《数据安全实践指南》 数据传输安全实践数据传输加密

数据传输安全实践

• 数据传输安全存在两个过程域分别为数据传输加密和网络可用性管理

数据传输加密

• 数据安全事件频发的阶段主要集中在数据传输阶段，而数据传输加密是保障数据传输安全的主要手段，数据传输加密可以帮助数据在不可信或安全性较低的网络中传输，能够有效防止数据遭到窃取，泄露和篡改。

建立负责数据传输加密的职能部门

• 组织机构需要设立数据加密管理部门，至少指定两名相关人员负责公司整体的数据加密管理和密钥管理，为公司制定整体的数据加密制度和原则。
• 公司需要指定统一的数据加密算法和技术，并推动相关要求切实可靠地执行。
• 公司指定各业务部门中的技术团队负责实现具体场景下的数据传输加密工作，包括但不限于数据传输通道的安全配置，密码算法配置，传输据的完整性检测等。

明确数据传输加密岗位的能力要求

• 具备良好的数据安全风险意识。
• 熟悉国家网络安全法，数据安全法以及组织机构所属行业的政策和监管要求。
• 相关人员需要了解主流的安全通道和可信通道的建设方案，身份鉴别和认证技术，根据实际情况结合公司自身情况选择合适的数据加密方法，数据传输方法，并能设计符合具体业务场景的数据传输安全管理方案。
• 数据传输加密部门的技术人员必须具备良好的执行能力，有能力落实不同数据传输安全建设方案。
• 熟悉组织机构的不同业务场景，在执行数据传输安全建设方案时，能够根据不同业务场景合理地调度自己部门和其他部门的资源。
• 具备良好的团队协作能力以及一定的应急响应能力，遇到紧急突发情况时能够进行 妥善处理并及时向上汇报。

数据传输加密岗位的建设及人员能力的评估方法

• 通过内部审计，外部审计等形式以调研访谈，问卷调查，流程观察，文件调阅，技术检测等多种方式实现。

• 1.调研访谈

  • 数据传输加密阶段的调研访谈，主要包含对数据传输加密部门管理团队和业务部门技术团队人员的访问两个纷纷。
  • 对数据传输加密部门管理团队的访谈内容：
    • 确认其是否能够胜任该项工作。
    • 确认其在数据加密制度制定，数据加密算法选取，加密密钥保存管理的过程中是否遵守相关法律法规。
    • 确认公司是否对该团队提供了足够的资源支持与服务支持。
    • 确认该部门制定的数据加密管理制度是否得到了有效执行。
  • 对公司业务部门技术团队人员的访谈内容：
    • 确认公司中各业务部门的技术团队是否拥有数据传输加密安全建设经验。
    • 是否熟悉常见的数据加密算法及原理和常用的安全通道方案。
    • 是否熟悉业务团队的各项业务。
    • 是否可以根据不同的业务环境实现数据传输加密安全方案，以保证传输通道，传输节点和传输数据的安全。
    • 实际加密过程中，各项流程是否符合国家法律法规的规定。
    • 是否达到了保障组织自身业务数据保密性和完整性要求。
    • 结合数据分类分级内容，为满足组织自身业务数据的保密性和完整性要求，一般需要加密传输的数据通常包括但不限于系统管理数据，鉴别信息，重要业务数据和重要个人隐私等数据。

• 2.问卷调查

  • 对数据传输加密管理部门相关人员的问卷调查：
    • 是否制定了有效的，适用于公司自身情况的数据加密管理制度。
    • 是否建立了数据传输安全管理规范。
    • 是否明确了数据传输安全的要求，例如：传输通道加密方案，数据传输接口安全方案，数据内容加密方案方案，签名验证方案，身份鉴别方案等。
    • 是否建立了密钥管理安全规范和密钥管理系统。
    • 是否定义并监控了密钥的全生命周期，包括生成，分发，存储，更新，备份，销毁等流程。
    • 是否设立了针对加密策略配置和密钥管理人员的监督审核机制，从而确保加密算法的任何配置或变更都是被授权且可溯源的。
  • 针对业务部门技术人员的问卷调查内容：
    • 真实业务环境下，设置不同的加密算法和密钥强度的时候，是否符合真实业务类型和网络现状要求。
    • 是否能有选择地实施加密以避免业务环境造成不必要的影响等。

• 3.流程观察

  • 以中立的视角观察公司数据传输加密管理团队的工作流程：
    • 公司制定统一的数据传输安全制度规范时，方法流程是否符合标准规范。
    • 对数据传输安全的目的要求是否明确。
    • 对数据传输加密的场景要求是否明确。
    • 在建立密钥管理安全规范时，对加密算法的选取，备份和删除是否明确
    • 是否设立了针对密钥管理人员的审核监督机制，以确保密钥的每一次变更都是受监控的，从而确认相关事务的实际执行情况。
  • 以中立的视角观察公司业务部门技术团队的工作流程：
    • 真实业务场景下执行加密操作时，加密流程是否符合规范和标准。
    • 加密类型和密钥强度的选取是否符合业务类型的网络环境的要求。
    • 加密过程是否能够避免对公司的业务造成影响。

• 4.技术检测

  • 数据传输加密阶段的技术检测，需要使用技术工具对传输通道两端的主体进行身份鉴别和认证。
  • 对完成加密传输的数据进行完整性检测。
  • 确认数据在完成传输后其完整性是否遭到了破坏，如果遭到了破坏，那么系统是否具备数据容错或数据恢复控制的能力。
  • 技术检测还需要使用技术工具对数据传输安全策略的变更，已部署的通道安全的配置变更，密码算法的配置变更进行监控和审核。

明确数据传输加密的目的

• 数据加密传输的过程中，需要建立相关的加密措施来保障数据在传输过程中的机密性，完整性和可信任性。

制定数据传输安全管理规范

• 对数据进行传输时，组织机构首先应进行风险评估，评估内容包括数据的重要程度，数据对机密性和完整性的要求，以及其安全属性遭到破坏后可能导致系统受到的影响程度。
• 组织机构应根据风险评估结果采用合理的加密技术，具体加密技术的选择应符合一下规范：
  • 必须符合国家有关加密技术的法律法规。
  • 根据风险评估确定保护级别，并以此确定加密算法的类型和属性，以及所用密钥的从长度。
  • 根据实际情况选择合适的工具，为数据传输安全提供所需的保护。
• 机密和绝密信息的存储和传输时必须加密，加密方式可以分为对称加密和非对称加密两种方式。
• 机密数据和绝密数据在传输过程中必须使用数字签名，以确保信息的不可否认性，使用数字签名时应符合一下规范：
  • 充分保护私钥的机密性，防止窃取者伪造密钥持有人的签名。
  • 采取保护公钥的完整性的安全措施，例如使用公钥证书。
  • 确定签名算法的类型，属性及所用密钥的长度。
  • 用于数字签名的密钥应不同于用来加密内容的密钥。

实施数据安全等级变更审核机制

• 数据信息的安全等级不一定自始至终都是固定不变的，数据信息可以按照一些预定的策略发生改变，如果把安全等级划定得过高，就会增加不必要得数据防护成本，因此数据信息安全等级需要经常变更。
• 数据资产的所有者负责数据信息安全等级变更，改变相应的分类，并告知信息安全负责人进行备案，数据信息的安全等级需要定期进行评审，一旦实际情况允许，就可以对数据的信息安全等级进行递减操作，这样即可降低数据防护的成本，并提高数据访问的便利性。

建立密钥安全管理规范

• 密钥管理对于密码技术的有效使用至关重要，密钥的丢失和泄露可能会损害数据信息的保密性，重要性和完整性。因此组织机构应采取加密技术等措施来有效保护密钥，以免密钥遭到非法修改和破坏，还应对生成，存储和归档保存密钥的设备采取物理保护，此外必须使用经过业务平台部门批准的加密机制进行密钥分发操作，并记录密钥的分发过程，以便审计跟踪，对密钥和证书进行统一管理。

• 密钥管理的流程和说明具体如下：

  • （1）密钥产生
  • 密钥的产生包括为不同的密码系统和不同的应用生成密钥，密钥通常采用人工生成或加密机生成的方式产生，密钥产生的管理应满足一下要求：
    • 1）设立数据密钥管理的岗位和工作人员，监督整个密钥生成过程的规范性。
    • 2）密钥管理员需要审核密钥的长度及复杂程度等是否符合规定。
    • 3）密钥生成过程中，不允许其他无关人员进入操作现场。
  • （2）密钥分发
  • 向目标用户分发密钥，包括在收到密钥时如何将之激活，密钥分发管理应满足以下要求：
    • 1）密钥分发应记录在案，包括密钥接收人，密钥类型，密钥激活过程等。
    • 2）分发密钥时，目标用户需要派专人接收密钥。
    • 3）在密钥分发的过程中，禁止使用明文形式的密钥，同时不允许采用电子邮件，传真，电传，电话等方式直接传递密钥。
    • 4）在密钥激活的过程中，密钥管理员，密钥激活人员，设备操作员等相关人员需要明确各自的工作内容和责任。
    • 5）密钥激活完成后，应按规定进行密钥封存。
  • （3）密钥存取
  • 为当前或近期使用的密钥或备份密钥提供安全存储，包括授权用户如何访问密钥，密钥存取的管理应满足以下要求：
    • 1）密钥管理员需要将密钥存储在能够确保物理安全的设备中，保存期限不低于密钥的生命周期
    • 2）密钥的授权访问应由指定的密钥管理员做好记录，密钥监督员负责监督。
    • 3）密钥应受到严格的权限控制，不同的人员对不同密钥的读，写，更新和使用等操作应具有不同的权限。
    • 4）密钥管理员调离岗位之前，需要妥善办理交接手续。
  • （4）密钥更新
  • 包括密钥的变更时机及变更规则，处置被泄露的密钥，密钥更新管理应满足以下要求。
    • 1）密钥更新应由密钥管理员负责，密钥的更新情况应记录在案。
    • 2）密钥泄露的方式大致可分为非法获取，推测规律，直接穷举三种，一旦遇到密钥泄露，则应立即停止所有相关数据的传输，等待密钥管理员重置密钥，等到重新生成新的密钥之后，再使用新密钥进行数据传输。
    • 3）密钥重置应由密钥管理员负责，密钥泄露与重置的情况应记录在案，包括密钥使用者，泄露密钥类型，发生密钥泄露的时间和方式，密钥泄露造成的损失和补救的措施等。
  • （5）密钥备份
  • 密钥备份可用于防止密钥丢失，密钥备份管理应满足以下要求：
    • 1）对内的密钥可备份在能够确保物理安全的设备中。
    • 2）对公的密钥备份需要由可信赖的机构进行保管。
  • （6）密钥销毁
  • 需要销毁的密钥包括过期密钥，废除密钥，泄露密钥和被攻破密钥，密钥销毁将删除该密钥管理下数据信息客体的所有记录，而且无法恢复，因此在销毁密钥之前，应确认由此密钥保护的数据信息不再被需要，可以直接删除，密钥销毁管理应满足以下要求：
    • 1）密钥的销毁操作需要需要在多人控制下安全销毁，以确保密钥已被真正销毁。
    • 2）采用执行和校验相结合的方法销毁密钥，以确保密钥已被完全销毁，保证密钥无法被恢复。
    • 3）密钥销毁应由密钥管理员监督和负责，密钥资料的销毁情况应记录在案，记录内容应包括销毁的时间，操作员，密钥管理员等要素。

使用技术工具

• 数据从一个节点流向下一个节点的过程就是数据传输的过程，组织的内部和外部每时每刻都在进行数据传输。数据传输过程包含三个要素，分别为传输的数据，传输节点和传输通道。所以，为了保证数据传输过程的安全，就需要对这三个要素进行相应的安全防护，具体如下：
  • 对于传输的数据，应在传输之前先使用加密技术对数据进行加密，如果数据是明文传输，则其将面临巨大的安全风险；
  • 对于传输节点，需要利用身份鉴别技术校验传输节点的身份，从而防止传输节点被伪造；
  • 对于传输通道，需要确保数据传输的通道是加密，可信，可靠的。对这三个部分进行安全防护，可以实现数据传输的机密性，完整性和可信任性。

哈希算法与加密算法

• 数据加密技术是指明文信息经过加密密钥及加密函数转换，变成无意义的，无法直接识别的密文，而接收方则将此密文经过解密函数，解密密钥还原成明文。
• 常见的数据加密技术一般包含对称加密和非对称加密两种，另外还有一种特殊的加密手段，就是哈希，哈希是进行数据加密的手段之一，但是其并不属于加密的范畴，因为加密技术是可逆的，而哈希是不可逆的。
  • 1.哈希算法
    • 哈希(HASH)，也称为散列，杂凑，音译为哈希。
    • 常用的哈希算法有：MD4,MD5,SHA1,SM3等。
  • 2.加密算法
    • 加密算法是可逆的，加密算法主要分为对称加密和非对称加密两种。
    • 常用的对称加密算法：DES,3DES,AES,RC2,RC4,RC5,Blowfish，最常用的是DES,3DES,AES。
    • 非对称加密算法常用的有：RSA,DSA,ECDSA，其中RSA应用最为广泛。
    • DSA（数字签名算法）：是由美国国家标准与技术研究生(NIST)于1991年提出，其与RSA不同的是，DSA只能用于数字签名，而不能用于数据加密解密，其安全性与RSA相当，但其性能要比RSA好。
    • ECDSA（椭圆曲线数字签名算法）：是ECC（椭圆曲线密码学）和DSA结合，相比RSA算法，ECC可以使用更小的密钥，具有更高的效率。

加密传输密钥的认证管理

• 通过数字证书的方式解决中间人攻击，数字证书是由权威机构CA证书授权中心发行，能够提供一种权威性电子文档，用于在网络上进行身份验证，数字证书保证了数据传输过程中的不可抵赖性和不可篡改性。
• 在数据加密传输的过程中，数据证书通常是对密钥进行认证，验证密钥是否是真实合法的传输对象。

构建安全传输通道

• SSL
• TLS
• IPSec

技术工具的使用目标和工作流程

• 密钥管理：能够生成，管理和销毁密钥。
• 数据加解密：为数据发送方提供数据加密功能，为数据接收方提供数据解密功能，并能够提供多种数据加密算法。
• 数字证书：能够在数据收发双方之间生成数字证书，并对证书进行校验。
• 传输协议：支持SSL，TLS，IPSec等多种安全传输协议。
• 数据校验：接收方在接收到数据之后，可以利用有效手段对数据进行完整性和真实校验。