数据水印分类

数宇型水印

利用随机生成或用户自定义而成的溯源KEY从而对源数据进行水印转换，将转换后的虚构数据嵌入到源数据之中或全部转换为水印数据。

非数宇型水印

非数字型水印包含汉字、字符等，同样利用随机生成或用户自定义而成的溯源KEY将源数据部分内容转换为新的汉字（生僻字）、字符，嵌入到源数据之中或全部转换为水印数据。

使用数据水印原因

数据泄露无法溯源定责

在目前新兴的外包数据库服务模式中，数据库服务器由非可信的第三方提供，数据库的物理文件可以轻易被第三方拷贝，数据拥有对数据库实施版权保护的需求也日益迫切。Internet的快速发展促使这些数据供应商提供远程访问数据库的服务，用户在支付一定的使用费之后便可以远程登录数据库，使用里面的数据。虽然远程登录服务能为终端用户提供极大的方便，但数据供应商也同时面临数据被的危险。如果将他从数据库里获取的大量数据转卖给他人，这些信息机构将会蒙受很大的经济损失。对于上买卖的泄露文件，也没有办法溯源其泄露源，数据过程泄露无法对事件定责追溯。

数据水印如何追责数据泄露

数据泄露后的溯源是一项重要的任务，一方面有利于了解安全管理与措施的薄弱环节，另一方面可起到心理威慑作用，追究责任，类似事件再次发生。针对企业员工的泄露溯源场景，任何员工数据到本地时，会触发水印嵌入器将水印信息（如员工ID、时间戳等）自动地嵌入到数据库（关系表）中。当数据发生泄露时，企业可提取水印信息，通过匹配与关联分析，溯源取证泄露者的标识ID，以及时间等信息。

数据水印

数据开放共享能促进数据价值的释放，然而也带来更多的数据泄露风险。同一份数据的共享（或多次分发过程）往往涉及到多个数据接收机构，若其中一方由于安全失责原因导致了数据泄露，数据泄露后如何正确溯源到真正的泄露方呢？这是溯源的第二类场景，如图4所示：分发机构在原始数据库嵌入不同的水印信息（如机构ID、时间戳）给不同的接收机构。一旦发生相关的数据泄露，分发机构可提取泄露数据库的水印信息，通过溯源取证，进而对泄露主体进行追责。从合规视角看，针对组织机构的泄露溯源可促进数据接收方落实数据安全保护责任，强化接收方实施相应级别的安全措施。