等保2.0下的移動警務數(shù)據(jù)安全技術應用研究

王傳合 趙利軍

1(陜西鐵路工程職業(yè)技術學院 陜西渭南 714000) 2(陜西省渭南市公安局網(wǎng)安支隊 陜西渭南 714000)

(wanwill@qq.com)

近幾年，《公安部關于深入實施科技強警戰(zhàn)略的決定》的頒布以及《深入實施科技強警戰(zhàn)略，加快推進公安工作現(xiàn)代化》等多項政策的推出，公安部將實施“科技強警”的戰(zhàn)略應用到各項警務工作中，形成了以“向科技要警力”為導向，打造“智慧”公安工作的新格局.“科技強警”推進了公安信息管理系統(tǒng)建設，增強了公安隊伍的警力和戰(zhàn)斗力，有效保障國家安全和社會穩(wěn)定[1-2].另一方面，公安具備移動性強、安全系數(shù)要求高和任務緊急性強等行業(yè)特性，為方便民警現(xiàn)場處理問題，提升工作效率，移動警務設備在一線民警中得到廣泛使用.移動警務中的敏感數(shù)據(jù)安全是移動警務建設的重中之重.

國家先后出臺了多項有關數(shù)據(jù)安全的法律法規(guī)，例如，2016年11月7日發(fā)布的《中華人民共和國網(wǎng)絡安全法》(簡稱《網(wǎng)絡安全法》)[3]，多次提到數(shù)據(jù)安全，明確了網(wǎng)絡運營商、網(wǎng)絡提供商、網(wǎng)絡產品的安全義務和責任，進一步明確了網(wǎng)絡環(huán)境下個人信息保護規(guī)范及網(wǎng)絡環(huán)境下侵犯個人隱私權的侵權責任，提出在數(shù)據(jù)全生命周期各個環(huán)節(jié)，重要數(shù)據(jù)及個人信息的保護規(guī)則.《信息安全技術 個人信息安全規(guī)范》(GBT35273—2020)[4]以及《中華人民共和國個人信息保護法(草案)》[5]，提出個人信息處理的基本原則，規(guī)定了收集、保存、使用、共享、轉讓、公開披露等個人信息處理活動應遵循的原則和安全要求.2019年5月10日發(fā)布《信息安全技術 網(wǎng)絡安全等級保護基本要求》(簡稱：等保2.0)相關標準，與《網(wǎng)絡安全法》遙相呼應，加強了對數(shù)據(jù)安全的保護[6].2019年5月28日，國家互聯(lián)網(wǎng)信息辦公室發(fā)布了《數(shù)據(jù)安全管理辦法(征求意見稿)》[7]，意見稿對利用網(wǎng)絡開展數(shù)據(jù)收集、存儲、傳輸、處理、使用等活動提出要求，并提出對涉及的數(shù)據(jù)安全進行保護和監(jiān)督管理.由上述法律法規(guī)可見，移動警務中數(shù)據(jù)安全問題日益重要.

1 移動警務中的數(shù)據(jù)安全風險

我們結合等保2.0標準，從安全通信網(wǎng)絡、安全區(qū)域邊界、安全計算環(huán)境3方面的安全要求出發(fā)，分析移動警務中的數(shù)據(jù)安全，如表1所示.

2 數(shù)據(jù)安全保障對策

根據(jù)上述移動警務中面臨的數(shù)據(jù)安全風險，本節(jié)將探討數(shù)據(jù)安全相關的保障對策.針對移動警務的移動端與服務端之間的通信安全以及移動警務的移動端的存儲、傳輸?shù)臄?shù)據(jù)完整性風險，可采用數(shù)據(jù)完整性技術進行保護；針對移動警務的移動端與服務端之間的接入網(wǎng)關邊界以及移動警務的移動端的存儲、傳輸?shù)臄?shù)據(jù)保密性風險，可采用數(shù)據(jù)加密技術進行保護；針對移動警務的移動端的用戶身份鑒別，可采用身份認證和管理技術進行保護；針對移動警務的移動端的剩余信息，可采用數(shù)據(jù)防恢復技術進行保護；針對移動警務的移動端的個人信息，可采用數(shù)據(jù)匿名化技術進行保護；針對移動警務移動端存儲的數(shù)據(jù)備份問題，可采用數(shù)據(jù)備份技術進行保護.

2.1 數(shù)據(jù)完整性技術

數(shù)據(jù)完整性技術，可通過數(shù)據(jù)簽名進行實現(xiàn)，ISO 7498-2標準對數(shù)字簽名是這樣定義的：附加在數(shù)據(jù)單元上的一些數(shù)據(jù)，或是對數(shù)據(jù)單元所做的密碼變換，這種數(shù)據(jù)或變換允許數(shù)據(jù)單元的接收者用以確認數(shù)據(jù)單元來源和數(shù)據(jù)單元的完整性，并保護數(shù)據(jù)，防止被人(如接收者)偽造.

數(shù)字簽名也可通過某種密碼生成一系列符號或者代碼，組成電子密碼進行簽名[8-9].數(shù)據(jù)完整性主要通過數(shù)據(jù)簽名或者密碼技術判斷傳輸中的數(shù)據(jù)是否完整、安全.

2.2 數(shù)據(jù)加密技術

利用數(shù)據(jù)加密等方式，保障移動警務移動端數(shù)據(jù)存儲、傳輸數(shù)據(jù)的安全.數(shù)據(jù)加密可以防止明文存儲引起的數(shù)據(jù)泄密、突破邊界防護的外部黑客攻擊、來自于內部高權限用戶的數(shù)據(jù)竊取及繞開合法應用系統(tǒng)直接訪問數(shù)據(jù)庫[10-13].

1) 透明加解密

透明加密意味著加密不需要太多的額外管理，主要體現(xiàn)在應用程序透明和加解密透明2個方面，無需依賴人工設定的密碼或口令；被加密的文件在被涉密計算機打開時，自動被解密，且解密要由計算機自動地進行，無需人工操作，文件的使用者也無需知道“密碼”.

表1 結合等保2.0分析移動警務中存在的數(shù)據(jù)安全風險

2) 動態(tài)加解密

對存儲在數(shù)據(jù)庫中的數(shù)據(jù)進行實時靈活的自動化動態(tài)加密解密，不需要人為干涉，完全實現(xiàn)對數(shù)據(jù)的安全存儲、安全使用，防止信息涉密.這樣既節(jié)省用戶時間，也達到了保護文件的目的.只要用戶對加密數(shù)據(jù)進行操作，那么加密數(shù)據(jù)就會被自動加密或是解密，用戶感覺不到加解密過程的存在.

3) 細粒度加密控制

數(shù)據(jù)庫加密級別可靈活配置為整庫加密、表加密、行加密、列加密、基于特定條件加密等多種方式.用戶可以根據(jù)實際需求靈活選擇加密方式，在數(shù)據(jù)的安全性與數(shù)據(jù)庫性能之間找到最佳平衡點，在保證敏感數(shù)據(jù)安全的同時，最大程度地保證了數(shù)據(jù)庫的性能.

4) 密文索引

數(shù)據(jù)加密后明文索引將失去作用，導致即使只查詢1條數(shù)據(jù)也需要將所有數(shù)據(jù)進行1次解密，這無疑增加了查詢的時間.采用密文索引，使查詢操作可以不必對所有數(shù)據(jù)進行解密即可以查詢到相應數(shù)據(jù)，大大提高密文查詢速度.

5) 加密算法與密鑰技術

可靈活選擇3DES，AES，SM4等算法.采用多級密鑰技術，每一個字段擁有不同的、獨立的、唯一的列密鑰，對字段進行加密解密控制.所有的列密鑰是由主密鑰生成，控制列密鑰的加密解密.主密鑰存放在硬件中，保證不會被竊取和破壞，列密鑰存放在被加密的數(shù)據(jù)庫中.通過雙重密鑰技術保證加密數(shù)據(jù)不會被破解，增加安全性.

2.3 身份認證和管理技術

針對移動警務中移動端用戶身份鑒別的問題，可采用身份認證和管理技術對數(shù)據(jù)管理、權限以及行為合規(guī)性管理.身份認證和管理技術，主要采用數(shù)據(jù)鑒權管理原理，能夠對使用者發(fā)出/提交的各項請求按鑒權規(guī)則進行使用者部門級別與所請求的數(shù)據(jù)內容分類分級之間的身份權限實時匹配，判定允許還是拒絕請求，并對允許通過后響應返回的數(shù)據(jù)同樣按鑒權規(guī)則進行匹配辨別，實現(xiàn)對信息系統(tǒng)各使用人員訪問數(shù)據(jù)的細粒度權限控制.

基于數(shù)據(jù)的訪問控制規(guī)則(如業(yè)務范圍界定、數(shù)據(jù)訪問頻度、時間范圍界定、查詢條件過濾、數(shù)據(jù)敏感度控制等等)，實現(xiàn)數(shù)據(jù)的訪問權限的鑒別；應具備針對業(yè)務系統(tǒng)的違規(guī)獲取行為提供實時阻斷、預警、審計等處置操作，降低數(shù)據(jù)越權訪問的概率；通過對動態(tài)網(wǎng)絡流轉的數(shù)據(jù)進行實時監(jiān)控，檢測和阻止越權訪問數(shù)據(jù)，提升移動終端使用安全.

2.4 數(shù)據(jù)防恢復技術

移動警務移動端由于系統(tǒng)更新或者設備置換，通常在處理之前將其存儲部件進行格式化或將重要數(shù)據(jù)和個人信息刪除.然而，這對于現(xiàn)在的數(shù)據(jù)恢復技術來說并不起作用，很容易造成敏感數(shù)據(jù)的二次泄露.

數(shù)據(jù)防恢復技術采用的原理是將刪除的數(shù)據(jù)進行覆蓋重寫，確保刪除的數(shù)據(jù)不被恢復.例如，某個文件被刪除后，存入數(shù)據(jù)，將保留在硬盤上可恢復的數(shù)據(jù)覆蓋.但是由于文件寫入位置是隨機的，無法確定存入的數(shù)據(jù)一定將刪除的數(shù)據(jù)覆蓋上.因此，建議將分區(qū)空閑空間填滿，以確保將文件覆蓋.另外，用專業(yè)的數(shù)據(jù)銷毀工具，將邏輯層面的數(shù)據(jù)擦除，可以達到數(shù)據(jù)清零的效果，使得存儲數(shù)據(jù)的永久刪除，不被恢復.

2.5 數(shù)據(jù)匿名化技術

通過一系列的匿名操作對原始數(shù)據(jù)進行修改，以達到敏感數(shù)據(jù)不被泄露的目的.數(shù)據(jù)匿名處理的使用場景如圖1所示，在數(shù)據(jù)收集階段，是數(shù)據(jù)發(fā)布者對用戶的原始數(shù)據(jù)進行收集；在數(shù)據(jù)發(fā)布階段，對發(fā)布的數(shù)據(jù)通過數(shù)據(jù)匿名化處理后，再發(fā)布給數(shù)據(jù)使用者進行分析和應用[14-16].

圖1 數(shù)據(jù)匿名化處理流程

目前存在的主要匿名操作有：概括(generalization)、抑制(suppression)、解構(anatomization)、置換(permutation)和擾亂(perturbation).其中，概括和抑制是匿名處理中使用最早、最廣泛的方法[17].概括用更抽象、概括的值或區(qū)間代替精確值，準標識符屬性值有數(shù)值型和分類型，數(shù)值數(shù)據(jù)概括后，值被一個覆蓋精確數(shù)值的區(qū)間代替，分類數(shù)據(jù)則概括成更一般的值.抑制操作是將數(shù)據(jù)表中的數(shù)據(jù)直接刪除或隱藏，一般用“*”代替要抑制的值.解構是對屬性進行分表，解構屬性之間的相關性來保護隱私.置換是將數(shù)據(jù)表分組后，把每組內的敏感屬性值隨機交換，打亂順序，再拆分數(shù)據(jù)表，對外發(fā)布.擾亂主要是通過加入噪音的方法，修改原始數(shù)據(jù)值，使數(shù)據(jù)產生變動，從而保護敏感信息.

采用不同的匿名操作會對敏感數(shù)據(jù)保護性能指標產生不同的影響[18].可通過語義學及數(shù)據(jù)敏感度度量機制，設計快速高效的數(shù)據(jù)分類技術，實現(xiàn)對敏感數(shù)據(jù)的概化和匿名操作；利用同態(tài)加密等方法，可實現(xiàn)對于數(shù)據(jù)關聯(lián)性的高效解構和置換；分析不同的分布函數(shù)作為擾亂隨機噪聲時對整個系統(tǒng)性能的影響，建立針對不同數(shù)據(jù)和安全需求的噪聲庫；最后，使用通用可組合安全理論，建立匿名操作方案，從計算復雜度、時間復雜度、額外開銷等方面提高系統(tǒng)性能.

另外，數(shù)據(jù)脫敏技術，也是一種實現(xiàn)匿名化處理十分有效的方式[19-20].數(shù)據(jù)脫敏技術的主要目標是按照脫敏規(guī)則通過變形、轉換等方式降低數(shù)據(jù)的敏感程度，在數(shù)據(jù)的采集、傳輸、使用等環(huán)節(jié)中最小化敏感數(shù)據(jù)的暴露.例如，移動警務中往往會涉及到一些個人信息的查詢，出于安全考慮，需要對重要人員信息進行脫敏處理，以防止關鍵人物相關信息的泄露.在脫敏實踐中，敏感數(shù)據(jù)脫敏的流程如圖2所示，包括敏感數(shù)據(jù)發(fā)現(xiàn)及確認、定義脫敏規(guī)則、敏感數(shù)據(jù)脫敏以及脫敏數(shù)據(jù)分發(fā)模塊.

圖2 敏感數(shù)據(jù)脫敏流程圖

1) 敏感數(shù)據(jù)發(fā)現(xiàn)及確認

掃描全部原始數(shù)據(jù)，自動發(fā)現(xiàn)敏感數(shù)據(jù)，并確認敏感數(shù)據(jù)在數(shù)據(jù)庫中的位置.

2) 定義脫敏規(guī)則

定義脫敏規(guī)則主要是根據(jù)工具中內置一些常用的算法或自定義算法，實現(xiàn)對脫敏規(guī)則的定制.根據(jù)具體的脫敏需求制定對應的脫敏規(guī)則與策略后，可自動化執(zhí)行脫敏規(guī)則與策略，從而實現(xiàn)批量化、自動化的敏感數(shù)據(jù)的脫敏處理，同時保證脫敏后的數(shù)據(jù)不影響應用程序.通過執(zhí)行脫敏規(guī)則實現(xiàn)數(shù)據(jù)脫敏，脫敏后的數(shù)據(jù)仍然能符合原數(shù)據(jù)的各種校驗、取值范圍合理、保持關聯(lián)數(shù)據(jù)之間的完整性等真實性原則.

3) 敏感數(shù)據(jù)脫敏

利用數(shù)據(jù)脫敏工具軟件執(zhí)行完成的脫敏規(guī)則，在保持數(shù)據(jù)業(yè)務關聯(lián)關系和高仿真的基礎上，對需要脫敏的敏感數(shù)據(jù)進行脫敏.

4) 敏感數(shù)據(jù)分發(fā)

脫敏數(shù)據(jù)分發(fā)，主要是將脫敏后的數(shù)據(jù)通過輸出到目標環(huán)境，供需求方使用.

數(shù)據(jù)脫敏中通常用的脫敏算法通常包括：隨機、模糊、替換、清空、亂序排列、屏蔽、組合、固定映射、浮動、截取、截斷等數(shù)據(jù)處理技術.

使用脫敏技術，對敏感數(shù)據(jù)脫敏后的結果舉例如圖3所示：

圖3 敏感數(shù)據(jù)脫敏結果圖

2.6 數(shù)據(jù)備份技術

移動警務移動端存儲的數(shù)據(jù)，涉及到大量的個人信息，需要采取數(shù)據(jù)備份技術，保障存儲數(shù)據(jù)的安全.

數(shù)據(jù)備份是保障數(shù)據(jù)安全的重要手段，也是容災的基礎.數(shù)據(jù)備份，顧名思義是將系統(tǒng)中的數(shù)據(jù)全部或者部分復制存儲到其他設備中，主要是為了避免出現(xiàn)人為操作、意外事故等情況導致數(shù)據(jù)丟失或者損壞的現(xiàn)象.數(shù)據(jù)備份技術通常包括全量備份、增量備份和差分備份3種，在備份時可以選擇其中的1種或幾種備份技術的組合.移動警務移動端存儲的數(shù)據(jù)需要經(jīng)常備份，以防止出現(xiàn)丟失或者損壞的情況，通過數(shù)據(jù)備份能夠將系統(tǒng)數(shù)據(jù)恢復到備份操作時的狀態(tài)，降低數(shù)據(jù)丟失或者損壞造成的損失.一般來說系統(tǒng)數(shù)據(jù)應該與被備份的數(shù)據(jù)采用分開存放或異地存儲的方式，這樣能夠最大限度地保障數(shù)據(jù)安全.

3 結 論

在等保2.0網(wǎng)絡安全體系的標準下，數(shù)據(jù)安全在移動警務的建設過程中貫穿于數(shù)據(jù)采集、數(shù)據(jù)傳輸、數(shù)據(jù)存儲、數(shù)據(jù)災備、數(shù)據(jù)消亡的全生命周期，在不同的數(shù)據(jù)處理過程中涉及到不同的數(shù)據(jù)安全技術.作為移動警務的建設部門，要從多維度考慮數(shù)據(jù)安全的防護，并做好周密的安全部署，才能有效地實現(xiàn)數(shù)據(jù)的計算、傳輸、存儲過程中的安全，確保移動警務在運行過程中的數(shù)據(jù)安全穩(wěn)定.