数据安全与密码|数据的“传输安全”密码保障不可或缺

可信的数字认证
可信的数字认证
数据安全的需求存在于数据生命周期的各个阶段,而传输无疑是其中的重要环节。无论数据的采集、汇聚、公开、分发还是交易,各种数据处理行为都会涉及到数据的传输。因此,数据传输安全也成为了当下与数据存储安全、数据使用安全并列的三大热点之一。

《中华人民共和国数据安全法》于9月1日正式开始施行,北京数字认证股份有限公司(以下简称“数字认证”)为此精心编撰了“数据安全与密码”专题。上一期,我们谈到了如何综合分析数据安全需求。接下来的三期,我们将重点讲述数据传输安全、数据存储安全、数据使用安全。

本期的数据传输安全,首先厘清了人们的认知误区,然后从三个维度出发,综合分析数据传输安全需求和不同场景适用的安全防护措施,为数据传输方案的设计和建设提供参考。

数据安全的需求存在于数据生命周期的各个阶段,而传输无疑是其中的重要环节。无论数据的采集、汇聚、公开、分发还是交易,各种数据处理行为都会涉及到数据的传输。因此,数据传输安全也成为了当下与数据存储安全、数据使用安全并列的三大热点之一。

对于数据传输安全,一种常见的误区是认为数据传输安全就是单纯的“加密”。事实上,加密只是一种保护数据内容机密性的手段。而数据安全的保护对象并不仅限于数据本身。

在上一期“写在《数据安全法》生效之际,全局视角多维度审视数据安全”一文中所阐述的方法论,对于数据传输安全的需求分析,应从数据处理主体、数据本身和数据处理行为三个维度进行。所对应的保护措施也不仅限于加密技术,而是包含实体身份鉴别、数据传输机密性、数据传输完整性、发送或接收行为的不可否认性等多种技术措施。

数据传输中每一个环节

安全需求大不同

与存储、加工等环节不同,数据传输活动的“主体”涉及到发送方、接收方以及传输路径上的多个中间节点等多个实体。为便于分析安全需求,应将一次完整的数据传输会话拆分为多个数据处理行为,即一个“发送”、多个“转发”和一个“接收”(组播、广播等数据传输活动包含多个“接收”行为),如下图所示。每个数据处理行为都仅涉及单一主体,可以通过分析其主体身份、数据本身和处理行为对数据安全需求进行综合分析。

首先,对于数据处理主体,主要的安全需求是真实性,即主体身份是真实可信的。在数据传输活动涉及到的多个数据处理行为中,发送方和接收方的身份真实性是最重要也最常见的安全需求,而对于中间的转发方身份则通常没有要求,具体情况取决于实际应用场景和业务特点。

其次,对于传输的数据本身,其主要的安全需求包括真实性、机密性和完整性。数据传输各个行为的数据内容是前后关联的,“发送”行为的输出数据即为下一个“转发”行为的输入数据,以此类推。因此,数据传输的安全需求通常可分为两种形式:“端到端”和“分段式”。“端到端”是数据传输安全需求来源于发送方和接收方之间,要确认数据来自预期的发送方,防止中间的转发方破坏数据机密性或完整性。“分段式”则是只需要确保每段转发环节的数据安全性,而不介意转发方获取或修改数据内容。

实际应用场景的特点决定了传输的数据内容安全需求的形式。例如,在一种远程办公场景下,员工使用手机接入移动网络、随后通过CDN加速服务访问企业OA网站。那么这个数据传输场景显然需要“端到端”的数据安全防护,无论是移动运营商还是CDN加速服务商的基础设施,都不能影响到数据的机密性和完整性。

最后,对于数据传输行为,需要保护的主要是发送或接收行为、时间点的不可否认性。这类需求常见于涉及司法取证的数据传输活动,例如电子招投标平台接收到投标文件的行为和时间点,是涉及投标行为在法律上是否有效的重要证据,因此需要不可否认性保护。行为不可否认性的防护,与数据真实性的防护常常可以使用同一机制,例如基于公钥密码的数字签名;但相对于数据真实性而言,行为不可否认性还需对行为发生的时间做确认,例如使用时间戳机制。

需要额外指出,在相同的发送方和接收方之间进行的多次数据传输,其行为特征常常会成为网络攻击者分析目标对象特点、寻找潜在脆弱点的主要依据。因此,多次数据传输活动的综合行为特征也存在机密性保护需求。这项需求与数据内容本身的机密性保护需求是不同的。即使数据内容本身已经得到了机密性保护,攻击者仍然可以通过分析所谓的“元数据”(如http请求头部信息)获知传输行为特征。

安全措施需要打出组合拳

网络层VS应用层

根据实现时的层级不同,常用的数据传输安全措施可以划分为网络层和应用层两大类。其中,网络层的数据传输安全措施主要依托标准化的密码协议实现(如TLS、IPsec以及基于国密算法的TLCP、GM SSL、GM IPsec等),对所有应用数据不加以区分,实施相同强度的安全防护;应用层的数据传输安全措施则主要基于业务需求特点设计定制化的密码措施,通常根据数据分级分类情况设计多种安全机制,满足不同应用的数据传输安全需求。

针对数据传输环节的主体身份真实性,传输数据内容的真实性、机密性和完整性,传输行为的不可否认性,以及多次传输行为特征的机密性等需求,网络层和应用层均存在几种常用的安全防护措施,各自适用于不同的应用场景,如下表所示。

在实际应用中,应结合具体的需求分析对这两类安全措施进行挑选或组合。此外,由于涉及到的需求种类繁多,数据传输安全措施也往往需要与其他安全措施一起统一规划实施,形成一套完整的数据安全方案。以下将结合北京数字认证的实践经验举例说明。

实践案例分享:

疾控数据报送的传输安全方案

在抗击疫情期间,传染病及突发公共卫生事件等敏感信息的上报机制逐步完善,形成了从医疗机构到省级CDC再到国家CDC的逐级上报机制、以及填报者直报国家级管理平台的直报机制。

显然,这些敏感信息的传输安全问题绝非仅仅是“加密”就能解决的。

首先需要解决报送机构、报送人的身份真实性以及接收数据的各级平台的身份真实性,这些也是数据真实性的基础;

其次需要考虑报送数据中涉及到的敏感信息(例如涉事人员姓名、联系方式)的机密性,保护个人隐私;

再次需要考虑报送数据自身的完整性,确保数据未被任何人或平台篡改;

最后需要解决填报行为和各级平台接收时间点的不可否认性,确保整个报送过程在法律上可追溯。

为了解决上述数据传输安全需求,北京数字认证通过一体化密码服务构建了疾控数据报送安全体系,如下图所示。

在这套数据安全报送体系中,密码服务平台提供的身份核验服务和证书签发服务提供SSL证书或个人证书,解决各级数据报送平台、报送人的身份真实性;通过SSL-VPN安全网关建立各级上报数据的国密SSL安全通道,以及个人直报国家的安全通道,解决数据机密性问题;通过电子签名和时间戳服务为报送数据附加电子签名和发送、接收时间戳,确保报送数据在全生命周期的完整性和报送行为的不可否认性。

结束语

综上所述,解决数据传输安全问题绝非仅仅“加密”这么简单。

传输主体身份的真实性、传输内容的机密性和完整性、传输行为的不可否认性、以及多次传输行为特征的机密性,都是数据传输安全需要解决的问题。在实际应用中,我们需要在数据分级分类的基础上,结合业务特点全面分析上述各方面安全需求,综合运用网络层和应用层的安全措施,对数据传输实施全面的安全保护。

2345截图20210806091512.png

THEEND

最新评论(评论仅代表用户观点)

更多
暂无评论