煙草行業數據安全管理平臺的研究

◆朱洪波

?

煙草行業數據安全管理平臺的研究

◆朱洪波

（廈門弘搏科技有限公司福建361000）

本文通過梳理和分析全行業數據資產，對數據敏感分類分級，結合國內相關安全標準及法規，制定相應的管理體系。通過對數據泄露原因、途徑的深入分析，研究規避泄露技術措施，建設數據安全管理平臺，通過平臺下發安全防護策略，確保數據的安全使用，為保證煙草行業業務的長期穩定和發展提供有力保障。

數據敏感；安全防護；數據保護

0 引言

根據IBM與Ponemon Insituted 的數據泄露研究報告，企業的平均泄露總成本從379萬美元增至400萬美元，大量的數據泄露事件影響重大，作為煙草行業的信息安全工作面臨較大的挑戰。據IDC報告，70%的安全損失是由企業內部原因造成，也就是說企業中不當的資源利用及員工上網行為往往是“罪魁”，不當的上網行為可以導致企業機密資料被竊、企業運作不暢等損失。

在加密算法方面，Shai等[1]提出了加密方案，公鑰、私鑰都和數據屬性關聯時，用戶才能解密出數據明文。Yu等[2]提出了一個安全、可擴展的細粒度訪問控制的屬性加密方案。Bethencourt等[3]提出了密文策略的屬性加密方法，將接入策略嵌入在密文當中，而解密私鑰只與屬性集合相關。Chase[4]提出了一個多授權中心屬性加密系統。Zhao等[5]提出了分類代理重加密技術。Weng等[6]提出重加密方法，引入了訪問控制機制，當重加密密鑰匙和指定密文條件同時滿足時，解密操作才被允許。Fang等提出了支持關鍵詞檢索的匿名條件代理重加密方案[7]和模糊條件代理重加密方案[8]。Lan等[9]利用秘密共享機制和雙線性對原理構造出多條件代理重加密方案。

在完整性校驗方面，Ateniese等[10]提出了一種可證明的數據持有協議。Wang等[11]提出了一種支持第三方驗證的PDP協議，該協議使用了雙線性配對技術基于離散對數問題。Zhu等[12]提出了一種支持數據動態變化的第三方驗證PDP協議，該協議使用雙線性配對技術和Index-hash表。Yang 等[13]利用雙線性配對的特點，設計了一個高效的第三方審計PDP 協議。該協議能夠對用戶存在多個云端的數據進行批量校驗。Shacham 等[14]提出了一個基于雙線性對構造的數字簽名方案，支持無限次挑戰詢問，Dodis 等[15]提出了一種允許第三方審計的POR 協議。Sandhur等[16]提出了基于角色的訪問控制（rolebasedaccess control）方法。Zhang 等[17]提出的基于尺度的時空RBAC 訪問控制模型。Yang 等[18]提出了一個云環境中多授權中心訪問控制模型。

煙草數據資產龐大，涉及數據使用方式多樣化，數據使用角色繁雜，數據共享和分析的需求剛性，要滿足數據有效使用的同時保證數據使用的安全性，需要極強的技術支撐。面對如此嚴峻的網絡安全局面，本文通過制定全面的安全體系結合數據安全平臺的實踐落地工作，全方位地防止數據泄露。

1 系統設計

數據保護技術作為信息安全新興的研究熱點，不論在理論研究還是實際應用方面，都具有非常重要的價值，近年大量國內外有關數據保護的安全技術相繼提出，并且在加密算法、完整性校驗、訪問控制技術、密文數據去重和可信刪除、密文搜索等方面取得很大的進展。當大量的數據保護技術措施及工具擺在眼前時，企業自身的數據梳理將是工作的難點，定義敏感、明確數據類型、屬性、分布、訪問對象、訪問方式、使用頻率等。

1.1 功能需求

（1）數據訪問控制

對數據資產進行梳理，明確數據類型、屬性、分布、訪問對象、訪問方式、使用頻率等相關信息。

（2）系統配置分級

對人員進行配置，對數據進行分類分級，結合實際情況針對不同人員對不同級別數據制定訪問權限，確保數據操作的安全性。

（3）信息管理記錄

集中管理記錄各種針對被保護數據的操作記錄（正常的和非法的），并進行統計分析與展示。

（4）安全解決方案

獨立的安全加固解決方案，為關鍵服務器數據提供防護各類外來惡意軟件和內部人員對數據的非法操作。

（5）安全平臺建設

建立數據安全的技術平臺，根據數據的安全級別下發相應的防護策略。

1.2 數據訪問控制

如下圖1所示，基于進程指紋識別機制，防止非法進程對加密數據的訪問，保護系統業務的正常運轉，同時所有的操作記錄都會上傳到信息記錄模塊。

雙授權認證：安全操作員需要申請進入系統的身份認證授權書，在操作系統數據文件時，再次對訪問數據的進程提取指紋信息并判斷是否已加入授權白名單，保證了業務域內用戶身份和數據訪問進程的安全性和可信性。通過嚴謹的進程檢驗和授權機制，監控所有試圖訪問加密數據的進程，阻止所有未授權進程的操作。

圖1 數據訪問控制流程

數據防泄漏、防破壞：通過對目標文件進行讀寫控制，不允許對被保護文件執行拷貝、移動、刪除等操作，防止機密數據外泄和被破壞。

強制訪問控制：基于進程指紋信息，設置安全訪問白名單，只允許合法進程訪問數據，拒絕非法進程對數據的訪問。

系統判斷被訪問數據是否有保護標識，即對該進程進行認證信息判定，判斷該進程是否存在于系統白名單內，以及是否符合數字指紋驗證標準。只有被訪問數據有保護標識，系統才會進行訪問控制，當訪問數據的進程判定為合法進程后，允許該進程訪問數據，否則拒絕其訪問。

1.3 系統配置分級

用于配置數據訪問控制列表，通過系統配置模塊的嚴格控制，限定安全操作員、數據管理員、安全管理員之間的安全職責，確保數據操作的安全性。

產品對數據訪問策略配置有嚴格的控制，策略配置完成后隨即進入到工作保護狀態，如需進行策略調整須授權審批，安全操作員需拿到安全負責人授予的授權書方可進行變更配置。訪問策略的變更過程如圖2。

圖2 系統配置分級

工作模式配置：產品提供兩種模式，即elevate 和finalize，即配置模式和工作模式。當保護策略修改結束后，確保系統的安全性。

1.3 信息管理記錄

集中管理各種針對被保護數據的操作記錄（正常的和非法的），包括對被保護主機、被保護數據的訪問、拒絕、攻擊等事件，同時提供針對這些記錄的統計分析，方便數據安全人員進行監控分析，如圖3所示。

系統對被保護主機，被保護數據的訪問、拒絕、攻擊等事件進行日志記錄跟蹤，以方便數據安全人員進行監控分析及審計。

系統會對關鍵數據的訪問情況做出完整的記錄。訪問記錄包括：訪問發生的地點，如目標系統的IP地址；訪問源，即什么進程進行數據訪問；訪問目標，即什么數據目標被訪問；訪問方式，讀/寫真實數據內容、讀/寫保護格式的數據等；訪問結果，即是否被授權通過。

圖3 信息管理記錄

2 安全解決方案

如圖4對于加解密模塊，項目提供標準接口，可支持SM4，AES256等算法。根據系統配置模塊的保護策略，自動對目標文件進行加密保護；當合法進程訪問被保護的數據時，自動解密文件并將明文交付于該進程。

圖4 加密流程圖

圖5 解密流程圖

系統采用透明加解密技術，即基于操作系統廠商簽名的底層驅動，運行在操作系統的kernel層，用戶無須關注加解密的過程。所有被保護的文件以密文狀態存儲，只有合法的進程訪問時，用戶對加解密過程零感知。支持可以訪問被保護數據的真實內容的進程對被保護數據的全透明式數據訪問，即當前業務系統的服務的功能和性能都不受到保護加固系統的影響。

3 結束語

本文在數據治理的基礎之上，整合所有業務系統的源數據，通過建設集中的數據安全中心平臺來實現統一數據視圖和數據的服務和共享，加強數據安全的保護，建設一套高安全、高數據標準、高數據質量、高可用、高性能、高穩定的數據安全中心平臺，提高煙草企業安全管理水平。

[1]姜鑫.科學數據開放政策研究現狀分析及未來研究動向評判[J].現代情報,2016.

[2]宋筱璇,王延飛,鐘燦濤.數據安全管理系統的構建[J]. 情報理論與實踐,2016.

[3]陳興躍,劉曉滔.數字時代的數據資產安全管理[J].互聯網經濟,2017.

[4]王挺,單慧敏.數據安全管理工作現狀及應對措施[J].金融科技時代,2017.

[5]陳馳,馬紅霞,趙延帥.基于分類分級的數據資產安全管控平臺設計與實現[J].計算機應用.2016.

[6]WENG J, DENG R H, DING X H, et al. Conditional proxy re-encryption secure against chosen-ciphertext attack[C]//The 4th International Symposium on Information, Computer, and Communications Security (ASIACCS). c2009. 322-332.

[7]FANG L M, SUSILO W, GE C P, et al. Chosen-ciphertext secure anonymous conditional proxy re-encryption with keyword search[J].Theoretical Computer Science, 2012, 462(1):39-58.

[8]FANG L M, WANG J D, GE C P, et al. Fuzzy conditional proxy re-encryption[J]. Science China Information Sciences, 2015, 56(5):1-13.

[9]LAN C H, WANG C F. A new conditional proxy re-encryption scheme based on secret sharing[J]. Chinese Journal of Computers,2013, 36(4):895-902.

[10]ATENIESE G, BURNS R, CURTMOLA R, et al. Provable data possession at untrusted stores[C]//The 14th ACM Conference on Computer and Communications Security (CCS). c2007:598-609.

[11]WANG C, WANG Q, REN, K, et al. Privacy-preserving public auditing for data storage security in cloud comp -uting[C]//The 29th IEEE Infocom. c2010: 1-9.

[12]ZHU Y, WANG H, HU Z, et al. Dynamic audit services for integrity verification of outsourced storages in clouds[C]//The 2011 ACM Symposium on Applied Computing (SAC). c2011: 1550-1557.

[13]YANG K, JIA X.An efficient and secure dynamic auditing protocol for data storage in cloud computing[J]. IEE -E Transactions on Parallel and Distributed Systems, 2013,24(9):1717-1726.

[14]YANG K, JIA X. An efficient and secure dynamic auditing protocol for data storage in cloud computing[J]. IEE -E Transactions on Parallel and Distributed Systems, 2013,24(9):1717-1726.

[15]DODIS Y, VADHAN S, WICHS D. Proofs of retrievability via hardness amplification[C]//The 6th Theory of Cryptography Conference(TCC). c2009:109-127.

[16]SANDHU R S, COYNE E J, FEINSTEIN H L, et al. Role-based access control models[J]. Ansi Incits, 2009, 4(3): 554-563.

[17]ZHANG Y J, FENG D G. A role-based access control model based on space, time and scale[J]. Journal of Computer Research and Development,2010, 47(7): 1252-1260.

[18]YANG K, JIA X H. Attribute-based access control formulti-authority systems in cloud storage[C]//The 32nd International Conference on Distributed Computing Systems. c2012: 536-545.