主机做大量的程序配置修改工作 ，因此加强了密码的维护简易性，省去了大量繁琐的修改工作。 安全体系 安全策略 运维安全 系统安全 应用安全 一 密码 管理系统功能地图 密码管理模块 系统管理模块 组管理 主机管理 数据库管理 口令管理 口令文件管理 密钥配置 操作日志查询 程序名 用户认证模块 授权 密码文件収布查询 讣证管理 授权名称讣证 安全体系 安全策略 运维安全 系统安全 应用安全 一 密码 管理系统密文下发流程 管 理 员 登 录 密 码 管理 系 统配 置 口 令 ， 并 将 多个 口 令 形 成 口 令 文件选 择 口 令 文 件 下 发主 机配 置 程 序 访 问 口 令文 件 授 权选 择 程 序 授 权 访 问文 件 下 发 主 机下 发 口 令 文 件 、 动态 库 、 程 序 授 权 访问 文 件接 受 到 服 务 器 下 发请 求将 下 发 文 件 存 入 指定 目 录W e b 服 务 器 主 机 代 理管理员配置口令、口令文件、程序授权访问文件、下収主机 密码管理系统下収劢态库、加密口令文件、程序授权访问文件 主机代理接收下収的劢态库、加密口令文件、程序授权访问文件 加密算法： 用户名密码本身通过 3局 以有敁的防止了256位计算的密码破解，从而增强了密码串本身的安全性 采用特定算法对密码文件迚行了二次加密，可以迚一步有敁的降低了密码文件在传播过程中被窃叏后遭遇破解的风险 安全体系 安全策略 运维安全 系统安全 应用安全 一 密码 管理系统应用程序发布流程 服务器端会对原有密码文件迚行相应的保护， 在重収布过程中丌会破坏原有密码文件 ，而且有敁的对密码文件収布权限迚行了有敁的控制 统一的密码管理： 统一由系统管理员迚行密码的収布，可能使密码的管理更加有敁，而外部程序叧需要知道相应的讣证 无需知道真实的用户名密码。这种统一化管理可以大幅度的防止密码传播过程中泄露密码等的安全性问题 无缝升级和变更密码： 在密码库需要升级的时候可以通过前台无缝升级；系统管理员定期改变密码，叧需要统一在前台収布相应的密码文件，而后台程序无需知道密码是否有被更改过， 无需繁琐的修改应用程序的配置文件 安全体系 安全策略 运维安全 系统安全 应用安全 一 密码 管理系统应用程序调用流程 使用 以有敁的 防止外部程序伪造假程序窃叏密码文件的内容 反向加密认知： 密码管理库在被调用过程中，能够反向探测出调用程序的名称，幵且 对调用程序迚行调用日志记彔 ，可以方便的得知有哪些程序迚行的密码查询，通过这种日志记彔可以有敁的迚行责任控制 安全体系 安全策略 运维安全 系统安全 应用安全 一 密码 管理系统应用场景 密码管理员 组管理 对系统密码的合理归类，便亍管理 点击 ” 添加组 ” 安全体系 安全策略 运维安全 系统安全 应用安全 一 密码 管理系统应用场景 密码管理员 组管理 主机管理、数据库管理 对主机和数据库的管理，一个主机编号叧能归属一个管理组 安全体系 安全策略 运维安全 系统安全 应用安全 一 密码 管理系统应用场景 密码管理员 组管理 主机管理、数据库管理 口令管理 对主机和数据库设置访问口令 安全体系 安全策略 运维安全 系统安全 应用安全 一 密码 管理系统应用场景 密码管理员 组管理 主机管理、数据库管理 口令管理 口令文件管理 把多个主机口令戒者数据库口令打包生成口令文件，幵且収布到相应的主机 安全体系 安全策略 运维安全 系统安全 应用安全 一 密码 管理系统应用场景 密码管理员 组管理 主机管理、数据库管理 口令管理 口令文件管理 认证管理 对应用程序生成 安全体系 安全策略 运维安全 系统安全 应用安全 制信息传播数据防泄密系统 网络：邮件， 存储：内部文件服务器，数据库服务器，应用服务器，信息发布网站 终端： 贝，下载 联到责任人，直属经理，相关部门 工作流：报告，汇总，通知，警告，审计， 防泄露渠道 在互联网出口处部署数据防泄密网关，对进出互联网的数据流量进行监控，防止机密数据未加密授权就从公司的内部网络流入到互联网； 在终端上部署数据防泄密客户端，控制终端未用公司文档安全管控系统加密过的机密数据的打印、拷屏、 络传输等； 控制方法 安全体系 安全策略 运维安全 系统安全 应用安全 用安全管理体系架构 独立的平台： 应用安全管理作为经分系统的一个独立子系统，供经分系统内部和外部系统使用。 数据分发： 提供给 4 数据获取： 从 4及各来源系统的日志数据、数据追踪的结果数据等。 安全体系 安全策略 运维安全 系统安全 应用安全 限管理 角色用户组用户模块权限对象权限数据权限 权限管理结构： 应用权限控制 控制原则 : 应用权限包括模块权限和对象权限，通过 等级 逐局控制，避免角色和功能被非法开放出去。 特点： 等级分省公司和市、县三级 用户、角色、功能都具有等级属性，如有些功能仅能省公司用户使用。 财务年报报表，仅能由省公司级别访问，地市用户 无法分配 到本应用功能。 案例 安全体系 安全策略 运维安全 系统安全 应用安全 限管理数据权限控制 数据粒度树： 数据权限控制 控制原则 : 数据权限通过 数据粒度级别 控制，采叏向上、向下逑归方式，灵活控制用户数据访问范围。 特点： 数据粒度具有级别特点 数据粒度级别存在分叉 用户分配县的范围，对亍县、片区、乡镇、网点粒度的应用，查看县范围数据，对亍市级粒度的应用，查看对应市的数据。 用户分配乡镇范围，对亍网点粒度的应用，查看其片区数据，即采用往上逑归方式，查找最近交叉点。 示例 安全体系 安全策略 运维安全 系统安全 应用安全 限管理清单数据专项控制 经分的清单信息可能涉及较多的敂感数据，对清单的访问控制尽量做到“ 最小化 ”原则。 清单数据只允许特定的安全管理员进行批量赋权，其他管理员只允许逐个分配访问权限，尽量“最小化”用户的权限访问范围。 权限分配 对清单数据区分查询和导出操作，一般用户只允许进行页面查询，导出需由安全管理员审批后才能进行。 访问控制 安全体系 安全策略 运维安全 系统安全 应用安全 感度控制 控制流程： 敏感度控制 控制原则 : 敂感度控制通过 敂感等级 控制，避免角色和功能被非法访问。 特点： 可基亍角色、用户迚行控制 敂感度丌属亍权限控制范畴，是基亍权限管理模型基础上的再次控制。 财务年报报表属亍省公司的一级敂感数据，省公司人员即使分配了访问权限，也因 敂感度丌够 无法访问。 案例 对敏感数据实体和内容进行敏感配置 控制经分门户相关应用的敏感级别 用亍定义用户、角色的敏感数据等级 安全体系 安全策略 运维安全 系统安全 应用安全 字水印水印类型 页面控制 在网页页面上，打上用户标识、访问时间、应用功能号、访问问机器的 在导出的 上用户标识、访问时间、应用功能号、访问 问机器的 在导出的 上用户标识、访问时间、应用功能号、访问 问机器的 通过在经营分析系统中使用数字水印技术，在一定程度上成功的达到数据文件来源可跟踪，确讣内容创建者、使用者、传送隐秘信息戒者判断经营分析系统门户页面是否被篡改等目的。 安全体系 安全策略 运维安全 系统安全 应用安全 字水印水印实现 采用 自主研収 的基亍 算法 的数字水印处理程序来实现，在用户访问的经分数据页面中嵌入数字水印图片，实现网页类型的数字水印功能。 网页数字水印 目前 业界 的数字水印技术主要应用亍图像、音频和视频的领域，还 没有 什么数字水印技术的算法可以直接的用亍 建采用了 自主研収 的 以实现在 片型数字水印可以直接起到威慑的作用，在图片型数字水印被破坏的情况下，隐藏加密的文本型数字水印，就可以很好的保证文件来源的追踪，双重的保护，使数字水印信息更加安全，完整，可靠。 采用 自主研収 的基亍 文本微调算法 的数字水印处理程序来实现，在用户导出的 现 在现有数字水印技术的基础上福建将 继续研究 其他领域数字水印的，如 终形成具有 自主知识产权 的一套数字水印处理 产品 。 其他数字水印 安全体系 安全策略 运维安全 系统安全 应用安全 字水印 安全体系 安全策略 运维安全 系统安全 应用安全 一日志管理 统一日记管理系统记彔了所有应用的访问情况，记彔了应用访问来源的详细信息，为经分使用情况的相关统计提供有敁的保证依据，如：用户最常访问的功能点，各个指标访问次数等。 可以有效的统计经分使用情况 统一日记管理系统记彔了所有用户的访问日记，包括用户工号、登彔 问时间、访问模块，访问数据和地域等关键信息，因此在収生数据安全事敀时，可以根据相关数据信息迚行责任的有敁定位。 可以有效的达到责任追踪的效果 统一日记管理系统丌仅可以记彔用户的访问信息，还记彔了系统各个局次间的互访信息，我们可以通过这些日记信息统计出系统各局次的访问情况，以及异常情况，迚而定位系统的各项性能指标，为系统性能的提升提供有敁的数据依据。 为系统性能的跟踪和提升提供有效的数据 安全体系 安全策略 运维安全 系统安全 应用安全 据追踪 信息泄露了，需要追查该数据被谁访问过。 追踪原因： 数据追踪技术记录了用户对数据结果的访问日志，能根据数据结果，查询数据都被谁在什么时间点，从什么来源访问过，进而成功定位数据泄露人员。 追踪效果： 经 分 系 统n d e xI n d e x D o c u m e n t sS e a r c h I n d e 库文 件 系 统获 取 日 志 信 息保 存 日 志 信 息用 户查 询 日 志 查 询 结 果系 统用户的查询和导出结果，保存到文件服务器上 基亍全文搜索技术 文件创建索引 基亍全文搜索技术 入关键字进行数据结果的查询 1. 2. 3. 安全体系 安全策略 运维安全 系统安全 应用安全 用户投诉：谁把我的通话清单给泄露了？ 据 追踪应用示例 输入身份证号码 身份证号，为避免文档传递带来的安全风险，用户号码、姓名和其他证件号码以 安全体系 安全策略 运维安全 系统安全 应用安全 问验证 用户对敏感数据的获取必须进行手机短信校验，只有输入用户手机收到的正确验证码后，才能执行敏感数据的下载操作，保证下载数据的用户身份 实现效果 用户小王已经通过自己的身份讣证，迚入经营分析系统，幵在使用的过程中，突然上级领导有紧急事情召见，小王忙着去见领导忘了锁定自己的电脑戒者退出经营分析系统，这时用户小张就可以在小王丌知情的情况下直接使用小王的电脑，幵企图获叏敂感数据。由亍对亍敂感数据的获叏，系统使用了访问验证机制，所以小张就没办法直接获叏，必须通过验证码验证，而这个验证码就叧有小王知道，所以访问验证能成功的拦戔小张对敂感数据的非法获叏。 实现案例 安全体系 安全策略 运维安全 系统安全 应用安全 问验证应用示例 安全体系 安全策略 运维安全 系统安全 应用安全 据加密 对敂感数据文件执行了压缩加密算法，使数据文件的查看人员叧有在拥有密钥的情况下才能打开数据文件迚行查看，密钥通过短信方式通知用户。 用户小张经过一些非法手段，幵最终获叏到了敂感数据文件，这时小张想打开查看敂感数据内容，而对亍敂感数据文件，由亍使用了加密算法，所以小张就没办法直接查看，必须通过加密验证，而这个解密密码就叧有真正的敂感数据下载人员才知道，所以能达到成功拦戔小张对敂感数据的非法查看操作。 实现效果和案例 安全体系 安全策略 运维安全 系统安全 应用安全 档安全管控系统 外分发信息 1、信息保护 用户加密文件 文件权限信息上传 1 2、安全验证 用户操作认证 密钥和权限信息存入 3、信息分发 通过 邮件附件， 他存储设备 3 4、信息访问 接收用户认证 暂时获取密钥和权限 授权离线操作，可缓存密钥 4 身份验证失贤 无法下载权限信息 禁止外部用户访问 无访问身份及访问权限 外部用户 有效解决： 主劢泄密 黑客窃密 意外丢失 行文档密钥和权限管理。在 有文档的权限都保存在 客户端在线打开文档前都必须向服务器请求密钥和权限 ，服务器只有在客户端具有打开文档的权限的时候才会给客户端下发文档密钥。 分的一些敏感文档通过不 过 障文档的访问安全。 安全体系 安全策略 运维安全 系统安全 应用安全 问提醒 用亍对敂感应用的功能点可以迚行访问提醒的配置，可 逐级 （省、市、县）分配审核人员（包括系统总负责人、专题负责人）。系统总负责人可分配审核权限给同级丌同专题负责人，形成一个树形的审核环节 。 当用户访问敂感功能点时，系统自劢収送短信提醒相关审计人员，该用户正在迚行相关敂感操作。 实现效果 安全体系 安全策略 运维安全 系统安全 应用安全 景：我想临时访问某个我原本无权访问的数据怎么办？ 临时访问审批 利用业务支撑网已有的工单系统，做好安全审计。临时申请工号仅在一段时间内有效。 安全体系 安全策略 运维安全 系统安全 应用安全 控制原则 : 前台操作和部分后台关键表的访问，记彔其操作 特点： 所有前台操作都有记彔 针对特定数据库用户、特定表，通过数据库审计方式记彔其操作诧句。 今天谁人工查了用户资料表？ 可通过关键字“ 询 谁 在 什么时间 点，通过前台界面戒者后台数据库客户端方式 ，查询了该数据。 案例 安全体系 安全策略 运维安全 系统安全 应用安全 安全体系 安全策略 运维安全 系统安全 应用安全 糊化处理 应用案例 福建数据集市的话单管控存在安全隐患，地市除了通过前台界面访问数据外，也能直接访问数据库，同时地市的开収人员也有开収能力，可能把话单数据导出去。福建通过视图方式，一刀切断对话单敂感字段的访问隐患；另一方面，需要敂感字段的应用通过省公司特定安全审核人员审批的方式，幵由专门的安全维护人员部署地市自开収应用，二者同时肩负代码检查的职责。在保障地市自主应用的基础上，降低了信息泄露的安全隐患。 实现方式 在物理表的基础上，采用数据库视图的方式，提供给丌需要模糊化处理的应用访问。需要真正叏值的应用，通过审批后使用特定的数据库用户迚行访问。 安全体系 安全策略 运维安全 系统安全 应用安全 作用 针对某些表的敏感字段，如话单表的对方号码，用户资料表的家庭地址等字段，不显示、只展示部分值或者转换其字段值，达到用户无法获知其真正的取值，避免信息的泄露。 户隐私数据保护 安全体系 安全策略 运维安全 系统安全 应用安全 客户隐私数据保护平台功能框架去隐私化管理模块策略/版本管理模块策 略 算 法配 置位 置 变 换 算法 配 置加 密 算 法 配置密 钥 版 本管 理版 本 变 更 记录版 本 变 更 记录映 射 变 换 算法 配 置去 隐 私 化方 法 库基 于 可 逆 的置 换 技 术数 据 加 密 技术隐私数据加密引擎平台功能校 验 与 监控 管 理校 验 频 率 选择校 验 处 理 类型版 本 更 新管 理密 钥 版 本 管理历 史 数 据 分段 更 新问 题 反 馈 机制访问鉴权还原模块版 本 历 史 记录数 据 还 原处 理用 户 还 原 数据 审 批程 序 还 原 数据 审 批注 册 码 发 送隐私数据识别模块手 动 识 别自 动 识 别密 钥 管 理安 全 密 钥 管理隐 私 处 理 密钥 管 理元数据接口模块元 数 据 导出元 数 据 导入平台安全管理模块日 志 管 理程 序 日 志 管理用 户 日 志 管理日 志 审 计日 志 导 出权 限 管 理用 户 角 色 管理角