《中華人民共和國數(shù)據(jù)安全法》于9月1日正式開始施行,北京數(shù)字認證股份有限公司(以下簡稱“數(shù)字認證”)為此精心編撰了“數(shù)據(jù)安全與密碼”專題。上一期,我們談到了如何綜合分析數(shù)據(jù)安全需求。接下來的三期,我們將重點講述數(shù)據(jù)傳輸安全、數(shù)據(jù)存儲安全、數(shù)據(jù)使用安全。
本期的數(shù)據(jù)傳輸安全,首先厘清了人們的認知誤區(qū),然后從三個維度出發(fā),綜合分析數(shù)據(jù)傳輸安全需求和不同場景適用的安全防護措施,為數(shù)據(jù)傳輸方案的設(shè)計和建設(shè)提供參考。
數(shù)據(jù)安全的需求存在于數(shù)據(jù)生命周期的各個階段,而傳輸無疑是其中的重要環(huán)節(jié)。無論數(shù)據(jù)的采集、匯聚、公開、分發(fā)還是交易,各種數(shù)據(jù)處理行為都會涉及到數(shù)據(jù)的傳輸。因此,數(shù)據(jù)傳輸安全也成為了當下與數(shù)據(jù)存儲安全、數(shù)據(jù)使用安全并列的三大熱點之一。
對于數(shù)據(jù)傳輸安全,一種常見的誤區(qū)是認為數(shù)據(jù)傳輸安全就是單純的“加密”。事實上,加密只是一種保護數(shù)據(jù)內(nèi)容機密性的手段。而數(shù)據(jù)安全的保護對象并不僅限于數(shù)據(jù)本身。
在上一期“寫在《數(shù)據(jù)安全法》生效之際,全局視角多維度審視數(shù)據(jù)安全”一文中所闡述的方法論,對于數(shù)據(jù)傳輸安全的需求分析,應(yīng)從數(shù)據(jù)處理主體、數(shù)據(jù)本身和數(shù)據(jù)處理行為三個維度進行。所對應(yīng)的保護措施也不僅限于加密技術(shù),而是包含實體身份鑒別、數(shù)據(jù)傳輸機密性、數(shù)據(jù)傳輸完整性、發(fā)送或接收行為的不可否認性等多種技術(shù)措施。
數(shù)據(jù)傳輸中每一個環(huán)節(jié)
安全需求大不同
與存儲、加工等環(huán)節(jié)不同,數(shù)據(jù)傳輸活動的“主體”涉及到發(fā)送方、接收方以及傳輸路徑上的多個中間節(jié)點等多個實體。為便于分析安全需求,應(yīng)將一次完整的數(shù)據(jù)傳輸會話拆分為多個數(shù)據(jù)處理行為,即一個“發(fā)送”、多個“轉(zhuǎn)發(fā)”和一個“接收”(組播、廣播等數(shù)據(jù)傳輸活動包含多個“接收”行為),如下圖所示。每個數(shù)據(jù)處理行為都僅涉及單一主體,可以通過分析其主體身份、數(shù)據(jù)本身和處理行為對數(shù)據(jù)安全需求進行綜合分析。
首先,對于數(shù)據(jù)處理主體,主要的安全需求是真實性,即主體身份是真實可信的。在數(shù)據(jù)傳輸活動涉及到的多個數(shù)據(jù)處理行為中,發(fā)送方和接收方的身份真實性是最重要也最常見的安全需求,而對于中間的轉(zhuǎn)發(fā)方身份則通常沒有要求,具體情況取決于實際應(yīng)用場景和業(yè)務(wù)特點。
其次,對于傳輸?shù)臄?shù)據(jù)本身,其主要的安全需求包括真實性、機密性和完整性。數(shù)據(jù)傳輸各個行為的數(shù)據(jù)內(nèi)容是前后關(guān)聯(lián)的,“發(fā)送”行為的輸出數(shù)據(jù)即為下一個“轉(zhuǎn)發(fā)”行為的輸入數(shù)據(jù),以此類推。因此,數(shù)據(jù)傳輸?shù)陌踩枨笸ǔ?煞譃閮煞N形式:“端到端”和“分段式”。“端到端”是數(shù)據(jù)傳輸安全需求來源于發(fā)送方和接收方之間,要確認數(shù)據(jù)來自預(yù)期的發(fā)送方,防止中間的轉(zhuǎn)發(fā)方破壞數(shù)據(jù)機密性或完整性。“分段式”則是只需要確保每段轉(zhuǎn)發(fā)環(huán)節(jié)的數(shù)據(jù)安全性,而不介意轉(zhuǎn)發(fā)方獲取或修改數(shù)據(jù)內(nèi)容。
實際應(yīng)用場景的特點決定了傳輸?shù)臄?shù)據(jù)內(nèi)容安全需求的形式。例如,在一種遠程辦公場景下,員工使用手機接入移動網(wǎng)絡(luò)、隨后通過CDN加速服務(wù)訪問企業(yè)OA網(wǎng)站。那么這個數(shù)據(jù)傳輸場景顯然需要“端到端”的數(shù)據(jù)安全防護,無論是移動運營商還是CDN加速服務(wù)商的基礎(chǔ)設(shè)施,都不能影響到數(shù)據(jù)的機密性和完整性。
最后,對于數(shù)據(jù)傳輸行為,需要保護的主要是發(fā)送或接收行為、時間點的不可否認性。這類需求常見于涉及司法取證的數(shù)據(jù)傳輸活動,例如電子招投標平臺接收到投標文件的行為和時間點,是涉及投標行為在法律上是否有效的重要證據(jù),因此需要不可否認性保護。行為不可否認性的防護,與數(shù)據(jù)真實性的防護常常可以使用同一機制,例如基于公鑰密碼的數(shù)字簽名;但相對于數(shù)據(jù)真實性而言,行為不可否認性還需對行為發(fā)生的時間做確認,例如使用時間戳機制。
需要額外指出,在相同的發(fā)送方和接收方之間進行的多次數(shù)據(jù)傳輸,其行為特征常常會成為網(wǎng)絡(luò)攻擊者分析目標對象特點、尋找潛在脆弱點的主要依據(jù)。因此,多次數(shù)據(jù)傳輸活動的綜合行為特征也存在機密性保護需求。這項需求與數(shù)據(jù)內(nèi)容本身的機密性保護需求是不同的。即使數(shù)據(jù)內(nèi)容本身已經(jīng)得到了機密性保護,攻擊者仍然可以通過分析所謂的“元數(shù)據(jù)”(如http請求頭部信息)獲知傳輸行為特征。
安全措施需要打出組合拳
網(wǎng)絡(luò)層VS應(yīng)用層
根據(jù)實現(xiàn)時的層級不同,常用的數(shù)據(jù)傳輸安全措施可以劃分為網(wǎng)絡(luò)層和應(yīng)用層兩大類。其中,網(wǎng)絡(luò)層的數(shù)據(jù)傳輸安全措施主要依托標準化的密碼協(xié)議實現(xiàn)(如TLS、IPsec以及基于國密算法的TLCP、GM SSL、GM IPsec等),對所有應(yīng)用數(shù)據(jù)不加以區(qū)分,實施相同強度的安全防護;應(yīng)用層的數(shù)據(jù)傳輸安全措施則主要基于業(yè)務(wù)需求特點設(shè)計定制化的密碼措施,通常根據(jù)數(shù)據(jù)分級分類情況設(shè)計多種安全機制,滿足不同應(yīng)用的數(shù)據(jù)傳輸安全需求。
針對數(shù)據(jù)傳輸環(huán)節(jié)的主體身份真實性,傳輸數(shù)據(jù)內(nèi)容的真實性、機密性和完整性,傳輸行為的不可否認性,以及多次傳輸行為特征的機密性等需求,網(wǎng)絡(luò)層和應(yīng)用層均存在幾種常用的安全防護措施,各自適用于不同的應(yīng)用場景,如下表所示。
在實際應(yīng)用中,應(yīng)結(jié)合具體的需求分析對這兩類安全措施進行挑選或組合。此外,由于涉及到的需求種類繁多,數(shù)據(jù)傳輸安全措施也往往需要與其他安全措施一起統(tǒng)一規(guī)劃實施,形成一套完整的數(shù)據(jù)安全方案。以下將結(jié)合北京數(shù)字認證的實踐經(jīng)驗舉例說明。
實踐案例分享:
疾控數(shù)據(jù)報送的傳輸安全方案
在抗擊疫情期間,傳染病及突發(fā)公共衛(wèi)生事件等敏感信息的上報機制逐步完善,形成了從醫(yī)療機構(gòu)到省級CDC再到國家CDC的逐級上報機制、以及填報者直報國家級管理平臺的直報機制。
顯然,這些敏感信息的傳輸安全問題絕非僅僅是“加密”就能解決的。
首先需要解決報送機構(gòu)、報送人的身份真實性以及接收數(shù)據(jù)的各級平臺的身份真實性,這些也是數(shù)據(jù)真實性的基礎(chǔ);
其次需要考慮報送數(shù)據(jù)中涉及到的敏感信息(例如涉事人員姓名、聯(lián)系方式)的機密性,保護個人隱私;
再次需要考慮報送數(shù)據(jù)自身的完整性,確保數(shù)據(jù)未被任何人或平臺篡改;
最后需要解決填報行為和各級平臺接收時間點的不可否認性,確保整個報送過程在法律上可追溯。
為了解決上述數(shù)據(jù)傳輸安全需求,北京數(shù)字認證通過一體化密碼服務(wù)構(gòu)建了疾控數(shù)據(jù)報送安全體系,如下圖所示。
在這套數(shù)據(jù)安全報送體系中,密碼服務(wù)平臺提供的身份核驗服務(wù)和證書簽發(fā)服務(wù)提供SSL證書或個人證書,解決各級數(shù)據(jù)報送平臺、報送人的身份真實性;通過SSL-VPN安全網(wǎng)關(guān)建立各級上報數(shù)據(jù)的國密SSL安全通道,以及個人直報國家的安全通道,解決數(shù)據(jù)機密性問題;通過電子簽名和時間戳服務(wù)為報送數(shù)據(jù)附加電子簽名和發(fā)送、接收時間戳,確保報送數(shù)據(jù)在全生命周期的完整性和報送行為的不可否認性。
結(jié)束語
綜上所述,解決數(shù)據(jù)傳輸安全問題絕非僅僅“加密”這么簡單。
傳輸主體身份的真實性、傳輸內(nèi)容的機密性和完整性、傳輸行為的不可否認性、以及多次傳輸行為特征的機密性,都是數(shù)據(jù)傳輸安全需要解決的問題。在實際應(yīng)用中,我們需要在數(shù)據(jù)分級分類的基礎(chǔ)上,結(jié)合業(yè)務(wù)特點全面分析上述各方面安全需求,綜合運用網(wǎng)絡(luò)層和應(yīng)用層的安全措施,對數(shù)據(jù)傳輸實施全面的安全保護。