基于国家标准要求的政务数据共享安全架构研究- 大数跨境

首页

基于国家标准要求的政务数据共享安全架构研究

奥联信息安全

2021-06-30

导读：数据已成为基础生产要素之一，数据安全尤为重要，国家已发布多个针对数据安全的法规、政策及标准。

作者：京信数据科技有限公司——周健雄、梁孟

摘要

针对政务数据共享过程中所存在的身份可信风险、数据传输风险、数据存储风险、数据处理风险及数据使用风险，结合由全国信息安全标准化技术委员会归口上报及执行的GB/T 39477—2020《信息安全技术政务信息共享数据安全技术要求》的安全技术要求，提出针对政务数据共享安全的整体架构设计思路，核心以“明确定级、事前保护、事中响应、事后追溯、全程可信”的思路建成政务数据共享全程可信的安全体系，并建议从找差距、建体系、挖重点及做验证四个步骤逐步建成政务数据共享安全架构。

0　引　言

2020年11月，由全国信息安全标准化技术委员会归口上报及执行的GB/T 39477—2020《信息安全技术政务信息共享数据安全技术要求》（以下简称本标准）获批正式发布（2021年6月正式实施），本标准针对政务信息共享交换过程三方（共享数据提供方、共享数据交换服务方与共享数据使用方）及三阶段（共享数据准备、共享交换和共享数据使用）提出了近150项安全技术要求，指导政务信息共享交换数据安全体系建设，增强政务信息共享交换全过程的数据安全保障能力。本文主要基于本标准的要求，探讨一种在可控成本内快速部署应用的政务数据共享安全解决方案，为各区域基于本标准进行安全改造加固提供参考。

1　政务数据共享风险分析

政务数据共享核心目的在于建立统一的政务数据共享交换渠道，连通各政府机关部门，实现政务数据的共享及汇聚，根据国家标准GB/T 21062.1—2007《政务信息资源交换体系第1部分：总体框架》的要求，政务数据共享一般以前置节点的方式进行共享交换，即业务部门将数据推送到其管理的前置节点中，中心节点通过转发或分发的方式提供给使用部门的前置节点，使用部门在其管理的前置节点中获取数据进行使用，基于此模式存在的安全风险如图1所示。

图1　政务数据共享安全风险

1.1　身份可信风险

在整个政务数据共享交换环节中，涉及三个主要角色：一是数据提供方；二是数据使用方；三是平台服务方。三个角色均可通过不同的权限接触到数据，一旦身份被破解泄露，那么就很容易造成数据泄露的风险。尽管政务数据共享交换平台一般都会提供身份验证服务，但身份验证的程度会有所不同，大部分仍仅仅采用账号加口令的方式进行登录，容易被破解，而且随着政务数据应用场景的不断增多，将会有更多身份角色进入政务数据的共享体系中，从而进一步提升了平台在身份认证上的风险性。身份认证作为政务数据共享安全的第一道关卡，必须要有足够安全的方式去进行身份认证，确保使用用户身份的可信。

1.2　安全传输风险

政务数据共享交换核心目的在于建立统一的政务数据共享交换渠道，即统一的数据传输通道，从整个政务数据共享交换的场景来看，涉及数据传输的包括提供部门业务库到前置节点业务库、提供部门前置节点业务库到中心节点存储库、中心节点存储库到使用部门前置节点业务库、使用部门前置节点业务库到使用部门业务库中四个主要环节，由于政务数据共享交换平台一般是建设在政务外网的网络体系，从常规来说网络安全具有一定的安全性，因此在数据传输过程中，一般数据及敏感数据均以明文传输为主。然而若有不法人员在能进入政务外网的前提下，通过探针工具就可以很容易获取到传输过程中的政务数据，然后再通过物理介质或其他方式将数据进行导出，因此在政务外网的安全网络场景下，以明文传输的方式进行数据传输依然存在较大的数据泄露风险，故需要对数据传输通道进行加密或对数据直接进行加密。

1.3　数据处理风险

政务数据共享场景更多的是将原始数据进行共享，然而在一些特定场景下，需要对数据进行简单的治理，如去除重复数据、无效字符的处理等，这些操作将会有权限直接对原始数据进行管理，可能面临以下风险：一是运维人员可直接将数据导出的风险；二是原始数据被篡改的风险，从而导致原始数据的不可用或造成使用部门在业务使用环节出错。因此，在对数据处理的环节中，需要有对运维人员细颗粒度的权限管理，同时要做好对数据处理日志的记录，做到风险的及时发现及事后追溯。

1.4　数据存储风险

政务数据共享交换场景下，存在采集与分发的模式，采集即将共享数据存储在中心节点中，因此中心节点会存储大量的政务共享数据，而大量的数据存储必然会存在更高的泄露风险。一是目前由于从国家层面尚未对政务数据安全给出分级规范，大部分政务数据都是进行统一的存储，并不会区分一般数据与敏感数据的安全存储级别，容易导致敏感数据的泄露；二是运维人员对数据库具有较大的管理权限，可对数据进行查询、导出等操作；三是若被黑客直接攻入数据库中，因在存储层无对应的安全措施，极容易进行拖库的操作。因此，在政务数据共享交换存在数据存储的场景下，除了要对自身的存储环境进行安全加固，还需要对数据自身的安全进行加固，从而确保数据存储安全。

1.5　数据使用风险

政务数据共享交换场景下，数据使用一般是指使用部门对政务数据的使用，然而提供部门在将数据提供给使用部门后，其管理权已无法去监控数据被使用的情况，因此为能尽量降低数据在被使用时的风险性，可在不影响使用部门正常业务开展的情况下，对数据进行脱敏或加密的处理，使用部门在使用过程中对加密的数据进行解密使用，从而尽量降低数据使用过程中的风险。

2　政务数据共享安全架构设计

围绕政务数据共享场景所存在的四个风险，结合国家标准《信息技术安全政务信息共享数据安全要求》的安全要求，下述将探索研究一套能涵盖政务数据共享及政务大数据应用等场景的安全架构。

2.1　政务数据共享安全架构的设计逻辑

综合政务大数据建设过程以及建设成果应用的多维安全风险考虑，政务场景的数据安全建设需求已经不是当前任何一种已有的安全产品或者解决方案可以完全满足与覆盖，而是需要针对场景细化后所识别出来的各种风险，并且结合当前安全领域从识别到防护、从感知到响应、从审计到监控的发展思路，建立一套能涵盖政务共享交换及政务大数据应用等场景的体系化安全解决方案。结合政务数据共享交换场景的安全需求，政务数据共享安全防护解决方案将按照“明确定级、事前保护、事中响应、事后追溯、全程可信”的思路进行设计，如图2所示。

图2　政务数据共享安全架构设计逻辑

政务数据共享安全防护解决方案具体思路如下：

（1）明确定级：确定所涉及数据安全的等级，并根据等级制定安全策略，并依照执行；

（2）事前保护：根据定级规则对数据进行安全防护，如对敏感数据进行加密存储、设置数据的访问权限、增加人员的身份认证机制等；

（3）事中响应：在对数据进行操作期间，应具备发现危险行为的能力，进行预警并可以进行阻止，及时根据数据安全等级及配套的安全策略进行响应执行；

（4）事后追溯：包括对常规行为的审计与追溯及因安全漏洞所产生的风险行为，可以通过技术手段追溯该行为的操作过程；

（5）全程可信：对基于安全行为的所有操作均进行区块链的上链设置，确保记录的可信。

其中上述明确定级、事前保护、事中响应、事后追溯为循环关系，即通过事前、事中及事后安全措施的执行，可根据实际情况调整数据的安全等级，如分析得到某些数据经常出现风险行为，即可在定级时将该数据再提升一个安全等级，以确保后续的使用安全，从而形成一套可持续运作的安全保障体系。

2.2　政务数据共享安全整体架构

基于“明确定级、事前保护、事中响应、事后追溯、全程可信”的安全思路，结合国家标准《信息技术安全政务信息共享数据安全要求》针对政务数据共享交换场景近150项的安全要求，政务数据共享安全防护体系整体架构设计如图3所示。

图3　政务数据共享安全防护架构

整体安全架构的设计主要根据交换场景的核心环节进行设计，以实现政务数据共享交换从政务数据准备、共享到使用全流程的安全防护为目标，主要包括四个环节的安全措施：

（1）前置节点安全措施：采用数据加密、数据审计及数据防泄漏的安全措施确保前置节点的安全；

（2）数据传输安全措施：采用构建安全传输通道的技术确保数据传输的安全；

（3）交换平台安全措施：采用细颗粒度的权限管理、操作审计及授权审批等方式确保平台的安全使用；

（4）中心节点安全措施：采用数据脱敏、数据加密、数据审计、数据溯源及数据防泄漏的安全措施确保中心节点数据的存储安全。

整体安全是指基于区块链机制对核心操作行为进行上链记录，确保记录不可篡改的可信性及可追溯性。

结合政务数据共享交换的流程及上述安全措施，政务数据共享安全防护体系实施路径如图4所示。

图4　政务数据共享安全防护体系实施路径

上述流程图实现的安全防护效果如下：

（1）部门用户登录前置业务系统时，对其身份进行校验，并授权其对应的访问权限。

（2）在前置节点中支持对敏感数据的加密处理，同时配套数据防泄漏的措施，防止用户产生数据泄露的行为，若需要提供敏感数据进行使用时，可基于脱敏系统根据安全规则对数据进行脱敏后再对外进行提供。

（3）数据通过安全传输通道传递给中心节点，在中心节点支持对数据的加密、审计、溯源的操作。

（4）运维用户登录共享交换平台对数据进行操作时，亦需要进行身份校验及授权访问；在交换平台进行的高危操作需要进行授权审批及设置对应的安全策略进行风险预警。

（5）数据传递给使用部门的前置节点及使用部门用户登录的安全防护措施与提供部门的类似。

（6）所有操作行为均进行上链记录，可通过区块链特有的浏览器去查询校验数据情况及进行追溯处理。

2.3　核心安全技术应用

基于上述架构设计，为实现政务数据共享的全程可信，在安全技术应用上将会涉及身份认证、安全传输、数据加密、数据脱敏、数据水印、可信溯源及数据防泄漏等技术。

（1）身份认证技术：在国标中明确要求应采用如用户名/口令、一次性口令、数字证书、标识密码、生物特征等技术实现交换两端的用户身份鉴别，其中用户名/口令及一次性口令常规使用在数字证书、标识密码及生物特征三种技术应用上，通过比对分析（如表1所示）采用SM9标识密码算法的方式对于改造、维护及扩展上相对较好。

（2）安全传输技术：在安全传输技术上一般会采用IPSec、SSL或者新国标TLCP，2020年GM/T 0024—2014《SSL VPN 技术规范》行业标准上升为国家标准GB/T 38636—2020《信息安全技术传输层密码协议（TLCP）》，TLCP国家标准规定了包括记录层协议、握手协议族和密钥计算等传输层密码协议，适用于指导如VPN网关、VPN客户端、国密浏览器等传输层密码协议相关产品的研制、检测、管理和使用。

（3）数据加密技术：在数据加密上主要考虑采用透明加密技术，数据库透明加密技术是一种基于透明加密技术的安全加密技术，该技术能够实现对数据库数据的加密存储、访问控制增强、应用访问安全、权限隔离以及三权分立等功能。加密系统基于主动防御机制，有效防止明文存储引起的数据泄密、来自内部高权限用户的数据窃取、防止绕开合法应用系统直接访问数据库，从根本上解决数据库敏感数据泄漏问题，真正实现数据高度安全、应用完全透明、密文高效访问等技术特点。除数据库透明加密技术外，可能还会涉及文件透明加密技术，该技术可以在操作系统文件驱动层对敏感文件进行加解密处理，支持基于程序进程、文件类型、存储路径设置文件加解密策略。为保障数据加密后的定向共享，做到细颗粒度的解密鉴权，可采用基于SM9算法的标识密码属性加密技术，以数据接收人ID、群组ID、时间信息等作为标识公钥进行数据加密密钥保护，可以实现数据的群组加密、属性加密，只有特定的用户、特定的群组、特定的时间才能解密数据。

（4）数据水印技术：数据水印技术是一种将水印标记嵌入原始数据中，使数据进行分发后实现泄露数据溯源的技术，具有高隐蔽性、高易用性、高管理融合性等特点，因此可采用数据水印技术对重要数据进行加工处理，实现信息泄露后第一时间将水印标识解封，通过读取水印标识编码，追溯该泄露数据流转过程，并准确定位泄露单位及责任人，实现数据溯源的效果，避免了内部人员外发数据泄露无法对事件追溯，提高了数据传递的安全性和可追溯能力。

（5）数据脱敏技术：在国家标准《信息安全技术政务信息共享数据安全技术要求》中，明确要求“对敏感数据建立数据脱敏安全策略并按照安全策略对敏感数据进行脱敏，并需确保脱敏后的数据应保留其原数据格式和属性以便于应用程序使用脱敏数据进行正常功能执行”，基于标准的要求下需提供静态脱敏及动态脱敏的技术支撑，且要提供假名化、固定值、模糊取整、随机化等可逆、不可逆脱敏规则，要能满足脱敏后的数据依然可用可分析的效果。

（6）可信溯源技术：从区块链技术的特性来看，其不可篡改性可带来高可信任性的特征，可以利用区块链技术对目前的政务数据共享过程进行改造升级，对需要涉及信任要求的环节利用区块链技术对过程内容或结果数据进行上链存证，以便后续对过程或结果进行溯源或查证，进一步提升政务数据共享全过程应用的可信任性，可记录与政务数据共享应用全过程有关的支撑平台的核心操作日志，如预警日志、处理日志、安全风险日志等，用于保证安全日志的不可篡改性，防止运维人员通过篡改记录消除过去所产生的危险行为。

3　政务数据共享安全架构实施路径

政务数据共享安全架构的建设不是当前任何一种已有的安全产品或者解决方案可以完全满足与覆盖，而是一套体系化的建设，且结合国家标准的要求，其建设的复杂度、先进性有所增加，目前各区域对结合标准的安全架构的具体实施路径仍不清晰，想要按照标准进一步加强安全措施，但难以找到可行的实践路径，因此建议从四个步骤逐步完善政务数据共享安全体系。

3.1　找差距

一是摸清政务信息共享体系应用范畴所存在的安全风险，在考虑政务信息共享体系的安全风险上不仅仅是从系统层面，同时应需要考虑围绕数据应用的全生命周期去梳理目前及未来将会存在的数据风险，从而保障安全措施能兼顾未来的应用情况；二是基于所梳理的安全风险及已有的安全措施结合标准的要求进行对标分析，以厘清目前自身与标准的要求有多少是未能满足的，从而能进一步明确需要加强及建设的内容。

3.2　建体系

本阶段核心是需要梳理清楚基于自身的安全风险及与标准的差距情况下，需要建成什么样的安全体系，包括需要出台哪些管理规范、建设哪些安全系统、是否需要配置安全运营服务等。例如在本文中所提到的安全架构的思路，按照“明确定级、事前保护、事中响应、事后追溯、全程可信”的思路进行整体体系的设计。

3.3　挖重点

基于标准要求的政务信息共享安全体系的建设是一项长期且持续性的工作，各地方在政务信息共享及安全建设上情况各有差异，各地方需要针对实际情况进行梳理，根据本地实际情况优先实现关键的风险点，如目前工作偏重在数据采集工作上，则重点加强在数据准备及交换阶段的安全为主，按照实际的工作需求分阶段逐步去完善安全措施，通过此种方式，一是可控制建设成本，二是基于应用场景下进行安全建设可以更加贴近实际的应用要求。

3.4　做验证

结合差距的对比分析及分阶段安全措施的建设成果，可从管理及技术层面验证自身在政务信息共享安全应用的成熟程度，从而进一步判断与分析当前政务信息共享安全的现状情况，促进不断改进保障措施，确保政务信息共享安全的长效性。

4　结　语

各地方政务数据共享安全主要基于信息安全等级保护三级要求进行安全相关的建设为主，一般不会围绕政务信息共享安全进行专项建设，在数据安全风险上仍有较大的提升空间。目前随着数据已成为基础生产要素之一，数据安全尤为重要，国家已发布多个针对数据安全的法规、政策及标准，本文基于GB/T 39477—2020《信息安全技术政务信息共享数据安全技术要求》技术要求为基础，围绕政务数据共享中所存在的风险提出了一套能涵盖政务数据共享及政务大数据应用等场景的安全架构，并对该架构所涉及的安全技术应用及实施路径提出了建议，以期为政务数据共享安全提供有益参考。

来源：《信息安全与通信保密》2021年6期

END

深圳奥联信息安全技术有限公司始于2002年，是集算法研制、产品研发、方案实现、标准制定、前瞻性技术研究为一体，具备国际领先的密码领域全面“智造”能力的综合型密码安全企业。奥联是我国SM9算法主要的原研及标准制定单位，是我国ECS-SM2隐式证书标准牵头单位，已承接6个国家部委的重大信息安全专项/课题，与西安电子科技大学合作成立“西电密码研究中心”，在北京、长沙、西安、贵阳等区域设立分子公司。

国密算法安全解决方案

加密电子邮件 | 加密通讯 | 物联网安全

身份认证 | 云安全接入 | 政务信息共享

移动安全政务办公平台 | 区块链隐私保护

统一密码服务平台 | 金融大数据平台安全

工业控制安全 | 工业互联网标识解析安全

视频监控系统安全 | 车联网V2X安全

微信号：奥联信息安全