DOSA提出的背景和意義
信息安全關乎國家安全、社會穩定、企業利益和個人隱私。
在“網際網路+”時代,雲計算、移動網際網路、大數據、物聯網的廣泛套用,數據急劇擴張,人們對數據的依賴程度越來越高,由於數據集中存放、網路安全漏洞、數據越權訪問等現象,使信息安全問題愈發突出,急需要有一種新的安全體系結構來應對這些問題。
(1)現有信息安全體系是建立在相對封閉的網路環境下的。
通常一個安全的信息系統或套用體系,要建立在一個相對封閉和安全的環境中,通過各種方式來保證這個封閉環境是安全的或可信的。因此,目前的信息安全,更加強調的是網路安全、系統安全、環境安全和套用安全。
雖然和外部交換信息時是通過數據加密或VPN通道來傳輸數據,但在這個相對“安全”的內部環境裡,大多數數據卻是處於“裸露”狀態的。一旦有不速之客通過各種漏洞或非法獲得許可權進入到這個環境,“裸露”的數據就面臨著極大的危險。
一些數據中心所涉及的數據安全,多是指利用數據備份、數據災備等技術來保障數據不丟失,但仍存在著越權訪問等危險行為,造成數據和信息泄露的隱患。
(2)在“網際網路+”時代我們面臨著開放環境下的信息安全問題。
我國政府提出的“網際網路+”行動計畫,要將移動網際網路、雲計算、大數據、物聯網等作為我國新時期經濟發展的重要推力,信息系統或套用體系所面臨的環境更為開放,對數據和信息安全的要求更高。原來按照相對封閉環境下的安全舉措將遇到極大的困難,不能滿足新時代信息安全的要求,也給信息安全體系結構等帶來了嚴峻的挑戰。
開放環境下怎么解決信息安全問題?
2012年,美國一些知名的數據管理領域的專家學者聯合發布白皮書“Challenges and Opportunities with BigData”,提出數據安全及系統架構問題的挑戰。
在開放環境下,除了網路安全和系統安全保障之外,還需要在安全的體系結構和安全的數據保護機制等方面有相應的舉措。
信息安全的核心就是數據的安全,開展面向數據和以數據為核心的數據安全體系研究是十分必要的。
目前,國內雖然有人對“面向數據的安全模型”進行過研究,但也只是在無線感測網路上的套用,還沒有人從面向數據的安全體系結構上開展研究。
(3)面向數據的安全體系結構是開放環境下的信息安全體系結構。
我們提出,面向數據的安全體系結構(DOSA,Data-Oriented Security Architecture),是在面向數據的體系結構(DOA,Data-OrientedArchitecture)基礎之上,是面向數據和以數據為核心的關於數據的安全體系結構,構建起從數據保護到授權套用的整套機制。
DOSA建立在雲計算基礎之上,以數據“天生加密、授權使用”為原則,對數據的屬性進行註冊和管理,包括數據的安全屬性、身份屬性、時間屬性、空間屬性等,明確數據擁有者身份,包括數據的主人(數據權人)、朋友(被授權人)、陌生人(未授權人)和敵人(不授權人)。數據具有自保護功能,“穿戴盔甲”,以加密方式呈現,具有不同的加密級別和深度。數據的使用要經過授權。數據是獨立於系統的,數據是套用的基礎,不依賴於特定的硬體環境和軟體環境,同一數據可以支撐不同的套用。
DOSA應包括數據許可權中心(DAC,Data Authority Center),數據註冊中心(DRC,Data Register Center),數據異常控制中心(DEC,Data Exception Control Center)和數據套用單元(DAUs,Data Application Units),來實現數據的統一登記、保護、授權管理和為套用提供服務。
數據許可權中心(DAC),是DOSA的核心部件,對數據的安全存儲、傳輸及套用授權進行管理。對數據實行“天生加密、授權使用”的機制,通過對數據的加解密和授權管理,使得數據在生成、存儲和傳輸時是不可訪問和使用的,而經過授權的用戶在訪問數據或通過套用使用數據時,是解密和透明的,即授權用戶感覺不到數據的加密和解密過程。為便於管理,將數據分成存儲和傳輸時保持加密的“數據態”和在套用中授權使用時解密的“套用態”。數據只有在“套用態”時是處於解密狀態,一旦完成套用或離開了套用環境,或是由套用產生了新的數據,數據應立即“變”為加密的“數據態”,充分保證數據的安全及使用的授權。“數據態”的數據,既適合於封閉環境,也適合於開放環境,而“套用態”的數據,僅適合於“封閉”環境。數據的訪問和套用是基於授權的,特定的訪問者,特定的場合(環境),特定的時間(時段),數據的使用和用戶適合於網路安全的授權、認證和計帳(AAA,Authorization,Authentication,Accounting)機制。
數據註冊中心(DRC),是DOSA的關鍵部件,註冊有關數據的各種信息,包括安全屬性信息,通過它來構建邏輯的數據資源池,並管理數據和提供數據服務。
數據異常控制中心(DEC),是DOSA的重要部件,對數據資源進行自適應管理,保證數據的唯一性和一致性。
數據套用單元(DAUs),是DOSA的關鍵部件,關聯套用對數據的訪問,對各種套用提供支持。
DOSA作為一種數據安全理念和機制,就是要保證數據能夠在數據和套用兩個層面中都能做到安全、可靠以及便於管理和使用,既可以在傳統的封閉環境下套用,增強數據的安全保護,又可以在開放環境下保護數據的安全和不被越權訪問。
目前有關信息安全、數據安全的理論和方法體系,有關網路授權、認證和計帳的AAA技術,有關CA技術、PKI技術、密鑰體系、加解密技術,有關可信技術,以及不斷發展的網路空間安全技術、系統安全技術、套用環境安全技術等,都能在DOSA框架下使用,但需要進一步從面向數據和以數據為核心的角度,進行重新梳理,從數據安全的理念、理論、方法和受保護數據的套用機制等方面,進行適應性和深入地研究,為進一步提高信息安全提供保障。
DOSA的主要內容
面向數據的安全體系結構(DOSA)旨在從架構角度對未來的數據安全體系進行全方位設計,包括數據的管理和套用等。主要內容如下:
(1)體系結構機制及組成
包括:開放環境下數據安全的基本理論;面向數據的安全體系結構的基本原則;面向數據的安全體系結構基本構成;等。
(2)數據屬性
包括:數據固有安全屬性;數據安全信息規範;數據狀態定義及轉換機制;等。
(3)數據許可權
包括:數據訪問控制許可權及管理機制;數據合法性鑑定;數據許可權中心的作用和運作機制;等。
(4)數據註冊
包括:數據屬性及數據安全信息的註冊;數據註冊方法;動態數據自動註冊機制;數據註冊信息與數據授權管理的關在線上制;數據使用記錄及其溯源機制;等。
(5)數據授權
包括:用戶認證機制及證書授權(CA,Certificate Authority)技術;用戶身份與數據授權許可權管理;數據授權機制及與公共密鑰基礎設施(PKI,Public Key Infrastructure)關係;計帳機制;多級授權及認證機制;單個數據與批量數據或大數據量授權機制;等。
(6)數據加解密
包括:密鑰體系;動態數據自動加密機制;數據授權自動解密機制;數據透明加解密策略和算法;加解密效率與安全性及授權過程的妥協關係;等。
(7)數據套用環境
包括:傳統數據傳輸加密技術適應性;套用環境安全保障;數據非法使用識別及數字水印技術;數據權人利益保障技術支持;數據權人權利和智慧財產權相關問題;等。
DOSA擬解決的關鍵科學問題
(1)“網際網路+”時代下安全體系結構問題
“網際網路+”時代伴隨著移動網際網路、雲計算、大數據、物聯網技術的全面套用。在這更為開放的環境下,信息安全問題愈發突出,面臨著更加嚴峻的挑戰。雖然傳統的信息安全體系結構有著各種各樣的解決方法和技術,但都有著不足和難度。迫切需要有一種全新的視角和切入點去應對“網際網路+”時代所面臨的安全挑戰。
(2)面向數據的安全體系結構對信息安全的貢獻問題
面向數據的安全體系結構能否應對信息安全所面臨的主要問題?能否從機制、方法、技術上做到數據的“天生加密、授權使用”並滿足性能要求?
創新點
(1)提出了一種面向數據的安全體系結構(DOSA),是面向數據和以數據為核心的安全套用系統的構建機制。
(2)提出了一種建立在雲計算環境之上的DOSA平台構建方法。
DOSA的目標
建立起面向數據的安全體系結構的原型系統和實現平台,為構建以數據為核心的安全套用系統提供解決方案。
依照信息安全的實現目標,採用DOSA預期取得的效果對比如表1所示。
表1:信息安全的實現目標
目標 | 要求 | DOSA實現 |
真實性 | 對信息的來源進行判斷,能對偽造來源的信息予以鑑別。 | 通過對DRC的數據註冊信息進行管理和判斷,提供了一種數據真實性管理的機制。 |
保密性 | 保證機密信息不被竊聽,或竊聽者不能了解信息的真實含義。 | 數據天生加密,不論在存儲時還是傳輸時都是加密狀態,只在授權套用時解密,最大限度保護數據安全。 |
完整性 | 保證數據的一致性,防止數據被非法用戶篡改。 | 通過DEC保證數據的一致性。 |
可用性 | 保證合法用戶對信息和資源的使用不會被不正當地拒絕。 | DAC對合法用戶授權,通過授權機制保證數據合法使用。 |
不可抵賴性 | 建立有效的責任機制,防止用戶否認其行為,這一點在電子商務中是極其重要的。 | DAC提供數據授權和使用的記錄及溯源機制。 |
可控制性 | 對信息的傳播及內容具有控制能力。 | 通過DAUs可以實現控制信息內容的App。 |
可審查性 | 對出現的網路安全問題提供調查的依據和手段。 | DAC提供數據授權和使用的記錄和溯源機制。 |
依照信息安全所面臨的威脅,採用DOSA的解決方案對比如表2所示。
表2:信息安全的威脅
威脅 | 含義 | DOSA解決方案 |
信息泄露 | 信息被泄露或透露給某個非授權的實體。 | DOSA下數據天生加密,已經大大減少數據在存儲和傳輸時的泄露可能。數據有可能在使用中存在泄露危險,需要建立安全的套用環境。 |
破壞信息的完整性 | 數據被非授權地進行增刪、修改或破壞而受到損失。 | DOSA下數據只有被授權時才能使用。DEC保證數據的完整性、唯一性和一致性。 |
拒絕服務 | 對信息或其他資源的合法訪問被無條件地阻止。 | 這是DOSA下的套用環境問題,需要保障套用環境的安全。 |
非法使用(非授權訪問) | 某一資源被某個非授權的人,或以非授權的方式使用。 | 在數據沒有加密的情況下,這種情況極易發生。在DOSA下,數據天生加密,只有授權用戶才能訪問數據,極大地避免了數據非法使用的機會。 |
竊聽 | 用各種可能的合法或非法的手段竊取系統中的信息資源和敏感信息。例如對通信線路中傳輸的信號搭線監聽,或者利用通信設備在工作過程中產生的電磁泄露截取有用信息等。 | 這是DOSA下的套用環境問題,在套用過程中應保證環境的安全,防止在套用過程中使已解密的數據被竊走。 |
業務流分析 | 通過對系統進行長期監聽,利用統計分析方法對諸如通信頻度、通信的信息流向、通信總量的變化等參數進行研究,從中發現有價值的信息和規律。 | DOSA暫時不能對此進行防範。 |
假冒 | 通過欺騙通信系統(或用戶)達到非法用戶冒充成為合法用戶,或者特權小的用戶冒充成為特權大的用戶的目的。黑客大多是採用假冒攻擊。 | DOSA暫時不能對此進行防範。可以在DRC和DAC記錄中對此行為進行識別。 |
旁路控制 | 攻擊者利用系統的安全缺陷或安全性上的脆弱之處獲得非授權的權利或特權。例如,攻擊者通過各種攻擊手段發現原本應保密,但是卻又暴露出來的一些系統“特性”,利用這些“特性”,攻擊者可以繞過防線守衛者侵入系統的內部。 | DOSA暫時不能對此進行防範。 |
授權侵犯 | 被授權以某一目的使用某一系統或資源的某個人,卻將此許可權用於其他非授權的目的,也稱作“內部攻擊”。 | 在DOSA下所有授權都是針對數據授權,通過使用系統功能的此類授權不易實現。 |
特洛伊木馬 | 軟體中含有一個覺察不出的有害的程式段,當它被執行時,會破壞用戶的安全。這種應用程式稱為特洛伊木馬(TrojanHorse)。 | DOSA暫時不能對此進行防範。 |
陷阱門 | 在某個系統或某個部件中設定的“機關”,使得在特定的數據輸入時,允許違反安全策略。 | DOSA暫時不能對此進行防範。 |
抵賴 | 這是一種來自用戶的攻擊,比如:否認自己曾經發布過的某條訊息、偽造一份對方來信等。 | DOSA的DRC提供數據產生自動註冊機制及溯源機制。 |
重放 | 出於非法目的,將所截獲的某次合法的通信數據進行拷貝,而重新傳送。 | DOSA下數據存儲和傳輸都是加密的,而加密的數據只針對被授權用戶使用。這裡重放的數據是沒有意義的。 |
計算機病毒 | 一種在計算機系統運行過程中能夠實現傳染和侵害功能的程式。 | DOSA暫時不能對此進行防範。 |
人員不慎 | 一個授權的人為了某種利益,或由於粗心,將信息泄露給一個非授權的人。 | DOSA下即使將數據傳給了非授權人,也無法使用。除非由於不慎對非授權人進行了授權。 |
媒體廢棄 | 信息被從廢棄的磁碟或列印過的存儲介質中獲得。 | DOSA下數據離開套用環境又自動加密(天生加密),因此廢棄設備中的數據也應是加密的,除非是套用環境遭到破壞而泄露的數據。 |
物理侵入 | 侵入者繞過物理控制而獲得對系統的訪問。 | 侵入者能對系統進行訪問,但由於身份不能確定或無法獲得授權,因此無法獲得解密數據。 |
竊取 | 重要的安全物品,如令牌或身份卡被盜。 | DOSA無法防範竊取,但有可能記錄和溯源,或在授權過程中通過輔助信息識別竊賊。 |
業務欺騙 | 某一偽系統或系統部件欺騙合法的用戶或系統自願地放棄敏感信息等。 | 以業務為核心的系統容易讓業務欺騙得逞。但DOSA以數據為核心,即使有業務欺騙,但還是需要身份認證和數據使用授權。除非認證和授權已綁定在業務系統中並被欺騙使用。 |