公告啟事
2021年7月30日,國務院令第745號公布《關鍵信息基礎設施安全保護條例》(以下簡稱《條例》),自2021年9月1日起施行,2021年8月17日正式對外頒布。該條例的頒布標志著我國網絡安全法律法規建設和安全保障工作進入一個新的階段。《條例》頒布一年以來,各相關部門和有關機構積極推進關鍵信息基礎設施安全保護工作,并取得顯著成效。在此,我聯盟特邀請行業內數位專家對我國關鍵信息基礎設施安全保護工作發表專家觀點并進行系列報道,敬請關注。
文 | 水利部 蔡陽
專家名片
蔡陽,水利部網信辦主任、信息中心主任,正高級工程師,長期從事水利網絡安全和信息化、防洪減災、水資源管理等工程建設與管理。享受國務院政府特殊津貼專家、國家關鍵信息基礎設施安全保護專家組成員、國家大數據專家咨詢委員會成員。
數據已成為國家基礎性戰略資源,數據安全問題日益凸顯。國家先后頒布的《中華人民共和國網絡安全法》《關鍵信息基礎設施安全保護條例》《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》均對數據和個人信息的管理提供了法制保障。顯然,對于行業重要數據類的關鍵信息基礎設施的安全保護提出了更高要求。在此背景下,針對行業重要數據類的關鍵信息基礎設施,我們提出了一種基于商用密碼技術的數據安全保護技術,推動行業重要數據在收集、存儲、使用、加工、傳輸、提供、公開等過程中的安全應用。
行業網絡安全基本防護要求
行業重要數據類關鍵信息基礎設施防護應該建立在行業網絡安全基本防護基礎上。根據國家網絡安全相關政策標準要求,遵循行業網絡安全頂層設計和總體策略,落實《中華人民共和國網絡安全法》以及網絡安全等級保護和關鍵信息基礎設施保護相關要求,以行業基礎設施、數據資源和業務應用,尤其是關鍵信息基礎設施為安全保護對象,建立涵蓋人員組織、制度標準、工作規程在內的全方位網絡安全組織管理體系;構建縱深防御為基礎、監測預警為核心、應急響應為抓手的全要素網絡安全技術體系;持續完善監督檢查體系和安全運營體系,全面提升行業網絡安全保障能力。
組織管理體系
網絡安全組織管理體系以合規合法、責任到人為中心,主要涵蓋:網絡安全策略、管理制度、標準規范體系、管理機構、人才隊伍、資金保障等多方面,為行業網絡安全建設提供強有力的支撐保障。
安全技術體系
遵循網絡安全總體策略,構建涵蓋縱深防御、監測預警和應急響應的整體技術防護體系。
縱深防御,網絡安全縱深防御能力包括基礎安全技術、統一安全服務2個方面。基礎安全技術構成網絡安全等級保護安全合規運營的技術基礎,也形成體系化的縱深防御安全能力基礎;統一安全服務旨在構建行業運行所需的統一安全服務基礎設施,保證體系覆蓋范圍內獲得一致性可持續的安全能力組件,也實現體系安全保障資源的集約化和各層級單位整合共享。
監測預警,網絡安全監測預警能力以大數據分析平臺為基礎,充分利用分布式處理、深度學習、異構計算等大數據處理技術,對行業內部、外部網絡安全情報和網絡內與網絡安全相關的各類數據信息進行挖掘分析,對網內安全狀態進行實時感知和預警,并在行業內進行相關的數據共享。
應急響應,網絡安全應急響應能力指基于威脅情報態勢感知的不同層級信息進行應急響應。行業的安全能力進一步從監測響應式主動防御升級演進到威脅情報預警指揮智能處置能力,包括應急決策指揮、綜合展示和集中管理控制平臺等維度的內容。
監督檢查體系
依據行業網絡安全管理辦法,圍繞抓住“及時發現漏洞、及時有效處置漏洞”兩個關鍵,通過“查、改、罰”等有效手段,強化關鍵信息基礎設施安全監管,建立關鍵信息基礎設施安全監督檢查體系,行業各級關鍵信息基礎設施安全保護工作的主管部門定期監督檢查,結合行業關鍵信息基礎設施運營者自查,配合網信部門、公安部門的網絡安全檢查監測,形成監督檢查合力。
安全運營體系
網絡安全運營體系包括安全基線制定、日常安全運維,系統運行中安全評估、安全監測、滲透測試、漏洞修復、運維審計,日常應急演練,安全事件發生后的響應處置與分析優化策略調整等,以數據為核心的閉環網絡安全運營全流程。從而有效對安全威脅事件進行綜合研判和及時處置,并不斷閉環對運營體系進行優化。
基于商用密碼技術的數據安全防護
密碼是保障數據安全的核心技術,而商用密碼作為我國自主網絡安全技術的典型代表,是數字經濟安全發展的重要支撐,也是構建行業數據安全防護體系的重要基石。針對不同應用場景的合規性、透明度、加解密保護強度和計算效率等需求,提出了透明數據加密和應用內加密相結合的“雙保險”加密技術,有效兼顧了重要數據加密要求和應用需求,實現了數據安全和便捷高效應用。
場景化防護
傳統的“數據庫加密”往往體現為密文數據存儲到數據庫后的情形,一般局限于結構化數據,而行業數據一般不僅包含結構化數據,還擁有大量非結構化數據。而數據庫也只是數據處理的一個環節。行業數據安全保護對數據的收集、存儲、使用、加工、傳輸、提供、公開等數據全生命周期,主動實施安全防護,打造基于商用密碼的數據安全防護體系,防范侵害重要數據權益的行為發生。
結合數據業務與技術屬性,全環節主動式重建數據訪問規則,構筑有效的數據安全縱深防線,在風險可控的基礎上實現數據的增值和自由流轉。從這個角度出發,沿著數據流轉路徑,在信息各層關鍵節點,基于典型B/S三層信息系統架構的多個數據業務處理點基礎上,結合用戶場景和適用性需求,選擇一種或者組合多種存儲加密技術,保障數據的流轉及共享安全。
主要技術方法如下:
DLP(Data Leakage Prevention)終端加密技術,在受管控的終端上安裝代理程序,由代理程序與行業數據后臺交互,并結合數據管理要求和分級分類策略,對下載到終端的敏感數據進行加密,從而將加密應用到數據的日常流轉和存儲中。信息在本機使用時會進行解密,而未授權復制到管控范圍外則是密文形式。
應用內加密(集成密碼服務SDK),應用系統與封裝了加密業務邏輯的密碼服務SDK進行集成,通過密碼服務SDK調用行業密碼基礎設施服務,實現加解密,使行業數據具備數據加密防護能力。
透明數據加密(Transparent Data Encryption,簡稱為TDE),通過國產數據庫自帶的數據加密功能,與行業密碼基礎設施集成,在行業數據數據庫內部透明實現數據存儲加密、訪問解密。數據在落盤時加密,在數據庫內存中是明文,當攻擊者“拔盤”竊取數據,由于數據庫文件無法獲得密鑰而只能獲取密文,從而起到保護數據庫中數據的效果。
透明文件加密(Transparent File Encryption,簡稱為TFE),在國產操作系統的文件管理子系統上部署加密插件并與行業密碼基礎設施集成來實現數據加密,基于用戶態與內核態交付,可實現“逐文件逐密鑰”加密。在正常使用時,計算機內存中的文件以明文形式存在,而硬盤上保存的數據是密文,如果沒有合法的使用身份、訪問權限以及正確的安全通道,加密文件都將以密文狀態被保護。
全磁盤加密(Full Disk Encryption,簡稱FDE),通過動態加解密技術,對磁盤或分區進行動態加解密。FDE的動態加解密算法位于國產操作系統底層,其所有磁盤操作均通過FDE進行:當系統向磁盤上寫入數據時,FDE首先加密要寫入的數據,然后再寫入磁盤;反之,當系統讀取磁盤數據時,FDE會自動將讀取到的數據進行解密,然后再提交給操作系統。
將加密技術疊加到具體業務流程中,根據不同的業務場景開展重要數據安全防護,確定個性化部署加密方案。同時,基于高性能商用密碼技術的支撐,在不改變用戶操作習慣前提下,將安全機制與用戶現有流程快速耦合,保障業務高速發展下的數據安全使用。
“三權分立”
行業數據密碼應用基于業務用戶、運維用戶、安全用戶“三權分立”設計思路進行建設。業務用戶經藍證進行身份鑒定并經行業重要數據系統后臺鑒權后,才開展權限內的系統查詢、信息錄入、信息下載等操作。運維用戶經藍證進行身份鑒定并經行業重要數據系統后臺鑒權后,才能對系統代碼、業務策略、業務流程等進行修改,業務數據、業務操作日志等均為密文存儲,全程對運維用戶不可見。安全用戶經藍證進行身份鑒定并經行業重要數據系統后臺鑒權后,方可配合業務用戶、運維用戶對系統密鑰、系統加解密資源進行維護,業務數據、系統數據等均不對安全管理員開放。業務用戶、運維用戶、安全用戶根據職責不同,可再細分權限。
雙層防護
為解決行業重要數據在使用過程中性能、便利性與安全難以平衡的難題,密碼應用過程中,在系統后臺數據防護方面采用了“點”、“面”結合的雙層防護策略,首先在數據入庫時,采用透明數據加密技術進行“面”防護,通過國產數據庫自帶的數據加密功能,結合行業密碼基礎設施,在行業重要數據庫內部透明實現數據存儲加密、訪問解密,做到數據在寫入磁盤時進行加密,當攻擊者“拔盤”竊取數據時只能獲取密文,打開數據庫時,數據庫內容在內存中是明文,應用系統不需做任何改動。為進一步降低攻擊者通過數據庫內存攻擊竊取數據的風險,采用應用內加密(集成密碼服務SDK)的方式進行“點”防護,對行業重要數據系統進行改造,與行業密碼基礎設施進行集成,調用行業密碼基礎設施加解密服務,對重要、敏感數據進行字段加密,實現行業關鍵數據“雙保險”。
北京沃特咨詢有限公司 版權所有 京ICP備12020777號 客服熱線:010-85763025
地址:北京市西城區白廣路北口水利綜合樓
E-mail:szy@sinowbs.org Copyright ?2012-2025 All rights Reserved
掃碼關注
水利水務網
