随着国家标准GB/T 39477—2020《信息安全技术 政务信息共享 数据安全技术要求》正式实施,以政务数据安全防护为核心,重点围绕政务敏感数据管理及控制、敏感数据安全风险控制及安全运营构建一整套针对政务信息共享场景下的数据安全防护机制势在必行,标准的颁布实施将为各级政务信息共享平台数据的安全建设提供指导和参考依据。主要从政务信息共享数据安全国家标准的应用实践角度阐述政务信息共享场景下对数据安全的影响、面临的风险,探讨政务数据安全防护机制的架构设计、关键能力建设与核心技术应用。

内容目录:

0 引 言

1 政务数据安全风险

1.1 政务信息共享场景带来的数据安全影响

1.2 政务数据安全风险

1.2.1 数据基础设施安全风险

1.2.2 数据流转安全风险

2 政务数据安全防护总体设计

2.1 设计理念

2.2 总体架构

3 政务数据安全防护关键能力

3.1 数据库基础安全能力

3.2 敏感数据管理能力

3.3 数据安全风险控制能力

3.3.1 数据流量风险分析检测

3.3.2 行为风险分析检测

3.3.3 风险审计溯源

3.3.4 数据风险控制

3.4 数据安全运营管理能力

4 政务数据安全防护核心技术

4.1 数据脱敏技术

4.2 用户实体行为分析技术

4.3 数据库透明加解密技术

5 结 语

0 引 言

根据国务院办公厅《关于印发政务信息系统整合共享实施方案的通知》(国办发〔2017〕39号文)要求,加快推动基于电子政务外网的政务信息系统整合共享,通过国家数据共享交换平台(政务外网),实现部门之间、部门与地方政府部门之间的数据共享交换。要求各级政府相关部门加强政务信息资源采集、共享、使用的安全保障工作,加强统一数据共享交换平台安全防护,切实保障政务信息资源共享交换的数据安全。

随着国家数据共享交换平台的建设,数据正在源源不断、常态化、大量地聚集到共享平台或通过共享平台交换。这些数据有如下特点:

一是敏感性。大量数据是与国民经济、社会发展、国家治理紧密相关的信息以及大量的个人隐私、商业机密信息和政务信息。

二是受控性。提供数据源的单位对数据采取了严格授权管理,标记了数据的敏感性和查询或发布范围,对数据访问采取了一定的审计措施,有些权限或要求在传递后仍应保留。

三是流动性。中央政务部门和地方各级政务部门通过共享平台体系申请数据服务并获得数据的共享使用,数据再流向各级基层,且数据交互规模不容小觑。

政务信息共享与交换带来诸多亟待解决的安全问题,尤其是数据安全问题是政务部门极度关注的问题,也是影响国家数据资源开展共享交换的重要因素。国家标准 GB/T 39477—2020《信息安全技术 政务信息共享 数据安全技术要求》(以下简称标准)的制定与颁布实施,首次针对政务信息资源共享交换场景以及承载共享交换应用的平台围绕数据流转过程,提出了数据安全技术要求,有助于强化国家、省级、地市级等多级数据共享交换平台建设,保障部门之间、部门与地方政府部门之间、地方政府部门之间的政务信息资源有序共享与交换,有效提升政务信息共享数据安全性,并指导和规范解决政务信息共享与交换环节数据泄露、数据滥用和管理责任难以界定等方面的问题。

1 政务数据安全风险

本文将分析政务共享数据在全生命周期流转过程中所面临的安全风险,从不同层级、不同场景和基础设施建设等方面提供安全思路。

1.1 政务信息共享场景带来的数据安全影响

当前随着全国各省、市、地区数字化政府转型的信息化建设开展,各级政府电子政务外网、政务云平台、共享开放平台等关键设施建成贯通并投入使用,围绕政务业务治理和公共服务的转型需要,采用集约化建设方式,加快推进政务基础资源整合、政务信息系统共享和政务数据开放,为提升政务工作部门效率、更好利企便民提供有力支撑。

随着数字化建设成果的应用,数据业务化运营、政务行业的业务开展由以部门为中心转型为以人民为中心,场景的转变带来了数据流转环境的巨大转变:

(1)数据流动的变化:从“原有场景下固化的数据流动”到“新场景下每天海量动态数据共享交换”。

(2)安全域的变化:从“数据仅会在有限且可控的安全域内被使用”到 “随着几十到数百个部门的接通,数据会跨越不同的不可控安全域使用”。

(3)数据存储的变化:从“原有场景下数据分别在各部门安全域中分散存储”到“随着地方或行业大力推进数据汇聚,海量数据集中存储”。

(4)数据责任主体的变化:从“数据提供方、数据使用方共同协商主体责任”到“数据提供方、数据使用方不断转变,主体已经交叉混淆”。

(5)数据接触人员变化:从“数据的业务流程可见,接触人员相对较少”到“数据业务流程繁杂不可见,接触人员变多”。

面临这些转变,在数据汇聚、数据共享、数据开放三个阶段及对应的应用场景下,原有数据安全能力缺陷和短板也随之凸显出来。各阶段场景下数据安全现状如下。

(1)数据汇聚。基础平台自身安全控制措施薄弱,核心敏感数据大量集中,缺乏有效分级保护,多方复杂数据加工过程缺乏细粒度的授权和审计机制。

(2)数据共享。数据管理权与数据使用权分离,数据跨部门(安全域),跨域留存,安全策略不一致,不当授权或第三方滥用,缺乏有效监管跟踪。

(3)数据开放。未有效评估数据开放的安全影响,数据开放接口安全机制不完备,缺乏有效的隐私敏感控制保护机制。

1.2 政务数据安全风险

政务大数据应用场景下,站在传统安全视角和以数据为中心的安全视角来看,政务场景下的数据安全主要集中在两个维度:数据基础设施安全和数据流转安全。

数据基础设施安全包含原有的网络、主机、应用,数据库,大数据相关等关键设施的安全防护和风险识别。

数据流转安全主要聚焦在政务大数据相关场景下,以数据为中心的数据全生命周期安全监管防护和风险识别。

1.2.1 数据基础设施安全风险

对于数据基础设施安全风险范畴中网络、主机、应用乃至数据库的安全风险,更侧重于传统安全,不再过多赘述。而对于大数据相关平台设施,风险主要体现在三个方面。

(1)设施自身的安全措施完备度:如大数据相关技术组件多基于开源,组件的自身漏洞更容易被发现和恶意利用。

(2)设施之间的安全措施差异:不同大数据组件对接云计算应用、大数据平台、大数据应用,在整体业务系统中多个安全措施并没有严格遵守安全策略一致性原则,“木桶短板效应”将最终决定整体的安全水准。

(3)新型设施的安全措施防护:由于政务大数据建设是一个复杂的多元化技术融合的过程,相对于新型设施的安全防护,传统安全措施存在死角,易被黑客或者内部违规等行为所利用。

1.2.2 数据流转安全风险

数据流转风险存在于政务公共大数据流转情况下,汇聚、共享、开放等各个阶段场景中。

(1)数据汇聚。

核心敏感数据大量汇聚并集中存储,数据的访问缺乏细粒度的权限控制,一旦基础防护被突破或在运维、BI分析等场景下通过特权账户接入,将为获取更核心、更重要、价值密度更高的数据提供极大便利。

多方复杂数据加工,很可能因为数据权限划分粒度过粗,从而获取到多方的公开或密级较低的数据,进行聚合加工后得到密级较高的敏感数据,新加工得到的数据同样因为缺少精确的权限控制,存在被窃取或泄漏等风险。此外,在整个过程中往往缺少监控审计机制,事件难于追溯定位。

(2)数据共享。

共享交换场景中,数据的使用方往往可能不是数据的拥有方,故数据事件相关责任界定原则往往难于形成共识,数据在使用环节反倒没有得到完备的保护,可能出现数据在跨部门、跨域留存时,因安全策略不一致而发生被窃取、泄漏等情况。

此外,由于共享交换中数据审核方对数据请求方的请求目的审查不清等原因,导致不当授权,对流出数据的流向和使用缺乏有效监管、跟踪,导致产生极大的数据滥用或误用的隐患。

(3)数据开放。

数据开放通常是业务发展的需要来驱动的,可能会发生没有经过科学严密分析,没有成熟的安全模型和必要安全措施,保证数据公开前经过全面的审查和绝对脱敏,有些通过数据开放接口提供的,其接口安全机制不完备,提供了可利用的接口漏洞,后果也很严重。

另外,对于开放出去的数据由于不可能做到叠加历史数据或其他渠道取得数据的比对分析,很难做到有效的风险预估和开放控制机制,恶意人员可通过正常的途径获取到敏感信息点。

2 政务数据安全防护总体设计

综合多维安全风险考虑、政务场景数据安全建设需求,由于采用传统网络安全产品或者解决方案很难应对,需要针对场景细化后所识别出来的各种风险,并且结合当前安全领域从识别到防护、从感知到响应、从审计到监控的发展思路,为涵盖政务大数据平台、政务大数据应用、政务共享交换的数字化政务一体化平台建立一套体系化技术解决方案。

2.1 设计理念

参考Gartner在DCAP(Data Centric Audit and Protection,以数据为中心的审计和保护)理念中给出的数据安全策略为:数据分类和发现、数据安全策略管理、用户权限和数据访问活动的检测、审计和报告、行为分析、告警和阻断、数据保护。

政务大数据建设场景中,以数据为中心,在做好网络、主机、应用等一系列基础设施安全建设的基础上,既要做好大数据层面的设施加固,又要将数据库安全防护和风险控制从点到面拉通形成安全策略一致的体系网络;既要对数据形成资产化的精细管理控制,又要对数据做到全生命周期流转的安全防护和流转过程中的风险感知;既要对数据安全事件快速定位溯源,又要在溯源过程和日常审计中构筑风险监控能力;既要有人机高度结合的运营管控对接,又要不断迭代形成智能化学习自动化运营。

2.2 总体架构

政务数据安全防护机制以模块化联动的架构理念,针对数据库、大数据平台、共享交换平台、大数据应用等相关对象场景构建的一整套基于敏感数据的全生命周期安全管理、数据访问控制、数据安全风险控制、安全态势监管预警与运营防护等能力兼备的安全防护体系(如图1所示)。

图1 政务数据安全防护机制总体架构

政务数据安全防护机制总体架构主要包含四个主体模块:敏感数据识别模块、数据安全风险策略模块、数据安全防护模块、数据安全运营管理模块。

(1)敏感数据识别模块。为整个产品体系提供敏感数据管理支撑,包含敏感数据的定义、敏感数据流转监控、权限策略访问控制机制以及脱敏等风控技术储备。

(2)数据安全风险策略模块。除提供基础的审计和风险事件溯源能力外,基于敏感数据管理的策略,从数据流量、人员行为等视角建立威胁分析模型进行风险监测和未知风险预测,并结合自身风险控制策略管理,联动加密、脱敏等风控技术工具实时执行风险控制。

(3)数据安全防护模块。面向数据库、大数据平台等数据存储实体构建全体系的虚拟化代理机制,基于敏感数据管理策略形成全局的数据一体化细粒度防护。

(4)数据安全运营管理模块。提供全局的配置、策略管理、风险预警通报、应急响应等统一运营的平台化界面,结合人工运营,完善数据安全在运行层面的管控和预警分析。

3 政务数据安全防护关键能力

目前在各业务领域的数据中心普遍应用的数据库系统对外部用户、运维人员、开发人员等账号角色权限划分粒度较粗,只有基本的基于等级的权限控制,且与已有的权限管理机制割裂运行,因而往往设置使用公用的高权限的账号、密码,使数据库处于高度危险的状态,数据也处于完全“裸奔”的状态,导致数据库勒索病毒、误删误改数据、数据泄密等事件时有发生,且审计对象混乱模糊,溯源定位困难。

3.1 数据库基础安全能力

政务数据安全防护系统的数据库基础安全能力包括:基于虚拟化数据库(数据库代理),结合细粒度的数据库权限访问控制,并内置数据库访问语句的语意内容级验证分析和阻断能力,从实体数据库外部隔离安全隐患。此外,融合了强大的轻量级、重量级等不同应用模式的敏感数据管理能力,针对性地支撑敏感数据动态脱敏功能,极大方便了敏感数据管理和脱敏处理,有效防止了敏感信息泄露。数据库基础安全能力技术原理架构如图2所示。

图 2 数据库基础安全能力技术原理

3.2 敏感数据管理能力

对于建设聚焦于敏感数据资产化管理的敏感数据资产管理体系,可以有效帮助管理者清晰地掌握系统中敏感数据的分布、流转和使用情况,有利于对敏感数据进行监控。通过着力于敏感数据资产本身的数据权限管理策略,能够将管理力度进一步深入敏感数据流转的风险控制层面,从而有效抑制数据泄漏、滥用等风险隐患。

除此之外,基于敏感数据管理策略,对于全生命周期流转的敏感数据提供动态敏感脱敏能力,能够灵活有效地在保障敏感数据流转的各个业务场景下的关键环节中,使敏感数据无死角动态脱敏。

3.3 数据安全风险控制能力

综合分析各类数据风险产生的源头可以发现,数据安全隐患大多是基于数据的集聚、流动等运营过程中产生的,所以构建数据安全防护思路和安全监测机制极具必要性,本文主要提供四个风险点分析。

3.3.1 数据流量风险分析检测

敏感数据流量风险分析系统是整体数据安全风控平台的核心部分之一,通过对采集的敏感数据相关信息,使用规则、数据模型等各种手段进行分析、比对,发现敏感数据的风险行为。

敏感数据流量风险分析需具备的核心能力为全量流量采集、敏感数据流量监测、异常数据流量监测、泄漏数据流量监测。

3.3.2 行为风险分析检测

行为风险分析系统是整体数据安全风控平台的核心部分之一,通过对用户的数据访问行为进行分析,并结合敏感数据资产的安全策略发现行为风险并预警。

3.3.3 风险审计溯源

风险审计溯源是通过完善的数据审计功能,支持对敏感数据泄露事件进行有效追踪和溯源,通过敏感数据流动情况分析出风险产生的原因,从根源解决数据风险问题,通过审计的不断训练建立针对性监督机制,结合流量分析和用户行为分析,以主体关联识别为重点实现回溯每个关键主体的恶意行为。

3.3.4 数据风险控制

数据风险控制是对通过流量分析、行为分析以及审计分析发现的数据风险事件及时采取相关的安全保护动作,例如对敏感数据的动态脱敏等,以快速阻断正在发生的数据泄露事件。

3.4 数据安全运营管理能力

建设数据安全运营管理能力应从以下几方面入手。

首先是集中管控,应构建统一的数据运营管理平台,其基本职能是要将整套数据安全防护体系中所有功能组件以最小归集化的融合管控,成为数据安全使用、应用、运行等功能的唯一入口。

其次是态势监控,应该将数据安全监控的状态、效果显性化,将抽象的数据安全态势转化成直观、可视的实体。从数据生产、传输、存储、处理、交换、销毁的全生命周期视角,实时展现当前敏感数据流转的态势和数据安全风险,第一时间掌控数据安全态势,快速决策,效指导当前敏感数据流转的态势和数据安全风险,第一时间掌控数据安全态势,快速决策,有效指导运维团队定位和解决数据风险。

最后是安全运营,安全运营主要从日常运维、安全事件应急处理、安全策略加固三大维度定义。对于数据运营管理平台来说,完整涵盖在运营服务的任务需求、技术工具需求等场景中关联的功能是不现实的,因此安全运营平台在运营层面的要求应能够切实满足日常和关键应急需要。

4 政务数据安全防护核心技术

数据安全带来的新挑战十分复杂,在政务数据资源共享过程中,创新应用多种安全技术保障政务信息共享平台稳定运行,目前主流关键技术主要包括数据脱敏、用户实体行为分析、数据库透明加解密技术。

4.1 数据脱敏技术

数据脱敏又称数据漂白、数据去隐私化或数据变形,通过数据脱敏技术实现对敏感隐私数据的安全保护,避免敏感数据出现泄露。

数据脱敏目前已经发展为一种安全技术系列,可以分别按照脱敏应用方式及实现技术两个维度进行分类:按照脱敏应用方式、是否在使用敏感数据当时进行脱敏。

静态脱敏:在使用数据之前建立并存储经过脱敏的数据副本。

动态脱敏:在使用数据当时进行数据脱敏处理,不产生副本存储。

4.2 用户实体行为分析技术

用户行为分析UBA(User Behavior Analytics)的概念是由Gartner于2014年提出,初期主要是应对日益增长的内部威胁。但是这些内部人员恶意或违规行为因其具有复杂性和不可预测性,不易被传统的技术如DLP技术检测。随之,实体“Entity”的概念也在渐渐引入UBA技术,从而演变成为用户实体行为分析(User Entity Behavior Analytis,UEBA)。这里的E更多的是指IT资产或设备,如服务器、终端、网络设备,通过行为异常分析发现外部的网络攻击、内部的横向移动或者主机自身遭受病毒入侵行为。

UEBA技术逐步成为解决内部威胁以及相关安全应用场景的主要方案之一,是通过对人类行为数据的分析,将数据主体的行为模式进行分类。从对数据访问者行为分析中检测出“有异常的行为”,即所谓潜在的数据主体威胁异常行为。

4.3 数据库透明加解密技术

数据库透明加解密技术是一种基于透明加解密技术的安全加密技术,该技术能够实现对数据库数据的加密存储、访问控制增强、应用访问安全、权限隔离以及三权分立等功能。密码基础设施系统基于主动防御机制,有效防止明文存储引起的数据泄密、来自内部高权限用户的数据窃取、防止绕开合法应用系统直接访问数据库,从根本上解决数据库敏感数据泄漏问题,实现数据高度安全、应用完全透明、密文高效访问等技术特点。

数据库透明加解密技术应满足密码部门发布的密码应用基本要求标准及信息安全等级保护2.0国家标准的有关规定,应支持多种国密算法(如 SM2、SM3、SM4、SM9)为数据安全防护提供高效的密码运算和加解密服务,保证敏感数据的机密性、真实性、完整性和抗抵赖性。

5 结 语

GB/T 39477—2020《信息安全技术 政务信息共享 数据安全技术要求》标准由国家信息中心、深圳奥联信息安全技术有限公司、中国电子技术标准化研究院、公安部信息安全等级保护评估中心、国家保密科技测评中心、中国信息安全测评中心、国家信息技术安全研究中心等 19 家单位共同制定,该标准是“政务数据开放共享标准体系”的重要组成部分,标准在国内首次提出了政务信息资源数据流转全过程中的身份认证、数据脱敏、数据加密等数据安全技术要求。通过制定并实施政务信息共享数据安全标准,推进各级政务部门电子政务领域数据应用,有效提升政务信息资源采集、共享、使用过程的数据安全防护能力,全面保障政务信息资源共享交换的数据安全。

引用本文:罗海宁.政务信息共享数据安全国家标准的应用实践研究[J].信息安全与通信保密,2021(6):2-10.

作者简介

罗海宁(1980—),男,硕士,高级工程师,主要研究方向为网络安全、云计算安全、大数据安全、密码技术应用。

选自《信息安全与通信保密》2021年第6期(为便于排版,已省去原文参考文献)

声明:本文来自信息安全与通信保密杂志社,版权归作者所有。文章内容仅代表作者独立观点,不代表士冗科技立场,转载目的在于传递更多信息。如有侵权,请联系 service@expshell.com。