◆朱洪波

?

煙草行業(yè)數(shù)據(jù)安全管理平臺(tái)的研究

◆朱洪波

（廈門(mén)弘搏科技有限公司福建361000）

本文通過(guò)梳理和分析全行業(yè)數(shù)據(jù)資產(chǎn)，對(duì)數(shù)據(jù)敏感分類(lèi)分級(jí)，結(jié)合國(guó)內(nèi)相關(guān)安全標(biāo)準(zhǔn)及法規(guī)，制定相應(yīng)的管理體系。通過(guò)對(duì)數(shù)據(jù)泄露原因、途徑的深入分析，研究規(guī)避泄露技術(shù)措施，建設(shè)數(shù)據(jù)安全管理平臺(tái)，通過(guò)平臺(tái)下發(fā)安全防護(hù)策略，確保數(shù)據(jù)的安全使用，為保證煙草行業(yè)業(yè)務(wù)的長(zhǎng)期穩(wěn)定和發(fā)展提供有力保障。

數(shù)據(jù)敏感；安全防護(hù)；數(shù)據(jù)保護(hù)

0 引言

根據(jù)IBM與Ponemon Insituted 的數(shù)據(jù)泄露研究報(bào)告，企業(yè)的平均泄露總成本從379萬(wàn)美元增至400萬(wàn)美元，大量的數(shù)據(jù)泄露事件影響重大，作為煙草行業(yè)的信息安全工作面臨較大的挑戰(zhàn)。據(jù)IDC報(bào)告，70%的安全損失是由企業(yè)內(nèi)部原因造成，也就是說(shuō)企業(yè)中不當(dāng)?shù)馁Y源利用及員工上網(wǎng)行為往往是“罪魁”，不當(dāng)?shù)纳暇W(wǎng)行為可以導(dǎo)致企業(yè)機(jī)密資料被竊、企業(yè)運(yùn)作不暢等損失。

在加密算法方面，Shai等[1]提出了加密方案，公鑰、私鑰都和數(shù)據(jù)屬性關(guān)聯(lián)時(shí)，用戶(hù)才能解密出數(shù)據(jù)明文。Yu等[2]提出了一個(gè)安全、可擴(kuò)展的細(xì)粒度訪問(wèn)控制的屬性加密方案。Bethencourt等[3]提出了密文策略的屬性加密方法，將接入策略嵌入在密文當(dāng)中，而解密私鑰只與屬性集合相關(guān)。Chase[4]提出了一個(gè)多授權(quán)中心屬性加密系統(tǒng)。Zhao等[5]提出了分類(lèi)代理重加密技術(shù)。Weng等[6]提出重加密方法，引入了訪問(wèn)控制機(jī)制，當(dāng)重加密密鑰匙和指定密文條件同時(shí)滿(mǎn)足時(shí)，解密操作才被允許。Fang等提出了支持關(guān)鍵詞檢索的匿名條件代理重加密方案[7]和模糊條件代理重加密方案[8]。Lan等[9]利用秘密共享機(jī)制和雙線(xiàn)性對(duì)原理構(gòu)造出多條件代理重加密方案。

在完整性校驗(yàn)方面，Ateniese等[10]提出了一種可證明的數(shù)據(jù)持有協(xié)議。Wang等[11]提出了一種支持第三方驗(yàn)證的PDP協(xié)議，該協(xié)議使用了雙線(xiàn)性配對(duì)技術(shù)基于離散對(duì)數(shù)問(wèn)題。Zhu等[12]提出了一種支持?jǐn)?shù)據(jù)動(dòng)態(tài)變化的第三方驗(yàn)證PDP協(xié)議，該協(xié)議使用雙線(xiàn)性配對(duì)技術(shù)和Index-hash表。Yang 等[13]利用雙線(xiàn)性配對(duì)的特點(diǎn)，設(shè)計(jì)了一個(gè)高效的第三方審計(jì)PDP 協(xié)議。該協(xié)議能夠?qū)τ脩?hù)存在多個(gè)云端的數(shù)據(jù)進(jìn)行批量校驗(yàn)。Shacham 等[14]提出了一個(gè)基于雙線(xiàn)性對(duì)構(gòu)造的數(shù)字簽名方案，支持無(wú)限次挑戰(zhàn)詢(xún)問(wèn)，Dodis 等[15]提出了一種允許第三方審計(jì)的POR 協(xié)議。Sandhur等[16]提出了基于角色的訪問(wèn)控制（rolebasedaccess control）方法。Zhang 等[17]提出的基于尺度的時(shí)空RBAC 訪問(wèn)控制模型。Yang 等[18]提出了一個(gè)云環(huán)境中多授權(quán)中心訪問(wèn)控制模型。

煙草數(shù)據(jù)資產(chǎn)龐大，涉及數(shù)據(jù)使用方式多樣化，數(shù)據(jù)使用角色繁雜，數(shù)據(jù)共享和分析的需求剛性，要滿(mǎn)足數(shù)據(jù)有效使用的同時(shí)保證數(shù)據(jù)使用的安全性，需要極強(qiáng)的技術(shù)支撐。面對(duì)如此嚴(yán)峻的網(wǎng)絡(luò)安全局面，本文通過(guò)制定全面的安全體系結(jié)合數(shù)據(jù)安全平臺(tái)的實(shí)踐落地工作，全方位地防止數(shù)據(jù)泄露。

1 系統(tǒng)設(shè)計(jì)

數(shù)據(jù)保護(hù)技術(shù)作為信息安全新興的研究熱點(diǎn)，不論在理論研究還是實(shí)際應(yīng)用方面，都具有非常重要的價(jià)值，近年大量國(guó)內(nèi)外有關(guān)數(shù)據(jù)保護(hù)的安全技術(shù)相繼提出，并且在加密算法、完整性校驗(yàn)、訪問(wèn)控制技術(shù)、密文數(shù)據(jù)去重和可信刪除、密文搜索等方面取得很大的進(jìn)展。當(dāng)大量的數(shù)據(jù)保護(hù)技術(shù)措施及工具擺在眼前時(shí)，企業(yè)自身的數(shù)據(jù)梳理將是工作的難點(diǎn)，定義敏感、明確數(shù)據(jù)類(lèi)型、屬性、分布、訪問(wèn)對(duì)象、訪問(wèn)方式、使用頻率等。

1.1 功能需求

（1）數(shù)據(jù)訪問(wèn)控制

對(duì)數(shù)據(jù)資產(chǎn)進(jìn)行梳理，明確數(shù)據(jù)類(lèi)型、屬性、分布、訪問(wèn)對(duì)象、訪問(wèn)方式、使用頻率等相關(guān)信息。

（2）系統(tǒng)配置分級(jí)

對(duì)人員進(jìn)行配置，對(duì)數(shù)據(jù)進(jìn)行分類(lèi)分級(jí)，結(jié)合實(shí)際情況針對(duì)不同人員對(duì)不同級(jí)別數(shù)據(jù)制定訪問(wèn)權(quán)限，確保數(shù)據(jù)操作的安全性。

（3）信息管理記錄

集中管理記錄各種針對(duì)被保護(hù)數(shù)據(jù)的操作記錄（正常的和非法的），并進(jìn)行統(tǒng)計(jì)分析與展示。

（4）安全解決方案

獨(dú)立的安全加固解決方案，為關(guān)鍵服務(wù)器數(shù)據(jù)提供防護(hù)各類(lèi)外來(lái)惡意軟件和內(nèi)部人員對(duì)數(shù)據(jù)的非法操作。

（5）安全平臺(tái)建設(shè)

建立數(shù)據(jù)安全的技術(shù)平臺(tái)，根據(jù)數(shù)據(jù)的安全級(jí)別下發(fā)相應(yīng)的防護(hù)策略。

1.2 數(shù)據(jù)訪問(wèn)控制

如下圖1所示，基于進(jìn)程指紋識(shí)別機(jī)制，防止非法進(jìn)程對(duì)加密數(shù)據(jù)的訪問(wèn)，保護(hù)系統(tǒng)業(yè)務(wù)的正常運(yùn)轉(zhuǎn)，同時(shí)所有的操作記錄都會(huì)上傳到信息記錄模塊。

雙授權(quán)認(rèn)證：安全操作員需要申請(qǐng)進(jìn)入系統(tǒng)的身份認(rèn)證授權(quán)書(shū)，在操作系統(tǒng)數(shù)據(jù)文件時(shí)，再次對(duì)訪問(wèn)數(shù)據(jù)的進(jìn)程提取指紋信息并判斷是否已加入授權(quán)白名單，保證了業(yè)務(wù)域內(nèi)用戶(hù)身份和數(shù)據(jù)訪問(wèn)進(jìn)程的安全性和可信性。通過(guò)嚴(yán)謹(jǐn)?shù)倪M(jìn)程檢驗(yàn)和授權(quán)機(jī)制，監(jiān)控所有試圖訪問(wèn)加密數(shù)據(jù)的進(jìn)程，阻止所有未授權(quán)進(jìn)程的操作。

圖1 數(shù)據(jù)訪問(wèn)控制流程

數(shù)據(jù)防泄漏、防破壞：通過(guò)對(duì)目標(biāo)文件進(jìn)行讀寫(xiě)控制，不允許對(duì)被保護(hù)文件執(zhí)行拷貝、移動(dòng)、刪除等操作，防止機(jī)密數(shù)據(jù)外泄和被破壞。

強(qiáng)制訪問(wèn)控制：基于進(jìn)程指紋信息，設(shè)置安全訪問(wèn)白名單，只允許合法進(jìn)程訪問(wèn)數(shù)據(jù)，拒絕非法進(jìn)程對(duì)數(shù)據(jù)的訪問(wèn)。

系統(tǒng)判斷被訪問(wèn)數(shù)據(jù)是否有保護(hù)標(biāo)識(shí)，即對(duì)該進(jìn)程進(jìn)行認(rèn)證信息判定，判斷該進(jìn)程是否存在于系統(tǒng)白名單內(nèi)，以及是否符合數(shù)字指紋驗(yàn)證標(biāo)準(zhǔn)。只有被訪問(wèn)數(shù)據(jù)有保護(hù)標(biāo)識(shí)，系統(tǒng)才會(huì)進(jìn)行訪問(wèn)控制，當(dāng)訪問(wèn)數(shù)據(jù)的進(jìn)程判定為合法進(jìn)程后，允許該進(jìn)程訪問(wèn)數(shù)據(jù)，否則拒絕其訪問(wèn)。

1.3 系統(tǒng)配置分級(jí)

用于配置數(shù)據(jù)訪問(wèn)控制列表，通過(guò)系統(tǒng)配置模塊的嚴(yán)格控制，限定安全操作員、數(shù)據(jù)管理員、安全管理員之間的安全職責(zé)，確保數(shù)據(jù)操作的安全性。

產(chǎn)品對(duì)數(shù)據(jù)訪問(wèn)策略配置有嚴(yán)格的控制，策略配置完成后隨即進(jìn)入到工作保護(hù)狀態(tài)，如需進(jìn)行策略調(diào)整須授權(quán)審批，安全操作員需拿到安全負(fù)責(zé)人授予的授權(quán)書(shū)方可進(jìn)行變更配置。訪問(wèn)策略的變更過(guò)程如圖2。

圖2 系統(tǒng)配置分級(jí)

工作模式配置：產(chǎn)品提供兩種模式，即elevate 和finalize，即配置模式和工作模式。當(dāng)保護(hù)策略修改結(jié)束后，確保系統(tǒng)的安全性。

1.3 信息管理記錄

集中管理各種針對(duì)被保護(hù)數(shù)據(jù)的操作記錄（正常的和非法的），包括對(duì)被保護(hù)主機(jī)、被保護(hù)數(shù)據(jù)的訪問(wèn)、拒絕、攻擊等事件，同時(shí)提供針對(duì)這些記錄的統(tǒng)計(jì)分析，方便數(shù)據(jù)安全人員進(jìn)行監(jiān)控分析，如圖3所示。

系統(tǒng)對(duì)被保護(hù)主機(jī)，被保護(hù)數(shù)據(jù)的訪問(wèn)、拒絕、攻擊等事件進(jìn)行日志記錄跟蹤，以方便數(shù)據(jù)安全人員進(jìn)行監(jiān)控分析及審計(jì)。

系統(tǒng)會(huì)對(duì)關(guān)鍵數(shù)據(jù)的訪問(wèn)情況做出完整的記錄。訪問(wèn)記錄包括：訪問(wèn)發(fā)生的地點(diǎn)，如目標(biāo)系統(tǒng)的IP地址；訪問(wèn)源，即什么進(jìn)程進(jìn)行數(shù)據(jù)訪問(wèn)；訪問(wèn)目標(biāo)，即什么數(shù)據(jù)目標(biāo)被訪問(wèn)；訪問(wèn)方式，讀/寫(xiě)真實(shí)數(shù)據(jù)內(nèi)容、讀/寫(xiě)保護(hù)格式的數(shù)據(jù)等；訪問(wèn)結(jié)果，即是否被授權(quán)通過(guò)。

圖3 信息管理記錄

2 安全解決方案

如圖4對(duì)于加解密模塊，項(xiàng)目提供標(biāo)準(zhǔn)接口，可支持SM4，AES256等算法。根據(jù)系統(tǒng)配置模塊的保護(hù)策略，自動(dòng)對(duì)目標(biāo)文件進(jìn)行加密保護(hù)；當(dāng)合法進(jìn)程訪問(wèn)被保護(hù)的數(shù)據(jù)時(shí)，自動(dòng)解密文件并將明文交付于該進(jìn)程。

圖4 加密流程圖

圖5 解密流程圖

系統(tǒng)采用透明加解密技術(shù)，即基于操作系統(tǒng)廠商簽名的底層驅(qū)動(dòng)，運(yùn)行在操作系統(tǒng)的kernel層，用戶(hù)無(wú)須關(guān)注加解密的過(guò)程。所有被保護(hù)的文件以密文狀態(tài)存儲(chǔ)，只有合法的進(jìn)程訪問(wèn)時(shí)，用戶(hù)對(duì)加解密過(guò)程零感知。支持可以訪問(wèn)被保護(hù)數(shù)據(jù)的真實(shí)內(nèi)容的進(jìn)程對(duì)被保護(hù)數(shù)據(jù)的全透明式數(shù)據(jù)訪問(wèn)，即當(dāng)前業(yè)務(wù)系統(tǒng)的服務(wù)的功能和性能都不受到保護(hù)加固系統(tǒng)的影響。

3 結(jié)束語(yǔ)

本文在數(shù)據(jù)治理的基礎(chǔ)之上，整合所有業(yè)務(wù)系統(tǒng)的源數(shù)據(jù)，通過(guò)建設(shè)集中的數(shù)據(jù)安全中心平臺(tái)來(lái)實(shí)現(xiàn)統(tǒng)一數(shù)據(jù)視圖和數(shù)據(jù)的服務(wù)和共享，加強(qiáng)數(shù)據(jù)安全的保護(hù)，建設(shè)一套高安全、高數(shù)據(jù)標(biāo)準(zhǔn)、高數(shù)據(jù)質(zhì)量、高可用、高性能、高穩(wěn)定的數(shù)據(jù)安全中心平臺(tái)，提高煙草企業(yè)安全管理水平。

[1]姜鑫.科學(xué)數(shù)據(jù)開(kāi)放政策研究現(xiàn)狀分析及未來(lái)研究動(dòng)向評(píng)判[J].現(xiàn)代情報(bào),2016.

[2]宋筱璇,王延飛,鐘燦濤.數(shù)據(jù)安全管理系統(tǒng)的構(gòu)建[J]. 情報(bào)理論與實(shí)踐,2016.

[3]陳興躍,劉曉滔.數(shù)字時(shí)代的數(shù)據(jù)資產(chǎn)安全管理[J].互聯(lián)網(wǎng)經(jīng)濟(jì),2017.

[4]王挺,單慧敏.數(shù)據(jù)安全管理工作現(xiàn)狀及應(yīng)對(duì)措施[J].金融科技時(shí)代,2017.

[5]陳馳,馬紅霞,趙延帥.基于分類(lèi)分級(jí)的數(shù)據(jù)資產(chǎn)安全管控平臺(tái)設(shè)計(jì)與實(shí)現(xiàn)[J].計(jì)算機(jī)應(yīng)用.2016.

[6]WENG J, DENG R H, DING X H, et al. Conditional proxy re-encryption secure against chosen-ciphertext attack[C]//The 4th International Symposium on Information, Computer, and Communications Security (ASIACCS). c2009. 322-332.

[7]FANG L M, SUSILO W, GE C P, et al. Chosen-ciphertext secure anonymous conditional proxy re-encryption with keyword search[J].Theoretical Computer Science, 2012, 462(1):39-58.

[8]FANG L M, WANG J D, GE C P, et al. Fuzzy conditional proxy re-encryption[J]. Science China Information Sciences, 2015, 56(5):1-13.

[9]LAN C H, WANG C F. A new conditional proxy re-encryption scheme based on secret sharing[J]. Chinese Journal of Computers,2013, 36(4):895-902.

[10]ATENIESE G, BURNS R, CURTMOLA R, et al. Provable data possession at untrusted stores[C]//The 14th ACM Conference on Computer and Communications Security (CCS). c2007:598-609.

[11]WANG C, WANG Q, REN, K, et al. Privacy-preserving public auditing for data storage security in cloud comp -uting[C]//The 29th IEEE Infocom. c2010: 1-9.

[12]ZHU Y, WANG H, HU Z, et al. Dynamic audit services for integrity verification of outsourced storages in clouds[C]//The 2011 ACM Symposium on Applied Computing (SAC). c2011: 1550-1557.

[13]YANG K, JIA X.An efficient and secure dynamic auditing protocol for data storage in cloud computing[J]. IEE -E Transactions on Parallel and Distributed Systems, 2013,24(9):1717-1726.

[14]YANG K, JIA X. An efficient and secure dynamic auditing protocol for data storage in cloud computing[J]. IEE -E Transactions on Parallel and Distributed Systems, 2013,24(9):1717-1726.

[15]DODIS Y, VADHAN S, WICHS D. Proofs of retrievability via hardness amplification[C]//The 6th Theory of Cryptography Conference(TCC). c2009:109-127.

[16]SANDHU R S, COYNE E J, FEINSTEIN H L, et al. Role-based access control models[J]. Ansi Incits, 2009, 4(3): 554-563.

[17]ZHANG Y J, FENG D G. A role-based access control model based on space, time and scale[J]. Journal of Computer Research and Development,2010, 47(7): 1252-1260.

[18]YANG K, JIA X H. Attribute-based access control formulti-authority systems in cloud storage[C]//The 32nd International Conference on Distributed Computing Systems. c2012: 536-545.