宝安医院网站建设,徐州网站制作机构,推广官网,无锡互联网公司排名随着数据跃升为新型生产要素#xff0c;数据安全的内涵也从数据本身安全、数据资源安全#xff0c;发展到数据资产安全三个层面提出了不同的要求#xff0c;本文就是详细探讨数据安全的这三个层面的安全内容进行分析。 通过对数据安全不同发展阶段的安全需求和保障对象进行研… 随着数据跃升为新型生产要素数据安全的内涵也从数据本身安全、数据资源安全发展到数据资产安全三个层面提出了不同的要求本文就是详细探讨数据安全的这三个层面的安全内容进行分析。 通过对数据安全不同发展阶段的安全需求和保障对象进行研究基于密码技术提出涵盖数据本身安全、数据资源安全、数据资产安全 3 个层面的密码保障技术体系综合分析该体系所采用的主流密码技术并提炼面向数据要素安全的密码服务保障能力体系从而为数据要素市场安全发展提供密码技术应用指导支撑数据要素作用的发挥。 随着数据跃升为新型生产要素数据安全的内涵在不断拓展从最初的保护数据载体上的信息安全到对数据承载的个人权益、产业利益和国家利益进行安全保护再发展到通过数据安全保护促进数据合法有序开发利用护航国家数字经济高质量发展 。数据安全保障的目标和对象也随着数据安全的发展分为 3 个层面 一、是保障数据本身安全针对数据本身通过采取文件加密、数据库加密等技术保护数据及数据承载信息的安全。 二、是保障数据资源安全在数据共享、数据利用等流程中保障数据资源采集、传输、存储、共享、利用、销毁等生命周期安全可控。 三、是保障数据资产安全即保护数据资产处理所涉及的网络、存储计算、开发交易等基础设施安全防止数据基础设施上承载的数据资产丢失、泄露、被篡改保障数据运营、交易业务正常运行维护数据要素市场安全。 一、数据安全发展的 3 个阶段 1.1 数据本身安全阶段 以电子政务、电子商务、电子社区等业务应用的信息化发展为标志承载业务信息的数据越来越多数据本身的安全也成为信息安全关注的重点。数据本身安全阶段主要关注承载业务信息的数据本身安全主要保障数据在传输、存储过程中的安全。保障对象主要为电子文档、数据库等数据。 1.2 数据资源安全阶段 以云计算和大数据等技术的发展为标志。如今数据呈现大量汇聚、共享趋势数据要素也从无序、散乱的非结构化数据转变为可分析、利用的结构化、半结构化的有序数据逐渐实现数据的资源化。数据资源安全阶段主要关注数据资源的安全治理方面需要保障大量数据汇聚、数据共享利用等场景中数据资源采集、传输、存储、共享、使用、销毁全生命周期安全保障对象也由电子文件、数据库等传统数据发展到具有数据量大(Volume)、数据种类多(Variety)、数据价值密度低(Value)、数据产生和处理速度快(Velocity)特征的大数据方面 。 1.3 数据资产安全阶段 以数据成为新型生产要素为标志。由中共中央、国务院对外发布的《关于构建数据基础制度更好发挥数据要素作用的意见》等政策从国家层面为数据产权、流通交易、收益分配、安全治理等方面构建了数据基础制度提出政策举措。数据要素的运营、交易需求愈发迫切。数据也完成由数据资源到数据资产的转变数据安全目标开始聚焦到数据资产安全方面。数据资产安全阶段主要关注数据资产化后数据要素的开发利用、运营交易的安全性。保障对象主要为数据要素运营的物理网络设施、存储计算设施和数据应用设施等数据基础设施。 二、数据安全密码技术 密码技术是保障网络安全最有效、最可靠、最经济的关键核心技术。本文针对数据安全目标和保障对象围绕数据本身安全、数据资源安全、数据资产安全 3 个层面综合分析信息安全行业常用密码应用技术设计了以密码为核心的数据安全技术体系。 2.1 数据本身安全密码技术 目 前 在 行 业 应 用 领 域 面 向 数 据 本 身安全的主流密码技术包括文档管控技术、文件存储加密技术、数据库加密技术和数据脱敏技术。 2.1.1 文档管控技术 文档管控技术面向非结构化电子文件数据基于密码技术提供集中式电子文档加密存储、身份鉴权认证、文件授权访问控制、受控流转等服务用于解决电子文档的安全管理控制问题。 2.1.2 文件存储加密 利 用 磁 盘 加 密、 文 件 系 统 加 密 等 技 术实现对本地存储文件数据的加密保护。常见的磁盘加密技术包括 Linux 系统的 dm-crypt、Windows 系统的 BitLocker 等。常见文件系统加密技术包括基于用户空间文件系统(Filesystem in UserspaceFUSE)的 EncFS、Cryptomator 等。 2.1.3 数据库加密 该技术主要采用透明加解密、列加密等技术方式对数据库中存储的明文数据进行加密存储、访问权限控制等。通过对数据库进行加密能够有效地防止敏感数据被外部非法入侵窃取、内部高权限用户窃取、合法用户违规访问而引发的安全风险。数据库加密技术根据加密位置的不同可以分为应用层加密、数据库代理加密、数据库加密、数据库文件系统加密、存储磁盘加密等不同技术路线。 2.1.4 数据脱敏 数据脱敏技术是指采取泛化、随机、扰乱、加密等技术对敏感数据进行处理消除原始数据中的敏感信息并保留目标业务所需的数据特征或内容的数据处理过程。数据脱敏主要应用于数据分析、测试开发、数据共享等场景。数据脱敏技术根据数据脱敏的实时性和应用场景的不同可分为动态脱敏技术和静态脱敏技术。基于密码的数据脱敏主要包括保留格式加密、对称算法加密等技术。 2.2 数据资源安全密码技术 数据资源安全密码技术是指基于数据资源安全分类分级和密码标识围绕数据采集、数据传输、数据存储、数据共享、数据利用、数据销毁等环节建立的数据资源生命周期密码保护技术。主要包括数据安全分类分级、数据安全标识、数据生命周期密码保障等技术。 2.2.1 数据安全分类分级技术 数据安全分类分级技术是指综合运用分类分级策略生成与数据分类分级知识库建立以及数据特征识别、知识图谱分析等技术智能化识别数据资源的类型和安全级别用于对敏感数据按照安全类别、级别分级采取不同强度、粒度的密码安全措施进行分级管控。 2.2.2 数据安全标识技术 数据安全标识技术是指对敏感数据添加标记信息唯一标识数据身份并绑定数据类别、级别等安全属性是数据安全分级管控的关键。数据安全标识一般分为绑定式和分离式两种。数据安全标识作为数据安全治理的基础依据需要基于签名、杂凑算法的消息验证码(Hash based Message Authentication CodeHMAC)等密码技术建立数据标识与数据本身之间的强绑定关系防止标识篡改和仿冒。 2.2.3 数据生命周期密码保障技术 (1)数据采集安全。主要基于密码的采集源接入认证和数据完整性校验技术保障采集源的安全可行并防止数据在采集过程中被非法篡改。 (2)数据传输安全。通常采用虚拟专用网络(Virtual Private NetworkVPN) 技 术 保 护 数据传输的机密性和完整性。包括安全网络协议层 虚 拟 专 用 网(Internet Protocol Security Virtual Private NetworkIPSec VPN) 和 安 全 套 接 字 层虚 拟 专 用 网(Secure Socket Layer Virtual Private NetworkSSL VPN)技术。其中IPSec VPN 工作在网络层通过构建加密隧道保护网络到网络之间通信的机密性和完整性。SSL VPN 工作在传输控制协议 / 用户数据包协议(Transmission Control Protocol/ User Datagram ProtocolTCP/UDP)层构建加密会话保护终端到应用服务器之间通信的机密性和完整性。 (3)数据存储安全。数据资源存储加密技术通常包括大数据库加密技术和分布式系统加密技术。其中大数据库加密技术通常包括MongoDB TDE 加密技术HIVE、HBase 等大数据库网关加密。分布式系统加密技术通常包括实现 Hadoop 透明加密的 Encryption Zone 技术面向简便存储服务(Simple Storage ServiceS3)对象加密、通用互联网文件系统(Common Internet File SystemCIFS)、 网 络 文 件 系 统(Network File SystemNFS)文件加密的加密网关技术。 (4)数据共享安全。针对数据共享安全保障通常可采用安全多方计算、联邦计算等技术。 (5)数据利用安全。针对数据资源安全利用通常可采用同态加密技术以及基于可信硬件的机密计算技术。 (6)数据销毁安全。主要关注数据销毁的身份鉴别和行为抗抵赖可采用公钥基础设施(Public Key InfrastructurePKI)等密码技术基于数字证书实现数据销毁操作的身份鉴别、操作行为抗抵赖签名。 2.3 数据资产安全密码技术 数据资产安全密码技术主要包括网络通信密码保障技术、存储以及计算基础设施密码保障技术和数据应用基础设施密码保障技术主要目标是保障数据资产开发利用、运营交易的基础设施安全。 2.3.1 网络通信密码保障技术 可按照通信双方是否在同一个物理网络内分为网络通信加密技术、跨网跨域数据交换技术。 (1)网络通信加密。主要基于 IPSec VPN等网络通信加密措施构建基础的安全通信网络实现数据交易双方或多方的通信安全。 (2)跨网跨域交换。主要解决跨两个或多个不同等级物理网络之间的数据安全交换问题。通常基于物理隔离信息单向导入设备、物理隔离与信息交换设备等实现跨网数据交换过程中的协议剥离并在交换过程中融合数据标识实现跨网跨域交换过程中的标识检测防止数据违规交换。 2.3.2 存储和计算基础设施密码保障技术 主要为需要进行数据要素存储和计算的基础设施提供密码保障通常采用云密码服务技术、网络存储加密技术等。 (1)云密码服务。根据存储和计算基础设施不同层次的密码保障需求可以把云密码服务技术分为云密码资源服务、云密码功能服务、云密码业务服务 3 个层次 。 ①云密码资源服务(Cryptography Resource as a ServiceCRaaS)。以密码基础设施、密码设备集群等为基础提供包括密码算法服务、证书管理服务、密钥管理服务、随机数服务等基本的弹性化密码服务功能。 ②云密码功能服务(Cryptography Function as a ServiceCFaaS)。基于云密码资源服务将面向应用场景的密码功能集合在一起打包成易部署、易使用的虚拟机模板、微服务模板在云中以虚拟机实例、微服务实例、软件中间件的形态对存储和计算的设施提供密码保障。 ③云密码业务服务(Cryptography Business as a ServiceCBaaS)。实现密码技术和应用业务的内生融合将密码技术与应用系统数据处理流程进行融合形成一体的密码内生安全系统提供密码应用即服务。 (2)网络存储加密技术。面向数据中心大规模网络存储场景提供加密保护。当前数据中心大规模存储系统通常采用网络通道存储区域 网 络(Internet Protocol Storage Area NetworkIP SAN)、光纤通道存储区域网络(Fibre Channel Storage Area NetworkFC SAN)、网络附加存储(Network Attached StorageNAS) 等 集 中 式 数据存储系统。针对这些大规模数据存储系统的安全性可采用存储加密网关技术在存储网络层面提供网关式加密保护实现对大规模存储系统的弹性化、透明化数据加密保护。 2.3.3 数据应用基础设施密码保障技术 主要为需要进行数据交易、数据开发、数据运营等数据应用的基础设施提供密码保障通常采用隐私计算技术、零信任技术等。 (1)隐私计算技术。面向数据利用方和数据持有方分离的场景以分布式区块链技术为支撑综合运用联邦计算、安全多方计算、同态加密等技术构建数据不出域情况下的“可用不可见”安全分析计算体系满足敏感数据“存算分离”场景下的数据计算需求。 (2)零信任技术。零信任技术一般由零信任客户端、零信任控制中心和零信任分析中心构成。零信任技术要求无论位于网络内部还是外部的所有用户都需要经过身份验证、授权和持续验证然后才能访问应用程序和敏感数据。零信任技术能够有效应对传统网络安全机制缺乏内部流量检查、部署缺乏灵活性以及单点故障带来的风险和威胁等问题。并且零信任技术通过缩小信任边界、持续动态评估等关键机制实现了数据要素的纵深防护有效支撑数据资产的安全运营、安全交易 。 2.4 密码基础技术 密码基础技术主要包括密码算法、密码协议等密码基础理论以及密码管理、密码认证等密码管理基础设施。其中密码算法方面除对称、非对称、杂凑算法外通常还包括行业前沿和热点研究的同态加密、差分隐私等新型密码算法。密码协议方面除传统的身份认证、密钥协商、传输加密协议外通常还涉及不经意传输、安全多方计算、联邦计算等隐私计算协议。密码管理方面主要包括密钥的生成、存储、分发、使用、销毁等密钥生命周期管理技术。密码认证方面主要包括公钥基础设施等电子认证技术。 三、数据安全密码保障能力 基于数据安全密码技术体系内多种密码技术的综合应用围绕数据要素市场安全保障可打造涵盖数据本身安全、数据资源安全、数据资产安全的多层次、体系化密码服务构建密码保障能力体系为数据要素市场的健康发展保驾护航。 3.1 数据本身安全密码服务能力 数据本身安全密码服务方面基于密码技术可围绕数据库、电子文件等数据本身提供安全防护能力。提供包括文档加密、数据库加密、数据脱敏(保留格式加密)、传输加密等密码服务。 3.2 数据资源安全密码服务能力 数据资源安全密码服务方面基于密码技术可围绕数据采集、数据传输、数据存储、数据共享、数据利用、数据销毁等数据资源全生命周期提供安全防护能力。提供包括认证与访问控制、分类分级密码标识、数据加密保护、跨网跨域安全共享、隐私计算利用、数据确权溯源等密码服务。 3.3 数据资产安全密码服务能力 数据资产安全密码服务方面基于密码技术可围绕数据要素分析利用、数据交易等数据运营场景构建可靠网络通信基础设施、可用存储计算基础设施、可信数据应用基础设施在数据基础设施层面提供密码保障。其中可靠网络通信基础设施方面通过在通信网络基础上提供网络通信加密服务保障数据要素通信安全。可用存储计算基础设施方面基于云计算和大数据密码保障技术可为基础设施即服务(Infrastructure as a ServiceIaaS)、平台即服务(Platform as a ServicePaaS)、软件即服务(Software as a ServiceSaaS)等提供平台层面的云计算密码服务、大数据平台密码服务保障存储计算基础设施安全。可信数据应用基础设施方面基于区块链、隐私计算等密码技术构建可信数据应用基础设施为数据要素确权交易、数据运营等提供存证登记、隐私计算等密码服务保障数据要素应用和运营安全。 3.4 密码基础支撑能力 密码基础支撑方面提供密码运算服务和密码管理支撑能力。主要包括提供密码运算服务的密码技术、密码产品以及提供统一密码资源和密钥管理、数字证书管理的密码管理和密码认证基础设施。 结 语 随着数字经济的发展针对数据的应用从最早的非结构化数据到可供分析利用的数据资源再到具备经济价值可运营交易的数据资产。数据要素的概念不断延伸所发挥的作用也越来越大数据安全的内涵在不断拓展数据安全保障的对象也在不断延伸。本文设计了以密码为核心的数据安全技术体系并提出基于密码服务的数据安全密码保障能力体系能够为数据要素安全保障系统设计提供密码技术应用指导。安策公司的技术团队主要面向密码技术在数据安全方面的应用开展对防火墙、数据防泄漏等传统安全技术的应用没有覆盖在实际应用中需要综合运用密码和安全两个方面的技术为数据要素安全提供保障健全防护体系护航数据要素市场健康发展。
