蔡陽:一種行業(yè)重要數(shù)據(jù)類關鍵信息基礎設施的保護技術
時間:2022-09-02
來源:水利部網(wǎng)站
2021年7月30日���,國務院令第745號公布《關鍵信息基礎設施安全保護條例》(以下簡稱《條例》),自2021年9月1日起施行���,2021年8月17日正式對外頒布��。該條例的頒布標志著我國網(wǎng)絡安全法律法規(guī)建設和安全保障工作進入一個新的階段��?�!稐l例》頒布一年以來,各相關部門和有關機構積極推進關鍵信息基礎設施安全保護工作���,并取得顯著成效。在此��,我聯(lián)盟特邀請行業(yè)內數(shù)位專家對我國關鍵信息基礎設施安全保護工作發(fā)表專家觀點并進行系列報道��,敬請關注��。
文 | 水利部 蔡陽
專家名片
蔡陽,水利部網(wǎng)信辦主任��、信息中心主任���,正高級工程師��,長期從事水利網(wǎng)絡安全和信息化���、防洪減災���、水資源管理等工程建設與管理��。享受國務院政府特殊津貼專家、國家關鍵信息基礎設施安全保護專家組成員���、國家大數(shù)據(jù)專家咨詢委員會成員。
數(shù)據(jù)已成為國家基礎性戰(zhàn)略資源���,數(shù)據(jù)安全問題日益凸顯���。國家先后頒布的《中華人民共和國網(wǎng)絡安全法》《關鍵信息基礎設施安全保護條例》《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國個人信息保護法》均對數(shù)據(jù)和個人信息的管理提供了法制保障���。顯然,對于行業(yè)重要數(shù)據(jù)類的關鍵信息基礎設施的安全保護提出了更高要求��。在此背景下��,針對行業(yè)重要數(shù)據(jù)類的關鍵信息基礎設施��,我們提出了一種基于商用密碼技術的數(shù)據(jù)安全保護技術,推動行業(yè)重要數(shù)據(jù)在收集��、存儲��、使用��、加工、傳輸���、提供、公開等過程中的安全應用���。
行業(yè)網(wǎng)絡安全基本防護要求
行業(yè)重要數(shù)據(jù)類關鍵信息基礎設施防護應該建立在行業(yè)網(wǎng)絡安全基本防護基礎上。根據(jù)國家網(wǎng)絡安全相關政策標準要求���,遵循行業(yè)網(wǎng)絡安全頂層設計和總體策略,落實《中華人民共和國網(wǎng)絡安全法》以及網(wǎng)絡安全等級保護和關鍵信息基礎設施保護相關要求��,以行業(yè)基礎設施��、數(shù)據(jù)資源和業(yè)務應用��,尤其是關鍵信息基礎設施為安全保護對象,建立涵蓋人員組織��、制度標準���、工作規(guī)程在內的全方位網(wǎng)絡安全組織管理體系��;構建縱深防御為基礎、監(jiān)測預警為核心、應急響應為抓手的全要素網(wǎng)絡安全技術體系���;持續(xù)完善監(jiān)督檢查體系和安全運營體系,全面提升行業(yè)網(wǎng)絡安全保障能力。
組織管理體系
網(wǎng)絡安全組織管理體系以合規(guī)合法��、責任到人為中心���,主要涵蓋:網(wǎng)絡安全策略��、管理制度���、標準規(guī)范體系��、管理機構、人才隊伍、資金保障等多方面��,為行業(yè)網(wǎng)絡安全建設提供強有力的支撐保障���。
安全技術體系
遵循網(wǎng)絡安全總體策略��,構建涵蓋縱深防御���、監(jiān)測預警和應急響應的整體技術防護體系���。
縱深防御��,網(wǎng)絡安全縱深防御能力包括基礎安全技術、統(tǒng)一安全服務2個方面?��;A安全技術構成網(wǎng)絡安全等級保護安全合規(guī)運營的技術基礎,也形成體系化的縱深防御安全能力基礎;統(tǒng)一安全服務旨在構建行業(yè)運行所需的統(tǒng)一安全服務基礎設施,保證體系覆蓋范圍內獲得一致性可持續(xù)的安全能力組件,也實現(xiàn)體系安全保障資源的集約化和各層級單位整合共享��。
監(jiān)測預警���,網(wǎng)絡安全監(jiān)測預警能力以大數(shù)據(jù)分析平臺為基礎��,充分利用分布式處理、深度學習���、異構計算等大數(shù)據(jù)處理技術,對行業(yè)內部��、外部網(wǎng)絡安全情報和網(wǎng)絡內與網(wǎng)絡安全相關的各類數(shù)據(jù)信息進行挖掘分析���,對網(wǎng)內安全狀態(tài)進行實時感知和預警��,并在行業(yè)內進行相關的數(shù)據(jù)共享���。
應急響應���,網(wǎng)絡安全應急響應能力指基于威脅情報態(tài)勢感知的不同層級信息進行應急響應���。行業(yè)的安全能力進一步從監(jiān)測響應式主動防御升級演進到威脅情報預警指揮智能處置能力��,包括應急決策指揮���、綜合展示和集中管理控制平臺等維度的內容���。
監(jiān)督檢查體系
依據(jù)行業(yè)網(wǎng)絡安全管理辦法���,圍繞抓住“及時發(fā)現(xiàn)漏洞���、及時有效處置漏洞”兩個關鍵���,通過“查���、改、罰”等有效手段���,強化關鍵信息基礎設施安全監(jiān)管,建立關鍵信息基礎設施安全監(jiān)督檢查體系��,行業(yè)各級關鍵信息基礎設施安全保護工作的主管部門定期監(jiān)督檢查��,結合行業(yè)關鍵信息基礎設施運營者自查��,配合網(wǎng)信部門、公安部門的網(wǎng)絡安全檢查監(jiān)測��,形成監(jiān)督檢查合力��。
安全運營體系
網(wǎng)絡安全運營體系包括安全基線制定���、日常安全運維��,系統(tǒng)運行中安全評估、安全監(jiān)測���、滲透測試、漏洞修復���、運維審計,日常應急演練��,安全事件發(fā)生后的響應處置與分析優(yōu)化策略調整等���,以數(shù)據(jù)為核心的閉環(huán)網(wǎng)絡安全運營全流程���。從而有效對安全威脅事件進行綜合研判和及時處置���,并不斷閉環(huán)對運營體系進行優(yōu)化���。
基于商用密碼技術的數(shù)據(jù)安全防護
密碼是保障數(shù)據(jù)安全的核心技術��,而商用密碼作為我國自主網(wǎng)絡安全技術的典型代表,是數(shù)字經(jīng)濟安全發(fā)展的重要支撐,也是構建行業(yè)數(shù)據(jù)安全防護體系的重要基石��。針對不同應用場景的合規(guī)性��、透明度���、加解密保護強度和計算效率等需求���,提出了透明數(shù)據(jù)加密和應用內加密相結合的“雙保險”加密技術��,有效兼顧了重要數(shù)據(jù)加密要求和應用需求,實現(xiàn)了數(shù)據(jù)安全和便捷高效應用。
場景化防護
傳統(tǒng)的“數(shù)據(jù)庫加密”往往體現(xiàn)為密文數(shù)據(jù)存儲到數(shù)據(jù)庫后的情形,一般局限于結構化數(shù)據(jù)���,而行業(yè)數(shù)據(jù)一般不僅包含結構化數(shù)據(jù),還擁有大量非結構化數(shù)據(jù)。而數(shù)據(jù)庫也只是數(shù)據(jù)處理的一個環(huán)節(jié)��。行業(yè)數(shù)據(jù)安全保護對數(shù)據(jù)的收集、存儲��、使用���、加工���、傳輸���、提供���、公開等數(shù)據(jù)全生命周期���,主動實施安全防護��,打造基于商用密碼的數(shù)據(jù)安全防護體系���,防范侵害重要數(shù)據(jù)權益的行為發(fā)生。
結合數(shù)據(jù)業(yè)務與技術屬性,全環(huán)節(jié)主動式重建數(shù)據(jù)訪問規(guī)則��,構筑有效的數(shù)據(jù)安全縱深防線��,在風險可控的基礎上實現(xiàn)數(shù)據(jù)的增值和自由流轉���。從這個角度出發(fā)��,沿著數(shù)據(jù)流轉路徑,在信息各層關鍵節(jié)點��,基于典型B/S三層信息系統(tǒng)架構的多個數(shù)據(jù)業(yè)務處理點基礎上��,結合用戶場景和適用性需求��,選擇一種或者組合多種存儲加密技術,保障數(shù)據(jù)的流轉及共享安全。
主要技術方法如下:
DLP(Data Leakage Prevention)終端加密技術���,在受管控的終端上安裝代理程序,由代理程序與行業(yè)數(shù)據(jù)后臺交互,并結合數(shù)據(jù)管理要求和分級分類策略,對下載到終端的敏感數(shù)據(jù)進行加密��,從而將加密應用到數(shù)據(jù)的日常流轉和存儲中��。信息在本機使用時會進行解密���,而未授權復制到管控范圍外則是密文形式��。
應用內加密(集成密碼服務SDK),應用系統(tǒng)與封裝了加密業(yè)務邏輯的密碼服務SDK進行集成,通過密碼服務SDK調用行業(yè)密碼基礎設施服務��,實現(xiàn)加解密���,使行業(yè)數(shù)據(jù)具備數(shù)據(jù)加密防護能力���。
透明數(shù)據(jù)加密(Transparent Data Encryption��,簡稱為TDE)��,通過國產(chǎn)數(shù)據(jù)庫自帶的數(shù)據(jù)加密功能��,與行業(yè)密碼基礎設施集成��,在行業(yè)數(shù)據(jù)數(shù)據(jù)庫內部透明實現(xiàn)數(shù)據(jù)存儲加密、訪問解密���。數(shù)據(jù)在落盤時加密,在數(shù)據(jù)庫內存中是明文��,當攻擊者“拔盤”竊取數(shù)據(jù),由于數(shù)據(jù)庫文件無法獲得密鑰而只能獲取密文��,從而起到保護數(shù)據(jù)庫中數(shù)據(jù)的效果��。
透明文件加密(Transparent File Encryption���,簡稱為TFE)���,在國產(chǎn)操作系統(tǒng)的文件管理子系統(tǒng)上部署加密插件并與行業(yè)密碼基礎設施集成來實現(xiàn)數(shù)據(jù)加密��,基于用戶態(tài)與內核態(tài)交付,可實現(xiàn)“逐文件逐密鑰”加密���。在正常使用時���,計算機內存中的文件以明文形式存在��,而硬盤上保存的數(shù)據(jù)是密文,如果沒有合法的使用身份���、訪問權限以及正確的安全通道,加密文件都將以密文狀態(tài)被保護���。
全磁盤加密(Full Disk Encryption,簡稱FDE)���,通過動態(tài)加解密技術���,對磁盤或分區(qū)進行動態(tài)加解密。FDE的動態(tài)加解密算法位于國產(chǎn)操作系統(tǒng)底層���,其所有磁盤操作均通過FDE進行:當系統(tǒng)向磁盤上寫入數(shù)據(jù)時,F(xiàn)DE首先加密要寫入的數(shù)據(jù)��,然后再寫入磁盤;反之��,當系統(tǒng)讀取磁盤數(shù)據(jù)時,F(xiàn)DE會自動將讀取到的數(shù)據(jù)進行解密��,然后再提交給操作系統(tǒng)。
將加密技術疊加到具體業(yè)務流程中��,根據(jù)不同的業(yè)務場景開展重要數(shù)據(jù)安全防護��,確定個性化部署加密方案��。同時���,基于高性能商用密碼技術的支撐��,在不改變用戶操作習慣前提下��,將安全機制與用戶現(xiàn)有流程快速耦合,保障業(yè)務高速發(fā)展下的數(shù)據(jù)安全使用���。
“三權分立”
行業(yè)數(shù)據(jù)密碼應用基于業(yè)務用戶、運維用戶��、安全用戶“三權分立”設計思路進行建設���。業(yè)務用戶經(jīng)藍證進行身份鑒定并經(jīng)行業(yè)重要數(shù)據(jù)系統(tǒng)后臺鑒權后���,才開展權限內的系統(tǒng)查詢��、信息錄入、信息下載等操作。運維用戶經(jīng)藍證進行身份鑒定并經(jīng)行業(yè)重要數(shù)據(jù)系統(tǒng)后臺鑒權后��,才能對系統(tǒng)代碼���、業(yè)務策略��、業(yè)務流程等進行修改��,業(yè)務數(shù)據(jù)、業(yè)務操作日志等均為密文存儲,全程對運維用戶不可見��。安全用戶經(jīng)藍證進行身份鑒定并經(jīng)行業(yè)重要數(shù)據(jù)系統(tǒng)后臺鑒權后,方可配合業(yè)務用戶、運維用戶對系統(tǒng)密鑰��、系統(tǒng)加解密資源進行維護��,業(yè)務數(shù)據(jù)���、系統(tǒng)數(shù)據(jù)等均不對安全管理員開放��。業(yè)務用戶、運維用戶、安全用戶根據(jù)職責不同��,可再細分權限��。
雙層防護
為解決行業(yè)重要數(shù)據(jù)在使用過程中性能���、便利性與安全難以平衡的難題��,密碼應用過程中���,在系統(tǒng)后臺數(shù)據(jù)防護方面采用了“點”、“面”結合的雙層防護策略,首先在數(shù)據(jù)入庫時���,采用透明數(shù)據(jù)加密技術進行“面”防護,通過國產(chǎn)數(shù)據(jù)庫自帶的數(shù)據(jù)加密功能,結合行業(yè)密碼基礎設施��,在行業(yè)重要數(shù)據(jù)庫內部透明實現(xiàn)數(shù)據(jù)存儲加密��、訪問解密���,做到數(shù)據(jù)在寫入磁盤時進行加密���,當攻擊者“拔盤”竊取數(shù)據(jù)時只能獲取密文���,打開數(shù)據(jù)庫時��,數(shù)據(jù)庫內容在內存中是明文,應用系統(tǒng)不需做任何改動��。為進一步降低攻擊者通過數(shù)據(jù)庫內存攻擊竊取數(shù)據(jù)的風險��,采用應用內加密(集成密碼服務SDK)的方式進行“點”防護���,對行業(yè)重要數(shù)據(jù)系統(tǒng)進行改造��,與行業(yè)密碼基礎設施進行集成,調用行業(yè)密碼基礎設施加解密服務���,對重要、敏感數(shù)據(jù)進行字段加密���,實現(xiàn)行業(yè)關鍵數(shù)據(jù)“雙保險”。
