等保2.0下的移动警务数据安全技术应用研究

王传合 赵利军

1(陕西铁路工程职业技术学院 陕西渭南 714000) 2(陕西省渭南市公安局网安支队 陕西渭南 714000)

(wanwill@qq.com)

近几年，《公安部关于深入实施科技强警战略的决定》的颁布以及《深入实施科技强警战略，加快推进公安工作现代化》等多项政策的推出，公安部将实施“科技强警”的战略应用到各项警务工作中，形成了以“向科技要警力”为导向，打造“智慧”公安工作的新格局.“科技强警”推进了公安信息管理系统建设，增强了公安队伍的警力和战斗力，有效保障国家安全和社会稳定[1-2].另一方面，公安具备移动性强、安全系数要求高和任务紧急性强等行业特性，为方便民警现场处理问题，提升工作效率，移动警务设备在一线民警中得到广泛使用.移动警务中的敏感数据安全是移动警务建设的重中之重.

国家先后出台了多项有关数据安全的法律法规，例如，2016年11月7日发布的《中华人民共和国网络安全法》(简称《网络安全法》)[3]，多次提到数据安全，明确了网络运营商、网络提供商、网络产品的安全义务和责任，进一步明确了网络环境下个人信息保护规范及网络环境下侵犯个人隐私权的侵权责任，提出在数据全生命周期各个环节，重要数据及个人信息的保护规则.《信息安全技术 个人信息安全规范》(GBT35273—2020)[4]以及《中华人民共和国个人信息保护法(草案)》[5]，提出个人信息处理的基本原则，规定了收集、保存、使用、共享、转让、公开披露等个人信息处理活动应遵循的原则和安全要求.2019年5月10日发布《信息安全技术 网络安全等级保护基本要求》(简称：等保2.0)相关标准，与《网络安全法》遥相呼应，加强了对数据安全的保护[6].2019年5月28日，国家互联网信息办公室发布了《数据安全管理办法(征求意见稿)》[7]，意见稿对利用网络开展数据收集、存储、传输、处理、使用等活动提出要求，并提出对涉及的数据安全进行保护和监督管理.由上述法律法规可见，移动警务中数据安全问题日益重要.

1 移动警务中的数据安全风险

我们结合等保2.0标准，从安全通信网络、安全区域边界、安全计算环境3方面的安全要求出发，分析移动警务中的数据安全，如表1所示.

2 数据安全保障对策

根据上述移动警务中面临的数据安全风险，本节将探讨数据安全相关的保障对策.针对移动警务的移动端与服务端之间的通信安全以及移动警务的移动端的存储、传输的数据完整性风险，可采用数据完整性技术进行保护；针对移动警务的移动端与服务端之间的接入网关边界以及移动警务的移动端的存储、传输的数据保密性风险，可采用数据加密技术进行保护；针对移动警务的移动端的用户身份鉴别，可采用身份认证和管理技术进行保护；针对移动警务的移动端的剩余信息，可采用数据防恢复技术进行保护；针对移动警务的移动端的个人信息，可采用数据匿名化技术进行保护；针对移动警务移动端存储的数据备份问题，可采用数据备份技术进行保护.

2.1 数据完整性技术

数据完整性技术，可通过数据签名进行实现，ISO 7498-2标准对数字签名是这样定义的：附加在数据单元上的一些数据，或是对数据单元所做的密码变换，这种数据或变换允许数据单元的接收者用以确认数据单元来源和数据单元的完整性，并保护数据，防止被人(如接收者)伪造.

数字签名也可通过某种密码生成一系列符号或者代码，组成电子密码进行签名[8-9].数据完整性主要通过数据签名或者密码技术判断传输中的数据是否完整、安全.

2.2 数据加密技术

利用数据加密等方式，保障移动警务移动端数据存储、传输数据的安全.数据加密可以防止明文存储引起的数据泄密、突破边界防护的外部黑客攻击、来自于内部高权限用户的数据窃取及绕开合法应用系统直接访问数据库[10-13].

1) 透明加解密

透明加密意味着加密不需要太多的额外管理，主要体现在应用程序透明和加解密透明2个方面，无需依赖人工设定的密码或口令；被加密的文件在被涉密计算机打开时，自动被解密，且解密要由计算机自动地进行，无需人工操作，文件的使用者也无需知道“密码”.

表1 结合等保2.0分析移动警务中存在的数据安全风险

2) 动态加解密

对存储在数据库中的数据进行实时灵活的自动化动态加密解密，不需要人为干涉，完全实现对数据的安全存储、安全使用，防止信息涉密.这样既节省用户时间，也达到了保护文件的目的.只要用户对加密数据进行操作，那么加密数据就会被自动加密或是解密，用户感觉不到加解密过程的存在.

3) 细粒度加密控制

数据库加密级别可灵活配置为整库加密、表加密、行加密、列加密、基于特定条件加密等多种方式.用户可以根据实际需求灵活选择加密方式，在数据的安全性与数据库性能之间找到最佳平衡点，在保证敏感数据安全的同时，最大程度地保证了数据库的性能.

4) 密文索引

数据加密后明文索引将失去作用，导致即使只查询1条数据也需要将所有数据进行1次解密，这无疑增加了查询的时间.采用密文索引，使查询操作可以不必对所有数据进行解密即可以查询到相应数据，大大提高密文查询速度.

5) 加密算法与密钥技术

可灵活选择3DES，AES，SM4等算法.采用多级密钥技术，每一个字段拥有不同的、独立的、唯一的列密钥，对字段进行加密解密控制.所有的列密钥是由主密钥生成，控制列密钥的加密解密.主密钥存放在硬件中，保证不会被窃取和破坏，列密钥存放在被加密的数据库中.通过双重密钥技术保证加密数据不会被破解，增加安全性.

2.3 身份认证和管理技术

针对移动警务中移动端用户身份鉴别的问题，可采用身份认证和管理技术对数据管理、权限以及行为合规性管理.身份认证和管理技术，主要采用数据鉴权管理原理，能够对使用者发出/提交的各项请求按鉴权规则进行使用者部门级别与所请求的数据内容分类分级之间的身份权限实时匹配，判定允许还是拒绝请求，并对允许通过后响应返回的数据同样按鉴权规则进行匹配辨别，实现对信息系统各使用人员访问数据的细粒度权限控制.

基于数据的访问控制规则(如业务范围界定、数据访问频度、时间范围界定、查询条件过滤、数据敏感度控制等等)，实现数据的访问权限的鉴别；应具备针对业务系统的违规获取行为提供实时阻断、预警、审计等处置操作，降低数据越权访问的概率；通过对动态网络流转的数据进行实时监控，检测和阻止越权访问数据，提升移动终端使用安全.

2.4 数据防恢复技术

移动警务移动端由于系统更新或者设备置换，通常在处理之前将其存储部件进行格式化或将重要数据和个人信息删除.然而，这对于现在的数据恢复技术来说并不起作用，很容易造成敏感数据的二次泄露.

数据防恢复技术采用的原理是将删除的数据进行覆盖重写，确保删除的数据不被恢复.例如，某个文件被删除后，存入数据，将保留在硬盘上可恢复的数据覆盖.但是由于文件写入位置是随机的，无法确定存入的数据一定将删除的数据覆盖上.因此，建议将分区空闲空间填满，以确保将文件覆盖.另外，用专业的数据销毁工具，将逻辑层面的数据擦除，可以达到数据清零的效果，使得存储数据的永久删除，不被恢复.

2.5 数据匿名化技术

通过一系列的匿名操作对原始数据进行修改，以达到敏感数据不被泄露的目的.数据匿名处理的使用场景如图1所示，在数据收集阶段，是数据发布者对用户的原始数据进行收集；在数据发布阶段，对发布的数据通过数据匿名化处理后，再发布给数据使用者进行分析和应用[14-16].

图1 数据匿名化处理流程

目前存在的主要匿名操作有：概括(generalization)、抑制(suppression)、解构(anatomization)、置换(permutation)和扰乱(perturbation).其中，概括和抑制是匿名处理中使用最早、最广泛的方法[17].概括用更抽象、概括的值或区间代替精确值，准标识符属性值有数值型和分类型，数值数据概括后，值被一个覆盖精确数值的区间代替，分类数据则概括成更一般的值.抑制操作是将数据表中的数据直接删除或隐藏，一般用“*”代替要抑制的值.解构是对属性进行分表，解构属性之间的相关性来保护隐私.置换是将数据表分组后，把每组内的敏感属性值随机交换，打乱顺序，再拆分数据表，对外发布.扰乱主要是通过加入噪音的方法，修改原始数据值，使数据产生变动，从而保护敏感信息.

采用不同的匿名操作会对敏感数据保护性能指标产生不同的影响[18].可通过语义学及数据敏感度度量机制，设计快速高效的数据分类技术，实现对敏感数据的概化和匿名操作；利用同态加密等方法，可实现对于数据关联性的高效解构和置换；分析不同的分布函数作为扰乱随机噪声时对整个系统性能的影响，建立针对不同数据和安全需求的噪声库；最后，使用通用可组合安全理论，建立匿名操作方案，从计算复杂度、时间复杂度、额外开销等方面提高系统性能.

另外，数据脱敏技术，也是一种实现匿名化处理十分有效的方式[19-20].数据脱敏技术的主要目标是按照脱敏规则通过变形、转换等方式降低数据的敏感程度，在数据的采集、传输、使用等环节中最小化敏感数据的暴露.例如，移动警务中往往会涉及到一些个人信息的查询，出于安全考虑，需要对重要人员信息进行脱敏处理，以防止关键人物相关信息的泄露.在脱敏实践中，敏感数据脱敏的流程如图2所示，包括敏感数据发现及确认、定义脱敏规则、敏感数据脱敏以及脱敏数据分发模块.

图2 敏感数据脱敏流程图

1) 敏感数据发现及确认

扫描全部原始数据，自动发现敏感数据，并确认敏感数据在数据库中的位置.

2) 定义脱敏规则

定义脱敏规则主要是根据工具中内置一些常用的算法或自定义算法，实现对脱敏规则的定制.根据具体的脱敏需求制定对应的脱敏规则与策略后，可自动化执行脱敏规则与策略，从而实现批量化、自动化的敏感数据的脱敏处理，同时保证脱敏后的数据不影响应用程序.通过执行脱敏规则实现数据脱敏，脱敏后的数据仍然能符合原数据的各种校验、取值范围合理、保持关联数据之间的完整性等真实性原则.

3) 敏感数据脱敏

利用数据脱敏工具软件执行完成的脱敏规则，在保持数据业务关联关系和高仿真的基础上，对需要脱敏的敏感数据进行脱敏.

4) 敏感数据分发

脱敏数据分发，主要是将脱敏后的数据通过输出到目标环境，供需求方使用.

数据脱敏中通常用的脱敏算法通常包括：随机、模糊、替换、清空、乱序排列、屏蔽、组合、固定映射、浮动、截取、截断等数据处理技术.

使用脱敏技术，对敏感数据脱敏后的结果举例如图3所示：

图3 敏感数据脱敏结果图

2.6 数据备份技术

移动警务移动端存储的数据，涉及到大量的个人信息，需要采取数据备份技术，保障存储数据的安全.

数据备份是保障数据安全的重要手段，也是容灾的基础.数据备份，顾名思义是将系统中的数据全部或者部分复制存储到其他设备中，主要是为了避免出现人为操作、意外事故等情况导致数据丢失或者损坏的现象.数据备份技术通常包括全量备份、增量备份和差分备份3种，在备份时可以选择其中的1种或几种备份技术的组合.移动警务移动端存储的数据需要经常备份，以防止出现丢失或者损坏的情况，通过数据备份能够将系统数据恢复到备份操作时的状态，降低数据丢失或者损坏造成的损失.一般来说系统数据应该与被备份的数据采用分开存放或异地存储的方式，这样能够最大限度地保障数据安全.

3 结 论

在等保2.0网络安全体系的标准下，数据安全在移动警务的建设过程中贯穿于数据采集、数据传输、数据存储、数据灾备、数据消亡的全生命周期，在不同的数据处理过程中涉及到不同的数据安全技术.作为移动警务的建设部门，要从多维度考虑数据安全的防护，并做好周密的安全部署，才能有效地实现数据的计算、传输、存储过程中的安全，确保移动警务在运行过程中的数据安全稳定.