首頁 > 關于我們 > 新聞動態 > 深度解讀

一文讀懂數據跨域安全技術

發布時間 2023-03-13
數據作為生產要素,是數字化、網絡化、智能化的基礎,在我國已有海量的規模和豐富的應用場景,數據的安全跨域交換已成為推動數據要素安全可控流通的關鍵。本文詳細介紹了數據跨域交換過程中面臨的挑戰、應用場景及主要的關鍵技術,旨在幫助大家更好理解和運用數據跨域安全技術。


伴隨數據要素、信息系統發展,我國數據跨域交換技術歷經半自動化及自動化兩大階段,目前處于智能化階段的發展初期,需要加快推進數據跨域交換體系研究和建設,促進我國數字經濟更快更好地健康發展。


① 半自動化階段:采用人工方式,傳遞數據承載介質,實現數據跨域;

② 自動化階段:在信息化技術的促進下,在網絡域間實現結構化、非結構化,數據通過信息系統與數據交換系統綜合實現數據自動化跨域;

③ 智能化階段:在智能化技術成熟的條件下,實現智能化風險感知、自主化數據跨域和自動化威脅處置。


數據跨域交換帶來數據流動速度、范圍和密集度的巨大變化,促進多行業、多領域數據應用創新融合,同時也將帶來具有綜合行業特點的新型數據安全風險和挑戰。


跨域交換技術六大安全挑戰


數據跨域安全監管難


當前的跨域交換技術,通常面向簡單管理統計業務、日常運維以及業務注冊、設備運行狀態監控和交換日志的檢索和審計。當面向大數據等復雜業務時,無法實現對設備的管控、網絡流量的分析、操作行為的深度挖掘、整個網絡安全態勢的研判把控。


數據跨域接入對象安全環境復雜


數據跨域接入對象的復雜性,致使難以界定接入分類維度,給安全策略制定帶來挑戰。比如界定數據跨域接入維度,此維度的劃分目前沒有統一的標準,從多年實踐上一般考慮以下幾個維度:系統的組織權屬維度、安全等級一致性維度和安全保障系統環境維度。


數據跨域交換實時性要求高


現有數據跨域交換平臺提供“數據交換雙向傳輸、數據單向傳輸導入、數據單向傳輸導出、授權訪問、流媒體傳輸等服務,具體以文件、數據庫、流媒體等方式進行數據跨域共享與交換,該類操作方式一般不要求內外部網絡之間進行實時交互。在大數據提供服務時,實時性要求高,現有技術一般無法滿足內外部網絡大量實時性要求高的服務。


數據機密性信息泄露風險大


由于技術、管理、人員等因素的影響,跨域數據交換最可能面臨的風險是高安全域向低安全域開放其無權訪問的數據,即低安全域只需要某類數據表中的一列數據A,但是在高安全域中,數據A和敏感數據B是同一張數據表的不同屬性,如果高安全域在數據跨域交換時未對數據B進行處理和區分,則有可能導致敏感數據B泄露到低安全域。


數據安全責任不清晰


在數據跨域的過程中,源頭數據擁有者需要承擔源數據的真實性、準確性、機密性責任,并且需要為保證數據安全持續進行人員、技術、資金投入。但是通過數據跨域交換使得數據請求方擁有了一份新的數據拷貝并成為了新的數據擁有者,隨著數據跨域交換的范圍增加,數據安全的主體責任就可能隨著跨域交換范圍的增加而產生變化,而新的數據擁有者則很容易忽略數據本身的安全責任。


關聯信息數據泄露追蹤溯源難


在數據跨域交換的過程中,目前的安全防護措施并不能完全防止數據泄露,一旦發生數據泄露事件,則需要數據安全的責任主體具備泄露溯源能力,排查泄露源頭,追蹤泄露路徑,進行調查取證。在數據跨域交換后,如果任意安全域內的訪問日志遭到破壞,都將會給數據泄露排查造成不利影響。


跨域交換技術六大安全場景


數據單向導入場景


主要描繪其它網絡的數據或應用通過單向導入的方式進入數據接入環節的過程。本場景低安全域數據交換服務與數據跨域交換外側接口形成相互認證,高安全域數據交換服務與數據交換內側接口形成相互認證,保障接入業務身份可信。


數據單向導出場景


一般為順應數據要素發展趨勢,滿足實際業務需要,充分利用互聯網資源開展業務等目標,積極開展與社會各行業之間的信息共享和綜合利用,需要從各類專網內將部分數據或文件對外進行單向導出進行共享。


模型與指令交換場景


指專用信息網與位于其他網絡的應用系統之間發生業務請求訪問,且由于業務實時性要求較高,具備每次訪問的數據量不大但頻次高的特點,在此場景不需要進行傳統數據庫同步或者文件同步。


與互聯網跨域交換場景


由于技術棧存在差異,高安全域側與互聯網之間的跨域交換分為視頻交換和數據交換。視頻交換用于視音頻流的傳輸,互聯網與專用信息網間采用專用視頻協議的隔離交換;數據交換用于視頻圖像(視頻片段、圖像數據等)、其他數據(文件、數據庫記錄)、視頻圖像信息數據庫請求(采用JSON格式的API請求)通用數據的隔離交換。且傳輸方式都為單向導入或單向導出。


專網之間的跨域交換場景


主要指安全級別對等網絡之間進行的跨域數據交換,一般采用雙向隔離傳輸的形式。


業務協同場景


業務協同場景主要指可信的終端或者應用通過認證代理通過身份、權限和環境檢查后,攜帶規定的信息與高安全側的應用服務或者數據服務進行交互。


數據跨域兩大保障技術


數據跨域技術是一項綜合類技術,主要由安全保障技術、合規性保障技術進行綜合。


安全保障技術


安全保障技術是保障跨域時避免各個交互域的安全策略不遭到破壞,同時保障數據流轉業務的開展。


1、物理擺渡


數據擺渡技術由源數據導出服務器、光盤擺渡機、目標數據導入服務器三部分組成。利用機械臂將光盤在兩個刻錄服務器之間擺渡,將數據傳到對方。用機械臂雖然可以節省人工,但仍是以“拷盤”的方式傳輸數據,原來拷盤存在的問題并沒有得到解決。


2、雙向傳輸


雙向傳輸依據底層傳輸介質不同,可以分為基于SCSI型和基于總線型兩種。


①基于SCSI的網絡隔離技術是目前比較成熟的網絡隔離技術之一,SCSI是一個外設讀寫協議。外設協議是一個主從的單向協議,外設設備僅僅是一個介質目標,不具備邏輯執行功能。通信協議的可靠性保證是通過對方的確認信息來完成。


②基于總線的網絡隔離技術源于并行計算,多個并行的計算機要共享和交換各自內存的數據。這種技術采用雙端口靜態存儲器,配合基于獨立的CPLD(復雜可編程邏輯器件)的控制電路,以實現在兩個端囗上的開關,雙端囗各自通過開關連接到獨立的計算機主機上,CPLD作為獨立的控制電路,確保雙端囗靜態存儲器的每一個端囗上存在一個開關,兩個開關不能同時閉合通過開關放行或截斷數據,通俗地講就是起到一個“閘”的作用。


3、單向導入/單向導出


按照物理結構進行劃分,市面上的單向導入系統可以分為兩類,一類是采用分光器,另一類是采用SFP光模塊。


采用分光器:發光模塊和收光模塊之間通過單根光纖相連接。分光部件利用光單向傳輸的特性,數據只能從發送端傳輸到接收端,沒有回路。物理結構很簡單,但是穩定性極高。對于傳輸文件的驗證,可通過軟件功能來實現。


SFP光模塊:SFP光模塊結構的單向導入系統,更利于實際業務的穩定傳輸。光閘系統基于SFP/SFP+光模塊中發光器和收光器分離的技術特點,通過單根光纖將光閘外網處理單元光模塊的發光器與內網處理單元光模塊的收光器連接,從物理上實現了不同網絡間數據的絕對單向傳輸。


4、數據服務(接口)


應用程序接口(API)讓應用程序可以輕松地使用另一個應用程序的數據和資源。API網關是數據服務的入口,可以根據不同的請求路由到不同的數據服務上,也可以在網關上進行路由的控制,這樣即使服務發生了變化,網關的路徑依然可以不改變??蛻舳嗽谂c后端服務進行交互之前,需要先進行認證操作,這是后端所有的服務都需要有的共有邏輯。由于不同的客戶端需要的數據不同,而這些數據又是不同的服務提供的,可以借助API網關或跨域請求服務完成來自不同服務的數據聚合。


5、數據接入傳輸通道加密


傳輸通道加密發展至今技術已非常成熟。VPN是以隧道、密碼技術、訪問控制技術作為三大核心技術,增加代理技術、訪問控制技術作為兩大支撐技術的網絡安全系統。目的是確保只有被允許的主體在受控制的鏈路上訪問被允許的客體。也就是接入、傳輸、應用三環節均受控,任何主體,客體,第三方都難以越界,難以破壞。因此,VPN對于用戶的價值并非在于直接提供服務,而在于不失便利性的前提下確保安全。


合規性保障技術


合規性保障技術是一項為數據跨域管理提供保障的技術,主要由支撐法律、法規、行業制度和管理規定的技術構成。


1、客體身份鑒別技術


客體身份鑒別技術是確認數據跨域交換請求方設備身份和用戶身份,防止假冒人員登錄,是數據跨域合規的一項基礎能力要求,也是信息系統的第一道安全防線,主要包含單向鑒別、雙向鑒別以及第三方鑒別。


單向鑒別:當用戶希望在應用服務器上注冊時,用戶僅需被應用服務器鑒別。常見的單向鑒別是用戶發送其用戶名和口令給應用服務器,應用服務器收到的用戶名和口令進行驗證,確認用戶名和口令是由合法用戶發出。


雙向鑒別:是一種相互鑒別,其過程在單向鑒別的基礎上增加服務器向客戶端發送服務器名和口令,客戶端確認服務器身份的合法性兩個步驟。


第三方鑒別是:基于可信的第三方存儲驗證標識和鑒別信息。每個用戶或應用服務器都向可信第三方發送身份標識和口令,提高了口令存儲和使用的安全性,并且具有較高的效率。


2、數據脫敏技術


數據脫敏技術是一種可以通過數據變形方式對于敏感數據進行處理,從而降低數據敏感程度的一種數據處理技術,在一定程度上保持數據原本的一些特性,使脫敏后的數據依舊存在可用性。適當地使用數據脫敏技術,可以有效地減少敏感數據在采集、傳輸、使用等環節中的暴露,降低敏感數據泄露的風險,盡可能降低數據泄露造成的危害。


3、數據加密技術


數據加密技術是指以某種算法對原本的數據信息進行改變,若是未經授權的用戶獲取到加密信息后,由于并不知道解密的方法,所以無法對信息的內容進行了解。在數據加密技術中,有兩個非常關鍵的要素,一個是密鑰,可將之理解為一種參數,是實現明文與密文轉換的工具;另一個是算法,不同的加密方式,算法各不相同。


技術一:終端型數據防泄露加密技術管理企業終端上(主要是PC端)的敏感數據,其原理是在受管控的終端上安裝代理程序,由代理程序與后臺管理平臺交互,并結合企業的數據管理要求和分類分級策略,對下載到終端的敏感數據進行加密,從而將加密應用到企業數據的日常流轉和存儲中。信息被讀取到內存中時會進行解密,而未授權復制到管控范圍外則是密文形式,主要適用于非結構化數據的保護。


技術二:網關型數據防泄露是一種委托式安全代理技術。將網關部署在目標應用的客戶端和服務端之間,無需改造目標應用,只需通過適配目標應用,對客戶端請求進行解析,并分析出其包含的敏感數據,結合用戶身份,并根據設置的安全策略對請求進行脫敏等訪問控制,可針對結構化數據和非結構化數據同時進行安全管控。


技術三:應用內加密(集成密碼SDK)是指應用系統通過開發改造的方式,與封裝了加密業務邏輯的密碼SDK進行集成,并調用其加解密接口,使目標應用系統具備數據加密防護能力。


技術四:數據庫加密,數據庫加密網關是部署在應用服務器和數據庫服務器之間的代理網關設備,通過解析數據庫協議,對傳入數據庫的數據進行加密,從而獲得保護數據安全的效果。


數據跨域交換不僅是促進數字經濟時代的普遍場景,更是數字經濟發展的重要驅動力,將促進數據要素的供給、流通和使用。


尤其在數據要素發展的推動下,數據跨域技術在持續演化中,在此提出下一代數據跨域交換技術新概念“智能數據跨域交換港。其主要特征包括:


全面感知:全面感知的基礎是深層次的基礎應用,這些基礎應用以數據為核心感知數據標識信息、數據風險、交換鏈接等;


智能決策:在基礎決策信息感知收集的基礎上,計算決策數據跨域交換業務信息,明確決策目標及約束條件,對多復雜交換計劃、調度等問題快速決策;


自主數據跨域交換:在智能決策基礎上,進行設備自主識別、確定裝卸數據對象,自主數據卸載重組,滿足通用領域、物聯網領域、移動互聯領域等多領域的數據跨域合規要求。


數據跨域安全技術是數據安全保障技術的關鍵組成部分,由數據跨域安全技術形成的數據跨域解決方案也是啟明星辰集團數據綠洲關鍵構件,其融入了集團獨特的場景化思維,以數據生命周期的保護為核心,圍繞數據的收集、存儲、使用、加工、傳輸、提供、公開等環節,構建賦能全場景的安全防護技術與能力體系,實現協同聯動的縱深策略,進一步加強公共數據匯聚共享,推進互聯互通,打破“數據孤島”。

上一篇 下一篇