基于高性能商用密码的电信领域防护实践*
2022-10-18袁捷,张峰,于乐
袁 捷,张 峰,于 乐
(中国移动通信集团有限公司 信息安全管理与运行中心,北京 100053)
0 引 言
面向“十四五”时期,数字经济成为继农业经济、工业经济之后的主要经济形态,发展数字经济是国家的重要战略部署。作为数字经济发展的中坚力量,电信运营商以推进数智化转型、实现高质量发展为主线,全力推动电信服务融入千行百业,赋能美好生活。如今,我国网民规模超十亿,已建成全球最大、性能显著提升的信息通信网络系统,为推动我国经济高质量发展提供了强大的内生动力。
电信运营商是国内基础通信网络的提供者,时刻承载着数以亿计的用户、企业的流量,数据体量称得上“大而全”。随着5G 等技术的创新发展、数据内外部的应用拓展,海量用户信息和重要数据在业务系统中高速流转,其蕴含价值逐步显现且防护难度日益提升。数据是电信业的立身之本,因此数据安全防护建设刻不容缓。
高性能商用密码作为实现数据安全最经济、最有效、最可靠的技术手段,可以为电信数据重新定义虚拟的“防护边界”,通过重建业务规则,施加主动式安全防护,打造纵深防御的电信数据安全体系。在全面保障数据安全的同时,保障业务的正常运转,释放电信数据潜在价值,助力电信行业数字化转型与高质量发展。
1 电信业务高速流转伴生数据安全风险
1.1 电信业数据具有高价值属性
近年来,电信行业一直保持稳中向好的运行态势,数据持续增长。截至2021 年底,我国电信业务收入累计完成1.47 万亿元,比上年增长8.0%,实现自2014 年的8 年来较高水平的增长;累计建成并开通5G 基站142.5 万个,占全球60%以上,建成全球最大的5G 网;移动电话用户规模高达16.43 亿户,人口普及率升至116.3 部/百人;全国有超过300 个城市启动千兆光纤宽带网络建设,全年互联网宽带接入投资比上年增长40%[1]。
电信业务广泛覆盖通信网络,承载着大量的社会经济活动信息,以及数以亿计且不断增长的用户体量。电信运营商掌握数据类型广泛,涵盖用户身份信息、网络偏好、位置信息、社交特征、消费账单、通信使用状况、手机终端型号等,在规模性、多样性、实时性、真实性等方面拥有独特优势,再加上数据的采集基本不受地理环境、空间分布和经济发展等外部因素的影响,这都为电信数据有效利用夯实了基础。
与此同时,因其在通信网络建设、运营等方面的业务性质,电信运营商能够触及丰富的客户资源数据,掌握金融、交通、医疗等众多行业应用数据资源,以及多条业务线在生产经营环节沉淀下的各类业务流数据、管理数据、流程数据等,进一步驱动了电信领域企业生产要素的网络化共享、集约化整合、协作化开发,达到提高生产效率、科学支撑经营决策、优化资源配置的目的[2]。在一定程度上,电信数据的价值密度相较于其他行业更高。
1.2 高速流动数据增大防护难度
从业务视角来看,数据作为电信业务发展的重要价值载体,在复杂的业务系统中高速流转,驱动业务效率提升。数据的高价值属性,促进了数据资源“势能”转变为创新发展“动能”。但是,只要是有价值的系统和服务,都无法避免被攻击的现象。针对电信数据资源开发利用所带来的高回报率,也引来了越来越多的攻击团伙,防护难度系数不断攀升。
一方面,电信运营商数据涵盖O域(Operation Support System,运营支撑系统)、B 域(Business Support System,业务支撑系统)和M域(Management Support System,管理支撑系统)3 域的数据,以及众多生态合作伙伴的业务数据,系统架构复杂,采集渠道众多,涉及的数据量庞大且错综繁杂;另一方面,电信运营商数据具有实时性强的特点,只要用户使用通信业务,就会产生实时数据信息,数据和业务之间扭结缠绕、不可分割,对业务系统处理能力和持续性服务要求较高。在业务高速流动的情况下实施安全防护,对相关的技术或产品性能要求较高,防护规则覆盖也面面俱到,若在具体实施过程中出现疏漏,可能会导致某个安全节点被突破失效,进而影响电信业务系统的正常运转,导致大量电信客户的权益受到损害。
1.3 电信数据安全攻击呈现三高特征
2021 年,数据泄露占所有数据安全事件类型的80%,其中以获利为目的的数据泄露事件占比最高,高利益、高回报率是造成数据泄露事件的主要驱动因素。据观察,近年来的数据安全攻击逐步呈现出“高频化”“高损化”“高显化”等特征。
“高频化”体现在对运营商的攻击逐渐变得大规模、高频率、强针对性、体系化,这些攻击不仅能够快速查明业务系统中潜藏的薄弱区,还能通过模拟正常、合法的行为模式,躲避和绕过安全工具,甚至攻击者会联合起来,合作分工形成链条化,让运营商防不胜防。
“高损化”体现在对运营商攻击后非法获取的信息,不论是客户个人信息,还是涉及核心商业秘密的敏感数据,通常都会通过非法交易转入他人之手,不仅会对运营商造成难以估量的损失,还会引发用户不满、社会动荡,甚至威胁国家安全。
“高显化”体现在经受非法攻击的运营商,会在媒体的快速传播下,使得数据泄露事件遭受披露、跻身头条,并将面临品牌声誉受损、用户不信任、舆论压力谴责等严重影响。
数据泄露之殇亟待遏制,数据安全建设迫在眉睫。工信部发布的《网络安全产业高质量发展三年行动计划(2021—2023 年)》(征求意见稿)指出,2023 年网络安全产业规模将超过2 500 亿元,年复合增长率超过15%,电信等重点行业网络安全投入占信息化投入比例要达到10%。可见,商用密码作为数据安全建设的基础支撑技术,以其为核心的安全防护正在从“或有”变为“刚需”。强化商用密码与电信业的融合发展,已经成为数字时代的硬要求和必选项。
2 安全风险驱动商用密码高性能强防护
2.1 实战合规对商密技术提出新要求
2.1.1 新合规驱动密码技术广泛应用
近年来,我国陆续健全数据安全相关立法、安全制度设计、数据权属,责任义务以及惩处措施等也逐步深化,形成共建共治共享的数据安全防护法律新范式。密码作为数据安全的核心技术,法定性也不断强化,成为各行业应用的基线要求。
(1)“四法四例四规”夯实数据安全法律基础。如图1 所示,《网络安全法》《密码法》《数据安全法》《个人信息保护法》为保障数据安全夯实了法律基础,并分别提出了采取加密等安全技术措施或使用商用密码进行保护等要求。聚焦重要数据和个人信息保护,基于“四法”进一步延伸出“四例”,分别为《关键信息基础设施安全保护条例》《网络安全等级保护条例(征求意见稿)》《商用密码管理条例(修订草案征求意见稿)》《网络数据安全管理条例(征求意见稿)》,在技术和管理等方面对数据合规提出明确指引和要求。
在“四规”中,“等保”和“密评”作为关键信息基础设施保护的基础,进一步确保商用密码在网络和信息系统中实现有效使用。2022 年6月9 日,国家市场监督管理总局、国家互联网信息办公室联合印发《关于开展数据安全管理认证工作的公告》,鼓励网络运营者通过认证方式规范网络数据处理活动。于2022 年11 月1 日正式施行的国家标准GB/T 41479—2022《信息安全技术 网络数据处理安全要求》中,对数据存储、传输等环节,也提出了采取加密等安全措施。
(2)电信行业规范促进商用密码技术健康发展。针对电信运营商数据安全保护和监管,我国积极制定出台相关的行业规范和要求指南,包括《电信和互联网用户个人信息保护规定》《电信和互联网行业提升网络数据安全保护能力专项行动方案》《电信和互联网行业网络数据安全标准体系建设指南》《电信和互联网行业数据安全治理白皮书(2020 年)》及YD/T 3802—2020《电信网和互联网数据安全通用要求》等。结合GB/T 39786—2021《信息安全技术 信息系统密码应用基本要求》《电信和互联网行业网络数据安全标准体系建设指南》等标准,总结出关于电信行业密码应用的要求如下文所述[3]。
①行业数据安全治理。对数据资产进行梳理,对行业数据进行分类分级保护,维护数据安全与促进数据开发利用。
②行业数据安全等级保护。从数据收集、存储、使用、加工、传输、提供、公开、删除等数据全生命周期流转过程,及物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全等层面,采用密码技术措施对数据进行立体维度的安全技术保护。从数据安全规范、评估、监控预警与处置、应急响应与灾难备份、安全能力认证等视角增强安全管理。
③行业网络数据安全监管。通过集中开展数据安全专项治理和监督检查,督促企业强化网络数据安全全流程管理,及时整改消除重大数据泄露、滥用等安全隐患,已基本建立行业网络数据安全保障和标准体系。同时,加强行业网络数据安全应急管理,开展网络数据安全风险评估。
2.1.2 以实战为导向构建密码防护体系
在新合规政策的有效加持下,以实战为导向的需求市场被充分激活,传统被动式的查漏洞、堵漏洞思路已经难以适应时代发展。电信运营商作为“重数据”型运营商,面对日趋严峻的网络与数据安全威胁,商用密码技术能够结合数据业务与技术属性,在数据流转的多个层次环节中,通过重建业务规则,施加主动式安全防护,成为电信业有效抵御外部黑客攻击、防止内部人员泄露的安全建设新路径。
针对电信业构建有效的密码实战化防护体系,主要防护指标包含3 个部分:一是应满足密码防护能力融入业务流程,提供多场景细粒度有效防护;二是能够融合访问控制、审计等其他安全技术,实现安全机制可靠有效运行;三是具有支持敏捷部署、实施周期短、对业务影响小等特点,确保电信系统各项业务正常运营。
密评作为密码应用安全管理的重要抓手,是项目规划、建设、运行的重要环节,要求对重要的网络和信息系统密码应用的合规性、正确性、有效性进行评估。《密码法》第三十七条规定,关键信息基础设施的运营者未按照要求使用商用密码,或者未按照要求开展商用密码应用安全性评估的,由密码管理部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。基于此,电信运营商在构建数据安全体系过程中,对于新建或改造的应用系统,要同步内建密码能力,对于存量应用系统,提供融入业务流程的密码安全能力,并与密评工作同步规划、同步建设、同步运行,在有效应用密码技术的同时,兼顾数据流转与安全防护。
2.2 高性能成为密码应用能力新焦点
数字时代下,大型电信运营商的业务往往存在区域分散、数据分散、系统繁多、环境复杂的特征,随着5G、云计算、物联网、大数据、人工智能等新兴技术和应用场景的不断涌现,互联网、物联网、工业互联网等各种网络加速融合,数据在端、网络、云和应用之间广泛流转,网络边界变得愈发模糊,防护难度变得愈发复杂多元。
以5G 为例,5G 数据传输速度比4G LTE 蜂窝网络快100 倍,响应时间从4G 的30~70 毫秒降低到1 毫秒,数据处理量和并发数都有了极大提升[4]。在其复杂系统下,面对超大数据流量、海量用户数据等复杂应用场景,商用密码技术和产品性能是满足运营商级别数据加密传输、超大容量数据安全存储、超大规模数据安全计算等要求的关键。
近年来,由我国自主设计的椭圆曲线公钥密码算法SM2、杂凑算法SM3、分组密码算法SM4、序列密码算法ZUC、标识密码算法SM9等已经成为国家标准或密码行业标准,标志着我国商用密码算法体系已经基本形成[5]。
着眼于数据安全防护,电信业务对业务处理的实时性、准确性及通信服务的持续性和稳定性需求较高,这就要求内嵌密码模块具备高性能,在给系统提供全方位安全保护的同时,也能够保证业务的正常运转,保障业务执行的效率。但在实际应用中,成本、效率、能耗和时效性成为当前商用密码技术应用的瓶颈,这也是电信行业需要持续研究的课题。
2.3 密码安全一体化重构防御新边界
安全本质上是一种业务需求,“传统业务需求”侧重于“希望发生什么”,而“安全需求”侧重于“不希望发生什么”,从而确保“发生什么”。从这个角度来看,各种安全的定义都可以映射到业务需求,重点是数据的机密性和完整性。
然而,共享流转的电信业务系统数据很难有边界,在做访问控制的时候,如果数据库或归档备份中的数据是明文,那么访问控制机制很容易被绕过。而通过数据加密技术,可以打造一个强防护场景,用户在正常访问应用的过程中数据才会解密,并结合身份访问控制、审计等安全技术,实现了“防绕过的访问控制”以及“高置信度的审计”,密码技术为数据重新定义了虚拟的“防护边界”,从而更好地对数据实施防护与管控。电信数据依托信息系统而存在,数据安全不仅仅局限于数据本身,而应扩展到信息系统的各个安全领域[6]。通过使用密码技术对数据进行保护,可以确保数据资产“不被控”“不可达”“不可知”的安全“三重境界”,从“单点可控”迈向“一体化全程可信”,如表1 所示[7]。
续表
3 高性能密码融入业务构建安全增强点
3.1 运用商密技术的电信数据保护思路
目前,电信行业个人信息防护的主流思路是应对式防御,通常是系统遭受攻击之后,根据攻击情况采取行动,“滞后于攻击手段”的弊端非常明显。传统的杀病毒、防火墙、入侵检测难以应对人为攻击,且容易被攻击者利用。当前,网络漏洞始终存在,应对式防御“治标不治本”。
新形势下电信运营商吸纳“以数据为中心”的安全防护理念,数据防护从“防漏洞、补漏洞”的应对式转向主动式,聚焦数据全生命周期整体性安全体系建设,将密码功能从“外挂”进化为“内嵌”,推进业务系统与密码能力的深度融合,“以密码技术为核心,多种安全技术相互融合”成为主流技术路径,实现对数据直接有效的保护。
3.2 打造纵深防御的电信数据安全堡垒
在构建安全防御体系的过程中,由于防护规则难以全面覆盖,或在具体实施过程中难免疏漏,或内部人员有天然接触数据的风险,这些都可能导致某个安全节点被突破失效,电信运营商需要考虑如果前一道防御机制失效了,后面一道防御机制如何补上后手,进而打造协同联动的技术体系,实现多层面、全方位、环环相扣的纵深防御。电信运营商可以选取3 个重要维度进行数据安全纵深防御建设。
(1)安全能力维度。如图2 所示,“IPDRR”(识别、防护、检测、响应、恢复)体现了数据保护的前防护、事中检测/响应、事后恢复安全机制,对于电信运营商的数据安全建设,应在数据识别、分类分级以及身份识别的前提下,优先从“防护”环节构建数据安全增强点,实现投资回报率最大化。其中,密码技术发挥了重要价值:在识别方面,密码可以提供身份安全能力,为接口通道实现安全加密;在防护方面,数据加密技术本身就是在开放式信道中,构建了强制的防护措施,并结合身份实现访问控制,同时,密码也能提供身份鉴别、水印追溯能力。
图2 “IPDRR”投资回报率分布
(2)数据形态维度。数据可分为传输态、存储态和使用态,身份鉴别及信任体系则是对数据访问的补充或者前提,基于“数据三态”可延伸出数据全生命周期,并在数据形态的转化中,构建电信运营商“密码安全一体化”的防护体系,密码成为数据多形态转换中的重要防护手段。
(3)技术栈维度。当前,从网络安全到数据安全,防护重点正在从“网关/端点”转向“应用”。区别于传统网络安全防护的“按分区”构建,电信行业数据安全防护思路是“追数据”,针对数据本身在业务应用流转的不同环节,施加安全增强手段,实现安全切面。因此,沿着数据流转路径,基于典型浏览器/服务器模式结构(Browser/Server,B/S)3 层信息系统架构(终端侧、应用侧、基础设施侧),可以在多个数据处理流转点实施适用于技术栈不同层次的数据保护技术。以个人信息保护为例,所有涉及个人信息的文件系统,可以用全磁盘加密技术进行基础性的安全防护,而针对特别重要的个人敏感信息,可再叠加实施应用内加密,从而构建纵深防御。
3.3 探索创新前沿的密码技术应用实践
基于商用密码技术的数据安全纵深防御模式,是构建电信业务系统的重要基础。但在实际应用中,存在特定场景数据安全建设问题,如跨部门、跨层级、跨区域数据安全共享和流动,以及数据作为生产要素特有的问题,如难以从技术上分割使用权和所有权,则需要结合隐私计算、区块链等创新前沿的密码技术,实现数据更安全有效的利用和共享。
隐私计算中有很多融合了密码学的子技术应用,如安全多方计算、同态加密、联邦学习等。面对电信用户数据、隐私信息在业务流动中难以定量描述和准确定位的治理困局,隐私计算可以通过对各方主体个人数据处理行为的中和与计算,量化隐私的安全状态,避免大数据关联分析和深度挖掘过程中可能导致的隐私泄露[8],可实现“原始数据不出域、数据可用不可见”。
区块链是加密技术、分布式网络、智能合约等多种技术集成的新型数据库,具有去中心化、去信任化和防篡改的安全特性,为降低信息系统单点化的风险提供重要思路[9],有望解决电信数据生产要素的信任和安全问题。
当然,隐私计算、区块链等创新前沿的密码技术在电信运营商的应用场景目前仍处于探索阶段,部分典型应用已经在行业内进行试验,但如隐私计算能否彻底解决合规问题,以及区块链的分布式特征与电信运营商的集中化管理的适配等问题,未来仍需进一步探索与检验。
3.4 满足高效低耗的电信数据业务需求
“密码安全一体化”的电信数据保护方案(以下简称“方案”),以免改造应用的方式将数据安全能力嵌入业务环节中,保障业务数据流转全过程安全,兼顾泄密风险与搭建成本、保护效果与业务流畅之间的多重平衡,并针对产业特点引入集中式管控、分布式保护模式,满足了电信行业作为关键基础设施的密评认证合规需求。
3.4.1 高性能国密算法,兼顾业务系统稳定性
通过实现SM 系列算法的高性能,可以使商密算法等效替换国外算法,满足密码应用的合规性要求。经过测试,方案对电信应用系统的性能影响可以控制在5%以内,满足业务系统的需要。
3.4.2 免改造应用增强数据保护
基于免改造应用,方案可实现无须改动电信业务系统代码,增强数据全生命周期的安全,针对数据流转过程中的多个免改造控制点施加保护能力,覆盖结构化和非结构化数据,如图3 所示。
图3 部署模式:统一平台下的多控制点
3.4.3 适应数据流向实施精细安全管控
打造以应用为单元的细粒度保护,方案可根据电信业务数据流向,灵活配置加密、解密、脱敏等安全规则,在复杂数据分析场景下可提供精细的数据流转权限控制。进一步而言,产品模块可以获取当前应用内访问者的身份信息,从而实现“主体到人、客体到字段”的细粒度访问控制,如图4 所示。
图4 “主体到人、客体到字段”的细粒度保护
3.4.4 集中式管控、分布式保护
基于对电信业总部与分支异地的考虑,方案引入批量应用系统的“集中式管控,分布式保护”体系如图5 所示,在总部部署一套统一的数据安全管理平台,负责整体的策略管理和密钥管理,在分支的应用系统中部署客户端,可以实现总部和多级分支的应用系统协同工作,以及自上到下的全层级部署管控,确保数据能够安全流动。
图5 “集中式管控,分布式保护”模式
3.4.5 通过密评认证,落实密码合规
结合电信运营商实际业务需求,方案匹配密钥、加密策略,确保相关密码算法和产品均满足关键基础设施的密评认证合规需求,提供融入业务流程的密码安全能力。
(1)密码应用全面性。关键数据加密存储、重要角色强身份认证登录、超文本传输密通道、数据交换加密、系统配置信息加密(账号口令)等应加密场景。
(2)密钥使用安全性。密钥管理、密码运算所采用的产品或设备具有国密型号证书,包括密钥管理系统、加解密运算设备、数字证书设备、加密卡等。
(3)密码算法合理性。所采用的密码算法或技术经过论证,符合国家密码管理局及行业监管的要求,算法应用正确得当。
4 结 语
电信业数据体量大、价值密度高、涉及范围广,因此数据安全建设乃是重中之重。商用密码作为保障数据安全的核心技术,是防范个人信息与数据安全风险、传递信任的基础支撑。将商用密码技术融入电信业务系统的各环节,打造重要数据和个人信息保护加密机制与防护手段,对于电信业意义重大。电信业务对业务处理实时性、准确性及通信服务的持续性和稳定性需求较高,高性能成为密码应用能力的新焦点。如何在实际应用中,兼顾成本、效率、能耗和时效性,打破高性能商用密码技术应用的瓶颈,将成为电信运营商需要持续研究的课题。