安全數據空間構建方法研究及其應用

孫 偉 陳振浩 陳建譯 徐田華

1(中山大學數據科學與計算機學院 廣州 510006)2(軌道交通控制與安全國家重點實驗室(北京交通大學) 北京 100044)3(中山大學電子與信息工程學院 廣州 510006)4(信息技術教育部重點實驗室(中山大學) 廣州 510006)5(佛山市科學技術局 廣東佛山 528000)6(廣鐵集團電務處 廣州 510088)

安全數據空間構建方法研究及其應用

孫 偉3,4陳振浩1,5陳建譯6徐田華2

1(中山大學數據科學與計算機學院 廣州 510006)2(軌道交通控制與安全國家重點實驗室(北京交通大學) 北京 100044)3(中山大學電子與信息工程學院 廣州 510006)4(信息技術教育部重點實驗室(中山大學) 廣州 510006)5(佛山市科學技術局 廣東佛山 528000)6(廣鐵集團電務處 廣州 510088)

(sunwei@mail.sysu.edu.cn)

近年來，我國電子政務的快速發展帶來一系列數據安全問題：數據與用戶關聯不夠緊密、數據與業務流程映射關系不清晰、缺乏應對新的數據安全風險等問題.針對上述問題，提出安全數據空間構建方法(包括二維和三維2個層次的空間).其中二維數據空間通過梳理業務流與數據流的關系并確定數據關聯用戶，構建數據主權和邊界明確、數據流向清晰的二維區域；三維安全數據空間在二維基礎上，結合數據防護手段，保護數據主權和邊界、分析和管控數據流向.安全數據空間方法在現行電子政務系統中進行了實踐應用，取得了較好的效果.安全數據空間方法還可以擴展到其他行業信息系統，幫助指導改進其數據安全性.

數據安全模型；數據空間；數據流分析；數據防護

近年來，我國電子政務系統建設取得了長足進步，電子政務系統具有覆蓋部門廣、蘊含數據敏感、開放共享趨勢明朗等特點，系統的數據安全性越發凸顯[1].如2015年4月，據《經濟參考報》報道，超30省市衛生和社保系統出現大量高危漏洞，數千萬人的身份證號、社保參保、薪酬等敏感信息可能因此泄露[2].

電子政務系統在快速發展中存在一些不良現象：重硬件、輕軟件、輕系統[3]，重技術、輕業務[1]，重建設、輕應用、輕管理[4-5]等，導致電子政務系統在數據安全性方面存在3個問題(下稱“問題三角”，如圖1所示)：1)數據與用戶之間的關聯不夠緊密，表現為系統數據主權和邊界不清晰；2)數據與業務流程映射關系不清晰，表現為數據流不能真實反映業務流；3)系統缺乏應對新的數據安全風險的有效措施，表現為系統現有的數據安全措施陳舊落后、難以更新升級.

圖1 電子政務系統問題三角

本文提出一種安全數據空間構建方法，以解決上述問題三角，使得電子政務系統的數據主權和邊界明確，數據流與業務流映射關系清晰，數據安全措施有效且易于升級.

1 安全數據空間構建方法

1.1 數據空間的定義

安全數據空間有2層定義：圍繞數據與用戶的關聯、數據與流程的映射，通過梳理業務流與數據流的關系并確定數據關聯用戶，構建數據主權和邊界明確問題數據流向清晰的區域，稱為二維數據空間；基于二維數據空間設計數據安全防護方案，對數據安全薄弱環節進行分析加強，形成靈活可升級的三維安全防護體系，稱為三維安全數據空間.

圖2 構建業務流程圖

1.2 二維數據空間構建方法及作用

二維數據空間旨在建立與用戶、流程高度關聯的數據區域，聚焦數據流向管控，其建立有3個步驟：構建業務流程圖、抽象Petri網絡、形成二維數據空間.

1) 構建業務流程圖.為了清楚地表現數據與業務流程的聯系，以及數據與用戶的聯系，參考數據流圖(DFD)中圍繞功能跟蹤數據流向、UML活動圖中不同泳道不同用戶之間的活動聯系[6]，設想以業務流程為橫軸，所涉角色為縱軸，橫縱軸根據需要劃分若干泳道，在橫軸、縱軸泳道相交的單元格內即為數據，可以設計出一個業務流程圖.在具體分析中，借鑒DFD圖自頂向下、逐步求精的方法，將角色和流程盡可能地細化，從而得到更為細化的業務流程圖(如圖2所示)，可以比較清晰地展現數據的走向和變化.

2) 抽象形成Petri網絡.在構建業務流程圖基礎上，引入工作流理論作進一步分析.將業務流程圖的數據作為Petri網中的變遷，在變遷之間加入庫所，庫所用于表征對數據的操作，并按數據走向用弧連接庫所和變遷，即可形成Petri網[7].圖3以商事登記業務為例展現這一過程.

3) 建立二維數據空間.在抽象形成Petri網的基礎上，將Petri網中相鄰庫所(即數據本身)、變遷(對該數據的操作)放在一起作為整體對待，這個整體定義為二維數據空間DS2D={ID,DM,OD,RU}，其中,ID(input data)為輸入數據，DM(data manipulation)為對數據的操作記錄，OD(output data)為輸出數據，RU(related users)為此二維數據空間的關聯用戶(數據所有者、操作者等).由此二維數據空間可以清晰地展現數據的來源、去向和關聯用戶(示例如圖3所示).

圖3 二維數據空間構造過程(以商事登記為例)

通過構建二維數據空間，一是明確了數據主權和數據邊界，二維數據空間中的數據輸入方、輸出方、關聯用戶明確，數據主權清晰，二維數據空間本身就代表了數據的邊界；二是建立了數據流與業務流的映射關系，業務流按照統一粒度分解細化，與數據的映射關系清晰；三是可以輔助分析優化業務流程，建立二維空間過程中產生了Petri網，可以用Petri理論中的定性分析、定量分析等方法輔助業務流程的優化改進[8].前2點解決了問題三角中的前2個問題，實現了對數據流向的精確掌握.

1.3 三維安全數據空間方法及作用

二維數據空間建立起數據與用戶、數據與業務流程的緊密聯系，表征了數據邊界，數據主權清晰.而要保護數據主權和邊界應采取適當的數據安全防護手段，將數據安全防護手段單列考慮、建立數據安全軸，定義形成三維安全數據空間(如圖4所示)DS3D={ID,DM,OD,RU,DP}，新增的DP(data protection)為對此數據空間采取的數據防護手段.

圖4 三維安全數據空間圖示

按此定義，數據在電子政務系統內的流轉過程就是從一個三維安全數據空間到另一個空間，并在空間內加工的過程.所有的用戶必須首先通過數據防護手段的驗證，得到數據所有者的授權，才能進入三維安全數據空間，對數據進行操作.

三維安全數據空間的數據防護手段可以有很多技術體系(國內的等級保護[9]，國外的ISOIEC 27001[10]，NIST SP800[11]等)、技術路線供選擇[12]，總體來講，數據防護措施越多安全性越高，則管理難度(相當于空間體積)越高、成本也越高.在我國，電子政務系統均強制要求實施等級保護，因此本文借鑒等保的思路對三維安全數據空間的安全軸進行設計，且選取占比最高的省級以下等保二級或三級電子政務系統展開具體研究.

等保二級和三級系統數據安全技術要求如表1所示，其中電子政務系統的機房、硬件建設較受重視，一般均配備了存儲、災備設施，數據完整性較有保證，因此選取VPN、身份認證、訪問控制、加密作為數據安全體系防護措施.

1) VPN.常用的VPN技術有MPLS，IPSec，SSL等，電子政務系統常用BS模式向公眾提供服務，更適合采用SSL的方式來保證數據的完整性和保密性[13].

2) 身份認證.在等保二級系統中，身份認證技術一般采用密碼+驗證碼的單因素認證方式即可；在等保三級系統中，重要用戶可以采用雙因素認證，一般較多采用CA系統+智能卡+密碼的方式.陳華平、呂述望等人[14]還提出了混合使用證書認證和標識認證、具有自主知識產權的新一代身份認證技術CFL，并在電子政務等領域獲得應用實施[15].

3) 訪問控制.訪問控制策略類型多樣，先后出現了DAC，MAC，RBA，TBAC等模型[16].在實踐中絕大多數等保二級的電子政務系統采用RBAC0模型；等保三級系統多選擇RBAC2模型，某些較為敏感的系統應選擇采用MAC模型.

4) 加密技術.在等保二級、三級系統中，均是對系統本地數據進行加密，因此基本不涉及密碼分發問題，更注重加密算法的效率和性能[17]，可選擇速度相對較快的對稱算法(AES，SM1等)或者散列算法(SHA256，SM3等).

表1 等保二級和三級系統數據安全技術要求

將上述4方面安全措施應用到安全軸上，形成適用于等保二級和三級電子政務系統的三維安全數據空間防御體系(如圖5所示).在上述措施不足以應對新的安全風險時可以靈活加入新的數據安全防護措施，對三維安全數據空間進行更新升級.因此，三維安全數據空間可以完全解決問題三角.

圖5 適用于等保二、三級的三維安全數據空間

2 安全數據空間的應用

2.1 應用對象及其數據安全問題

圖6 抓包截取登錄用戶名和密碼

某市科技管理部門通過科技業務管理系統(已建設第一、二期)，對全市市級科研項目的申報、評審和跟蹤管理等工作進行管理，等保定為二級.系統同樣存在問題三角的3方面問題，如數據與用戶關聯不夠緊密，數據主權和邊界不清晰；數據與業務流程映射不清晰，數據權限配置難、不適應流程的動態變化；系統建設較早，數據風險防御逐漸落后等.系統已經發現若干數據泄露的漏洞：數據傳輸未加密，登錄信息可能被截獲(如圖6所示)；訪問控制設置不當，存在漏洞，部分模塊可以非法訪問(如表2所示)，圖7所示為通過部分未配置權限URL越權訪問.以上漏洞可能造成申報單位銀行賬號、在研項目、財務信息以及相關負責人隱私數據泄露.

表2 部分模塊存在訪問漏洞

圖7 通過漏洞越權訪問某申報單位信息表

2.2 安全數據空間設計改進方案

應用上述二維數據空間構建方法和三維安全數據空間方法，首先對業務流程進行全面梳理，統一流程粒度，構建業務流程圖，然后抽象形成Petri網，再構建二維數據空間，明確數據主權和邊界；在此基礎上建立數據安全軸，引入數據安全防護措施，形成三維安全數據空間.在三維安全數據空間里可以分析系統數據安全漏洞在哪個環節(如圖8所示).

圖8 用三維安全數據空間分析漏洞

通過搭建三維數據安全空間可以發現系統存在數據安全問題的原因：1)空間之間傳輸數據未采用安全措施，容易被監聽、泄露數據；2)空間關聯用戶，如工作人員或系統管理員、維護人員獲取數據的權限未被限制，數據可能會被售賣泄露；3)其他安全問題造成數據泄露，如訪問控制的配置由于流程梳理得不夠設置較為混亂、或者由于流程的快速變化相關配置出現錯配，也導致系統數據安全漏洞；4)敏感數據未采取加密手段等.

參考圖5設計數據防護方案：一是選用適當的SSL技術；二是采取分級的身份認證，普通用戶采用賬號+密碼+驗證碼的單因素認證方式，管理用戶采用CA系統+USB KEY+密碼的認證方式；三是訪問控制采用RBAC，且按照業務流程及其數據聚合關系，梳理出4種粒度的權限：模塊權限、菜單權限、功能權限、數據項權限；四是應用3DES或者AES加密技術對敏感數據進行安全增強，密鑰僅向數據擁有者及授權管理員開放.

2.3 應用改進效果

將改進方案應用部署后，該系統數據主權和邊界明確，數據與流程的映射以及數據流向清晰，權限控制有序，實現了對數據的有效管控(如圖9～11所示).

圖9 權限配置可視化

圖10 非法訪問被拒絕

圖11 非授權訪問時敏感數據加密

3 結 語

本文根據當前電子政務系統在數據安全性方面存在的問題，提出了一種安全數據空間構建方法，其中二維數據空間通過梳理業務流與數據流的關系并確定數據關聯用戶，構建數據主權和邊界明確、數據流向清晰的區域；三維安全數據空間在二維基礎上結合數據防護手段，保護數據主權和邊界、分析和管控數據流向.相關方法在現行電子政務系統中進行了實踐應用，取得了較好的效果.未來安全數據空間還有較大改進余地，一是建立二維、三維安全數據空間的方法可以建立相關系統，實現工作的自動化、可視化；二是安全數據空間概念較為靈活，參考ISMS系統、OSI模型等技術路線，建立側重點相異的安全防護體系，可擴展到其他行業信息系統，幫助指導改進其數據安全性.

[1]汪向東. 我國電子政務的進展、現狀及發展趨勢[J]. 電子政務, 2009 (7): 44-68

[2]楊燁. 數千萬社保用戶信息或遭泄露 超30省市曝管理漏洞[OL]. (2015-04-22) [2016-10-10]. http://politics.people.com.cn/n/2015/0422/c70731-26882624.html

[3]劉邦凡. 淺析電子政務建設原則[J]. 電子政務, 2005 (Z4): 68-78

[4]周玉建. 信息安全對推進電子政務發展影響分析[J]. 中國科技論壇, 2011, 9: 116-120

[5]常永新. 我國電子政務信息安全問題分析[J]. 人民論壇, 2011, 14: 234-235[6]沈備軍, 陳昊鵬, 陳雨亭. 軟件工程原理[M]. 北京: 高等教育出版社, 2013

[7]劉寶代, 張建, 劉冰寒. 基于UML活動圖和Petri網電子政務工作流建模研究[J]. 計算機應用與軟件, 2011, 28(6): 155-156

[8]阿爾斯特. 工作流管理[M]. 北京: 清華大學出版社, 2004

[9]GBT 22239—2008 信息安全技術 信息系統安全等級保護基本要求[S]. 北京: 中國標準出版社, 2008

[10]ISO/IEC 27001[OL]. [2016-10-10]. https://en.wikipedia.org/wiki/ISO/IEC_27001

[11]Sedgewick A. Framework for improving critical infrastruc-ture cybersecurity[OL]. (2014-02-12) [2016-10-10]. https://www.nist.gov/node/573446.2014

[12]宋宇波, 胡愛群. 電子政務安全體系結構的探析[J]. 計算機工程, 2003, 29(10): 11-13

[13]侯剛, 周洲, 杜波. SSL VPN在電子政務網中的應用[J]. 網絡安全技術與應用, 2012, 3: 5-8

[14]范修斌. 新一代身份認證技術CFL[J]. 信息安全研究, 2016, 2(7): 587-588

[15]王海平, 王瑜, 李有文, 等. 典型信息安全CFL解決方案[J]. 信息安全研究, 2016, 2(7): 639-648

[16]李鳳華, 蘇铓, 史國振, 等. 訪問控制模型研究進展及發展趨勢[J]. 電子學報, 2012, 40(4): 805-813

[17]王昭, 袁春. 信息安全原理與應用[M]. 北京: 電子工業出版社, 2010

孫 偉

教授，博士生導師，主要研究方向為網絡安全和多媒體技術.

sunwei@mail.sysu.edu.cn

陳振浩

碩士研究生，主要研究方向為信息安全.

25003741@qq.com

陳建譯

教授級高工，廣鐵集團電務處副處長，國務院特殊津貼專家，主要研究方向為鐵道信號技術.

Cjy45220@163.net

徐田華

副教授，碩士生導師，主要研究方向為計算機控制、數據挖掘、智能故障診斷預測.

thxu@bjtu.edu.cn

Research and Application of Security Data Space Construction Method

Sun Wei3,4, Chen Zhenhao1,5, Chen Jianyi6, and Xu Tianhua2

1(SchoolofDataScienceandComputer,SunYet-senUniversity,Guangzhou510006)2(StateKeyLaboratoryofRailTrafficControlandSafety(BeijingJiaotongUniversity),Beijing100044)3(SchoolofElectronicsandInformationTechnology,SunYet-senUniversity,Guangzhou510006)4(KeyLaboratoryofInformationTechnology(SunYet-senUniversity),MinistryofEducation,Guangzhou510006)5(FoshanScienceandTechnologyBureau,Foshan,Guangdong528000)6(ElectricalDepartment,GuangzhouRailway(Group)Corporation,Guangzhou510088)

In recent years, the rapid development of E-government generated a series of data security risks: data cannot be accurately mapped to the user and workflow, E-gov system cannot cope with new data security risks. To confront with these problems, a Security Data Space method(including 2D, 3D Security Data Space method) is presented in this paper. 2D Security Data Space build an area which has clear data ownership and boundary by sorting out the relationship between data, workflow, and user. 3D Security Data Space introducing data protection technology into 2D Security Data Space, can protect data ownership and boundary while accurately control the data flow. The Security Data Space method is applied in E-gov system and work effectively. The Security Data Space method can also be extended to other field to enhance the security of data.

data security model; data space; data flow analysis; data protection

2016-10-07

澳門科技發展基金項目(097/2013/A3)；軌道交通控制與安全國家重點實驗室(北京交通大學)開放課題基金項目(RCS2016K007)

TP393.08