公告啟事
2021年7月30日,國(guó)務(wù)院令第745號(hào)公布《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》(以下簡(jiǎn)稱《條例》),自2021年9月1日起施行,2021年8月17日正式對(duì)外頒布。該條例的頒布標(biāo)志著我國(guó)網(wǎng)絡(luò)安全法律法規(guī)建設(shè)和安全保障工作進(jìn)入一個(gè)新的階段。《條例》頒布一年以來(lái),各相關(guān)部門和有關(guān)機(jī)構(gòu)積極推進(jìn)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作,并取得顯著成效。在此,我聯(lián)盟特邀請(qǐng)行業(yè)內(nèi)數(shù)位專家對(duì)我國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作發(fā)表專家觀點(diǎn)并進(jìn)行系列報(bào)道,敬請(qǐng)關(guān)注。
文 | 水利部 蔡陽(yáng)
專家名片
蔡陽(yáng),水利部網(wǎng)信辦主任、信息中心主任,正高級(jí)工程師,長(zhǎng)期從事水利網(wǎng)絡(luò)安全和信息化、防洪減災(zāi)、水資源管理等工程建設(shè)與管理。享受國(guó)務(wù)院政府特殊津貼專家、國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)專家組成員、國(guó)家大數(shù)據(jù)專家咨詢委員會(huì)成員。
數(shù)據(jù)已成為國(guó)家基礎(chǔ)性戰(zhàn)略資源,數(shù)據(jù)安全問(wèn)題日益凸顯。國(guó)家先后頒布的《中華人民共和國(guó)網(wǎng)絡(luò)安全法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》《中華人民共和國(guó)數(shù)據(jù)安全法》《中華人民共和國(guó)個(gè)人信息保護(hù)法》均對(duì)數(shù)據(jù)和個(gè)人信息的管理提供了法制保障。顯然,對(duì)于行業(yè)重要數(shù)據(jù)類的關(guān)鍵信息基礎(chǔ)設(shè)施的安全保護(hù)提出了更高要求。在此背景下,針對(duì)行業(yè)重要數(shù)據(jù)類的關(guān)鍵信息基礎(chǔ)設(shè)施,我們提出了一種基于商用密碼技術(shù)的數(shù)據(jù)安全保護(hù)技術(shù),推動(dòng)行業(yè)重要數(shù)據(jù)在收集、存儲(chǔ)、使用、加工、傳輸、提供、公開(kāi)等過(guò)程中的安全應(yīng)用。
行業(yè)網(wǎng)絡(luò)安全基本防護(hù)要求
行業(yè)重要數(shù)據(jù)類關(guān)鍵信息基礎(chǔ)設(shè)施防護(hù)應(yīng)該建立在行業(yè)網(wǎng)絡(luò)安全基本防護(hù)基礎(chǔ)上。根據(jù)國(guó)家網(wǎng)絡(luò)安全相關(guān)政策標(biāo)準(zhǔn)要求,遵循行業(yè)網(wǎng)絡(luò)安全頂層設(shè)計(jì)和總體策略,落實(shí)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》以及網(wǎng)絡(luò)安全等級(jí)保護(hù)和關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)相關(guān)要求,以行業(yè)基礎(chǔ)設(shè)施、數(shù)據(jù)資源和業(yè)務(wù)應(yīng)用,尤其是關(guān)鍵信息基礎(chǔ)設(shè)施為安全保護(hù)對(duì)象,建立涵蓋人員組織、制度標(biāo)準(zhǔn)、工作規(guī)程在內(nèi)的全方位網(wǎng)絡(luò)安全組織管理體系;構(gòu)建縱深防御為基礎(chǔ)、監(jiān)測(cè)預(yù)警為核心、應(yīng)急響應(yīng)為抓手的全要素網(wǎng)絡(luò)安全技術(shù)體系;持續(xù)完善監(jiān)督檢查體系和安全運(yùn)營(yíng)體系,全面提升行業(yè)網(wǎng)絡(luò)安全保障能力。
組織管理體系
網(wǎng)絡(luò)安全組織管理體系以合規(guī)合法、責(zé)任到人為中心,主要涵蓋:網(wǎng)絡(luò)安全策略、管理制度、標(biāo)準(zhǔn)規(guī)范體系、管理機(jī)構(gòu)、人才隊(duì)伍、資金保障等多方面,為行業(yè)網(wǎng)絡(luò)安全建設(shè)提供強(qiáng)有力的支撐保障。
安全技術(shù)體系
遵循網(wǎng)絡(luò)安全總體策略,構(gòu)建涵蓋縱深防御、監(jiān)測(cè)預(yù)警和應(yīng)急響應(yīng)的整體技術(shù)防護(hù)體系。
縱深防御,網(wǎng)絡(luò)安全縱深防御能力包括基礎(chǔ)安全技術(shù)、統(tǒng)一安全服務(wù)2個(gè)方面。基礎(chǔ)安全技術(shù)構(gòu)成網(wǎng)絡(luò)安全等級(jí)保護(hù)安全合規(guī)運(yùn)營(yíng)的技術(shù)基礎(chǔ),也形成體系化的縱深防御安全能力基礎(chǔ);統(tǒng)一安全服務(wù)旨在構(gòu)建行業(yè)運(yùn)行所需的統(tǒng)一安全服務(wù)基礎(chǔ)設(shè)施,保證體系覆蓋范圍內(nèi)獲得一致性可持續(xù)的安全能力組件,也實(shí)現(xiàn)體系安全保障資源的集約化和各層級(jí)單位整合共享。
監(jiān)測(cè)預(yù)警,網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警能力以大數(shù)據(jù)分析平臺(tái)為基礎(chǔ),充分利用分布式處理、深度學(xué)習(xí)、異構(gòu)計(jì)算等大數(shù)據(jù)處理技術(shù),對(duì)行業(yè)內(nèi)部、外部網(wǎng)絡(luò)安全情報(bào)和網(wǎng)絡(luò)內(nèi)與網(wǎng)絡(luò)安全相關(guān)的各類數(shù)據(jù)信息進(jìn)行挖掘分析,對(duì)網(wǎng)內(nèi)安全狀態(tài)進(jìn)行實(shí)時(shí)感知和預(yù)警,并在行業(yè)內(nèi)進(jìn)行相關(guān)的數(shù)據(jù)共享。
應(yīng)急響應(yīng),網(wǎng)絡(luò)安全應(yīng)急響應(yīng)能力指基于威脅情報(bào)態(tài)勢(shì)感知的不同層級(jí)信息進(jìn)行應(yīng)急響應(yīng)。行業(yè)的安全能力進(jìn)一步從監(jiān)測(cè)響應(yīng)式主動(dòng)防御升級(jí)演進(jìn)到威脅情報(bào)預(yù)警指揮智能處置能力,包括應(yīng)急決策指揮、綜合展示和集中管理控制平臺(tái)等維度的內(nèi)容。
監(jiān)督檢查體系
依據(jù)行業(yè)網(wǎng)絡(luò)安全管理辦法,圍繞抓住“及時(shí)發(fā)現(xiàn)漏洞、及時(shí)有效處置漏洞”兩個(gè)關(guān)鍵,通過(guò)“查、改、罰”等有效手段,強(qiáng)化關(guān)鍵信息基礎(chǔ)設(shè)施安全監(jiān)管,建立關(guān)鍵信息基礎(chǔ)設(shè)施安全監(jiān)督檢查體系,行業(yè)各級(jí)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作的主管部門定期監(jiān)督檢查,結(jié)合行業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者自查,配合網(wǎng)信部門、公安部門的網(wǎng)絡(luò)安全檢查監(jiān)測(cè),形成監(jiān)督檢查合力。
安全運(yùn)營(yíng)體系
網(wǎng)絡(luò)安全運(yùn)營(yíng)體系包括安全基線制定、日常安全運(yùn)維,系統(tǒng)運(yùn)行中安全評(píng)估、安全監(jiān)測(cè)、滲透測(cè)試、漏洞修復(fù)、運(yùn)維審計(jì),日常應(yīng)急演練,安全事件發(fā)生后的響應(yīng)處置與分析優(yōu)化策略調(diào)整等,以數(shù)據(jù)為核心的閉環(huán)網(wǎng)絡(luò)安全運(yùn)營(yíng)全流程。從而有效對(duì)安全威脅事件進(jìn)行綜合研判和及時(shí)處置,并不斷閉環(huán)對(duì)運(yùn)營(yíng)體系進(jìn)行優(yōu)化。
基于商用密碼技術(shù)的數(shù)據(jù)安全防護(hù)
密碼是保障數(shù)據(jù)安全的核心技術(shù),而商用密碼作為我國(guó)自主網(wǎng)絡(luò)安全技術(shù)的典型代表,是數(shù)字經(jīng)濟(jì)安全發(fā)展的重要支撐,也是構(gòu)建行業(yè)數(shù)據(jù)安全防護(hù)體系的重要基石。針對(duì)不同應(yīng)用場(chǎng)景的合規(guī)性、透明度、加解密保護(hù)強(qiáng)度和計(jì)算效率等需求,提出了透明數(shù)據(jù)加密和應(yīng)用內(nèi)加密相結(jié)合的“雙保險(xiǎn)”加密技術(shù),有效兼顧了重要數(shù)據(jù)加密要求和應(yīng)用需求,實(shí)現(xiàn)了數(shù)據(jù)安全和便捷高效應(yīng)用。
場(chǎng)景化防護(hù)
傳統(tǒng)的“數(shù)據(jù)庫(kù)加密”往往體現(xiàn)為密文數(shù)據(jù)存儲(chǔ)到數(shù)據(jù)庫(kù)后的情形,一般局限于結(jié)構(gòu)化數(shù)據(jù),而行業(yè)數(shù)據(jù)一般不僅包含結(jié)構(gòu)化數(shù)據(jù),還擁有大量非結(jié)構(gòu)化數(shù)據(jù)。而數(shù)據(jù)庫(kù)也只是數(shù)據(jù)處理的一個(gè)環(huán)節(jié)。行業(yè)數(shù)據(jù)安全保護(hù)對(duì)數(shù)據(jù)的收集、存儲(chǔ)、使用、加工、傳輸、提供、公開(kāi)等數(shù)據(jù)全生命周期,主動(dòng)實(shí)施安全防護(hù),打造基于商用密碼的數(shù)據(jù)安全防護(hù)體系,防范侵害重要數(shù)據(jù)權(quán)益的行為發(fā)生。
結(jié)合數(shù)據(jù)業(yè)務(wù)與技術(shù)屬性,全環(huán)節(jié)主動(dòng)式重建數(shù)據(jù)訪問(wèn)規(guī)則,構(gòu)筑有效的數(shù)據(jù)安全縱深防線,在風(fēng)險(xiǎn)可控的基礎(chǔ)上實(shí)現(xiàn)數(shù)據(jù)的增值和自由流轉(zhuǎn)。從這個(gè)角度出發(fā),沿著數(shù)據(jù)流轉(zhuǎn)路徑,在信息各層關(guān)鍵節(jié)點(diǎn),基于典型B/S三層信息系統(tǒng)架構(gòu)的多個(gè)數(shù)據(jù)業(yè)務(wù)處理點(diǎn)基礎(chǔ)上,結(jié)合用戶場(chǎng)景和適用性需求,選擇一種或者組合多種存儲(chǔ)加密技術(shù),保障數(shù)據(jù)的流轉(zhuǎn)及共享安全。
主要技術(shù)方法如下:
DLP(Data Leakage Prevention)終端加密技術(shù),在受管控的終端上安裝代理程序,由代理程序與行業(yè)數(shù)據(jù)后臺(tái)交互,并結(jié)合數(shù)據(jù)管理要求和分級(jí)分類策略,對(duì)下載到終端的敏感數(shù)據(jù)進(jìn)行加密,從而將加密應(yīng)用到數(shù)據(jù)的日常流轉(zhuǎn)和存儲(chǔ)中。信息在本機(jī)使用時(shí)會(huì)進(jìn)行解密,而未授權(quán)復(fù)制到管控范圍外則是密文形式。
應(yīng)用內(nèi)加密(集成密碼服務(wù)SDK),應(yīng)用系統(tǒng)與封裝了加密業(yè)務(wù)邏輯的密碼服務(wù)SDK進(jìn)行集成,通過(guò)密碼服務(wù)SDK調(diào)用行業(yè)密碼基礎(chǔ)設(shè)施服務(wù),實(shí)現(xiàn)加解密,使行業(yè)數(shù)據(jù)具備數(shù)據(jù)加密防護(hù)能力。
透明數(shù)據(jù)加密(Transparent Data Encryption,簡(jiǎn)稱為TDE),通過(guò)國(guó)產(chǎn)數(shù)據(jù)庫(kù)自帶的數(shù)據(jù)加密功能,與行業(yè)密碼基礎(chǔ)設(shè)施集成,在行業(yè)數(shù)據(jù)數(shù)據(jù)庫(kù)內(nèi)部透明實(shí)現(xiàn)數(shù)據(jù)存儲(chǔ)加密、訪問(wèn)解密。數(shù)據(jù)在落盤時(shí)加密,在數(shù)據(jù)庫(kù)內(nèi)存中是明文,當(dāng)攻擊者“拔盤”竊取數(shù)據(jù),由于數(shù)據(jù)庫(kù)文件無(wú)法獲得密鑰而只能獲取密文,從而起到保護(hù)數(shù)據(jù)庫(kù)中數(shù)據(jù)的效果。
透明文件加密(Transparent File Encryption,簡(jiǎn)稱為TFE),在國(guó)產(chǎn)操作系統(tǒng)的文件管理子系統(tǒng)上部署加密插件并與行業(yè)密碼基礎(chǔ)設(shè)施集成來(lái)實(shí)現(xiàn)數(shù)據(jù)加密,基于用戶態(tài)與內(nèi)核態(tài)交付,可實(shí)現(xiàn)“逐文件逐密鑰”加密。在正常使用時(shí),計(jì)算機(jī)內(nèi)存中的文件以明文形式存在,而硬盤上保存的數(shù)據(jù)是密文,如果沒(méi)有合法的使用身份、訪問(wèn)權(quán)限以及正確的安全通道,加密文件都將以密文狀態(tài)被保護(hù)。
全磁盤加密(Full Disk Encryption,簡(jiǎn)稱FDE),通過(guò)動(dòng)態(tài)加解密技術(shù),對(duì)磁盤或分區(qū)進(jìn)行動(dòng)態(tài)加解密。FDE的動(dòng)態(tài)加解密算法位于國(guó)產(chǎn)操作系統(tǒng)底層,其所有磁盤操作均通過(guò)FDE進(jìn)行:當(dāng)系統(tǒng)向磁盤上寫入數(shù)據(jù)時(shí),F(xiàn)DE首先加密要寫入的數(shù)據(jù),然后再寫入磁盤;反之,當(dāng)系統(tǒng)讀取磁盤數(shù)據(jù)時(shí),F(xiàn)DE會(huì)自動(dòng)將讀取到的數(shù)據(jù)進(jìn)行解密,然后再提交給操作系統(tǒng)。
將加密技術(shù)疊加到具體業(yè)務(wù)流程中,根據(jù)不同的業(yè)務(wù)場(chǎng)景開(kāi)展重要數(shù)據(jù)安全防護(hù),確定個(gè)性化部署加密方案。同時(shí),基于高性能商用密碼技術(shù)的支撐,在不改變用戶操作習(xí)慣前提下,將安全機(jī)制與用戶現(xiàn)有流程快速耦合,保障業(yè)務(wù)高速發(fā)展下的數(shù)據(jù)安全使用。
“三權(quán)分立”
行業(yè)數(shù)據(jù)密碼應(yīng)用基于業(yè)務(wù)用戶、運(yùn)維用戶、安全用戶“三權(quán)分立”設(shè)計(jì)思路進(jìn)行建設(shè)。業(yè)務(wù)用戶經(jīng)藍(lán)證進(jìn)行身份鑒定并經(jīng)行業(yè)重要數(shù)據(jù)系統(tǒng)后臺(tái)鑒權(quán)后,才開(kāi)展權(quán)限內(nèi)的系統(tǒng)查詢、信息錄入、信息下載等操作。運(yùn)維用戶經(jīng)藍(lán)證進(jìn)行身份鑒定并經(jīng)行業(yè)重要數(shù)據(jù)系統(tǒng)后臺(tái)鑒權(quán)后,才能對(duì)系統(tǒng)代碼、業(yè)務(wù)策略、業(yè)務(wù)流程等進(jìn)行修改,業(yè)務(wù)數(shù)據(jù)、業(yè)務(wù)操作日志等均為密文存儲(chǔ),全程對(duì)運(yùn)維用戶不可見(jiàn)。安全用戶經(jīng)藍(lán)證進(jìn)行身份鑒定并經(jīng)行業(yè)重要數(shù)據(jù)系統(tǒng)后臺(tái)鑒權(quán)后,方可配合業(yè)務(wù)用戶、運(yùn)維用戶對(duì)系統(tǒng)密鑰、系統(tǒng)加解密資源進(jìn)行維護(hù),業(yè)務(wù)數(shù)據(jù)、系統(tǒng)數(shù)據(jù)等均不對(duì)安全管理員開(kāi)放。業(yè)務(wù)用戶、運(yùn)維用戶、安全用戶根據(jù)職責(zé)不同,可再細(xì)分權(quán)限。
雙層防護(hù)
為解決行業(yè)重要數(shù)據(jù)在使用過(guò)程中性能、便利性與安全難以平衡的難題,密碼應(yīng)用過(guò)程中,在系統(tǒng)后臺(tái)數(shù)據(jù)防護(hù)方面采用了“點(diǎn)”、“面”結(jié)合的雙層防護(hù)策略,首先在數(shù)據(jù)入庫(kù)時(shí),采用透明數(shù)據(jù)加密技術(shù)進(jìn)行“面”防護(hù),通過(guò)國(guó)產(chǎn)數(shù)據(jù)庫(kù)自帶的數(shù)據(jù)加密功能,結(jié)合行業(yè)密碼基礎(chǔ)設(shè)施,在行業(yè)重要數(shù)據(jù)庫(kù)內(nèi)部透明實(shí)現(xiàn)數(shù)據(jù)存儲(chǔ)加密、訪問(wèn)解密,做到數(shù)據(jù)在寫入磁盤時(shí)進(jìn)行加密,當(dāng)攻擊者“拔盤”竊取數(shù)據(jù)時(shí)只能獲取密文,打開(kāi)數(shù)據(jù)庫(kù)時(shí),數(shù)據(jù)庫(kù)內(nèi)容在內(nèi)存中是明文,應(yīng)用系統(tǒng)不需做任何改動(dòng)。為進(jìn)一步降低攻擊者通過(guò)數(shù)據(jù)庫(kù)內(nèi)存攻擊竊取數(shù)據(jù)的風(fēng)險(xiǎn),采用應(yīng)用內(nèi)加密(集成密碼服務(wù)SDK)的方式進(jìn)行“點(diǎn)”防護(hù),對(duì)行業(yè)重要數(shù)據(jù)系統(tǒng)進(jìn)行改造,與行業(yè)密碼基礎(chǔ)設(shè)施進(jìn)行集成,調(diào)用行業(yè)密碼基礎(chǔ)設(shè)施加解密服務(wù),對(duì)重要、敏感數(shù)據(jù)進(jìn)行字段加密,實(shí)現(xiàn)行業(yè)關(guān)鍵數(shù)據(jù)“雙保險(xiǎn)”。
北京沃特咨詢有限公司 版權(quán)所有 京ICP備12020777號(hào) 客服熱線:010-85763025
地址:北京市西城區(qū)白廣路北口水利綜合樓
E-mail:szy@sinowbs.org Copyright ?2012-2024 All rights Reserved
微信掃一掃
水務(wù)論壇公眾微信
關(guān)注有驚喜
