本文来自微信公众号“安全牛”,作者/明朝万达。
治理背景
随着公安大数据战略的全面实施,公安部以及各省级、市级公安机关陆续建设了公安大数据平台。一方面,平台汇集了公安内外部各警种、部门、行业的数据资源,经过对数据的融合处理和应用,有力地支撑了公安机关维护国家安全、打击犯罪、治安防范、行政管理、服务群众等警务工作,极大地提高了公安机关的警务工作效率和社会治理能力。另一方面,由于公安大数据涉及各类公安警务数据、公民的个人基本信息数据、行为轨迹数据等敏感数据,这些敏感数据一旦外泄甚至被恶意利用,将严重侵犯公民隐私,损坏政府的公信力,造成极其恶劣的社会影响。
因此,在充分挖掘、利用公安大数据价值的同时,如何在《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》、《关键信息基础设施安全保护条例》等法律法规的指导下,采用先进有效的数据安全关键技术开展公安大数据安全治理工作,筑牢公安大数据安全底线,是当前各级公安机关在建设“数据警务、智慧公安”过程中亟需解决的问题。
治理挑战
❖
公安大数据自动分类分级工具
公安大数据的数据来源涵盖公安内部各警种的业务数据、政府部门数据、互联网数据、物联网数据、社会数据等多种来源。这些数据汇聚后往往达到PB级的存储级别,面对公安大数据平台中海量的结构化数据和非结构化数据,无论是按照数据字段类型还是按照数据的结构类型亦或是按照数据的业务属性类型来对海量数据进行分类分级,都需要依托自动化的分类分级工具来探明公安大数据平台中究竟有哪些重要的敏感数据,这些敏感数据资产由哪些系统生成和存储在哪,都由哪些人员、设备、业务系统访问和使用。只有通过自动化的数据分类分级工具在事前探明数据资产并形成敏感数据资产目录,了解清楚敏感数据资产的流动和访问情况,才能为之后的敏感数据资产静态安全存储、动态安全访问控制和监控、数据审计与溯源奠定基础。
❖
公安大数据访问过程的安全控制
当前,各地公安机关在开展公安大数据智能化建设过程中,需要按照《GB/T 22239-2019信息安全技术网络安全等级保护基本要求》、《GA/DSJ 300-2019公安大数据安全总体技术框架》、《GA DSJ 350-2020公安大数据安全安全访问与数据交换技术设计要求》等来加强对数据资源的安全访问控制,而落实这些要求除了需要身份认证、权限管理等措施外,还需要采用访问认证代理、数据脱敏、数据水印等关键技术来实现对公安大数据访问过程的安全控制。
❖
公安大数据访问和使用的安全审计
对公安用户、业务系统开发人员、测试人员、运维人员等各种角色人员访问和操作数据资源的行为,需要在事后根据审计规则和审计策略,审计敏感数据的流转和安全访问行为是否合规,对越权访问、异常访问等审计信息进行风险识别、问题溯源、关联分析、形成多维度报告,实现公安大数据访问和使用的事后安全审计,做到数据安全的闭环管控。
关键技术
明朝万达研究认为,公安行业的用户组织在有效应对数据安全风险和挑战时,可以依托数据自动分类分级、数据加密、访问认证代理、数据脱敏、数据水印、数据安全审计等关键技术。
❖
公安大数据自动分类分级
将公安数据分类分级模板内置于自动分类分级工具中,引入自然语言处理、特征分析、机器学习等技术,实现数据准确识别和自动化处理,从而大幅缩短数据分类分级的建设周期。
针对公安大数据平台中海量的关系型数据库数据,以及文档、图片、视频等非结构化数据,可主动到指定数据源位置扫描数据样本,经过分析和梳理后形成敏感数据资产目录,包括数据源位置,敏感等级,敏感分类,敏感类型等,为后续的数据加密存储、动态安全访问控制和监控、数据审计与溯源等措施的实施奠定基础。
❖
数据加密
1、数据库加密
通过使用自动化数据分类分级工具即可确定敏感结构化数据资产静态存储位置,利用数据库透明加解密技术实现数据的加密存储,做到应用的透明无感知,加密支持国密算法。
2、文件加密
对于非结构化的敏感数据文件,首先在存储层面采用加密方式实现加密存储。其次,结合访问权限控制、文件使用审批和水印技术,实现非结构化数据的访问控制和溯源。
❖
访问认证代理
数据访问保护采用虚拟数据源模式,数据访问者使用的是虚拟账号和口令,不对外暴露实际的数据源的账号和口令,访问者无法直接访问数据源。公安大数据平台中真实的数据源隐藏在虚拟数据源后边,由访问控制服务采用代理方式访问真实的数据源,代理访问使用真实的账号和口令,对于数据访问者来说透明无感知。
❖
数据脱敏
1、动态脱敏
通过访问代理技术,实现敏感数据的动态访问控制。根据不同数据的使用场景,可采用不同的数据脱敏方式。对于身份证号等涉及公民个人信息的数据,可采用掩码屏蔽的脱敏方式,比如保留身份证的前几位不涉及个人识别特征的数字,其余用*代替。对于姓名、联系方式等内容,可采用数据替换的脱敏方式,即通过设置一个常数可将所有数据进行替换,将所有手机号用虚拟手机号进行替换。
2、静态脱敏
数据静态脱敏主要在于提供生产系统的数据给开发测试、数据分析、共享数据等场景。脱敏后数据可高保真,同时实现脱敏后数据业务关联一致性,确保脱敏后数据高可用。
❖
数据水印
当通过公安网的政务信息共享服务平台将数据共享至第三方时,共享出去的数据将失去公安网的控制,共享的数据万一发生泄露,可通过数据水印技术,实现事后溯源和追责。增加了水印的数据,溯源时可利用最后的数据样本,提取之前添加的水印信息,做到数据样本的溯源追踪,从而确定数据泄露的环节。
❖
数据安全审计
1、通过在公安大数据平台的数据库服务器或文件服务器等数据源上部署数据探针,采集相应的数据流量。
2、解析数据源的网络包通信协议,进而解析对应的数据包协议,根据源IP、目的IP、源端口、目的端口、通信协议等5元组信息,获取详细数据访问信息,包括数据操作信息和数据返回信息。
3、根据数据安全审计规则和审计策略,审计敏感数据的流转和安全访问行为,结合UEBA技术,从账号、访问源IP地址、MAC地址、身份认证结果信息、正常访问时间段、单IP访问数据频次、访问权限等多维度分析实时访问行为,对异常的数据访问行为进行判定,阻断异常访问行为并形成告警信息和记录。
4、对审计信息进行风险识别、问题溯源、关联分析,形成多维度数据安全审计报告,实现数据安全的事后安全审计。
结语
针对公安大数据安全治理,明朝万达认为:
首先,要通过自动化的数据分类分级工具探明公安大数据平台中的敏感数据资产对象,在此基础上针对静态敏感数据进行加密,实现数据的加密存储保护;
其次,针对敏感数据访问,通过数据访问认证代理,将公安大数据平台中真实的数据源隐藏在虚拟数据源后边,由访问控制服务采用代理方式来访问真实的数据源,降低了对真实数据源的访问安全风险;
再次,通过对敏感数据进行脱敏使用,既保证了敏感数据在使用时的业务关联一致性,又确保了敏感数据不泄露;
然后,通过对敏感数据添加水印,实现共享数据遭到泄露后能够溯源;
最后,审计敏感数据的流转和安全访问行为是否合规,对越权访问、异常访问等审计信息进行风险识别、问题溯源、关联分析、形成多维度报告,实现公安大数据访问和使用的事后安全审计,做到数据安全的闭环管控。