基于高性能商用密碼的電信領域防護實踐
點擊藍字關注我們
摘要
電信運營商作為國內基礎通信網絡的提供者,海量用戶信息和重要數據在業務系統中高速流轉,其蘊含價值逐步顯現且防護難度日益提升。如何在合理的開發利用中保護重要數據和用戶信息安全,是電信運營商需要面對的時代課題。以“業務伴生風險,風險驅動密碼,密碼融入業務”的閉環視角,分析了電信行業數據安全現狀,及高性能商用密碼技術應用與落地成效,進一步探索融入業務的“密碼安全一體化”實戰防護,為電信數據安全保護提供建設性參考。
內容目錄:
1 電信業務高速流轉伴生數據安全風險
1.1 電信業數據具有高價值屬性
1.2 高速流動數據增大防護難度
1.3 電信數據安全攻擊呈現三高特征
2 安全風險驅動商用密碼高性能強防護
2.1 實戰合規對商密技術提出新要求
2.1.1 新合規驅動密碼技術廣泛應用
2.1.2 以實戰為導向構建密碼防護體系
2.2 高性能成為密碼應用能力新焦點
2.3 密碼安全一體化重構防御新邊界
3 高性能密碼融入業務構建安全增強點
3.1 運用商密技術的電信數據保護思路
3.2 打造縱深防御的電信數據安全堡壘
3.3 探索創新前沿的密碼技術應用實踐
3.4 滿足高效低耗的電信數據業務需求
3.4.1 高性能國密算法,兼顧業務系統穩定性
3.4.2 免改造應用增強數據保護
3.4.3 適應數據流向實施精細安全管控
3.4.4 集中式管控、分布式保護
3.4.5 通過密評認證,落實密碼合規
4 結 語
面向“十四五”時期,數字經濟成為繼農業經濟、工業經濟之后的主要經濟形態,發展數字經濟是國家的重要戰略部署。作為數字經濟發展的中堅力量,電信運營商以推進數智化轉型、實現高質量發展為主線,全力推動電信服務融入千行百業,賦能美好生活。如今,我國網民規模超十億,已建成全球最大、性能顯著提升的信息通信網絡系統,為推動我國經濟高質量發展提供了強大的內生動力。
電信運營商是國內基礎通信網絡的提供者,時刻承載著數以億計的用戶、企業的流量,數據體量稱得上“大而全”。隨著 5G 等技術的創新發展、數據內外部的應用拓展,海量用戶信息和重要數據在業務系統中高速流轉,其蘊含價值逐步顯現且防護難度日益提升。數據是電信業的立身之本,因此數據安全防護建設刻不容緩。
高性能商用密碼作為實現數據安全最經濟、最有效、最可靠的技術手段,可以為電信數據重新定義虛擬的“防護邊界”,通過重建業務規則,施加主動式安全防護,打造縱深防御的電信數據安全體系。在全面保障數據安全的同時,保障業務的正常運轉,釋放電信數據潛在價值,助力電信行業數字化轉型與高質量發展。
1電信業務高速流轉伴生數據安全風險
1.1 電信業數據具有高價值屬性
近年來,電信行業一直保持穩中向好的運行態勢,數據持續增長。截至 2021 年底,我國電信業務收入累計完成1.47 萬億元,比上年增長8.0%,實現自2014 年的8年來較高水平的增長;累計建成并開通5G基站142.5 萬個,占全球 60% 以上,建成全球最大的5G網;移動電話用戶規模高達16.43億戶,人口普及率升至 116.3 部/百人;全國有超過300個城市啟動千兆光纖寬帶網絡建設,全年互聯網寬帶接入投資比上年增長40%。
電信業務廣泛覆蓋通信網絡,承載著大量的社會經濟活動信息,以及數以億計且不斷增長的用戶體量。電信運營商掌握數據類型廣泛,涵蓋用戶身份信息、網絡偏好、位置信息、社交特征、消費賬單、通信使用狀況、手機終端型號等,在規模性、多樣性、實時性、真實性等方面擁有獨特優勢,再加上數據的采集基本不受地理環境、空間分布和經濟發展等外部因素的影響,這都為電信數據有效利用夯實了基礎。
與此同時,因其在通信網絡建設、運營等方面的業務性質,電信運營商能夠觸及豐富的客戶資源數據,掌握金融、交通、醫療等眾多行業應用數據資源,以及多條業務線在生產經營環節沉淀下的各類業務流數據、管理數據、流程數據等,進一步驅動了電信領域企業生產要素的網絡化共享、集約化整合、協作化開發,達到提高生產效率、科學支撐經營決策、優化資源配置的目的 。在一定程度上,電信數據的價值密度相較于其他行業更高。
1.2 高速流動數據增大防護難度
從業務視角來看,數據作為電信業務發展的重要價值載體,在復雜的業務系統中高速流轉,驅動業務效率提升。數據的高價值屬性,促進了數據資源“勢能”轉變為創新發展“動能”。但是,只要是有價值的系統和服務,都無法避免被攻擊的現象。針對電信數據資源開發利用所帶來的高回報率,也引來了越來越多的攻擊團伙,防護難度系數不斷攀升。
一方面,電信運營商數據涵蓋O域(OperationSupport System,運營支撐系統)、B域(Business Support System,業務支撐系統)和M域(Management Support System,管理支撐系統)3 域的數據,以及眾多生態合作伙伴的業務數據,系統架構復雜,采集渠道眾多,涉及的數據量龐大且錯綜繁雜;另一方面,電信運營商數據具有實時性強的特點,只要用戶使用通信業務,就會產生實時數據信息,數據和業務之間扭結纏繞、不可分割,對業務系統處理能力和持續性服務要求較高。在業務高速流動的情況下實施安全防護,對相關的技術或產品性能要求較高,防護規則覆蓋也面面俱到,若在具體實施過程中出現疏漏,可能會導致某個安全節點被突破失效,進而影響電信業務系統的正常運轉,導致大量電信客戶的權益受到損害。
1.3 電信數據安全攻擊呈現三高特征
2021 年,數據泄露占所有數據安全事件類型的 80%,其中以獲利為目的的數據泄露事件占比最高,高利益、高回報率是造成數據泄露事件的主要驅動因素。據觀察,近年來的數據安全攻擊逐步呈現出“高頻化”“高損化”“高顯化”等特征。
“高頻化”體現在對運營商的攻擊逐漸變得大規模、高頻率、強針對性、體系化,這些攻擊不僅能夠快速查明業務系統中潛藏的薄弱區,還能通過模擬正常、合法的行為模式,躲避和繞過安全工具,甚至攻擊者會聯合起來,合作分工形成鏈條化,讓運營商防不勝防。
“高損化”體現在對運營商攻擊后非法獲取的信息,不論是客戶個人信息,還是涉及核心商業秘密的敏感數據,通常都會通過非法交易轉入他人之手,不僅會對運營商造成難以估量的損失,還會引發用戶不滿、社會動蕩,甚至威脅國家安全。
“高顯化”體現在經受非法攻擊的運營商,會在媒體的快速傳播下,使得數據泄露事件遭受披露、躋身頭條,并將面臨品牌聲譽受損、用戶不信任、輿論壓力譴責等嚴重影響。
數據泄露之殤亟待遏制,數據安全建設迫在眉睫。工信部發布的《網絡安全產業高質量發展三年行動計劃(2021—2023 年)》(征求意見稿)指出,2023 年網絡安全產業規模將超過 2 500 億元,年復合增長率超過 15%,電信等重點行業網絡安全投入占信息化投入比例要達到10%。可見,商用密碼作為數據安全建設的基礎支撐技術,以其為核心的安全防護正在從“或有”變為“剛需”。強化商用密碼與電信業的融合發展,已經成為數字時代的硬要求和必選項。
2安全風險驅動商用密碼高性能強防護
2.1 實戰合規對商密技術提出新要求
2.1.1 新合規驅動密碼技術廣泛應用
近年來,我國陸續健全數據安全相關立法、安全制度設計、數據權屬,責任義務以及懲處措施等也逐步深化,形成共建共治共享的數據安全防護法律新范式。密碼作為數據安全的核心技術,法定性也不斷強化,成為各行業應用的基線要求。
(1)“四法四例四規”夯實數據安全法律基礎。如圖 1 所示,《網絡安全法》《密碼法》《數據安全法》《個人信息保護法》為保障數據安全夯實了法律基礎,并分別提出了采取加密等安全技術措施或使用商用密碼進行保護等要求。聚焦重要數據和個人信息保護,基于“四法”進一步延伸出“四例”,分別為《關鍵信息基礎設施安全保護條例》《網絡安全等級保護條例(征求意見稿)》《商用密碼管理條例(修訂草案征求意見稿)》《網絡數據安全管理條例(征求意見稿)》,在技術和管理等方面對數據合規提出明確指引和要求。
在“四規”中,“等保”和“密評”作為關鍵信息基礎設施保護的基礎,進一步確保商用密碼在網絡和信息系統中實現有效使用。2022 年 6月 9 日,國家市場監督管理總局、國家互聯網信息辦公室聯合印發《關于開展數據安全管理認證工作的公告》,鼓勵網絡運營者通過認證方式規范網絡數據處理活動。于 2022 年 11 月 1 日正式施行的國家標準 GB/T 41479—2022《信息安全技術 網絡數據處理安全要求》中,對數據存儲、傳輸等環節,也提出了采取加密等安全措施。
圖 1 “四法四例四規”驅動行業數據保護
(2)電信行業規范促進商用密碼技術健康發展。針對電信運營商數據安全保護和監管,我國積極制定出臺相關的行業規范和要求指南,包括《電信和互聯網用戶個人信息保護規定》《電信和互聯網行業提升網絡數據安全保護能力專項行動方案》《電信和互聯網行業網絡數據安全標準體系建設指南》《電信和互聯網行業數據安全治理白皮書(2020 年)》及 YD/T 3802—2020《電信網和互聯網數據安全通用要求》等。結合 GB/T 39786—2021《信息安全技術 信息系統密碼應用基本要求》《電信和互聯網行業網絡數據安全標準體系建設指南》等標準,總結出關于電信行業密碼應用的要求如下文所述。
①行業數據安全治理。對數據資產進行梳理,對行業數據進行分類分級保護,維護數據安全與促進數據開發利用。
②行業數據安全等級保護。從數據收集、存儲、使用、加工、傳輸、提供、公開、刪除等數據全生命周期流轉過程,及物理和環境安全、網絡和通信安全、設備和計算安全、應用和數據安全等層面,采用密碼技術措施對數據進行立體維度的安全技術保護。從數據安全規范、評估、監控預警與處置、應急響應與災難備份、安全能力認證等視角增強安全管理。
③行業網絡數據安全監管。通過集中開展數據安全專項治理和監督檢查,督促企業強化網絡數據安全全流程管理,及時整改消除重大數據泄露、濫用等安全隱患,已基本建立行業網絡數據安全保障和標準體系。同時,加強行業網絡數據安全應急管理,開展網絡數據安全風險評估。
2.1.2 以實戰為導向構建密碼防護體系
在新合規政策的有效加持下,以實戰為導向的需求市場被充分激活,傳統被動式的查漏洞、堵漏洞思路已經難以適應時代發展。電信運營商作為“重數據”型運營商,面對日趨嚴峻的網絡與數據安全威脅,商用密碼技術能夠結合數據業務與技術屬性,在數據流轉的多個層次環節中,通過重建業務規則,施加主動式安全防護,成為電信業有效抵御外部黑客攻擊、防止內部人員泄露的安全建設新路徑。
針對電信業構建有效的密碼實戰化防護體系,主要防護指標包含 3 個部分:一是應滿足密碼防護能力融入業務流程,提供多場景細粒度有效防護;二是能夠融合訪問控制、審計等其他安全技術,實現安全機制可靠有效運行;三是具有支持敏捷部署、實施周期短、對業務影響小等特點,確保電信系統各項業務正常運營。
密評作為密碼應用安全管理的重要抓手,是項目規劃、建設、運行的重要環節,要求對重要的網絡和信息系統密碼應用的合規性、正確性、有效性進行評估。《密碼法》第三十七條規定,關鍵信息基礎設施的運營者未按照要求使用商用密碼,或者未按照要求開展商用密碼應用安全性評估的,由密碼管理部門責令改正,給予警告;拒不改正或者導致危害網絡安全等后果的,處十萬元以上一百萬元以下罰款,對直接負責的主管人員處一萬元以上十萬元以下罰款。基于此,電信運營商在構建數據安全體系過程中,對于新建或改造的應用系統,要同步內建密碼能力,對于存量應用系統,提供融入業務流程的密碼安全能力,并與密評工作同步規劃、同步建設、同步運行,在有效應用密碼技術的同時,兼顧數據流轉與安全防護。
2.2 高性能成為密碼應用能力新焦點
數字時代下,大型電信運營商的業務往往存在區域分散、數據分散、系統繁多、環境復雜的特征,隨著 5G、云計算、物聯網、大數據、人工智能等新興技術和應用場景的不斷涌現,互聯網、物聯網、工業互聯網等各種網絡加速融合,數據在端、網絡、云和應用之間廣泛流轉,網絡邊界變得愈發模糊,防護難度變得愈發復雜多元。
以 5G 為例,5G 數據傳輸速度比 4G LTE 蜂窩網絡快 100 倍,響應時間從 4G 的 30~70 毫秒降低到 1 毫秒,數據處理量和并發數都有了極大提升 [4]。在其復雜系統下,面對超大數據流量、海量用戶數據等復雜應用場景,商用密碼技術和產品性能是滿足運營商級別數據加密傳輸、超大容量數據安全存儲、超大規模數據安全計算等要求的關鍵。
近年來,由我國自主設計的橢圓曲線公鑰密碼算法 SM2、雜湊算法 SM3、分組密碼算法SM4、序列密碼算法 ZUC、標識密碼算法 SM9等已經成為國家標準或密碼行業標準,標志著我國商用密碼算法體系已經基本形成。
著眼于數據安全防護,電信業務對業務處理的實時性、準確性及通信服務的持續性和穩定性需求較高,這就要求內嵌密碼模塊具備高性能,在給系統提供全方位安全保護的同時,也能夠保證業務的正常運轉,保障業務執行的效率。但在實際應用中,成本、效率、能耗和時效性成為當前商用密碼技術應用的瓶頸,這也是電信行業需要持續研究的課題。
2.3 密碼安全一體化重構防御新邊界
安全本質上是一種業務需求,“傳統業務需求”側重于“希望發生什么”,而“安全需求”側重于“不希望發生什么”,從而確保“發生什么”。從這個角度來看,各種安全的定義都可以映射到業務需求,重點是數據的機密性和完整性。
然而,共享流轉的電信業務系統數據很難有邊界,在做訪問控制的時候,如果數據庫或歸檔備份中的數據是明文,那么訪問控制機制很容易被繞過。而通過數據加密技術,可以打造一個強防護場景,用戶在正常訪問應用的過程中數據才會解密,并結合身份訪問控制、審計等安全技術,實現了“防繞過的訪問控制”以及“高置信度的審計”,密碼技術為數據重新定義了虛擬的“防護邊界”,從而更好地對數據實施防護與管控。電信數據依托信息系統而存在,數據安全不僅僅局限于數據本身,而應擴展到信息系統的各個安全領域。通過使用密碼技術對數據進行保護,可以確保數據資產“不被控”“不可達”“不可知”的安全“三重境界”,從“單點可控”邁向“一體化全程可信”,如表 1 所示 。
表 1 “不被控”“不可達”“不可知”的安全“三重境界”
續表
3高性能密碼融入業務構建安全增強點
3.1 運用商密技術的電信數據保護思路
目前,電信行業個人信息防護的主流思路是應對式防御,通常是系統遭受攻擊之后,根據攻擊情況采取行動,“滯后于攻擊手段”的弊端非常明顯。傳統的殺病毒、防火墻、入侵檢測難以應對人為攻擊,且容易被攻擊者利用。當前,網絡漏洞始終存在,應對式防御“治標不治本”。
新形勢下電信運營商吸納“以數據為中心”的安全防護理念,數據防護從“防漏洞、補漏洞”的應對式轉向主動式,聚焦數據全生命周期整體性安全體系建設,將密碼功能從“外掛”進化為“內嵌”,推進業務系統與密碼能力的深度融合,“以密碼技術為核心,多種安全技術相互融合”成為主流技術路徑,實現對數據直接有效的保護。
3.2 打造縱深防御的電信數據安全堡壘
在構建安全防御體系的過程中,由于防護規則難以全面覆蓋,或在具體實施過程中難免疏漏,或內部人員有天然接觸數據的風險,這些都可能導致某個安全節點被突破失效,電信運營商需要考慮如果前一道防御機制失效了,后面一道防御機制如何補上后手,進而打造協同聯動的技術體系,實現多層面、全方位、環環相扣的縱深防御。電信運營商可以選取 3 個重要維度進行數據安全縱深防御建設。
(1)安全能力維度。如圖 2 所示,“IPDRR”(識別、防護、檢測、響應、恢復)體現了數據保護的前防護、事中檢測 / 響應、事后恢復安全機制,對于電信運營商的數據安全建設,應在數據識別、分類分級以及身份識別的前提下,優先從“防護”環節構建數據安全增強點,實現投資回報率最大化。其中,密碼技術發揮了重要價值:在識別方面,密碼可以提供身份安全能力,為接口通道實現安全加密;在防護方面,數據加密技術本身就是在開放式信道中,構建了強制的防護措施,并結合身份實現訪問控制,同時,密碼也能提供身份鑒別、水印追溯能力。
圖 2 “IPDRR”投資回報率分布
(2)數據形態維度。數據可分為傳輸態、存儲態和使用態,身份鑒別及信任體系則是對數據訪問的補充或者前提,基于“數據三態”可延伸出數據全生命周期,并在數據形態的轉化中,構建電信運營商“密碼安全一體化”的防護體系,密碼成為數據多形態轉換中的重要防護手段。
(3)技術棧維度。當前,從網絡安全到數據安全,防護重點正在從“網關 / 端點”轉向“應用”。區別于傳統網絡安全防護的“按分區”構建,電信行業數據安全防護思路是“追數據”,針對數據本身在業務應用流轉的不同環節,施加安全增強手段,實現安全切面。因此,沿著數據流轉路徑,基于典型瀏覽器 / 服務器模式結構(Browser/Server,B/S)3 層信息系統架構(終端側、應用側、基礎設施側),可以在多個數據處理流轉點實施適用于技術棧不同層次的數據保護技術。以個人信息保護為例,所有涉及個人信息的文件系統,可以用全磁盤加密技術進行基礎性的安全防護,而針對特別重要的個人敏感信息,可再疊加實施應用內加密,從而構建縱深防御。
3.3 探索創新前沿的密碼技術應用實踐
基于商用密碼技術的數據安全縱深防御模式,是構建電信業務系統的重要基礎。但在實際應用中,存在特定場景數據安全建設問題,如跨部門、跨層級、跨區域數據安全共享和流動,以及數據作為生產要素特有的問題,如難以從技術上分割使用權和所有權,則需要結合隱私計算、區塊鏈等創新前沿的密碼技術,實現數據更安全有效的利用和共享。
隱私計算中有很多融合了密碼學的子技術應用,如安全多方計算、同態加密、聯邦學習等。面對電信用戶數據、隱私信息在業務流動中難以定量描述和準確定位的治理困局,隱私計算可以通過對各方主體個人數據處理行為的中和與計算,量化隱私的安全狀態,避免大數據關聯分析和深度挖掘過程中可能導致的隱私泄露 ,可實現“原始數據不出域、數據可用不可見”。
區塊鏈是加密技術、分布式網絡、智能合約等多種技術集成的新型數據庫,具有去中心化、去信任化和防篡改的安全特性,為降低信息系統單點化的風險提供重要思路,有望解決電信數據生產要素的信任和安全問題。
當然,隱私計算、區塊鏈等創新前沿的密碼技術在電信運營商的應用場景目前仍處于探索階段,部分典型應用已經在行業內進行試驗,但如隱私計算能否徹底解決合規問題,以及區塊鏈的分布式特征與電信運營商的集中化管理的適配等問題,未來仍需進一步探索與檢驗。
3.4 滿足高效低耗的電信數據業務需求
“密碼安全一體化”的電信數據保護方案(以下簡稱“方案”),以免改造應用的方式將數據安全能力嵌入業務環節中,保障業務數據流轉全過程安全,兼顧泄密風險與搭建成本、保護效果與業務流暢之間的多重平衡,并針對產業特點引入集中式管控、分布式保護模式,滿足了電信行業作為關鍵基礎設施的密評認證合規需求。
3.4.1 高性能國密算法,兼顧業務系統穩定性
通過實現 SM 系列算法的高性能,可以使商密算法等效替換國外算法,滿足密碼應用的合規性要求。經過測試,方案對電信應用系統的性能影響可以控制在 5% 以內,滿足業務系統的需要。
3.4.2 免改造應用增強數據保護
基于免改造應用,方案可實現無須改動電信業務系統代碼,增強數據全生命周期的安全,針對數據流轉過程中的多個免改造控制點施加保護能力,覆蓋結構化和非結構化數據,如圖3 所示。
圖 3 部署模式:統一平臺下的多控制點
3.4.3 適應數據流向實施精細安全管控
打造以應用為單元的細粒度保護,方案可根據電信業務數據流向,靈活配置加密、解密、脫敏等安全規則,在復雜數據分析場景下可提供精細的數據流轉權限控制。進一步而言,產品模塊可以獲取當前應用內訪問者的身份信息,從而實現“主體到人、客體到字段”的細粒度訪問控制,如圖 4 所示。
圖 4 “主體到人、客體到字段”的細粒度保護
3.4.4 集中式管控、分布式保護
基于對電信業總部與分支異地的考慮,方案引入批量應用系統的“集中式管控,分布式保護”體系如圖 5 所示,在總部部署一套統一的數據安全管理平臺,負責整體的策略管理和密鑰管理,在分支的應用系統中部署客戶端,可以實現總部和多級分支的應用系統協同工作,以及自上到下的全層級部署管控,確保數據能夠安全流動。
圖 5 “集中式管控,分布式保護”模式
3.4.5 通過密評認證,落實密碼合規
結合電信運營商實際業務需求,方案匹配密鑰、加密策略,確保相關密碼算法和產品均滿足關鍵基礎設施的密評認證合規需求,提供融入業務流程的密碼安全能力。
(1)密碼應用全面性。關鍵數據加密存儲、重要角色強身份認證登錄、超文本傳輸密通道、數據交換加密、系統配置信息加密(賬號口令)等應加密場景。
(2)密鑰使用安全性。密鑰管理、密碼運算所采用的產品或設備具有國密型號證書,包括密鑰管理系統、加解密運算設備、數字證書設備、加密卡等。
(3)密碼算法合理性。所采用的密碼算法或技術經過論證,符合國家密碼管理局及行業監管的要求,算法應用正確得當。
4結 語
電信業數據體量大、價值密度高、涉及范圍廣,因此數據安全建設乃是重中之重。商用密碼作為保障數據安全的核心技術,是防范個人信息與數據安全風險、傳遞信任的基礎支撐。將商用密碼技術融入電信業務系統的各環節,打造重要數據和個人信息保護加密機制與防護手段,對于電信業意義重大。電信業務對業務處理實時性、準確性及通信服務的持續性和穩定性需求較高,高性能成為密碼應用能力的新焦點。如何在實際應用中,兼顧成本、效率、能耗和時效性,打破高性能商用密碼技術應用的瓶頸,將成為電信運營商需要持續研究的課題。
