新闻资讯
网络身份认证领域内的信息交流、标准技术与产业发展
随着 “互联网+可信身份认证平台”(以下简称CTID平台)行业应用实践广泛、深入,平台为全国260多家政府机关和社会各行业累计提供认证服务超过21亿次,日均认证量超1500万次。目前,CTID平台已掌握的身份类数据资源类型已达几十种,总体数据规模达百亿条。此外,CTID平台衍生出了更多的服务场景,例如政务服务、酒店住宿、家政婚恋和电子购票等应用场景,特别是随着5G和物联网的发展,平台在智能门锁、工业物联网等领域进行拓展。据估算,平台数据年增长率将达300%,CTID平台的数据资源将不仅仅是单一身份数据,也将包含越来越多的场景数据。与此同时,网络环境中的个人信息保护问题成为重中之重。例如,在疫情期间,大数据、信息化等在全国防疫工作中发挥了重要作用,但部分系统仍然存在身份、家庭住址、生物特征等个人隐私信息的过度采集、超权限采集等问题。
因此,为挖掘数据价值,同时确保个人隐私信息安全,CTID平台按照公安大数据相关标准持续开展数据资产管理工作,有效支撑CTID平台安全、稳定服务,为公共安全、社会治理和智慧城市等建设提供支撑。
(一)CTID平台数据资源分析
CTID平台从数据内容上有基础认证数据和日志数据两大类,从数据类型上有结构化数据、半结构化数据和非结构化数据,从网络分布上有公安网、互联网和专线等,因此CTID数据具备多源异构的特点。如果数据标准不统一、质量参差不齐,就无法进行数据的多维分析和复杂建模,将大大降低CTID大数据的使用价值。大数据治理解决方案,能够实现多种类型和多种来源的数据整合和分层治理,面向服务层提供数据服务和建模平台,为CTID各类使用场景提供数据支撑。
CTID数据资源优势包括:(1)数据体量大、种类多、涵盖全;(2)安全性高。CTID平台基础认证服务数据是对源数据采用符合国家密码标准要求的算法进行脱敏生成,保证了数据在使用过程中的机密性,即使发生信息泄露,也无法还原为明文,保障了数据安全;(3)人像认证准确度高。人像经过多数据源筛选出的最优照片选用多个先进算法完成建模,形成了高质量的生物特征模板,比对准确度高。
(二)CTID平台数据治理架构
基于上述分析,CTID平台形成了“多源接入、分层治理、统一服务”的大数据治理框架。治理框架共分为数据接入层、数据治理层、数据服务层等三层。在数据接入层充分考虑海量离线数据分析和实时数据比对的要求,采用分布式任务调度系统进行数据归集调度;在数据治理层,以业务需求为导向,实现多源数据整合和建模工作;在数据服务层,实现对数据资产管理和数据共享交换服务。
数据治理:包括数据接入、数据处理和数据组织、数据服务等建设,同时实现数据质量探查、数据生命周期管理等功能,为支撑整体CTID应用服务提供基础。
数据管理:基于数据治理成果,形成CTID数据资产服务,形成包括数据资源目录、数据分级分类等的工具平台。
应用服务:主要针对CTID的认证管理、第三方服务接口和插件等提供应用服务管理功能。
(三)CTID平台数据资产管理规划
基于数据治理总体框架,平台正逐步引入数据资产管理的理念,将现有CTID平台的数据管理、数据资源管理,升级为数据资产管理[1]。将数据作为一种全新的资产形态,充分融合业务、技术和管理,以确保CTID数据资产保值增值。
平台一方面通过合理的数据使用流程和机制,优化数据的存储和计算资源。另一方面,持续完善已有数据资源、丰富外部数据资源,实现全域数据资产的持续扩充。
(一)分级分类数据加工流程
CTID平台数据加工分为数据安全处理区和数据服务区。数据安全处理区完成原始数据的接入、处理、整合,具体流程包括入库、清洗、脱敏、同步。主要流程如下图所示。
入库:通过ETL工具获取数据源数据,实现异构数据批量获取以及任务调度。若数据源数据类型为数据库,则由数据库侧转换增量数据为文件,再由ETL工具抽取文件数据,如数据库侧无法转换文件,则采取直连数据库方式。
清洗:利用大数据平台的高性能,在大数据库内实现数据获取的过程,形成资源库。
脱敏:文本脱敏算法采用国产密码算法SM3,人像照片采用特征建模算法抽取模板,形成脱敏库。
同步:将数据安全处理区内脱敏库同步至数据服务区。
存储:根据数据的敏感程度,CTID平台采取了安全域划分及分域管理措施,对各区域数据采用不同的安全策略,确保数据安全可控。其中,将涉及用户隐私的数据设置了高等级的数据存储区域,与其它的数据存储进行隔离。采用符合国家安全标准的国产密码算法,在敏感数据的采集、传输、存储全过程中进行加密实现信息的保密性,同时对信息进行数字签名实现信息的完整性。
(二)CTID平台数据分层组织结构
原始库是存储CTID原始库数据,能够反映原始业务场景的数据层级,原始数据层来源于业务库和生产库,并可在此基础上补充其他数据源。原始数据层实现数据的标准化和价值增值,为各类应用提供基本的数据支撑,为数据融合、数据抽象和进一步增值完成数据准备,并支持信息溯源、原始场景回溯等业务需要。
资源库主要是以实体的特征、关系、轨迹和行为等进行专题数据构建,包括身份脱敏信息库、日志库、虚实关系库等。
主题库按照人员、事件、地址、设备、组织进行主题构建,主题数据层从更高层次对主题对象进行抽象,形成了跨业务的人、事、地、物、组织的统一视图,为数据的多维分析和复杂建模提供了基础。
业务库是CTID平台支撑各类应用的数据库,记录业务过程,为各业务应用提供数据支撑等。如健康码应用数据库、政务应用数据、人员管控数据库等。
身份信息索引库对人员身份信息建立全局索引,用来解决人员身份信息关联和业务冲突问题。目前,该索引库整合了身份证件信息、人口信息、出入境证件信息,具有权威性、可信性。
(三)CTID平台采用的大数据技术应用
数据治理采用基于开源大数据处理组件形成独特的数据治理体系技术架构,如图4所示。
(一)数据分级分类体系建设
CTID平台针对数据敏感程度以及数据的开放范围进行了分类分级,构建完善的数据分级管理体系和标准。利用数据分级分类对数据进行标识,配合数据授权、数据鉴权,确保数据的安全存储、维护及使用。
(二)数据服务安全
为确保基础核心数据安全,CTID平台设计了唯一数据服务接口对外提供应用服务,并在数据接口层布署安全访问控制措施,如端到端信息加密、点对点互签互验、采用专线连接及链路通道VPN加密等,同时部署网络入侵检测及防火墙等网络安全防御系统,保障接口层的数据、通信及网络安全。CTID平台对第三方认证机构提供业务协同接口,支撑第三方认证机构开展服务。
(三)数据安全和隐私保护
从存储、传输和应用层面确保数据安全。在存储上,应用终端和互联网后台存储的是经过国产密码算法脱敏、不可逆的数据,并在异地建设数据备份中心。在传输上,敏感信息经脱敏后通过边界接入平台摆渡到互联网端;同时在通信链路上使用国产密码加密,有效保证数据传输安全。在应用上,应用终端使用安全控件对采集的数据进行加密,服务提供方无法留存个人数据。确保数据不被窃取,个人隐私不会泄露。
(四)CTID平台安全建设
在平台整体建设上全面部署入侵检测、入侵防护、病毒查杀系统,不断加强网络安全监控,通过防火墙、ADS设备实时监控网络攻击状态、拦截非法访问,采取抗DDos设备对Ddos攻击进行拦截、采取IPS设备对网络入侵攻击进行拦截,进一步在互联网端装载“网防G01”网站内核防护系统等网络安防系统,在平台运维过程中持续优化安全基础设施性能及策略,提升安全保障能力。
大数据是一种重要的国家治理资源,它作为国家治理现代化的新型高科技技术,能够有效优化治理中的生态环境,促进制度创新与治理转型。同时大数据通过对海量数据的关联分析,可以进行科学预测,为解决现实社会治理问题提供新思路、创造新手段,具有广阔的应用前景。目前,CTID平台正积极研发大数据分析服务,运用大数据技术提升国家治理现代化水平。
(一)构建以人为中心的身份关联
CTID平台利用复杂关系网络分析、知识图谱等先进技术,研究支持网络实体行为、多安全域身份联合的关联分析模型,构建网络身份与真实身份核心要素关联,为完善社会治理、建设网上社会信用体系提供支撑。
(二)构建人物关联,助力物联网发展
随着无人驾驶、远程医疗、工业物联网、智能家居等应用的兴起,物联网已成为未来经济新的增长点。CTID平台通过建立人与物之间绑定关系,能够实现对物品高可信级别的监控、使用和管理,助力物联网应用,推动产业发展。
本文围绕CTID大数据治理技术开展了总体架构、技术、安全等方面的探讨。目前,CTID平台已形成国内最权威的基础身份信息数据库,并建立了专业、高水平的数据治理团队对身份基础数据持续开展清洗、关联、治理等工作,确保身份数据准确鲜活。随着CTID平台的广泛应用,区块链、物联网、5G等技术的发展,CTID平台将不断丰富完善数据的种类和维度,利用大数据分析、人工智能等技术不断挖掘数据价值,研发关联分析、用户画像、信用评级等大数据分析模型,形成数据洞察能力,构建CTID大数据产业生态,为国家治理能力现代化提供技术支撑。
本文发表于2020年第3期的《警察技术专刊》
本文作者:郝久月、夏吉广、王开林、陈清辉
推荐单位:公安部第一研究所(理事长)、北京中盾安信科技发展有限公司(副理事长)