专家观点｜水利部蔡阳：一种行业重要数据类关键信息基础设施的保护技术

2021年7月30日，国务院令第745号公布《关键信息基础设施安全保护条例》（以下简称《条例》），自2021年9月1日起施行，2021年8月17日正式对外颁布。该条例的颁布标志着我国网络安全法律法规建设和安全保障工作进入一个新的阶段。《条例》颁布一年以来，各相关部门和有关机构积极推进关键信息基础设施安全保护工作，并取得显著成效。在此，关键信息基础设施安全保护联盟特邀请行业内数位专家对我国关键信息基础设施安全保护工作发表专家观点并进行系列报道，敬请关注。

文| 水利部蔡阳

专家名片

蔡阳，水利部网信办主任、信息中心主任，正高级工程师，长期从事水利网络安全和信息化、防洪减灾、水资源管理等工程建设与管理。享受国务院政府特殊津贴专家、国家关键信息基础设施安全保护专家组成员、国家大数据专家咨询委员会成员。

数据已成为国家基础性战略资源，数据安全问题日益凸显。国家先后颁布的《中华人民共和国网络安全法》《关键信息基础设施安全保护条例》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》均对数据和个人信息的管理提供了法制保障。显然，对于行业重要数据类的关键信息基础设施的安全保护提出了更高要求。在此背景下，针对行业重要数据类的关键信息基础设施，我们提出了一种基于商用密码技术的数据安全保护技术，推动行业重要数据在收集、存储、使用、加工、传输、提供、公开等过程中的安全应用。

行业网络安全基本防护要求

行业重要数据类关键信息基础设施防护应该建立在行业网络安全基本防护基础上。根据国家网络安全相关政策标准要求，遵循行业网络安全顶层设计和总体策略，落实《中华人民共和国网络安全法》以及网络安全等级保护和关键信息基础设施保护相关要求，以行业基础设施、数据资源和业务应用，尤其是关键信息基础设施为安全保护对象，建立涵盖人员组织、制度标准、工作规程在内的全方位网络安全组织管理体系；构建纵深防御为基础、监测预警为核心、应急响应为抓手的全要素网络安全技术体系；持续完善监督检查体系和安全运营体系，全面提升行业网络安全保障能力。

组织管理体系

网络安全组织管理体系以合规合法、责任到人为中心，主要涵盖：网络安全策略、管理制度、标准规范体系、管理机构、人才队伍、资金保障等多方面，为行业网络安全建设提供强有力的支撑保障。

安全技术体系

遵循网络安全总体策略，构建涵盖纵深防御、监测预警和应急响应的整体技术防护体系。

纵深防御

网络安全纵深防御能力包括基础安全技术、统一安全服务2个方面。基础安全技术构成网络安全等级保护安全合规运营的技术基础，也形成体系化的纵深防御安全能力基础；统一安全服务旨在构建行业运行所需的统一安全服务基础设施，保证体系覆盖范围内获得一致性可持续的安全能力组件，也实现体系安全保障资源的集约化和各层级单位整合共享。

监测预警

网络安全监测预警能力以大数据分析平台为基础，充分利用分布式处理、深度学习、异构计算等大数据处理技术，对行业内部、外部网络安全情报和网络内与网络安全相关的各类数据信息进行挖掘分析，对网内安全状态进行实时感知和预警，并在行业内进行相关的数据共享。

应急响应

网络安全应急响应能力指基于威胁情报态势感知的不同层级信息进行应急响应。行业的安全能力进一步从监测响应式主动防御升级演进到威胁情报预警指挥智能处置能力，包括应急决策指挥、综合展示和集中管理控制平台等维度的内容。

监督检查体系

依据行业网络安全管理办法，围绕抓住“及时发现漏洞、及时有效处置漏洞”两个关键，通过“查、改、罚”等有效手段，强化关键信息基础设施安全监管，建立关键信息基础设施安全监督检查体系，行业各级关键信息基础设施安全保护工作的主管部门定期监督检查，结合行业关键信息基础设施运营者自查，配合网信部门、公安部门的网络安全检查监测，形成监督检查合力。

安全运营体系

网络安全运营体系包括安全基线制定、日常安全运维，系统运行中安全评估、安全监测、渗透测试、漏洞修复、运维审计，日常应急演练，安全事件发生后的响应处置与分析优化策略调整等，以数据为核心的闭环网络安全运营全流程。从而有效对安全威胁事件进行综合研判和及时处置，并不断闭环对运营体系进行优化。

基于商用密码技术的数据安全防护

密码是保障数据安全的核心技术，而商用密码作为我国自主网络安全技术的典型代表，是数字经济安全发展的重要支撑，也是构建行业数据安全防护体系的重要基石。针对不同应用场景的合规性、透明度、加解密保护强度和计算效率等需求，提出了透明数据加密和应用内加密相结合的“双保险”加密技术，有效兼顾了重要数据加密要求和应用需求，实现了数据安全和便捷高效应用。

场景化防护

传统的“数据库加密”往往体现为密文数据存储到数据库后的情形，一般局限于结构化数据，而行业数据一般不仅包含结构化数据，还拥有大量非结构化数据。而数据库也只是数据处理的一个环节。行业数据安全保护对数据的收集、存储、使用、加工、传输、提供、公开等数据全生命周期，主动实施安全防护，打造基于商用密码的数据安全防护体系，防范侵害重要数据权益的行为发生。

结合数据业务与技术属性，全环节主动式重建数据访问规则，构筑有效的数据安全纵深防线，在风险可控的基础上实现数据的增值和自由流转。从这个角度出发，沿着数据流转路径，在信息各层关键节点，基于典型B/S三层信息系统架构的多个数据业务处理点基础上，结合用户场景和适用性需求，选择一种或者组合多种存储加密技术，保障数据的流转及共享安全。

主要技术方法如下：

DLP（Data Leakage Prevention）终端加密技术：

在受管控的终端上安装代理程序，由代理程序与行业数据后台交互，并结合数据管理要求和分级分类策略，对下载到终端的敏感数据进行加密，从而将加密应用到数据的日常流转和存储中。信息在本机使用时会进行解密，而未授权复制到管控范围外则是密文形式。

应用内加密（集成密码服务SDK）：

应用系统与封装了加密业务逻辑的密码服务SDK进行集成，通过密码服务SDK调用行业密码基础设施服务，实现加解密，使行业数据具备数据加密防护能力。

透明数据加密（Transparent Data Encryption，简称为TDE）：

通过国产数据库自带的数据加密功能，与行业密码基础设施集成，在行业数据数据库内部透明实现数据存储加密、访问解密。数据在落盘时加密，在数据库内存中是明文，当攻击者“拔盘”窃取数据，由于数据库文件无法获得密钥而只能获取密文，从而起到保护数据库中数据的效果。

透明文件加密（Transparent File Encryption，简称为TFE）：

在国产操作系统的文件管理子系统上部署加密插件并与行业密码基础设施集成来实现数据加密，基于用户态与内核态交付，可实现“逐文件逐密钥”加密。在正常使用时，计算机内存中的文件以明文形式存在，而硬盘上保存的数据是密文，如果没有合法的使用身份、访问权限以及正确的安全通道，加密文件都将以密文状态被保护。

全磁盘加密（Full Disk Encryption，简称FDE）：

通过动态加解密技术，对磁盘或分区进行动态加解密。FDE的动态加解密算法位于国产操作系统底层，其所有磁盘操作均通过FDE进行：当系统向磁盘上写入数据时，FDE首先加密要写入的数据，然后再写入磁盘；反之，当系统读取磁盘数据时，FDE会自动将读取到的数据进行解密，然后再提交给操作系统。

将加密技术叠加到具体业务流程中，根据不同的业务场景开展重要数据安全防护，确定个性化部署加密方案。同时，基于高性能商用密码技术的支撑，在不改变用户操作习惯前提下，将安全机制与用户现有流程快速耦合，保障业务高速发展下的数据安全使用。

“三权分立”

行业数据密码应用基于业务用户、运维用户、安全用户“三权分立”设计思路进行建设。业务用户经蓝证进行身份鉴定并经行业重要数据系统后台鉴权后，才开展权限内的系统查询、信息录入、信息下载等操作。运维用户经蓝证进行身份鉴定并经行业重要数据系统后台鉴权后，才能对系统代码、业务策略、业务流程等进行修改，业务数据、业务操作日志等均为密文存储，全程对运维用户不可见。安全用户经蓝证进行身份鉴定并经行业重要数据系统后台鉴权后，方可配合业务用户、运维用户对系统密钥、系统加解密资源进行维护，业务数据、系统数据等均不对安全管理员开放。业务用户、运维用户、安全用户根据职责不同，可再细分权限。

双层防护

为解决行业重要数据在使用过程中性能、便利性与安全难以平衡的难题，密码应用过程中，在系统后台数据防护方面采用了“点”、“面”结合的双层防护策略，首先在数据入库时，采用透明数据加密技术进行“面”防护，通过国产数据库自带的数据加密功能，结合行业密码基础设施，在行业重要数据库内部透明实现数据存储加密、访问解密，做到数据在写入磁盘时进行加密，当攻击者“拔盘”窃取数据时只能获取密文，打开数据库时，数据库内容在内存中是明文，应用系统不需做任何改动。为进一步降低攻击者通过数据库内存攻击窃取数据的风险，采用应用内加密（集成密码服务SDK）的方式进行“点”防护，对行业重要数据系统进行改造，与行业密码基础设施进行集成，调用行业密码基础设施加解密服务，对重要、敏感数据进行字段加密，实现行业关键数据“双保险”。

来源：关键信息基础设施安全保护联盟筹