一文读懂数据跨域安全技术
发布时间 2023-03-13伴随数据要素、信息系统发展,我国数据跨域交换技术历经半自动化及自动化两大阶段,目前处于智能化阶段的发展初期,需要加快推进数据跨域交换体系研究和建设,促进我国数字经济更快更好地健康发展。
① 半自动化阶段:采用人工方式,传递数据承载介质,实现数据跨域;
② 自动化阶段:在信息化技术的促进下,在网络域间实现结构化、非结构化,数据通过信息系统与数据交换系统综合实现数据自动化跨域;
③ 智能化阶段:在智能化技术成熟的条件下,实现智能化风险感知、自主化数据跨域和自动化威胁处置。
数据跨域交换带来数据流动速度、范围和密集度的巨大变化,促进多行业、多领域数据应用创新融合,同时也将带来具有综合行业特点的新型数据安全风险和挑战。
跨域交换技术六大安全挑战
数据跨域安全监管难
当前的跨域交换技术,通常面向简单管理统计业务、日常运维以及业务注册、设备运行状态监控和交换日志的检索和审计。当面向大数据等复杂业务时,无法实现对设备的管控、网络流量的分析、操作行为的深度挖掘、整个网络安全态势的研判把控。
数据跨域接入对象安全环境复杂
数据跨域接入对象的复杂性,致使难以界定接入分类维度,给安全策略制定带来挑战。比如界定数据跨域接入维度,此维度的划分目前没有统一的标准,从多年实践上一般考虑以下几个维度:系统的组织权属维度、安全等级一致性维度和安全保障系统环境维度。
数据跨域交换实时性要求高
现有数据跨域交换平台提供“数据交换双向传输、数据单向传输导入、数据单向传输导出、授权访问、流媒体传输等服务,具体以文件、数据库、流媒体等方式进行数据跨域共享与交换,该类操作方式一般不要求内外部网络之间进行实时交互。在大数据提供服务时,实时性要求高,现有技术一般无法满足内外部网络大量实时性要求高的服务。
数据机密性信息泄露风险大
由于技术、管理、人员等因素的影响,跨域数据交换最可能面临的风险是高安全域向低安全域开放其无权访问的数据,即低安全域只需要某类数据表中的一列数据A,但是在高安全域中,数据A和敏感数据B是同一张数据表的不同属性,如果高安全域在数据跨域交换时未对数据B进行处理和区分,则有可能导致敏感数据B泄露到低安全域。
数据安全责任不清晰
在数据跨域的过程中,源头数据拥有者需要承担源数据的真实性、准确性、机密性责任,并且需要为保证数据安全持续进行人员、技术、资金投入。但是通过数据跨域交换使得数据请求方拥有了一份新的数据拷贝并成为了新的数据拥有者,随着数据跨域交换的范围增加,数据安全的主体责任就可能随着跨域交换范围的增加而产生变化,而新的数据拥有者则很容易忽略数据本身的安全责任。
关联信息数据泄露追踪溯源难
在数据跨域交换的过程中,目前的安全防护措施并不能完全防止数据泄露,一旦发生数据泄露事件,则需要数据安全的责任主体具备泄露溯源能力,排查泄露源头,追踪泄露路径,进行调查取证。在数据跨域交换后,如果任意安全域内的访问日志遭到破坏,都将会给数据泄露排查造成不利影响。
跨域交换技术六大安全场景
数据单向导入场景
主要描绘其它网络的数据或应用通过单向导入的方式进入数据接入环节的过程。本场景低安全域数据交换服务与数据跨域交换外侧接口形成相互认证,高安全域数据交换服务与数据交换内侧接口形成相互认证,保障接入业务身份可信。
数据单向导出场景
一般为顺应数据要素发展趋势,满足实际业务需要,充分利用互联网资源开展业务等目标,积极开展与社会各行业之间的信息共享和综合利用,需要从各类专网内将部分数据或文件对外进行单向导出进行共享。
模型与指令交换场景
指专用信息网与位于其他网络的应用系统之间发生业务请求访问,且由于业务实时性要求较高,具备每次访问的数据量不大但频次高的特点,在此场景不需要进行传统数据库同步或者文件同步。
与互联网跨域交换场景
由于技术栈存在差异,高安全域侧与互联网之间的跨域交换分为视频交换和数据交换。视频交换用于视音频流的传输,互联网与专用信息网间采用专用视频协议的隔离交换;数据交换用于视频图像(视频片段、图像数据等)、其他数据(文件、数据库记录)、视频图像信息数据库请求(采用JSON格式的API请求)通用数据的隔离交换。且传输方式都为单向导入或单向导出。
专网之间的跨域交换场景
主要指安全级别对等网络之间进行的跨域数据交换,一般采用双向隔离传输的形式。
业务协同场景
业务协同场景主要指可信的终端或者应用通过认证代理通过身份、权限和环境检查后,携带规定的信息与高安全侧的应用服务或者数据服务进行交互。
数据跨域两大保障技术
数据跨域技术是一项综合类技术,主要由安全保障技术、合规性保障技术进行综合。
安全保障技术
安全保障技术是保障跨域时避免各个交互域的安全策略不遭到破坏,同时保障数据流转业务的开展。
1、物理摆渡
数据摆渡技术由源数据导出服务器、光盘摆渡机、目标数据导入服务器三部分组成。利用机械臂将光盘在两个刻录服务器之间摆渡,将数据传到对方。用机械臂虽然可以节省人工,但仍是以“拷盘”的方式传输数据,原来拷盘存在的问题并没有得到解决。
2、双向传输
双向传输依据底层传输介质不同,可以分为基于SCSI型和基于总线型两种。
①基于SCSI的网络隔离技术是目前比较成熟的网络隔离技术之一,SCSI是一个外设读写协议。外设协议是一个主从的单向协议,外设设备仅仅是一个介质目标,不具备逻辑执行功能。通信协议的可靠性保证是通过对方的确认信息来完成。
②基于总线的网络隔离技术源于并行计算,多个并行的计算机要共享和交换各自内存的数据。这种技术采用双端口静态存储器,配合基于独立的CPLD(复杂可编程逻辑器件)的控制电路,以实现在两个端囗上的开关,双端囗各自通过开关连接到独立的计算机主机上,CPLD作为独立的控制电路,确保双端囗静态存储器的每一个端囗上存在一个开关,两个开关不能同时闭合通过开关放行或截断数据,通俗地讲就是起到一个“闸”的作用。
3、单向导入/单向导出
按照物理结构进行划分,市面上的单向导入系统可以分为两类,一类是采用分光器,另一类是采用SFP光模块。
采用分光器:发光模块和收光模块之间通过单根光纤相连接。分光部件利用光单向传输的特性,数据只能从发送端传输到接收端,没有回路。物理结构很简单,但是稳定性极高。对于传输文件的验证,可通过软件功能来实现。
SFP光模块:SFP光模块结构的单向导入系统,更利于实际业务的稳定传输。光闸系统基于SFP/SFP+光模块中发光器和收光器分离的技术特点,通过单根光纤将光闸外网处理单元光模块的发光器与内网处理单元光模块的收光器连接,从物理上实现了不同网络间数据的绝对单向传输。
4、数据服务(接口)
应用程序接口(API)让应用程序可以轻松地使用另一个应用程序的数据和资源。API网关是数据服务的入口,可以根据不同的请求路由到不同的数据服务上,也可以在网关上进行路由的控制,这样即使服务发生了变化,网关的路径依然可以不改变。客户端在与后端服务进行交互之前,需要先进行认证操作,这是后端所有的服务都需要有的共有逻辑。由于不同的客户端需要的数据不同,而这些数据又是不同的服务提供的,可以借助API网关或跨域请求服务完成来自不同服务的数据聚合。
5、数据接入传输通道加密
传输通道加密发展至今技术已非常成熟。VPN是以隧道、密码技术、访问控制技术作为三大核心技术,增加代理技术、访问控制技术作为两大支撑技术的网络安全系统。目的是确保只有被允许的主体在受控制的链路上访问被允许的客体。也就是接入、传输、应用三环节均受控,任何主体,客体,第三方都难以越界,难以破坏。因此,VPN对于用户的价值并非在于直接提供服务,而在于不失便利性的前提下确保安全。
合规性保障技术
合规性保障技术是一项为数据跨域管理提供保障的技术,主要由支撑法律、法规、行业制度和管理规定的技术构成。
1、客体身份鉴别技术
客体身份鉴别技术是确认数据跨域交换请求方设备身份和用户身份,防止假冒人员登录,是数据跨域合规的一项基础能力要求,也是信息系统的第一道安全防线,主要包含单向鉴别、双向鉴别以及第三方鉴别。
单向鉴别:当用户希望在应用服务器上注册时,用户仅需被应用服务器鉴别。常见的单向鉴别是用户发送其用户名和口令给应用服务器,应用服务器收到的用户名和口令进行验证,确认用户名和口令是由合法用户发出。
双向鉴别:是一种相互鉴别,其过程在单向鉴别的基础上增加服务器向客户端发送服务器名和口令,客户端确认服务器身份的合法性两个步骤。
第三方鉴别是:基于可信的第三方存储验证标识和鉴别信息。每个用户或应用服务器都向可信第三方发送身份标识和口令,提高了口令存储和使用的安全性,并且具有较高的效率。
2、数据脱敏技术
数据脱敏技术是一种可以通过数据变形方式对于敏感数据进行处理,从而降低数据敏感程度的一种数据处理技术,在一定程度上保持数据原本的一些特性,使脱敏后的数据依旧存在可用性。适当地使用数据脱敏技术,可以有效地减少敏感数据在采集、传输、使用等环节中的暴露,降低敏感数据泄露的风险,尽可能降低数据泄露造成的危害。
3、数据加密技术
数据加密技术是指以某种算法对原本的数据信息进行改变,若是未经授权的用户获取到加密信息后,由于并不知道解密的方法,所以无法对信息的内容进行了解。在数据加密技术中,有两个非常关键的要素,一个是密钥,可将之理解为一种参数,是实现明文与密文转换的工具;另一个是算法,不同的加密方式,算法各不相同。
技术一:终端型数据防泄露加密技术管理企业终端上(主要是PC端)的敏感数据,其原理是在受管控的终端上安装代理程序,由代理程序与后台管理平台交互,并结合企业的数据管理要求和分类分级策略,对下载到终端的敏感数据进行加密,从而将加密应用到企业数据的日常流转和存储中。信息被读取到内存中时会进行解密,而未授权复制到管控范围外则是密文形式,主要适用于非结构化数据的保护。
技术二:网关型数据防泄露是一种委托式安全代理技术。将网关部署在目标应用的客户端和服务端之间,无需改造目标应用,只需通过适配目标应用,对客户端请求进行解析,并分析出其包含的敏感数据,结合用户身份,并根据设置的安全策略对请求进行脱敏等访问控制,可针对结构化数据和非结构化数据同时进行安全管控。
技术三:应用内加密(集成密码SDK)是指应用系统通过开发改造的方式,与封装了加密业务逻辑的密码SDK进行集成,并调用其加解密接口,使目标应用系统具备数据加密防护能力。
技术四:数据库加密,数据库加密网关是部署在应用服务器和数据库服务器之间的代理网关设备,通过解析数据库协议,对传入数据库的数据进行加密,从而获得保护数据安全的效果。
数据跨域交换不仅是促进数字经济时代的普遍场景,更是数字经济发展的重要驱动力,将促进数据要素的供给、流通和使用。
尤其在数据要素发展的推动下,数据跨域技术在持续演化中,在此提出下一代数据跨域交换技术新概念“智能数据跨域交换港。其主要特征包括:
全面感知:全面感知的基础是深层次的基础应用,这些基础应用以数据为核心感知数据标识信息、数据风险、交换链接等;
智能决策:在基础决策信息感知收集的基础上,计算决策数据跨域交换业务信息,明确决策目标及约束条件,对多复杂交换计划、调度等问题快速决策;
自主数据跨域交换:在智能决策基础上,进行设备自主识别、确定装卸数据对象,自主数据卸载重组,满足通用领域、物联网领域、移动互联领域等多领域的数据跨域合规要求。
数据跨域安全技术是数据安全保障技术的关键组成部分,由数据跨域安全技术形成的数据跨域解决方案也是启明星辰集团数据绿洲关键构件,其融入了集团独特的场景化思维,以数据生命周期的保护为核心,围绕数据的收集、存储、使用、加工、传输、提供、公开等环节,构建赋能全场景的安全防护技术与能力体系,实现协同联动的纵深策略,进一步加强公共数据汇聚共享,推进互联互通,打破“数据孤岛”。
京公网安备11010802024551号