【原创】解读《数据安全法》背后的关键技术!
The following article is from 海泰方圆 Author 海泰方圆ShooKin
GUIDE
导读
数据安全法实施在即,小编特别邀请北京海泰方圆科技股份有限公司首席密码专家ShooKin为大家精彩解读数据安全关键技术!
《中华人民共和国数据安全法》(简称《数据安全法》)是我国第一部有关数据安全的专门法律,自2021年9月1日起施行。《数据安全法》将与近年相继发布并实施的《网络安全法》《密码法》以及刚刚通过的《个人信息保护法》一起,全面构筑中国信息及数据安全领域的法律框架。
数据安全是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。当前,数据安全已上升为我国国家安全战略。习近平指出:要构建以数据为关键要素的数字经济。要切实保障国家数据安全。要加强关键信息基础设施安全保护,强化国家关键数据资源保护能力,增强数据安全预警和溯源能力。
数据安全需以数据为中心,以密码作为核心技术,融合多种安全技术,构建全方位的数据安全技术体系。加强数据安全防护,需要应用多种技术和方法,包括密码技术、访问控制技术、匿名化技术、数据脱敏、差分隐私、隐私计算、零知识证明、群签名和环签名、分类分级等,数据安全技术和方法包含的内容非常丰富,不一而足,而且还在不断发展之中。同时,这些技术和方法也往往是相互关联相互融合的,甚至有些彼此难以划分。
密码是目前世界上公认的,保障网络与数据安全最有效、最可靠、最经济的关键核心技术。现代密码不仅可以实现对数据的加密保护,还可以很好地实现对实体身份和数据来源的安全认证。密码具有机密性、完整性、真实性和不可否认性的保护作用。机密性是指保证数据不被泄露给非授权的个人、计算机等实体的性质。一般地,用对称密码保护数据的传输和存储,而用非对称密码保护对称密码的密钥。完整性是指数据没有受到非授权的篡改或破坏的性质。实现数据完整性保护的方法包括签名、摘要、MAC等方法。真实性是指保证数据来源可靠、没有被伪造和篡改的性质。保护数据实体身份真实性的主要方式是身份鉴别。鉴别技术包括基于密码技术的身份鉴别(如对称密码机制身份鉴别、公钥密码机制身份鉴别、MAC)以及基于非密码技术的身份鉴别(如静态口令、生物特征识别),两种技术可结合运用。不可否认性是指对数据的操作行为无法否认的性质,基于公钥密码的数字签名技术可解决行为的不可否认性问题。
访问控制是实现数据安全共享的重要技术手段。在当前大数据时代,传统的访问控制技术在授权管理、策略描述、细粒度控制、隐私保护、实施架构等方面都面临新的挑战,同时也促进了访问控制技术的新发展,角色访问控制、风险访问控制、半/非结构化数据的访问控制、针对隐私保护的访问控制、基于密码学的访问控制等得以提出或改进创新,多元化且多技术融合的访问控制可以更有效地支持复杂的数据访问控制需求。对大规模的数据资源进行管理时,可根据用户的需求和数据的保密程度赋予用户和数据不同的等级权限。例如,针对普通数据的访问控制,可以通过属性加密和角色控制两种方法。而针对用户访问需求不明确的情况,可以通过自适应访问模型。加强用户对重要或敏感数据的访问控制也是保证数据安全的重要措施,对此可采用对用户身份认证等方式加以控制。
匿名化通过对数据的隐藏和泛化等操作来保护隐私。匿名化的经典技术包括在发布的数据中加入随机化的干扰数据,在保证统计性质的同时对原始数据进行隐藏。传统的匿名化方法包括k-Anonymity、t-Closenes和l-Diversity等方法。匿名化技术可以在效率和数据的准确性之间进行平衡,既要具有可用性,又要防止数据的丢失。标识隐私匿名化保护能够在实现数据有效性的情况下,既避免数据的损失,又提高数据的安全性。
数据脱敏即数据漂白。其核心关键在于脱敏规则、敏感数据以及使用环境。其中脱敏规则有可恢复类,即脱敏后利用一定方法可恢复敏感数据,这种一般就是加解密算法。还有一类是不可恢复类,这种即脱敏后部分敏感数据无法恢复。针对结构化数据,每个表中存在诸多的行,每行则有诸多列数据。这些数据列可能是含有敏感信息的数据列。为此在数据脱敏中一般可以采用替换法,用虚构数据替换真实数据。数据脱敏主要用于数据处理和分析等场景。
差分隐私作为一种新型隐私保护框架,逐渐应用于数据隐私保护领域。差分隐私曾被麻省理工科技评论为2020全球十大突破性技术之一。差分隐私是一种基于数据失真的隐私保护技术。该技术通过添加噪声使敏感数据失真,但同时能够保持数据的原始统计特性以用于发布和分析。差分隐私期望的效果是:对于数据库查询而言,添加、删除或更改原数据集中的一条记录几乎不会对输出产生影响。差分隐私具有两个最重要的优点。一是差分隐私严格定义了一个背景知识无关的隐私保护模型,实现了攻击者背景知识最大化假设,理论上能够抵抗任何攻击。二是差分隐私建立在严格的数学理论基础之上,对隐私保护进行了严格的定义并提供了量化评估方法,对隐私保护水平进行了科学严谨的证明。与此同时,差分隐私是一个相对年轻的技术领域,在理论和应用上都还存在着一些需要解决的问题。差分隐私在保证隐私数据安全的同时,也会制约数据可用性,因此如何同时兼顾隐私安全和数据可用性是差分隐私需要考虑的重点。
隐私计算是指在保护数据本身不对外泄露的前提下实现数据分析计算的一类信息技术。隐私计算已成为发展火热的新兴技术,权威机构Gartner发布的2021年前沿科技战略趋势中,将隐私计算称为未来几年内科技发展的九大趋势之一。隐私计算包括的技术内容繁多,从大的方面来说,主要分为密码学和可信硬件两大领域。可信硬件技术目前主要指可信执行环境(TEE),其核心思想是构建一个硬件安全区域,数据仅在该安全区域内进行计算。密码学的技术目前以安全多方计算(MPC)为代表。
安全多方计算近年一直受到国内外密码界的关注,并成为热点。安全多方计算可以简单理解为:两方或者多方分别拥有各自的私有数据,在不泄漏各自私有数据的情况下,各方协同计算,计算出关于各方私有数据的某一目标函数的结果。整个计算完成时,彼此各方均不知其他方的私有数据。安全多方计算不是单一的技术,它包括秘密分享、不经意传输、混淆电路、同态加密以及区块链等多种技术。
秘密分享技术可以构造安全多方计算协议,在计算时,各参与方将自己的输入数据秘密分割成数据分片并分发到各参与方,各参与方用自己收到的数据分片进行计算和交互,实现安全多方计算。秘密分享的一个经典方案是Shamir提出的阈值秘密分享方案,其特点是秘密数据的恢复并不需要全部数据分片,只需要部分数据分片即可。例如,我们可将一个秘密数据s分割成5份秘密分量,由5个不同人员保管,而其中任意3个人就可以恢复出秘密数据s,少于3个则无法得到秘密数据s。
不经意传输(Oblivious Transfer,OT)是一种保证通信双方隐私安全的通信协议,由通信双方即消息发送方和消息接收方参与。发送方将n个消息加密后发送给接收方,接收方只能解密其中k个加密消息,发送方无法确定接收方得到的消息是其中哪k个,这就是n选k不经意传输。OT实现技术有基于RSA的不经意传输协议,基于ECC的不经意传输协议,基于IBC的不经意传输协议等。一个安全的不经意传输协议需具备正确性、隐私性、抗冒名攻击、抗重放攻击、抗中间人攻击等性质。
混淆电路是指一参与方将安全多方计算协议的计算逻辑编译成布尔电路,然后将布尔电路加密并打乱顺序完成混淆操作,之后,该参与方将加密电路以及与其输入相关的标签发送给另一参与方。另一方(作为接收方)通过不经意传输(OT)按照其输入选取标签,并在此基础上对混淆电路进行解密获取计算结果。
同态加密是一种特殊加密算法。利用同态加密算法,对明文进行某种计算再进行同态加密,等价于对明文进行同态加密再进行相应计算。同态加密解密的特性保证了计算结果的正确性和数据的隐私性。当前,云服务应用广泛,云上数据安全备受关注。云端对数据进行同态加密,可直接对密文进行计算,再将计算结果从云端发回用户解密,得到相应明文的计算结果。同态服务是云服务中最具有诱惑力的服务,同态加密技术是云计算安全技术体系的制高点。
区块链本质是一个分布式的共享账本和数据库,具有去中心化、不可篡改、多方维护、全程留痕、可以追溯、公开透明等特性,区块链的这种特性使其在隐私计算中具有特殊的作用。区块链隐私计算可实现全流程可记录、可验证、可追溯、可审计的安全可信数据共享,为解决数据真实性、数据确权等问题提供可行的解决方案,支撑构建更广泛的数据共享网络。区块链隐私计算技术可应用到全流程各环节当中实现全程闭环的安全和隐私服务。
零知识证明是这样一种技术,证明者P掌握某些秘密信息,P设法让验证者V相信他确实掌握那些信息,但又不想让V也知道那些信息。其本质上是一种涉及两方的协议, 其中的一方称为证明者,另一方称为验证者。在协议的执行过程中,证明者向验证者声称其已经掌握了某个信息,证明者和验证者通过一系列的交互,使得验证者或者相信了证明者的声称,或者拒绝了证明者的声称,而在这个过程中,验证者没有获得证明者声称的所掌握数据隐私的具体内容。
基于零知识证明的认证方案可以在证明自己知道某秘密的情况下不暴露自己的秘密,同时验证者不能从认证过程中得到关于秘密的任何信息。从当前应用研究情况看,零知识证明可与区块链技术相结合进行应用。
数字签名技术为数据的真实性、完整性以及抵赖性提供保护。为使数字签名满足匿名性和可追踪性,出现了群签名方案。在群签名方案中,群成员可以匿名代表整个群对消息签名,同时具备不可伪造性、可追踪性、不关联性和防陷害性等特征。在一个群签名方案中,群体中的成员都可以生成群签名,外界可以验证其合法性,但无法确定到底是哪一个成员,即匿名性。若外界对群签名存在争议,此时群管理员只需“打开”争议的签名,揭示真正的签名者,即追踪性。环签名是一种特殊的群签名,但不需要可信中心节点和群建立的过程。环签名允许签名者在保持匿名的情况下代表所有环成员对消息进行签名。
《数据安全法》首次对数据的分类分级保护作出明确要求,这对于指导和落实数据安全保护具有重要意义。数据分类分级的制度建设是数据安全的基础环节。数据分类分级管理是实施数据全生命周期安全保护的重要基础。只有在科学规范的分类分级管理基础上,才能够有效地平衡数据安全要求和使用需求,较好地实现数据的风险管理成本与利用效益的平衡,从而为数据产业的快速健康、可持续发展奠定坚实基础。数据分类分级不仅需要遵循相关规范和标准,还要结合业务特征和需求,采取科学的分类分级方法。分类强调的是根据种类的不同按照属性、特征而进行的划分,而分级往往在数据分类的基础上按照某种原则、标准,对同一类别的数据按照高低、大小进行级别的划分。对于分类与分级两项工作,一般遵循先分类再分级的顺序。我国的数据分级分类制度建设在2020年进入快速发展阶段,现行比较规范的数据分级分类指南、办法主要由政府与各行业两大主体制定实行。
海泰方圆基于其数据管理系统以及对于数据业务的理解,将海泰方圆自身的密码安全产品和数据产品与合作厂家的相关数据安全产品进行融合,形成了基于数据安全管控平台的数据安全解决方案。
数据安全管控平台从逻辑上分为业务层、功能层和服务层。业务层主要根据数据的业务流程分为数据资产发现、数据分类分级、数据安全治理和数据态势感知四部分;功能层是对业务层具体功能的定义;服务层为功能层提供相应的后台功能服务支撑。
数据资产发现主要针对业务系统的数据资产进行定义并进行相应的标记,包括的功能有:数据源配置、数据资产发现和数据资产标记。数据源配置主要是配置数据资产的来源,可以是业务系统数据库中的静态数据,也可以是业务系统流转过程中的动态数据;数据资产发现主要是从配置的数据源中识别出我们需要的数据资产;数据资产标记是对发现的数据资产进行属性标记,方法可以是手动标记或者结合人工智能技术自动标记。
数据分类分级主要是对定义的数据资产制定相应的分类分级模型,然后根据模型自动对数据进行分类分级,包括的功能有:分类模型管理、分级模型管理和数据分类分级。
数据安全治理主要是对分类分级的数据制定相应的安全治理模型,然后根据模型自动对数据进行安全治理,包括的功能有:治理模型管理、治理策略管理和数据安全治理。数据治理模型中的操作包括:数据加密、数据脱敏、数据水印和数据完整性保护等,数据治理模型可以是多个操作的组合排序。
数据态势感知旨在建立对数据资产以及相应的数据治理活动的整体展示和分析,建立对数据资产及其安全风险的可知、可见、可控机制,尽可能纳入相关因素和分析手段制作针对数据资产、安全事件和异常风险的识别、判断规则模型,实现对已知和未知数据安全事件的分等级的有效事前预测、事中处置和事后追溯。包括的功能有:数据资产地图、数据治理分析和数据风险分析。
总 结
《数据安全法》落地在即,数据安全在路上,数据安全技术发展在路上。推动数安法全面落地,需要做的工作很多。构建数据安全技术体系需要持续探索、跟踪数据安全技术应用及其发展动态,夯实数据安全治理能力基础。除此之外,还需要积极推进数安法配套制度、措施、规范和标准的构建,加强数据安全管理体系建设。从数据安全技术体系、数据安全管理体系、数据安全标准体系等方面全面构建数据安全防护体系。
参考资料
[1]. 《中华人民共和国数据安全法》,全国人民代表大会常务委员会2021年;
[2]. 《商用密码知识与政策干部读本》,《商用密码知识与干部读本》编委会,2017年;
[3]. 《隐私保护计算技术研究报告(2020年)》,中国信息通信研究院安全研究所,2020年;
[4]. 闫树, 吕艾临. 隐私计算发展综述[J]. 信息通信技术与政策, 2021,47(6):1-11;
[5]. A Pragmatic Introduction to Secure Multi-Party Computation,David Evans ,Vladimir Kolesnikov;
[6]. 《安全多方计算导论》,机械工业出版社,2021年;
[7]. 陈兴跃,《数据分级分类正式入法具有重要实践指导意义》,《信息安全研究》2020年第10期;
[8]. 王真,《数据分级分类研究—从中华人民共和国数据安全法(草案)第19条第1款出发》,2021年;
[9]. 李霁,《 基于差分隐私的数据安全处理关键技术研究》,解放军信息工程大学硕士学位论文,2018年;
[10]. 安晓江,《海泰数据安全解决方案》,北京海泰方圆科技股份有限公司内部资料,2021年。
* 重磅!《个人信息保护法》获通过,2021年11月1日起施行
* 重磅!国务院发布《关键信息基础设施安全保护条例》 (附全文)
* 国家密码管理局李国海:循序渐进,推动《密码法》在广电行业落地
* 国家密码管理局何良生副局长: 密码是构建网络信任体系的基石