数据水印是将特定的数字信号嵌入数字产品中保护数字产品版权、完整性、防复制或去向追踪的技术。

　　随着信息化时代的发展，数据正在迅速的膨胀并变大，数据的网络化使用越来越广泛，大量的数据背后往往隐藏着许多重要的信息，这些信息在商业、经济及其他领域中，都起着关键性作用，数据渐渐成为当今互联网时代的核心资产。为了更好的发挥数据价值，在数据使用过程中会涉及到数据共享、流通、发布等环节，数据提供者一般会有如下两类技术需求：

　　一是数据泄漏溯源需求。在数据共享给合作方后，一旦发生数据泄露，数据提供方需要快速进行泄露数据的追踪溯源，确定泄露源头进行追责，并且，以此形成威慑，防止数据泄露事件再次发生。

　　二是数据版权保护需求。当发生数据版权归属纠纷时，数据提供方也需要通过技术手段明确版权所属，以实现版权保护，维护企业的合法权益。

　　数据水印技术能够满足上述需求：

　　一方面，数据水印能够标识共享数据的接收方信息，数据共享后，如果发生数据泄露，能够从泄露数据中提取出数字水印信息进行追踪溯源，及时发现泄露者。另一方面，数据水印技术也能够标识数据发布方信息，数据发布后，如果需要对数据版权进行确认，能够从数据中提取出水印信息以进行版权确认。

　　为了对数据水印产品应具备的技术能力进行规范，指导和帮助企业做好数据水印技术应用工作，为产品研发和采购选型提供标准参考。中国信息通信研究院安全研究所于2021年5月在中国通信标准化协会（CCSA）TC8 WG3数据安全组牵头立项《电信网和互联网数据水印技术要求与测试方法》行业标准，此后联合中国移动、中国电信、中国联通、美创、安华金和、天融信、绿盟等22家单位共同完成了标准研制工作，目前标准文稿已经报批，等待发布。

　　《电信网和互联网数据水印技术要求与测试方法》行业标准在概述部分提出了数据水印技术应用架构，并且总结了在实际应用数据水印技术过程中，主要涉及的两个要素：水印嵌入、水印溯源。此外，标准还提出了数据水印的效果评估原则。

数据水印应用架构图

　　水印嵌入：企业或组织机构通过设置水印名称，水印系统收到指令会自动在内部生成一个密钥，通过水印嵌入算法，将水印信息隐藏到原始数据中，最终得到含水印的数据。嵌入水印后的数据分发方式有两种，可以以文件形式分发，也可以分发到目标数据库。

　　水印溯源：当数据发生泄露后，将所泄漏的目标文件上传到数据水印系统，系统通过水印提取算法，可提取出该文件对应的密钥，从而对应到水印名称、相应作业任务，进而溯源确定最终的泄露主体，追究责任，进行版权宣示。

　　在安全功能要求部分，标准从数据水印工具/系统/平台/产品应当具备的功能角度出发，从数据源支持、水印算法、水印规则、水印策略等方面提出了具体要求。

　　数据源支持

　　数据水印工具/系统/平台/产品被部署到具体使用场景时，所面对并非是单一系统类型或数据源类型，这就需要数据水印工具在数据源支持方面不仅能够实现主动嗅探或被动检测识别数据源，还要支持多种数据源类型，以适应更多的复杂环境。

标准内容节选（1）

　　水印算法

　　数据水印工具/系统/平台/产品的数据水印技术可通过自身的数据水印算法来实现，根据数据源类型的不同合适的选择数据水印算法，也能满足更多场景的数据水印需求。

标准内容节选（2）

　　水印规则

　　数据水印工具/系统/平台/产品在水印规则方面，应能灵活的对规则进行自定义设置，水印的载体能够提供丰富的选择等。

标准内容节选（3）

　　水印策略

　　数据水印工具/系统/平台/产品的水印策略功能应能根据业务场景和不同行业灵活的设置规则或算法进行水印作业。

标准内容节选（4）

　　自身安全要求

　　除上述安全功能要求外，标准在自身安全要求部分针对数据水印工具/系统/平台/产品的自身安全性提出了鉴权管理、权限管理、日志审计、用户管理、运维管理这5点的能力要求。此外，对应前述每一项技术要求，标准中也明确了与之配套的测试方法。

　　自2021年1月起，中国信通院安全所“大数据应用与安全创新实验室”已经开展了六期数据安全产品检验工作，其中依据《电信网和互联网数据水印技术要求与测试方法》已经对2家企业的2款数据水印产品（工具）进行了检验，检验结果如下表所示。

　　小结

　　数据水印技术可以在版权保护、数据安全、篡改检测、商品防伪等多个领域提供技术支持，以避免或减少相关数据安全风险事件的产生。《电信网和互联网数据水印技术要求与测试方法》行业标准从功能实现角度提出了数据水印工具/系统/平台/产品须满足的技术要求及相应的测试验证方法，这也为供给侧产品研发和需求侧采购选型提供了参考依据。

　　供稿 | 中国信息通信研究院安全研究所