信息化觀察網(wǎng)

導(dǎo)語

《中華人民共和國數(shù)據(jù)安全法》于9月1日正式開始施行，北京數(shù)字認(rèn)證股份有限公司（以下簡稱“數(shù)字認(rèn)證”）為此精心編撰了“數(shù)據(jù)安全與密碼”專題。上一期，我們談到了如何綜合分析數(shù)據(jù)安全需求。接下來的三期，我們將重點(diǎn)講述數(shù)據(jù)傳輸安全、數(shù)據(jù)存儲安全、數(shù)據(jù)使用安全。

本期的數(shù)據(jù)傳輸安全，首先厘清了人們的認(rèn)知誤區(qū)，然后從三個維度出發(fā)，綜合分析數(shù)據(jù)傳輸安全需求和不同場景適用的安全防護(hù)措施，為數(shù)據(jù)傳輸方案的設(shè)計和建設(shè)提供參考。

數(shù)據(jù)安全的需求存在于數(shù)據(jù)生命周期的各個階段，而傳輸無疑是其中的重要環(huán)節(jié)。無論數(shù)據(jù)的采集、匯聚、公開、分發(fā)還是交易，各種數(shù)據(jù)處理行為都會涉及到數(shù)據(jù)的傳輸。因此，數(shù)據(jù)傳輸安全也成為了當(dāng)下與數(shù)據(jù)存儲安全、數(shù)據(jù)使用安全并列的三大熱點(diǎn)之一。

對于數(shù)據(jù)傳輸安全，一種常見的誤區(qū)是認(rèn)為數(shù)據(jù)傳輸安全就是單純的“加密”。事實(shí)上，加密只是一種保護(hù)數(shù)據(jù)內(nèi)容機(jī)密性的手段。而數(shù)據(jù)安全的保護(hù)對象并不僅限于數(shù)據(jù)本身。

在上一期“寫在《數(shù)據(jù)安全法》生效之際，全局視角多維度審視數(shù)據(jù)安全”一文中所闡述的方法論，對于數(shù)據(jù)傳輸安全的需求分析，應(yīng)從數(shù)據(jù)處理主體、數(shù)據(jù)本身和數(shù)據(jù)處理行為三個維度進(jìn)行。所對應(yīng)的保護(hù)措施也不僅限于加密技術(shù)，而是包含實(shí)體身份鑒別、數(shù)據(jù)傳輸機(jī)密性、數(shù)據(jù)傳輸完整性、發(fā)送或接收行為的不可否認(rèn)性等多種技術(shù)措施。

數(shù)據(jù)傳輸中每一個環(huán)節(jié)

安全需求大不同

與存儲、加工等環(huán)節(jié)不同，數(shù)據(jù)傳輸活動的“主體”涉及到發(fā)送方、接收方以及傳輸路徑上的多個中間節(jié)點(diǎn)等多個實(shí)體。為便于分析安全需求，應(yīng)將一次完整的數(shù)據(jù)傳輸會話拆分為多個數(shù)據(jù)處理行為，即一個“發(fā)送”、多個“轉(zhuǎn)發(fā)”和一個“接收”（組播、廣播等數(shù)據(jù)傳輸活動包含多個“接收”行為），如下圖所示。每個數(shù)據(jù)處理行為都僅涉及單一主體，可以通過分析其主體身份、數(shù)據(jù)本身和處理行為對數(shù)據(jù)安全需求進(jìn)行綜合分析。

首先，對于數(shù)據(jù)處理主體，主要的安全需求是真實(shí)性，即主體身份是真實(shí)可信的。在數(shù)據(jù)傳輸活動涉及到的多個數(shù)據(jù)處理行為中，發(fā)送方和接收方的身份真實(shí)性是最重要也最常見的安全需求，而對于中間的轉(zhuǎn)發(fā)方身份則通常沒有要求，具體情況取決于實(shí)際應(yīng)用場景和業(yè)務(wù)特點(diǎn)。

其次，對于傳輸?shù)臄?shù)據(jù)本身，其主要的安全需求包括真實(shí)性、機(jī)密性和完整性。數(shù)據(jù)傳輸各個行為的數(shù)據(jù)內(nèi)容是前后關(guān)聯(lián)的，“發(fā)送”行為的輸出數(shù)據(jù)即為下一個“轉(zhuǎn)發(fā)”行為的輸入數(shù)據(jù)，以此類推。因此，數(shù)據(jù)傳輸?shù)陌踩枨笸ǔ？煞譃閮煞N形式：“端到端”和“分段式”。“端到端”是數(shù)據(jù)傳輸安全需求來源于發(fā)送方和接收方之間，要確認(rèn)數(shù)據(jù)來自預(yù)期的發(fā)送方，防止中間的轉(zhuǎn)發(fā)方破壞數(shù)據(jù)機(jī)密性或完整性。“分段式”則是只需要確保每段轉(zhuǎn)發(fā)環(huán)節(jié)的數(shù)據(jù)安全性，而不介意轉(zhuǎn)發(fā)方獲取或修改數(shù)據(jù)內(nèi)容。

實(shí)際應(yīng)用場景的特點(diǎn)決定了傳輸?shù)臄?shù)據(jù)內(nèi)容安全需求的形式。例如，在一種遠(yuǎn)程辦公場景下，員工使用手機(jī)接入移動網(wǎng)絡(luò)、隨后通過CDN加速服務(wù)訪問企業(yè)OA網(wǎng)站。那么這個數(shù)據(jù)傳輸場景顯然需要“端到端”的數(shù)據(jù)安全防護(hù)，無論是移動運(yùn)營商還是CDN加速服務(wù)商的基礎(chǔ)設(shè)施，都不能影響到數(shù)據(jù)的機(jī)密性和完整性。

最后，對于數(shù)據(jù)傳輸行為，需要保護(hù)的主要是發(fā)送或接收行為、時間點(diǎn)的不可否認(rèn)性。這類需求常見于涉及司法取證的數(shù)據(jù)傳輸活動，例如電子招投標(biāo)平臺接收到投標(biāo)文件的行為和時間點(diǎn)，是涉及投標(biāo)行為在法律上是否有效的重要證據(jù)，因此需要不可否認(rèn)性保護(hù)。行為不可否認(rèn)性的防護(hù)，與數(shù)據(jù)真實(shí)性的防護(hù)常常可以使用同一機(jī)制，例如基于公鑰密碼的數(shù)字簽名；但相對于數(shù)據(jù)真實(shí)性而言，行為不可否認(rèn)性還需對行為發(fā)生的時間做確認(rèn)，例如使用時間戳機(jī)制。

需要額外指出，在相同的發(fā)送方和接收方之間進(jìn)行的多次數(shù)據(jù)傳輸，其行為特征常常會成為網(wǎng)絡(luò)攻擊者分析目標(biāo)對象特點(diǎn)、尋找潛在脆弱點(diǎn)的主要依據(jù)。因此，多次數(shù)據(jù)傳輸活動的綜合行為特征也存在機(jī)密性保護(hù)需求。這項需求與數(shù)據(jù)內(nèi)容本身的機(jī)密性保護(hù)需求是不同的。即使數(shù)據(jù)內(nèi)容本身已經(jīng)得到了機(jī)密性保護(hù)，攻擊者仍然可以通過分析所謂的“元數(shù)據(jù)”（如http請求頭部信息）獲知傳輸行為特征。

安全措施需要打出組合拳

網(wǎng)絡(luò)層VS應(yīng)用層

根據(jù)實(shí)現(xiàn)時的層級不同，常用的數(shù)據(jù)傳輸安全措施可以劃分為網(wǎng)絡(luò)層和應(yīng)用層兩大類。其中，網(wǎng)絡(luò)層的數(shù)據(jù)傳輸安全措施主要依托標(biāo)準(zhǔn)化的密碼協(xié)議實(shí)現(xiàn)（如TLS、IPsec以及基于國密算法的TLCP、GM SSL、GM IPsec等），對所有應(yīng)用數(shù)據(jù)不加以區(qū)分，實(shí)施相同強(qiáng)度的安全防護(hù)；應(yīng)用層的數(shù)據(jù)傳輸安全措施則主要基于業(yè)務(wù)需求特點(diǎn)設(shè)計定制化的密碼措施，通常根據(jù)數(shù)據(jù)分級分類情況設(shè)計多種安全機(jī)制，滿足不同應(yīng)用的數(shù)據(jù)傳輸安全需求。

針對數(shù)據(jù)傳輸環(huán)節(jié)的主體身份真實(shí)性，傳輸數(shù)據(jù)內(nèi)容的真實(shí)性、機(jī)密性和完整性，傳輸行為的不可否認(rèn)性，以及多次傳輸行為特征的機(jī)密性等需求，網(wǎng)絡(luò)層和應(yīng)用層均存在幾種常用的安全防護(hù)措施，各自適用于不同的應(yīng)用場景，如下表所示。

在實(shí)際應(yīng)用中，應(yīng)結(jié)合具體的需求分析對這兩類安全措施進(jìn)行挑選或組合。此外，由于涉及到的需求種類繁多，數(shù)據(jù)傳輸安全措施也往往需要與其他安全措施一起統(tǒng)一規(guī)劃實(shí)施，形成一套完整的數(shù)據(jù)安全方案。以下將結(jié)合北京數(shù)字認(rèn)證的實(shí)踐經(jīng)驗(yàn)舉例說明。

實(shí)踐案例分享：

疾控數(shù)據(jù)報送的傳輸安全方案

在抗擊疫情期間，傳染病及突發(fā)公共衛(wèi)生事件等敏感信息的上報機(jī)制逐步完善，形成了從醫(yī)療機(jī)構(gòu)到省級CDC再到國家CDC的逐級上報機(jī)制、以及填報者直報國家級管理平臺的直報機(jī)制。

顯然，這些敏感信息的傳輸安全問題絕非僅僅是“加密”就能解決的。

首先需要解決報送機(jī)構(gòu)、報送人的身份真實(shí)性以及接收數(shù)據(jù)的各級平臺的身份真實(shí)性，這些也是數(shù)據(jù)真實(shí)性的基礎(chǔ)；

其次需要考慮報送數(shù)據(jù)中涉及到的敏感信息（例如涉事人員姓名、聯(lián)系方式）的機(jī)密性，保護(hù)個人隱私；

再次需要考慮報送數(shù)據(jù)自身的完整性，確保數(shù)據(jù)未被任何人或平臺篡改；

最后需要解決填報行為和各級平臺接收時間點(diǎn)的不可否認(rèn)性，確保整個報送過程在法律上可追溯。

為了解決上述數(shù)據(jù)傳輸安全需求，北京數(shù)字認(rèn)證通過一體化密碼服務(wù)構(gòu)建了疾控數(shù)據(jù)報送安全體系，如下圖所示。

在這套數(shù)據(jù)安全報送體系中，密碼服務(wù)平臺提供的身份核驗(yàn)服務(wù)和證書簽發(fā)服務(wù)提供SSL證書或個人證書，解決各級數(shù)據(jù)報送平臺、報送人的身份真實(shí)性；通過SSL-VPN安全網(wǎng)關(guān)建立各級上報數(shù)據(jù)的國密SSL安全通道，以及個人直報國家的安全通道，解決數(shù)據(jù)機(jī)密性問題；通過電子簽名和時間戳服務(wù)為報送數(shù)據(jù)附加電子簽名和發(fā)送、接收時間戳，確保報送數(shù)據(jù)在全生命周期的完整性和報送行為的不可否認(rèn)性。

結(jié)束語

綜上所述，解決數(shù)據(jù)傳輸安全問題絕非僅僅“加密”這么簡單。

傳輸主體身份的真實(shí)性、傳輸內(nèi)容的機(jī)密性和完整性、傳輸行為的不可否認(rèn)性、以及多次傳輸行為特征的機(jī)密性，都是數(shù)據(jù)傳輸安全需要解決的問題。在實(shí)際應(yīng)用中，我們需要在數(shù)據(jù)分級分類的基礎(chǔ)上，結(jié)合業(yè)務(wù)特點(diǎn)全面分析上述各方面安全需求，綜合運(yùn)用網(wǎng)絡(luò)層和應(yīng)用層的安全措施，對數(shù)據(jù)傳輸實(shí)施全面的安全保護(hù)。