刘 栋,杨文兵,安自朝,刘福金
(1.中国电子科技集团公司第三十研究所,四川 成都 610041;2.陆军装备部驻成都地区第三军事代表室,四川 成都 610041)
随着数据跃升为新型生产要素,数据安全的内涵在不断拓展,从最初的保护数据载体上的信息安全,到对数据承载的个人权益、产业利益和国家利益进行安全保护,再发展到通过数据安全保护促进数据合法有序开发利用,护航国家数字经济高质量发展[1]。数据安全保障的目标和对象,也随着数据安全的发展分为3个层面:一是保障数据本身安全,针对数据本身,通过采取文件加密、数据库加密等技术保护数据及数据承载信息的安全。二是保障数据资源安全,在数据共享、数据利用等流程中保障数据资源采集、传输、存储、共享、利用、销毁等生命周期安全可控。三是保障数据资产安全,即保护数据资产处理所涉及的网络、存储计算、开发交易等基础设施安全,防止数据基础设施上承载的数据资产丢失、泄露、被篡改,保障数据运营、交易业务正常运行,维护数据要素市场安全。
以电子政务、电子商务、电子社区等业务应用的信息化发展为标志,承载业务信息的数据越来越多,数据本身的安全也成为信息安全关注的重点。数据本身安全阶段主要关注承载业务信息的数据本身安全,主要保障数据在传输、存储过程中的安全。保障对象主要为电子文档、数据库等数据。
以云计算和大数据等技术的发展为标志。如今,数据呈现大量汇聚、共享趋势,数据要素也从无序、散乱的非结构化数据转变为可分析、利用的结构化、半结构化的有序数据,逐渐实现数据的资源化。数据资源安全阶段主要关注数据资源的安全治理方面,需要保障大量数据汇聚、数据共享利用等场景中数据资源采集、传输、存储、共享、使用、销毁全生命周期安全,保障对象也由电子文件、数据库等传统数据发展到具有数据量大(Volume)、数据种类多(Variety)、数据价值密度低(Value)、数据产生和处理速度快(Velocity)特征的大数据方面[2-3]。
以数据成为新型生产要素为标志。由中共中央、国务院对外发布的《关于构建数据基础制度更好发挥数据要素作用的意见》等政策,从国家层面为数据产权、流通交易、收益分配、安全治理等方面构建了数据基础制度,提出政策举措。数据要素的运营、交易需求愈发迫切。数据也完成由数据资源到数据资产的转变,数据安全目标开始聚焦到数据资产安全方面。数据资产安全阶段主要关注数据资产化后数据要素的开发利用、运营交易的安全性。保障对象主要为数据要素运营的物理网络设施、存储计算设施和数据应用设施等数据基础设施。
密码技术是保障网络安全最有效、最可靠、最经济的关键核心技术。本文针对数据安全目标和保障对象,围绕数据本身安全、数据资源安全、数据资产安全3个层面,综合分析信息安全行业常用密码应用技术,设计了以密码为核心的数据安全技术体系。数据安全密码技术体系如图1所示。
图1 数据安全密码技术体系
目前,在行业应用领域,面向数据本身安全的主流密码技术包括文档管控技术、文件存储加密技术、数据库加密技术和数据脱敏技术。
2.1.1 文档管控技术
文档管控技术面向非结构化电子文件数据,基于密码技术提供集中式电子文档加密存储、身份鉴权认证、文件授权访问控制、受控流转等服务,用于解决电子文档的安全管理控制问题。
2.1.2 文件存储加密
利用磁盘加密、文件系统加密等技术,实现对本地存储文件数据的加密保护。常见的磁盘加密技术包括Linux系统的dm-crypt、Windows系统的BitLocker等。常见文件系统加密技术包括基于用户空间文件系统(Filesystem in Userspace,FUSE)的EncFS、Cryptomator等。
2.1.3 数据库加密
该技术主要采用透明加解密、列加密等技术方式,对数据库中存储的明文数据进行加密存储、访问权限控制等。通过对数据库进行加密,能够有效地防止敏感数据被外部非法入侵窃取、内部高权限用户窃取、合法用户违规访问而引发的安全风险。数据库加密技术根据加密位置的不同,可以分为应用层加密、数据库代理加密、数据库加密、数据库文件系统加密、存储磁盘加密等不同技术路线[4]。
2.1.4 数据脱敏
数据脱敏技术是指采取泛化、随机、扰乱、加密等技术对敏感数据进行处理,消除原始数据中的敏感信息,并保留目标业务所需的数据特征或内容的数据处理过程。数据脱敏主要应用于数据分析、测试开发、数据共享等场景。数据脱敏技术根据数据脱敏的实时性和应用场景的不同,可分为动态脱敏技术和静态脱敏技术[5]。基于密码的数据脱敏主要包括保留格式加密、对称算法加密等技术。
数据资源安全密码技术是指基于数据资源安全分类分级和密码标识,围绕数据采集、数据传输、数据存储、数据共享、数据利用、数据销毁等环节建立的数据资源生命周期密码保护技术。主要包括数据安全分类分级、数据安全标识、数据生命周期密码保障等技术。
2.2.1 数据安全分类分级技术
数据安全分类分级技术是指综合运用分类分级策略生成与数据分类分级知识库建立,以及数据特征识别、知识图谱分析等技术,智能化识别数据资源的类型和安全级别,用于对敏感数据按照安全类别、级别分级采取不同强度、粒度的密码安全措施,进行分级管控。
2.2.2 数据安全标识技术
数据安全标识技术是指对敏感数据添加标记信息,唯一标识数据身份,并绑定数据类别、级别等安全属性,是数据安全分级管控的关键。数据安全标识一般分为绑定式和分离式两种。数据安全标识作为数据安全治理的基础依据,需要基于签名、杂凑算法的消息验证码(Hashbased Message Authentication Code,HMAC)等密码技术建立数据标识与数据本身之间的强绑定关系,防止标识篡改和仿冒。
2.2.3 数据生命周期密码保障技术
(1)数据采集安全。主要基于密码的采集源接入认证和数据完整性校验技术,保障采集源的安全可行,并防止数据在采集过程中被非法篡改。
(2)数据传输安全。通常采用虚拟专用网络(Virtual Private Network,VPN)技术保护数据传输的机密性和完整性。包括安全网络协议层虚拟专用网(Internet Protocol Security Virtual Private Network,IPSec VPN)和安全套接字层虚拟专用网(Secure Socket Layer Virtual Private Network,SSL VPN)技术。其中,IPSec VPN工作在网络层,通过构建加密隧道保护网络到网络之间通信的机密性和完整性。SSL VPN工作在传输控制协议/用户数据包协议(Transmission Control Protocol/ User Datagram Protocol,TCP/UDP)层,构建加密会话,保护终端到应用服务器之间通信的机密性和完整性。
(3)数据存储安全。数据资源存储加密技术通常包括大数据库加密技术和分布式系统加密技术。其中,大数据库加密技术通常包括MongoDB TDE加密技术,HIVE、HBase等大数据库网关加密。分布式系统加密技术通常包括实现Hadoop透明加密的Encryption Zone技术,面向简便存储服务(Simple Storage Service,S3)对象加密、通用互联网文件系统(Common Internet File System,CIFS)、网络文件系统(Network File System,NFS)文件加密的加密网关技术。
(4)数据共享安全。针对数据共享安全保障,通常可采用安全多方计算、联邦计算等技术。
(5)数据利用安全。针对数据资源安全利用,通常可采用同态加密技术,以及基于可信硬件的机密计算技术。
(6)数据销毁安全。主要关注数据销毁的身份鉴别和行为抗抵赖,可采用公钥基础设施(Public Key Infrastructure,PKI)等密码技术,基于数字证书实现数据销毁操作的身份鉴别、操作行为抗抵赖签名。
数据资产安全密码技术主要包括网络通信密码保障技术、存储以及计算基础设施密码保障技术和数据应用基础设施密码保障技术,主要目标是保障数据资产开发利用、运营交易的基础设施安全。
2.3.1 网络通信密码保障技术
可按照通信双方是否在同一个物理网络内,分为网络通信加密技术、跨网跨域数据交换技术。
(1)网络通信加密。主要基于IPSec VPN等网络通信加密措施构建基础的安全通信网络,实现数据交易双方或多方的通信安全。
(2)跨网跨域交换。主要解决跨两个或多个不同等级物理网络之间的数据安全交换问题。通常基于物理隔离信息单向导入设备、物理隔离与信息交换设备等实现跨网数据交换过程中的协议剥离,并在交换过程中融合数据标识,实现跨网跨域交换过程中的标识检测,防止数据违规交换。
2.3.2 存储和计算基础设施密码保障技术
主要为需要进行数据要素存储和计算的基础设施提供密码保障,通常采用云密码服务技术、网络存储加密技术等。
(1)云密码服务。根据存储和计算基础设施不同层次的密码保障需求,可以把云密码服务技术分为云密码资源服务、云密码功能服务、云密码业务服务3个层次[6]。
①云密码资源服务(Cryptography Resource as a Service,CRaaS)。以密码基础设施、密码设备集群等为基础,提供包括密码算法服务、证书管理服务、密钥管理服务、随机数服务等基本的弹性化密码服务功能。
②云密码功能服务(Cryptography Function as a Service,CFaaS)。基于云密码资源服务,将面向应用场景的密码功能集合在一起,打包成易部署、易使用的虚拟机模板、微服务模板,在云中以虚拟机实例、微服务实例、软件中间件的形态对存储和计算的设施提供密码保障。
③云密码业务服务(Cryptography Business as a Service,CBaaS)。实现密码技术和应用业务的内生融合,将密码技术与应用系统数据处理流程进行融合,形成一体的密码内生安全系统,提供密码应用即服务。
(2)网络存储加密技术。面向数据中心大规模网络存储场景提供加密保护。当前,数据中心大规模存储系统通常采用网络通道存储区域网络(Internet Protocol Storage Area Network,IP SAN)、光纤通道存储区域网络(Fibre Channel Storage Area Network,FC SAN)、网络附加存储(Network Attached Storage,NAS)等集中式数据存储系统。针对这些大规模数据存储系统的安全性,可采用存储加密网关技术,在存储网络层面提供网关式加密保护,实现对大规模存储系统的弹性化、透明化数据加密保护。
2.3.3 数据应用基础设施密码保障技术
主要为需要进行数据交易、数据开发、数据运营等数据应用的基础设施提供密码保障,通常采用隐私计算技术、零信任技术等。
(1)隐私计算技术。面向数据利用方和数据持有方分离的场景,以分布式区块链技术为支撑,综合运用联邦计算、安全多方计算、同态加密等技术构建数据不出域情况下的“可用不可见”安全分析计算体系,满足敏感数据“存算分离”场景下的数据计算需求。
(2)零信任技术。零信任技术一般由零信任客户端、零信任控制中心和零信任分析中心构成。零信任技术要求无论位于网络内部还是外部的所有用户,都需要经过身份验证、授权和持续验证,然后才能访问应用程序和敏感数据。零信任技术能够有效应对传统网络安全机制缺乏内部流量检查、部署缺乏灵活性,以及单点故障带来的风险和威胁等问题。并且,零信任技术通过缩小信任边界、持续动态评估等关键机制实现了数据要素的纵深防护,有效支撑数据资产的安全运营、安全交易[7]。
密码基础技术主要包括密码算法、密码协议等密码基础理论,以及密码管理、密码认证等密码管理基础设施。其中,密码算法方面,除对称、非对称、杂凑算法外,通常还包括行业前沿和热点研究的同态加密、差分隐私等新型密码算法。密码协议方面,除传统的身份认证、密钥协商、传输加密协议外,通常还涉及不经意传输、安全多方计算、联邦计算等隐私计算协议。密码管理方面,主要包括密钥的生成、存储、分发、使用、销毁等密钥生命周期管理技术。密码认证方面,主要包括公钥基础设施等电子认证技术。
基于数据安全密码技术体系内多种密码技术的综合应用,围绕数据要素市场安全保障,可打造涵盖数据本身安全、数据资源安全、数据资产安全的多层次、体系化密码服务,构建密码保障能力体系,为数据要素市场的健康发展保驾护航。数据安全密码保障能力体系如图2所示。
图2 数据安全密码保障能力体系
数据本身安全密码服务方面,基于密码技术可围绕数据库、电子文件等数据本身提供安全防护能力。提供包括文档加密、数据库加密、数据脱敏(保留格式加密)、传输加密等密码服务。
数据资源安全密码服务方面,基于密码技术可围绕数据采集、数据传输、数据存储、数据共享、数据利用、数据销毁等数据资源全生命周期提供安全防护能力。提供包括认证与访问控制、分类分级密码标识、数据加密保护、跨网跨域安全共享、隐私计算利用、数据确权溯源等密码服务。
数据资产安全密码服务方面,基于密码技术可围绕数据要素分析利用、数据交易等数据运营场景构建可靠网络通信基础设施、可用存储计算基础设施、可信数据应用基础设施,在数据基础设施层面提供密码保障。其中,可靠网络通信基础设施方面,通过在通信网络基础上提供网络通信加密服务,保障数据要素通信安全。可用存储计算基础设施方面,基于云计算和大数据密码保障技术可为基础设施即服务(Infrastructure as a Service,IaaS)、平台即服务(Platform as a Service,PaaS)、软件即服务(Software as a Service,SaaS)等提供平台层面的云计算密码服务、大数据平台密码服务,保障存储计算基础设施安全。可信数据应用基础设施方面,基于区块链、隐私计算等密码技术构建可信数据应用基础设施,为数据要素确权交易、数据运营等提供存证登记、隐私计算等密码服务,保障数据要素应用和运营安全。
密码基础支撑方面,提供密码运算服务和密码管理支撑能力。主要包括提供密码运算服务的密码技术、密码产品,以及提供统一密码资源和密钥管理、数字证书管理的密码管理和密码认证基础设施。
随着数字经济的发展,针对数据的应用从最早的非结构化数据到可供分析利用的数据资源,再到具备经济价值可运营交易的数据资产。数据要素的概念不断延伸,所发挥的作用也越来越大,数据安全的内涵在不断拓展,数据安全保障的对象也在不断延伸。本文设计了以密码为核心的数据安全技术体系,并提出基于密码服务的数据安全密码保障能力体系,能够为数据要素安全保障系统设计提供密码技术应用指导。本研究主要面向密码技术在数据安全方面的应用开展,对防火墙、数据防泄漏等传统安全技术的应用没有覆盖,在实际应用中需要综合运用密码和安全两个方面的技术为数据要素安全提供保障,健全防护体系,护航数据要素市场健康发展。