2019年8月30日，《資訊保安技術資料安全能力成熟度模型》（GB/T 37988-2019）簡稱DSMM（Data Security Maturity Model）正式成為國標對外發布，並已於2020年3月起正式實施。

DSMM將資料按照其生命週期分階段採用不同的能力評估等級，分為資料採集安全、資料傳輸安全、資料儲存安全、資料處理安全、資料交換安全、資料銷燬安全六個階段。DSMM從組織建設、制度流程、技術工具、人員能力四個安全能力維度的建設進行綜合考量。DSMM將資料安全成熟度劃分成了1-5個等級，依次為非正式執行級、計劃跟蹤級、充分定義級、量化控制級、持續最佳化級，形成一個三維立體模型，全方面對資料安全進行能力建設。

資料分級分類三維立體模型

在此基礎上，DSMM將上述6個生命週期進一步細分，劃分出30個過程域。這30個過程域分別分佈在資料生命週期的6個階段，部分過程域貫穿於整個資料生命週期。

資料生命週期安全過程

隨著《中華人民共和國資料安全法(草案)》的公佈，後續DSMM很可能會成為該法案的具體落地標準和衡量指標，對於中國企業而言，以DSMM為資料安全治理思路方案選型，可以更好的實現資料安全治理的制度合規。

本系列文將以DSMM資料安全治理思路為依託，針對上述各過程域，基於充分定義級視角（3級），提供資料安全建設實踐建議，本文作為本系列第三篇文章，將介紹資料採集安全階段的資料來源鑑別及記錄過程域（PA03）。

一、定義

資料來源鑑別及記錄，DSMM官方描述定義為對產生資料的資料來源進行身份鑑別和記錄,防止資料仿冒和資料偽造。

DSMM標準在充分定義級對資料來源鑑別及記錄要求如下：

組織建設

應由業務團隊相關人員負責對資料來源進行鑑別和記錄。

制度流程

應明確資料來源管理的制度，對組織採集的資料來源進行鑑別和記錄。

技術工具

1）組織應採取技術手段對外部收集的資料和資料來源進行識別和記錄；

2）應對關鍵追溯資料進行備份，並採取技術手段對追溯資料進行安全保護。

人員能力

負責該項工作的人員應理解資料來源鑑別標準和組織內部資料採集的業務，能夠結合實際情況執行。

二、實踐指南

組織建設

組織機構在條件允許的情況下應該設立專門的資料來源鑑別團隊或人員，該團隊或人員負責對資料來源進行鑑別、記錄和追溯，檢測資料是否被仿冒、偽造，同時為組織機構提供統一的資料來源管理策略和方案，此做法的好處在於能夠做到專人專職，能夠制定更為有效、客觀的資料來源管理策略方案。如果公司條件有限，則可以將此崗位的工作內容交由業務團隊的相關人員負責，此做法的好處在於能夠提供更為貼切真實業務場景的資料來源鑑別服務。

人員能力

針對該項工作的相關人員，需要熟悉國家網路安全法律法規以及組織機構所屬行業的政策和監管要求，在資料來源鑑別的過程中嚴格遵守《中華人民共和國資料安全法》中的規定，同時還需要相關人員具備良好的資料安全風險意識和資料安全應急響應能力，在資料來源鑑別的過程中突發的任何資料安全問題，都能夠準確快速的判斷並進行應急處置，最後還需要相關人員熟悉組織機構的業務場景和資料特性，理解資料來源鑑別標準並能夠與實際的業務場景結合執行。

落地執行性確認

針對資料來源鑑別及記錄崗位的人員能力的實際落地執行性確認，可透過內部審計、外部審計等形式以調研訪談、問卷調查、流程觀察、檔案調閱、技術檢測等多種方式實現。

制度流程

1）採集來源管理

採集來源管理的目的是確保採集資料的資料來源是安全可信的，確保採集物件是可靠的，沒有假冒物件。採集來源管理可透過資料來源可信驗證技術實現，包括可信認證（PKI數字證照體系，針對資料傳輸）以及身份認證技術（指紋等生物識別，針對關鍵業務資料修改操作）等。

❖ PKI數字證照

PKI（Public Key Infrastructure，即公鑰基礎設施），是透過使用公鑰技術和數字證照來提供系統資訊保安服務，並負責驗證數字證照持有者身份的一種體系。PKI技術是資訊保安技術的核心。PKI保證了通訊資料的私密性、完整性、不可否認性和源認證性。

❖ 身份認證技術

身份認證是指在計算機及計算機網路系統中確認操作者身份的過程，從而確定該操作者是否具有對某種資源的訪問和使用許可權，進而使計算機和網路系統的訪問策略能夠可靠、有效地執行，防止攻擊者假冒合法使用者獲得資源的訪問許可權，保證系統和資料的安全，以及授權訪問者的合法利益。

目前身份認證的主要手段：

❖ 靜態密碼：使用者的密碼是由使用者自己設定的。在網路登入時輸入正確的密碼，計算機就認為操作者就是合法使用者。靜態密碼機制無論是使用還是部署都非常簡單，但從安全性上講，使用者名稱/密碼方式一種是不安全的身份認證方式。

❖ 智慧卡：智慧卡認證是透過智慧卡硬體的不可複製來保證使用者身份不會被仿冒。

❖ 簡訊密碼：身份認證系統以簡訊形式傳送隨機的6位動態密碼到使用者的手機上。使用者在登入或者交易認證時候輸入此動態密碼，從而確保系統身份認證的安全性。

❖ 動態口令：動態口令是應用最廣的一種身份識別方式，一般是長度為5-8的字串，由數字、字母、特殊字元、控制字元等組成。

❖ USB KEY：USBKey是一種USB介面的硬體裝置。它內建微控制器或智慧卡晶片，有一定的儲存空間，可以儲存使用者的私鑰以及數字證照，利用USB Key內建的公鑰演算法實現對使用者身份的認證。由於使用者私鑰儲存在密碼鎖中，理論上使用任何方式都無法讀取，因此保證了使用者認證的安全性。

❖ 生物識別：生物特徵識別技術是指透過計算機利用人類自身的生理或行為特徵進行身份認定的一種技術。生物特徵的特點是人各有異、終生(幾乎)不變、隨身攜帶，這些身體特徵包括指紋、虹膜、掌紋、面相、聲音、視網膜和DNA等人體的生理特徵,以及簽名的動作、行走的步態、擊打鍵盤的力度等行為特徵。指紋識別技術相對成熟,是一種較為理想的生物認證技術。

❖ 雙因素：所謂雙因素就是將兩種認證方法結合起來，進一步加強認證的安全性。

2）資料溯源方法

目前資料溯源的主要方法有標註法和反向查詢法，下文技術工具將進行介紹。

❖ 資料溯源記錄

針對採集的資料在資料生命週期過程中進行資料溯源記錄，把資料流路徑上的每次變化情況保留日誌記錄，保證結果的可追溯，以及資料的恢復、重播、審計和評估等功能。

❖ 資料來源鑑別及記錄安全策略

組織開展資料來源鑑別及記錄活動的過程中應遵循如下基本要求，防止資料仿冒和偽造：

①設立負責資料來源鑑別和記錄的崗位和人員

②明確資料來源管理制度，對採集的資料來源進行鑑別和記錄；

③採取技術手段對外部收集的資料和資料來源進行識別和記錄；

④對關鍵溯源資料進行備份，並採取技術手段對溯源資料進行安全保護；

⑤確保負責該項工作的人員理解資料來源鑑別標準和組織內部的資料採集業務，並結合實際情況執行標準要求；

⑥制定資料來源管理的制度規範，定義資料溯源安全策略和溯源資料格式等規範，明確提出對資料來源進行鑑別和記錄的要求；

⑦透過身份鑑別、資料來源認證等安全機制確保資料來源的真實性。

技術工具簡述

在資料安全能力成熟度模型，對於資料來源鑑別及記錄的描述是：對產生資料的資料來源進行身份鑑別和記錄，防止資料仿冒和資料偽造。這段描述的核心就是溯源，保證資料可以被安全地溯源。所以資料來源鑑別和記錄的技術工具需要有兩方面的能力，一方面是資料溯源的能力，另一方面是安全的能力。安全能力要求保證資料溯源過程中的傳輸、執行、儲存等方面的安全保護。

1）資料溯源技術

目前，資料溯源追蹤的主要方法有標註法和反向查詢法。

❖ 標註法是一種簡單且有效的資料溯源方法，使用非常廣泛。透過記錄處理相關的資訊來追溯資料的歷史狀態，即用標註的方式來記錄原始資料的一些重要資訊，如背景、作者、時間、出處等，並讓標註和資料一起傳播，透過檢視目標資料的標註來獲得資料的溯源。採用標註法來進行資料溯源雖然簡單，但儲存標註資訊需要額外的儲存空間。

❖ 由於標註法並不適合細粒度資料，特別是大資料集中的資料溯源，於是，逆置函式反向查詢法就誕生了。此方法是透過逆向查詢或構造逆向函式對查詢求逆，或者說根據轉換過程反向推導，由結果追溯到原資料的過程。這種方法是在需要時才計算所以又叫lazzy方法。反向查詢法關鍵是要構造出逆向函式，逆向函式構造的好與壞直接影響查詢的效果以及演算法的效能，與標註法相比，它比較複雜，但需要的儲存空間比標註法要小。這種模型由獲取資訊、資訊儲存、異構資料處理三個部分組成。

資訊獲取 ：資訊獲取的原理和過程可以以資料庫中的層次結構為例。如下圖所示，在每個資料庫中都具有資料庫所有者、資料庫、資料表、資料表欄位、資料這幾層結構，如果想對一個資料庫進行詳細而完整的溯源，那就需要將這個資料庫的所有者、所有庫、所有庫的表、所有表的欄位的7W資訊（who、when、where、how、which、what、why）進行記錄，並將這些記錄與資料庫資料儲存在資料庫中以供查詢。

欄位的7W資訊

資訊儲存 ：一種是基於RDBMS儲存方案，此方案是基於關係型資料，透過擴充屬性的方式來儲存溯源資訊，即將溯源資訊直接儲存在關聯式資料庫的二維表中。另一種是基於樹形文件儲存方案，樹形儲存方案是將元組、樹形、溯源資訊作為樹的節點來儲存，對於帶有標註的源資料需要在原樹型結構中增加一個子結點用來表示資訊的來源。並對每個帶標註的源資料都需新增一個href屬性，將其連結到源資料結點。要實現資料溯源，溯源資訊的儲存非常關鍵。因為溯源資訊需要儲存空間來儲存，儲存方式對資料溯源的效能起著關鍵性的作用。

異構資料處理 ：隨著時間的推移和應用的需要，將產生各種各樣的資料來源，如mysql、 、sqlserver等。應用程式想要操作不同型別的資料庫只需要呼叫資料庫訪問介面，如odbc、jdbc等支援的函式，動態連結到驅動程式上即可。再透過資料轉換工具形成統一的目標資料庫，資料溯源資訊透過這種途徑就能傳遞到目標資料庫中。

下圖為異構資料溯源模型圖：

異構資料溯源模型

2）資料溯源安全技術

保護溯源資訊的意義在於防止溯源資訊被破壞、篡改等造成惡意後果的行為，一旦溯源依賴的關鍵資料被破壞或者篡改，那麼資料溯源工作將無法進行，或者是得到一個錯誤的溯源結果。

為了防止資訊被破壞之後無法恢復，需要採用自動備份工具自動定時對溯源關鍵資訊進行全量備份，並且備份資料需要是多地、異地備份。另外溯源關鍵資訊的備份應與原有資料的備份分開進行，互相獨立。

除了備份之外，保證資料以及備份資料不被篡改也是資料溯源安全工作的另一大重點。防止資料被篡改的技術目前已經相對成熟。主要可透過加密、數字證照、數字簽名等手段實現對資料的機密性、完整性的保護。在資料來源鑑別和記錄作業的過程中，應該是全過程加密的，並採用雙向對端校驗簽名的機制保證作業過程中的資料未被破壞和篡改。在儲存溯源關鍵資訊也要進行加密。

在資料溯源模型中也有一種資料溯源安全模型，就是為了防止有人惡意篡改資料溯源中起源鏈的相關資訊。利用金鑰樹再生成的方法並引入時間戳引數，有效地防止某人篡改溯源鏈中的溯源記錄，對資料物件在生命週期內修改行為的記錄按時間先後組成溯源鏈，用文件來記錄資料的修改行為，當進行各種操作時，文件隨著資料的演變而更新其內容，透過對文件新增一些無法修改的引數比如：時間戳、加密金鑰、校驗和等來限制操作許可權，保護溯源鏈的安全。

受限於篇幅，此處技術工具不進行進一步展開，下圖為資料來源鑑別及記錄的技術工具進行資料來源鑑別及記錄作業的基本流程圖。

基本流程圖