内容目录:
0 引 言
1 密码技术需求分析
1.1 按需分层分类的密码服务
灵魂之语1.2 数据跨域加解密
1.3 灵活的加密策略
1.4 数据脱敏仍可用
abei1.5 兼容已有密码设施
2 政务共享密码支撑体系设计
3 密码技术应用方案
3.1 融合模式的密码体制
3.2 标准的密码服务功能
3.3 专用的密码服务功能
兖矿休闲网络4 结 语
g革命
0 、引 言
针对国家标准GB/T 39477—2020《信息安全技术 政务信息共享 数据安全技术要求》中涉及数据分级分类、数据跨域安全传输、数据访问控制、数据脱敏和数据召回与阻断等数据安全技术要求,提出密码支撑体系设计方案,并就统一密码支撑服务系统中应用的核心密码技术,如IBC标识密码技术、FPE保留格式加密、OPE次序保留加密、数据透明加解密及无介质密码签名运算等密码技术进行介绍,并分析了上述密码技术在政务数据共享交换场景下的实际应用价值和作用。
伴随着国家推进“数字化政府”转型的信息化建设,国家和地方各级电子政务外网、政务云平台、政务数据共享交换平台等关键基础设施陆续建成、贯通并投入使用。在此过程中,数据正在源源不断、常态化、大量的聚集到政务数据共享交换平台或通过共享平台交换,必然对数据安全防护与数据安全治理提出新的要求。
密码技术作为信息安全领域一项重要的数据防护核心技术,能有效解决信息的保密性、完整性以及真实性问题。GB/T 39786—2021《信息安全技术 信息系统密码应用基本要求》、信息安全等级保护2.0等标准都要求使用密码技术为政务信息化建设提供安全可靠的底层安全技术支撑。
1 密码技术需求分析
随着国家标准GB/T 39477—2020《信息安全技术 政务信息共享 数据安全技术要求》(以下简称标准)正式实施,标准在国内首次对政务信息共享中的数据安全提出了具体的技术要求。政务信息共享数据安全技术要求框架如图1所示。
三腔二囊管图1 政务信息共享数据安全技术要求框架
可见,在政务信息共享数据安全技术要求框架中包括的数据存储加密、数据加密、安全传输、身份鉴别及操作抗抵赖、数据防泄漏等安全技术要求基本上可以通过现有的密码技术和常规安全产品方案解决,这里不再赘述。同时,政务信息共享场景下还存在一些复杂的、独特的数据安全技术要求,例如数据分级分类、数据跨域传输、数据访问控制、数据脱敏、数据召回与阻断等,都需要结合政务信息共享场景设计合适的密码技术方案。
1.1 按需分层分类的密码服务
对数据进行安全分级分类是数据安全领域区别于传统信息安全最重要的特征,目前我国的政务信息资源安全分级分类国家标准正在制定中,以下简要介绍美国联邦政府FIPS 199标准定义的信息分级方法及流程。
(1)政府信息分级流程:
①信息系统业务部门将信息系统中包含的信息分类;
②进行信息定级的专用人员(这类人员需经过系统培训)根据标准和规范对信息进行安全分类;
驱逐出境③业务部门根据政府内部系统定级规则和行政令,形成信息安全级别;
④根据给出信息的最高安全级别要求为信息系统进行定级。
(2)政府信息分级规则维护流程:
①业务部门参考不同级别的安全基线和信息的安全要求,综合形成信息系统的基线,报安全评估部门审批;
②安全评估部门审批完成后形成安全防护基线,进行业务系统的安全体系建设、运行维护等。
参照美国政府FIPS 199信息和信息系统的安全分类标准的定义,数据分级分类需要达到三个安全目标,即机密性、完整性和可用性,从而实现防止信息非授权泄露、非授权修改或破坏及确保对信息的实时、可靠访问和使用。基于以上分析,实现数据的分级分类应采用分层加密技术对共享交换数据进行处理,并根据确定数据分级的安全基线匹配加密策略。
1.2 数据跨域加解密
政务信息共享交换平台作为政务信息资源共享的枢纽部署在国家电子政务外网公共区,
为国家各级政府和地方单位提供信息资源目录汇集管理、信息资源共享交换、业务协同应用支撑等服务。政务信息共享交换平台由国家、省级、地市级等多级数据共享交换平台组成,各级共享交换平台横向对接所辖区域政务部门信息资源,纵向实现级联,形成横向联通、纵向贯通的政务数据共享交换体系,如图2所示。
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议