隐私计算研习社
摘 要:数据已成为数字经济时代最核心、最具价值的生产要素,为全球经济增长不断注入新动力、新能量。随着数据利用的不断深入,数据规模不断扩大,数据泄露、滥用等风险日益凸显,亟需建设数据安全防护能力,防范数据安全风险,护航数字经济发展。密码是保护数据安全的关键技术手段,在建立网络主体身份体系,确保数据机密性、完整性,促进数据流通等方面起到核心支撑作用。梳理了近期发布的数据安全相关法律法规中的密码要求,重点分析了数据全生命周期中密码发挥的核心作用,提出了基于密码的数据安全防护体系,并探讨了未来的研究方向和面临的挑战。
0
内容目录
1 数据安全法规中的密码要求
2 数据安全防护中的密码作用
2.1 数据采集阶段
2.2 数据传输阶段
2.3 数据存储阶段
2.4 数据处理阶段
2.5 数据交换阶段
2.6 数据销毁阶段
3 基于密码的数据安全防护体系
3.1 密码服务平台
3.2 数据安全能力
3.3 数据安全标准
3.4 数据安全服务
3.5 数据安全管理
4 发展趋势和建议
5 结 语
2020年,全球47个国家数字经济增加值规模达到32.6万亿美元,我国数字经济规模位近5.4万亿美元,居世界第二位。数据作为一种新兴生产要素,已成为经济社会发展的核心驱动力。数据规模迅猛增长,数据挖掘和利用不断深入,推动了经济发展、社会治理、人民生活模式重大而深刻的改变,同时日益严峻的数据安全风险使得数据安全已成为事关国家安全与经济发展的重大问题。
在数据安全防护中,密码技术是基础和关键技术,在身份认证、访问控制、数字签名、传输加密、存储加密、隐私保护等方面发挥重要作用,是构建数据安全防护体系的基石。
1
数据安全法规中的密码要求
2021年是我国数据安全元年,在国家法律层面,我国相继颁布了《数据安全法》《个人信息保护法》等一系列针对数据安全的法律法规和标准规范,大力推动数据安全的健康发展;在地方政策层面,多省市相继出台与数据相关的地方性法规,针对数据安全问题提出了相应的条例规范并作出具体部署;在行业标准层面,工信部、交通运输部、中国银保监会等部门纷纷发布相应规定,规范各行各业中数据安全管理工作。
法律法规一般包括其发布目的及意义、规范的对象及范围、达到的目的和效果、管理和监督等方面的内容,极少涉及实现其目的使用的技术,但在《个人信息保护法》《网络数据安全管理条例(征求意见稿)》中提出“采取相应的加密、去标识化等安全技术措施”“应当采取备份、加密、访问控制等必要措施”等明确的密码技术要求。标准规范是对法律法规的支撑,细化具体行业或领域要求,量化具体行为,确保其活动和结果能够符合需要。例如,GB/T 37988—2019《信息安全技术数据安全能力成熟度模型》为数据生存周期和通用安全共30个安全过程域量化形成了成熟度模型,其中有10个过程明确要求使用密码技术,另有12个过程选用密码技术作为其技术工具;GB/T 35273—2020《信息安全技术个人信息安全规范》中明确要求“传输和存储个人敏感信息时,应采用加密等安全措施”;GB/T 41479—2022《信息安全技术网络数据处理安全要求》中同样明确要求传输、存储、共享、转让重要数据和个人信息等敏感网络数据,应采用加密、脱敏等安全措施。
在国际层面,发达国家的数据保护起步较早,如德国、英国、意大利在20世纪就发布了各自的数据保护法,进入数字经济时代,世界各国出台了大量的数据法规,这些法规从不同层面和角度描述了各方对数据的权利、义务以及各种情况下的处理原则,其中涉及大量数据安全技术相关的要求,大多以“采用合理的技术手段”指代。国际标准化组织ISO/IEC JTC1/WG9、ITU-T SG17、NIST也发布了多项与数据安全、个人信息保护有关的标准,以最新的ISO/IEC 27002:2022《信息安全网络安全与隐私保护——信息安全控制》为例,其中包含了大量针对密码技术的相关要求,例如,信息传递须使用加密技术保护;口令管理系统应根据批准的口令加密技术对口令进行加密和哈希处理;确保供应商组件真实性的“示例措施”包括防篡改标签、加密哈希验证或数字签名;根据已识别风险,使用加密措施保护备份;动态访问管理系统时需要进行身份鉴别、提供适当的凭证或证书来访问信息等。
可以看出,密码对于数据安全的核心支撑作用得到了世界各国在法律法规层面的认可。
2
数据安全防护中的密码作用
我国国标GB/T 37988—2019《信息安全技术数据安全能力成熟度模型》将数据生命周期划分为数据采集、数据传输、数据存储、数据处理、数据交换、数据销毁6个阶段。密码在数据生命周期的每一阶段均能发挥核心关键的防护作用。近年来,对于数据处理、数据交换阶段的隐私保护、数据确权等需求成为研究的热点和难点。
2.1 数据采集阶段
在数据采集阶段,可能被人为注入恶意数据或篡改采集数据,导致采集数据被污染,使后续数据分析处理的可靠性和安全性受到影响。例如,在恶意代码识别算法建模阶段,攻击者在数据采集阶段注入恶意数据,影响训练得到的模型,使得恶意代码无法被模型所识别,达到成功绕过安全防护系统的目的。
密码技术可以保证数据来源的可靠。一是基于密码的安全认证技术可对数据提供方的传感器、设备等进行身份认证,确保数据来源的合法性,比如数据获取手段是否合法,数据权属是否明确,获取是否获得授权;二是通过数字签名等技术对数据源进行鉴别和认证,防止采集数据被篡改;三是从数据采集阶段开始,根据数据分级分类的要求,采用基于密码技术的数据标签,确保数据生命周期中处理过程可溯可查。
2.2 数据传输阶段
数据传输阶段面临的安全风险主要包括数据泄露、数据遭篡改、侧信道攻击等。自2020年以来,我国有关电信运营商、航空公司等单位的内网和信息系统先后多次出现越权登录、数据外传等异常网络行为,疑似遭受网络攻击。国家安全机关依法开展技术检查,确认部分骨干网络节点设备、核心业务系统服务器等被植入特种木马程序,已有部分数据在经由这些设备进行存储和转发的过程中被发送至境外。通过进一步深入调查证实,相关攻击活动是由某境外间谍情报机关精心策划、秘密实施的。该机构调集强力网络攻击力量,使用全球多地网络资源和先进网络武器,妄图实现对我国关键信息基础设施战略控制的目的。
加密技术可以保障数据的机密性,通过数字签名、数据摘要等技术可防止数据在传输过程中经由骨干网络节点转发时被未经授权的查看、篡改或破坏。在传输阶段,将数据的加密分为物理层加密、链路层加密、网络层加密、传输层加密和应用层加密。
2.3 数据存储阶段
随着数据规模和复杂度的不断增长,越来越多的企业和用户倾向于将数据外包存储于第三方云服务器中,从而获取高效便捷的数据存取服务。但同时数据的外包存储使得数据的机密性难以保证,导致数据的泄露和滥用。2022年3月1日,俄乌战事正酣之际,在乌克兰作战的12万俄罗斯军人的个人信息被发布在《乌克兰真理报》网站上,乌克兰媒体称这些信息由乌克兰国防战略中心获取,这些资料详细地记录了12万俄军的名字、注册编号、服役地点、职务等信息,页数多达6 616页。
在此阶段需防止无授权入侵以及数据泄露。一方面,采用密码技术解决存储安全性问题;另一方面,利用公钥密码技术或哈希函数验证远程数据的完整性。将存储数据的加密方案分为卷加密、文件系统加密、应用加密等。其中,卷加密为保护操作系统中卷上的所有数据而设计,可以防止绕过操作系统和NTFS权限控制而直接读取硬盘数据的离线攻击;文件系统加密是指通过与文件系统的深度结合,实现用户无感知的加解密;应用加密是指在数据落盘前,由应用负责对数据进行加密,提供数据外包存储时的机密性保护。
2.4 数据处理阶段
随着社会普遍意识到数据的可利用价值,各行各业都开始关注通过数据开发来获得竞争优势,数据分析和挖掘成为常态。人工智能和大数据分析算法需要更高的算力支持,往往采用弹性资源共享、数据动态迁移以及多租户资源共享的云计算、大数据平台等第三方计算基础设施。然而,在最大化发挥资源集约化应用效应的同时,不可避免地会在数据处理阶段面临新的数据安全的风险。一方面,云平台中各租户网络、存储、计算等物理资源共享使用,租户应用在共享资源中频繁迁移,导致私有数据安全边界模糊,存在恶意租户跨越虚拟边界,非法获取私有数据的情况,从而引发租户安全隔离问题;另一方面,用户需要将数据存储到云端或将计算任务外包给云服务商,这导致用户数据的所有权和管理权分离,引发了一系列新的隐私保护和信任风险问题。在众所周知的“Facebook数据泄露”丑闻中,剑桥分析公司将来自Facebook的数千万用户的数据,用于在2016年美国总统大选中针对目标受众进行政治广告投放。剑桥分析公司使用的机器学习模型基于种族、年龄、性别等人口特征来建立影响选民的方法。
针对租户安全的问题,可以采用网络传输加密技术实现密码隔离,对不同租户业务流量采用不同数据密钥进行加密保护,构建相互隔离的虚拟专用网络(Virtual Private Network,VPN)加密网络环境。
针对隐私保护和信任风险的问题,可以使用隐私计算,在提供隐私保护的前提下实现数据价值挖掘,做到“数据可用不可见”。从技术机制来看,隐私计算三大技术路线之一的安全多方计算基于密码学的算法协议其安全性有严格密码理论证明参与计算的各方拥有各自数据的绝对控制权,不需要任何参与方、操作人员、系统、硬件或软件的信任传递,保障基本数据和信息不会泄露,同时其计算准确度高,支持可编程通用计算。
在安全多方计算的众多分支中,全同态加密技术备受关注。全同态加密方案提供一种对加密数据进行处理的功能。用户对密文进行运算后再解密得到的结果,与直接对明文进行运算得到的结果一致。这一特性,允许不可信的第三方在没有私钥的情况下直接对密文进行处理和分析,实现了数据所有权和使用权的分离,避免了数据泄露的同时,还充分利用了外部算力,解决了将数据及其计算委托给第三方时的数据安全问题。例如,由于医疗数据隐私问题,医疗保健中的预测分析可能难以通过第三方服务提供商处理,如果第三方服务提供商可以对加密数据进行操作,就会减少因为使用第三方服务而产生的隐私安全问题,如图1所示。即使服务提供商的系统受到安全威胁,数据也能保持安全。
图1 基于同态加密的密文搜索应用
2.5 数据交换阶段
作为数字经济时代的关键要素,数据要以市场化的方式参与流通和分配,才能真正意义上赋能数字经济的发展。当前,政府部门及金融、医疗等行业的机构拥有海量的数据,但是出于安全利益角度,数据难以流通起来,跨行业数据流通更是难上加难,导致存在大量数据孤岛。
区块链技术在数据共享交换方面有着天然的优势,利用区块链技术去中心化、公开透明、去信任化、不可篡改的技术特征,在确保数据完整可信、数据权属明晰的前提下,构建开放、独立、公开透明的数据交换、审计和监管流程,促进数据共享和交换,发挥数据资产的最大效能。
密码是区块链中的核心技术之一,为其提供重要的基础支撑,保障区块链在各领域的实际应用中安全有序发挥作用。一是采用非对称公私钥对构建可信身份。公私钥对奠定了区块链的账户体系及资产的所有权,是区块链用户身份的唯一凭证,将私钥签名交易提交到区块链网络,用公钥对交易进行验证。二是通过数字签名技术实现数据确权。数据确权是数据开放共享和价值流通的先决条件。利用数字签名的数据完整性、身份验证和不可否认性的技术特征,实现身份与数据的可靠连接,在区块链共识网络中保障用户的安全接入、发布验证和权属认定,从而界定数据权属。三是通过计算不可逆的哈希算法能够有效保证数据的完整性,并防范数据泄露。哈希算法是区块链中使用最多的一种算法,被广泛用于构建区块和确认交易的完整性上,保护数据不被篡改、不能伪造。
2.6 数据销毁阶段
在云计算和大数据环境下,一方面,由于数据量较大、处理对象多,使得数据销毁耗时较长,增加了数据销毁环节中被窃取的概率;另一方面,云端数据可能没有被云服务商彻底销毁,导致数据残留问题,这很容易被其他用户非法恢复,产生数据泄露。
基于加密技术还可以进行数据销毁。对云存储中的数据进行多次加密,当需要销毁数据或者希望销毁数据时,可以直接删除密钥。由于密钥的数据量比存储的数据量小很多,因此数据销毁可以在很短的时间内完成,即使云服务商保留了该文件的某些部分也无法解密数据。
3
基于密码的数据安全防护体系
构建数据流动过程中动态的安全防护能力,确保在数据保护的基础上安全地利用数据,促进数据价值发挥,已成为当前业界对数据安全防护目标形成的共识。本文以数据流转的视角,提出基于密码的数据安全防护体系,以服务化的密码防护能力,为数据安全流通保驾护航。基于密码的数据安全防护体系如图2所示,该体系由密码服务平台、数据安全能力、数据安全标准、数据安全服务以及数据安全管理5个部分组成。
图2 基于密码的数据安全防护体系
3.1 密码服务平台
数字经济背景下,信息化的交互大幅增加,随着业务的协同,数据在网络空间的不同载体间流动和留存,在业务系统的各层面、各环节中实现数据共享和利用。一方面,数据流通的环节增多,使得安全防护的战线拉长,防护点位分散,数据载体所处的宿主环境从云计算到传感器终端,对密码防护的计算性能要求差异大;另一方面,数据安全的各个环节都需要密码技术的防护。需要从提供多样化密码防护能力、避免重复建设和统筹密码资源等方面着手,在体系中设计密码服务平台。
密码服务平台集成数字证书认证系统、密钥管理系统、统一身份认证系统、密码计算资源池等密码基础设施,为流转中的数据提供统一的认证和弹性伸缩配置的加密计算资源。基于统一的密钥、密码和认证服务,将简化密码应用步骤,降低信息系统应用密码的复杂度,加快密码应用的建设部署周期。同时,还可以实现对密码资源和密码服务全程可视化监管,实时查看密码设备的运行状况,支撑数据安全能力中的防护和监测能力构建。
3.2 数据安全能力
数据是存在于网络空间的一种网络资产,可以借鉴美国国家标准与技术研究院的网络安全框架(IPDRR)进行数据安全能力研究。以安全保障体系化的思想,结合管理和技术来有效保障数据的安全,通过持续监测来实现“识别、防护、监测、响应、恢复”数据安全闭环的防护体系能力,为用户提供完善的数据安全能力框架和支撑体系。
在建设数据安全能力的过程中,基于密码的防护能力主要体现在两个方面。
(1)基于密码构建可信身份体系,并将身份与数据进行连接。数据快速流转,使得数据与人员、设备、应用等数据使用主体之间的相互关系由静态绑定转变为动态变化,导致数据权责关系复杂,组织难以清晰地梳理数据与使用主体、传输线路、载体环境、安全策略之间的关系。
利用密码服务平台提供的数字证书构建数据使用主体的统一可信身份,通过数字签名服务实现主体与数据的绑定,详细记录数据流转及使用情况,构建起数据全局视图,支撑数据监测能力,便于组织开展体系化的数据安全风险联防联控;基于密码标签可以对数据进行分类分级的标识,有助于数据识别能力建设,结合数据流转记录,可以针对具体业务场景,将数据、操作和使用主体进行关联,设计细粒度管控的安全防护措施,实现数据安全风险的精准管控。
(2)基于密码提供覆盖数据全生命周期的密码防护能力。一是将加密和认证操作嵌入数据业务流程中,提供细粒度的密码策略和密钥管理方案,面向云、大数据平台、传感器终端等新型计算环境防护需求,确保数据的机密性、完整性和防滥用等基本要求。二是从静态数据密码防护向动态数据密码防护扩展。面向数据流通场景防护需求,加大安全多方计算、区块链等新型密码防护手段,更好地满足隐私保护需求和数据安全自由流动需求,让数据得以合法利用。
3.3 数据安全标准
标准是数据安全相关法律法规落地的重要延伸,对推动数据安全防护体系建设具有基础性和引领性作用。全国信息安全标准化技术委员会已发布数十项与数据安全和个人信息保护相关的国家标准,标准中明确了密码技术的使用要求。
3.4 数据安全服务
数据安全与业务紧密关联,既要满足安全需求,又要兼顾数据正常的应用与流转,数据安全服务是将安全专业技术与业务系统相融合,在不影响业务正常运营的前提下,数据安全服务是满足企业数据安全合规、防护、监测等需求的主要途径。体系中的密码服务平台可以提供密钥管理、电子签名、时间戳、数据加解密、证书管理等通用密码服务。
3.5 数据安全管理
开展数据安全管理工作,需要具备系统性工程视角,从组织、管理、流程、制度、技术等多个方面综合考虑。数据安全管理主要包括组织与人员、数据安全认责策略、数据安全管理制度等。
4
发展趋势和建议
在数字经济蓬勃发展,经济规模不断创下新高的背景下,数据安全当前已经成为亟待解决的首要问题,也是产业界和学术界重点研究的领域。使用密码的方法解决数据安全问题具有天然的优势,一是密码可以提供“可证明安全”的基线保障;二是密码是目前世界上公认的,保障网络与信息安全最有效、最可靠、最经济的关键核心技术。
基于密码技术防护数据安全在未来的主要发展方向如下文所述。
(1)数据和算力是人工智能技术开发和应用的关键要素,其中数据更是人工智能的基础支撑。人工智能算法模型在开发训练时需要海量、多样性的高质量数据。然而,随着人们在生产和生活场景中越来越多的敏感数据被过度收集,超出授权范围的分析和利用,导致数据安全和隐私保护等问题已成为人工智能系统在开发和应用发展中的严重阻碍。针对人工智能的各个阶段和各种模型,研究基于密码的数据隐私保护方法,是密码保护人工智能方向数据安全的重要研究趋势。
(2)随着数据安全的普及,实现了用户个人隐私安全的保障以及隐私数据边缘计算服务的发展,全同态加密算法拥有十分广泛的发展空间和应用场景,但当前仍处于萌芽期。其主要的研究方向如下:一是计算效率提升。目前已知的全同态加密算法需要消耗大量计算资源的时间,且还达不到实用的标准。二是开展适应性选择密文攻击下安全性和抗泄露安全性。由于全同态加密具有延展属性,目前大部分全同态密码算法只满足选择明文攻击安全性。三是全同态加密算法已经在安全多方计算、私有信息检索、机密数据检索和可搜索加密等方面得到广泛应用,未来在数据安全和隐私保护方面的广泛应用还需进一步探索。
(3)使用密码技术保障数据安全,需要持续研究和优化密钥管理的问题。云计算中多租户模型带来了共享密钥、数据使用主体动态变化、频繁申请删除密钥等复杂密钥管理场景,需要研究高效密钥管理方法;区块链应用场景中分布式密钥管理对密钥一致性、协作性和验证性提出了新的挑战,仍需开展深入研究。
5
结语
随着数字经济的高速发展,数据应用领域日趋复杂多样,数据面临的安全威胁层出不穷,对数据安全防护的效率、强度、灵活性等提出了更高的要求,密码作为数据安全中的“安全基因”,面对不断涌现的新需求,只有不断推动密码创新,提出破局思路,才能实现数据安全防护体系的持续优化。
引用本文:梅莉蓉,郭晓黎,张小琼.基于密码的数据安全防护体系研究[J].信息安全与通信保密,2022(9):48-56.
END
往期推荐
国际安全领域顶会NDSS 2023录稿整理 (上)
国际安全领域顶会NDSS 2023录稿整理 (下)
首次发现!数据异构影响联邦学习模型,关键在于表征维度坍缩 | ICLR 2023
隐私求交| Simple, Fast Malicious Multiparty Private Set Intersection