贺志生 张远云 董绍岩
1(360政企安全集团 北京 100016) 2(卫士通信息产业股份有限公司 成都 610095) 3(北京控股集团大数据公司 北京 100023)
数据被定义为新时代重要的生产要素,是国家基础性战略资源,数据价值的发挥是推动我国社会经济转型发展的新动力.数字经济是继农业经济、工业经济之后的主要经济形态,是以数据资源为关键要求,以现代信息网络为主要载体,以信息通信技术融合应用,以全要素数字化转型为重要推动力,促进公平与效率更加统一的新经济形态,对数据要素掌控和利用能力已成为衡量国家之间竞争力的核心要求.加强数据安全保护既是企业数据自身发展的主观需要,也是国家监管的客观要求.数据安全面临的挑战包括如何应对合规合法的要求、如何应对数据泄露和数据加密勒索等风险,以及如何应对交通运输部门在数字化转型时代性业务发展与数据安全治理的关系等.
随着《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《关键信息基础设施安全保护条例》《网络数据安全管理条例(征求意见稿)》《网络安全等级保护条例(征求意见稿)》3法3条例的发布,可以看出近年来,根据国家数据安全战略布局,我国数据安全相关法律法规密集颁布与实施,中央网信部门统筹协调,行业及地方主管部门、交通运输部门等各司其职的数据安全监管与被监管模式正在逐步形成.那么,交通运输部门面对严峻数据安全风险态势的同时,如何推动数据依法合理有效利用,如何保障数据依法有序的自由流动,如何实现合规合法的数据利用发展与数据安全之间的平衡兼顾,已成为交通运输部门管理者不得不思考的问题.
交通运输部门的数据安全贯穿于数据处理的全生命周期,包括数据的采集、传输、存储、处理、共享与交换、销毁等.部分省份的交通运输部门仍停留在传统的信息安全框架下的数据机密性、可用性、完整性的保护,缺乏对数据全生命周期全流程关键点的安全技术管控,未能形成有效的技术手段监控关键过程.
目前交通运输部门基本采用的是“分布式+数据中心+大集中”的技术架构,然而云计算、大数据、5G、人工智能、区块链等新技术、新场景也在交通运输领域进行了应用,这些新技术、新应用无一不是以海量数据为基础,新技术带来了新的安全问题,增加了恶意攻击的风险.传统安全体系架构在新架构下能力有限,分布式架构比集中式架构更容易发生数据安全的问题,而且硬边界设备等在逻辑上的漏洞经常成为黑客攻击的突破口.传统的安全防护措施也具有滞后性和狭隘性,传统的城防式安全保护手段主要保护静态数据,但交通运输部门的数据是跨区域、跨部门、跨行业的“动态”数据,亟需一种新的数据安全技术体系,既能够使数据合法、合规流动,又能对数据进行安全保护,为交通运输部门的数据安全提供保护屏障.
交通运输领域想要发展,需要在数字经济发展中对个人信息与数据进行实时、全面、深入和精准的分析和研判,并对个人信息进行开发利用和挖掘新需求、开辟新模式,对汇集了海量的个人隐私信息,如何在保证合规利用要求的前提下,有效保护个人隐私,防止大量用户核心信息泄露,成为现阶段交通运输部门思考和布局的重中之重.
数据治理边界的大量交叉带来新的安全风险边界主要体现在:
交通运输作为为国家党政机关、公立机构公共基础设施,以触达客户,获取数据资源;交通运输部门与外部机构合作获取数据;交通运输部门与国外科技平台直接或间接产生交通运输业务等,这些都扩大了交通运输数据治理边界交叉的范围,增加了数据安全保护的难度.
本文针对交通运输领域提出的数据安全技术框架主要包括:
1) 基于平台公共支撑能力定位,建立交通运输部门数据安全管理组织,建立交通运输部门数据安全监管、数据安全运营机制,形成跨部门协作的数据安全管理机制;
2) 通过开展数据全生命周期安全服务,利用从数据采集/产生、数据传输、数据存储、数据处理、数据共享交换到数据销毁全生命周期的安全技术控制措施,实现数据生命周期的安全保障;
3) 通过配置数据安全工具和安全服务,构建平台安全保障能力的同时,保障接入系统数据安全“进”“出”;
4) 通过开展数据安全运营,分析数据安全场景,进行安全风险预警,形成常态化数据安全运营保障机制;
5) 加强交通运输领域数据分级分类[1]的更新管控,保障数据运营过程数据安全.
该技术框架主要为交通运输领域数据安全管控[2]整体技术架构,包括数据全生命周期安全防护和数据安全运营.其整体框架如图1所示:
针对交通运输领域数据安全防护要求,需构建以数据安全管控分析平台为中心,建立健全6大安全能力,包括数据安全汇数能力、数据安全用数能力、数据安全管理能力、数据安全控制能力、数据安全防护能力、数据安全审计能力,结合交通运输领域数据共享的业务场景以及参与数据管理的角色和职责要求,通过利用从数据采集/产生、数据传输、数据存储、数据处理、数据共享交换到数据销毁(如图2所示)全生命周期的安全技术控制措施,实现数据生命周期的安全保障.
3.1.1 数据安全智能管控服务设计
需要构建数据安全管控分析平台,以全局视角对数据安全全过程进行管控,平台包括数据安全态势分析、数据资产管理、数据安全风险评估和数据安全策略管理、统计分析和报告输出等功能,此外还需根据用户实际提供更加全面的数据安全管控分析功能,将相关功能可同步到交通运输部门大屏、中屏、小屏等显示屏,辅助相关领导决策与分析.
3.1.2 数据采集阶段的安全模块设计
采集的数据来源主要是由交通运输部门多个业务系统接入汇集而来,包括视频数据、监测数据、电子航道地图、3D模型、个人信息、企业数据、行政许可证书、规划数据、车辆数据等敏感数据和重要数据.数据类型包括关系数据库、文件系统、物联网、Hadoop、NoSQL等结构化数据和非结构化数据.
本文结合风险分析评估的结果,依托数据分级分类工具、数据库审计工具及数据采集等相关工具,结合统一的数据采集流程建设,不断优化数据采集安全策略和安全能力,以保证组织数据采集流程实现的一致性,本模块的设计如下:
1) 制定安全采集管理规范,制定数据安全事故责任界定规范,确保数据安全采集工作有序开展;
2) 检查接入端木马、程序后门、病毒等安全风险,对接入端进行基线核查,确保接入符合基线要求才能接入平台;
3) 对数据安全接入进行监测和审计,通过日志记录确保数据采集授权过程、数据接入时间、数据接入内容等的完整记录.
3.1.3 数据传输阶段的安全模块设计
数据传输通过政务外网、互联网、4G/5G等多种网络,传输的数据类型包括视频数据、监测数据、电子航道地图、3D模型、个人信息、企业数据、行政许可证书、规划数据、车辆数据等敏感数据和重要数据.
本文结合风险分析评估的结果,依托交通运输部门现有的云平台密码资源池、云平台安全能力、数据审计、数据安全管控分析平台等相关工具,本模块的设计如下:
1) 针对平台的敏感数据和重要数据进行传输加密,数据量约为10%,包括数据“进来”过程和数据“出去”过程,即从业务系统采集数据传输到平台和从平台交换数据到业务系统.利用现有云密码资源池资源,完成数据传输加密和密钥管理.
2) 为了保证数据传输的完整性,需要采取数据校验的方式,对传输数据的完整性进行检测.
3) 在对外传输敏感数据和重要数据时,利用数据防泄露和能监测到敏感数据和重要数据传输行为,帮助管理人员快速发现并阻断敏感数据和重要数据泄露行为.
4) 建立数据传输管控规范,明确传输加密方式、加密场景、加密数据等,界定各相关部门单位的责任.
3.1.4 数据存储阶段的安全模块设计
数据资源层是核心数据枢纽,主要提供数据中台服务和数据存储资源,其中,数据存储资源主要基于大数据基础平台提供存储资源、计算资源等支撑.
结合风险分析评估的结果,依托交通运输部门现有云平台密码资源池、数据审计、数据安全管控分析平台、数据库漏洞扫描等相关工具,对存储媒体安全策略进行优化,实现对存储媒体性能进行监控、数据存储系统定期扫描、对存储媒体访问和使用行为进行记录和审计,本模块的设计如下:
1) 定期扫描存储数据,自动识别并发现当前各服务节点数据的安全等级,并根据提前预置好的数据分级策略对数据标记分级分类标签,针对敏感数据和重要数据采取加密存储;
2) 对于存储在服务器上的数据,要充分考虑逻辑隔离机制,要保证数据在服务器存储时具备可靠的访问控制体系,以保障数据存储在服务器时的安全性,防止数据泄露;
3) 在存储敏感数据和重要数据时,利用数据防泄露技术手段能监测到敏感数据和重要数据是否有外泄,帮助管理人员快速发现并阻断敏感数据和重要数据泄露行为;
4) 利用数据存储日志审计分析,对存储媒体访问和使用行为进行记录和审计,及时发现异常行为;
5) 建立数据安全存储管理规范,明确存储的流程、存储加密数据类型、访问权限等,且明确数据安全责任.
3.1.5 数据处理阶段的安全模块设计
各种业务的数据库包括Mysql和大数据平台等,处理的数据包括楼宇信息模型(building information modeling, BIM)数据、地理信息数据、视频数据、监测数据、电子航道地图、3D模型、个人信息、企业数据、行政许可证书、规划数据、车辆数据等敏感数据和重要数据.
结合风险分析评估的结果,本模块的设计如下:
1) 提供敏感数据和重要数据脱敏能力,提供数据脱敏工具,实现数据脱敏工具与数据权限管理系统的联动,以及数据使用前的静态脱敏;基于场景需求自定义脱敏规则;提供面向不同数据类型的脱敏方案;数据脱敏后需保留原始数据格式和特定属性,满足开发与测试要求;此外,需对数据脱敏处理过程相关的操作进行记录,以满足数据脱敏处理安全审计要求.
2) 提供敏感数据和重要数据的泄露风险检测和防范能力,在针对个人信息的数据分析中,采用多种技术手段以降低数据分析过程中的个人隐私数据[3]泄露风险,如智能合约隐私保护[4]、差分隐私保护、K匿名等;记录并保存数据处理与分析过程中对个人信息、重要数据等敏感数据和重要数据的操作行为;提供组织统一的数据处理与分析系统,并能够呈现数据处理前后数据间的映射关系.
3) 提供数据安全的访问控制能力,依据合规要求建立相强度或粒度的访问控制机制,限定用户可访问数据范围.
4) 提供安全审计能力,提供完整记录数据使用过程的操作日志,以备对潜在违约使用者责任的识别和追责.
5) 提供导入导出过程安全保障能力,记录并定期审计组织内部的数据导入导出行为,确保未超出数据授权使用范围.对数据导入导出终端设备、用户或服务组件执行有效的访问控制,实现对其身份的真实性和合法性的保证.在导入导出完成后对数据导入导出通道缓存的数据进行删除,以保证导入导出过程中涉及的数据不会被恢复.
3.1.6 数据共享交换阶段的安全模块设计
针对数据共享交换[5]阶段,数据入湖和数据出湖方式主要有以下5种.
1) 数据库库/表方式: 发送端和接收端需采用前置信息交换库的方式对接;
2) API接口方式: 各部门提供明确的API接口,对所有API接口统一管理;
3) 消息队列: 通过消息队列将数据抽取到前置机,再汇聚入湖;
4) FTP方式: 生成CSV或TXT文本文件上传至指定的FTP服务器上指定目录下;
5) 拷盘方式: 通过硬盘直接复制.
针对5种交换方式的情况,数据安全交换管控可采取不同的策略和措施进行数据安全标识[6],本模块的设计如下:
1) 数据共享过程安全保障能力.采取措施确保个人信息在委托处理、共享、转让等对外提供场景的数据安全防护措施[7],如数据脱敏、数据加密、数据安全审计等.
2) 对共享数据及数据共享过程进行监控审计.共享的数据应属于共享业务需求且没有超出数据共享使用授权范围.
3) 明确共享数据格式规范.如提供机器可读的格式规范.
4) 数据接口安全保障能力.具备对接口不安全输入参数进行限制或过滤能力,为接口提供异常处理能力.
5) 具备数据接口访问的审计能力.并能为数据安全审计提供可配置的数据服务接口.
6) 对跨安全域间的数据接口调用采用安全通道、加密传输、时间戳等安全措施.
3.1.7 数据销毁阶段的安全模块设计
数据存储在云存储媒介中,即使删除也有恢复的可能性,从而导致的数据泄露风险如下:一是针对销毁阶段的风险和问题,依托管理策略、云平台数据清除、物理消磁工具等,实现数据的有效清除和销毁;二是针对需要清除的交通运输部门现有云数据,梳理数据销毁对象及清单,通过多人操作采用文件数据粉碎工具处理,重点需要清除的数据:处理后释放存储空间、利用云平台的剩余信息保护能力确保资源得到完全清除;三是针对交通运输部门本地机房相关系统的数据,可采用先后存储媒体销毁工具,包括但不限于物理销毁、消磁设备等工具,实现对各类数据存储介质的有效销毁.
3.1.8 数据安全工具集
本文规划设计的针对交通运输领域的数据安全工具集如表1所示:
表1 数据安全工具集
数据安全运营在数据管理过程中结合交通运输领域业务特征提炼真实的风险场景及个人隐私信息保护要求,通过技术手段实现对法律法规的遵从性,并建立匹配的治理方案、工具及方法论,即:
1) 分析数据安全场景,实现安全风险预警;
2) 形成数据安全运营保障机制;
3) 持续优化数据分类分级管理,并制定安全策略.
3.2.1 数据安全运营体系设计
1) 数据安全运营组织.建立数据安全运营管理组织,定义并明确安全职责类别,依据安全职责设置安全岗位配备与之对应的人员,通过人才培养及能力培养、安全意识教育培训,建立数据安全管理小组、数据安全监测小组、数据安全治理小组、数据安全分析小组、数据安全应急小组等多支队伍,建立与外部机构的沟通和合作机制,所有相关人员需要设立专职岗位和编制,制定人员培养和发展计划,以及构建人员能力评估体系和考核体系,组建安全运营人员队伍.
2) 数据安全运营流程设计.编制《数据安全运营流程设计方案》,数据安全运营流程以运营场景为主题,有机结合技术工具、组织人员的优势,达到高效运营的目的.运营作业流程包括但不限于自动化策略控制流程、通报预警流程、急处置流程等,通过制定流程,规范数据安全运营.
3.2.2 数据分类分级
交通运输领域数据分类分级需遵循“接入1条数据、定级1条数据”的原则,针对平台接入的交通运输领域的8大业务平台及子系统,利用数据分类分级工具和人工评估结合方式,结合专业的数据安全团队引导系统主管部门业务人员逐条确定数据安全级别,全面开展数据分类分级工作,形成跨部门跨单位的交通运输领域《数据分类分级表》,针对数据分类分级表设计制定《数据安全访问控制策略》,指导数据安全建设,主要包括数据安全监测、脱敏、加密、验证、校验和权限管理等数据管控措施设计.
从业务管理、安全要求等多维度设计数据分类分级规则和方法,制定配套的流程机制,同时完成业务数据分类分级标识,形成分类分级清单,结合数据场景化设计方案,明确不同敏感级别数据的安全管控策略和措施,构建不同业务领域的场景化数据安全管理矩阵,最后输出《数据分类分级方法和工作手册》《基于业务场景的数据分类分级清单和管理矩阵》.
3.2.3 数据安全标签
在数据进入到平台的过程中,实时识别出当前数据的内容安全等级,并根据提前预置好的数据安全分类分级策略,给数据打上数据安全分类分级标签,实现平台数据运转的安全管控,可用于访问控制、数据血缘分析、数据行为跟踪、数据水印溯源[8]等多种业务场景.
安全标签模块可以对文件、数据库进行数据安全标签,可以在数据发现时,进行自动数据标签动作,也可以提供手动数据标签动作,为数据打标签.
3.2.4 数据安全策略管理
实现安全策略规划管理、数据标签管理、标签分级管理、标签分类管理、标签策略管理、脱敏策略管理、加密策略管理、防泄露管理、策略版本管理等.
3.2.5 数据访问权限稽查
对平台的数据提供者、数据平台提供者、数据提供者、数据服务协调者、数据使用者、数据安全管理者等多角色进行分析,定义权限范围,规范各角色在数据全生存周期的权限,实现平台的访问控制.
在数据安全用户权限设计的同时,需要仔细分析数据需求和托管职责,数据安全用户权限设计需要基于细粒度的数据访问控制策略[9],并结合数据安全角色梳理结果,整体符合交通运输平台的《数据安全权限体系》,此外,还需通过咨询手段从制度流程、技术工具方面对权限设计的有效落地进行推进.
在数据安全建设中,交通运输部门需立足于现有的安全技术,以及未来安全技术的展望,建立起统筹各个部分相互协同的纵深立体防护的安全技术体系,重点从数据安全管控及治理、个人合规信息保护、数据全生命周期安全等方面加强技术防护,为广大交通运输领域用户构建一个安全的交通运行环境,保障交通运输领域用户的数据安全.随着未来形势的发展,交通运输部门数据安全面临新的风险,交通运输部门要不断探索新的数据安全技术体系,这样才能有效保护用户数据安全.该技术框架应用于交通运输领域实现跨部门跨系统兼得数据安全共享与交换.