《資訊保安技術 資料安全能力成熟度模型》（GB/T 37988-2019）簡稱DSMM（Data Security Maturity Model）正式成為國標對外發布，並已於2020年3月起正式實施。美創科技將以DSMM資料安全治理思路為依託，針對各過程域，基於充分定義級視角（3級），提供資料安全建設實踐建議，形成系列文章。本文作為本系列第五篇文章，將介紹通用安全過程域的資料供應鏈安全過程域（PA05）。 

隨著《中華人民共和國資料安全法(草案)》的公佈，後續DSMM很可能會成為該法案的具體落地標準和衡量指標，對於中國企業而言，以DSMM為資料安全治理思路方案選型，可以更好的實現資料安全治理的制度合規。

DSMM將6個生命週期進一步細分，劃分出30個過程域。這30個過程域分別分佈在資料生命週期的6個階段，部分過程域貫穿於整個資料生命週期。

本文作為《資料安全能力成熟度模型》實踐指南系列第五篇文章，將介紹資料傳輸安全階段的資料傳輸加密過程域（PA05）。

01   定義

資料傳輸加密，DSMM官方描述定義為根據組織內部和外部的資料傳輸要求，採用適當的加密保護措施，保證傳輸通道、傳輸節點和傳輸資料的安全,防止傳輸過程中的資料洩漏。

DSMM標準在充分定義級對資料傳輸加密要求如下：

1) 組織建設

組織應設立了管理資料加密、金鑰管理的人員，負責整體的加密原則和技術工作，由各業務的技術團隊負責實現具體場景下的資料傳輸加密。

2) 制度流程

l 應明確資料傳輸安全管理規範，明確資料傳輸安全要求(如傳輸通道加密、資料內容加密、簽名驗籤、身份鑑別、資料傳輸介面安全等)，確定需要對資料傳輸加密的場景；

l 應明確對資料傳輸安全策略的變更進行稽核的技術方案。

3) 技術工具

l 應有對傳輸資料的完整性進行檢測，並具備資料容錯或恢復的技術手段；

l 應部署對通道安全配置、密碼演算法配置、金鑰管理等保護措施進行稽核及監控的技術工具。

4) 人員能力

l 應瞭解常用的安全通道方案、身份鑑別和認證技術、主管部門推薦的資料加密演算法，基於具體的業務選擇合適的資料傳輸安全管理方式；

l 負責該項工作的人員應熟悉資料加密的演算法,並能夠基於具體的業務選擇合適的加密技術。

實踐指南

1) 組織建設

美創虧專家認為組織結構應該設立資料加密管理部門並至少指定兩名相關人員負責公司整體的資料加密管理和金鑰管理、為公司制定整體的資料加密制度和原則，指定公司應統一採用的資料加密演算法、技術等，並推動相關要求確實可靠的落地執行。除此之外，還需要指定公司的各業務部門中的技術團隊負責實現具體場景下的資料傳輸加密工作，包括但不限於資料傳輸通道的安全配置、密碼演算法配置、傳輸資料的完整性檢測等。

2) 人員能力

針對資料加密管理部門的相關人員，必須具備良好的資料安全風險意識，熟悉國家網路安全法律法規以及組織機構所屬行業的政策和監管要求，在進行資料加密管理以及制定資料加密制度的時候，嚴格按照《網路安全法》、《資料安全法》等相關國家法律法規和行業規範執行，同時還需要相關人員具備良好的資料傳輸安全建設基礎、瞭解主流的安全通道和可信通道的建立方案、身份鑑別和認證技術，熟悉基本的資料加密演算法、瞭解行業內常用的資料加密演算法和國家推薦的資料加密演算法，能夠結合公司自身的實際情況選擇合適的資料加密方法、資料傳輸方法、設計符合具體業務場景的資料傳輸安全管理方案。

針對業務部門的技術團隊人員，必須具備良好的對不同資料傳輸安全建設方案的落地執行能力，擁有良好的資料安全風險意識，熟悉組織機構的不同業務場景，能夠根據不同的業務場景在執行資料傳輸安全建設方案時合理地排程自己部門與其他部門的資源、有良好的團隊協作性，以及一定的應急響應能力，遇到突發緊急情況能夠優先進行處理並及時向上彙報。

3) 落地執行性確認

針對資料傳輸加密管理崗位人員能力的實際落地執行性確認，可透過內部審計、外部審計等形式以調研訪談、問卷調查、流程觀察、檔案調閱、技術檢測等多種方式實現。

4) 制度流程

l 資料傳輸安全管理規範

①在對資料進行傳輸時，組織首先應進行風險評估，評估內容包括資料的重要程度，資料的對機密性和完整性的要求程度以及其安全屬性破壞後可能導致系統受到的影響程度。根據風險評估結果，採用合理的加密技術。在選擇加密技術時，應符合如下規範：

a. 必須符合國家有關加密技術的法律法規；

b. 根據風險評估確定保護級別，並以此確定加密演算法的型別、屬性，以及所用金鑰的長度；

c. 根據實際情況選擇能夠提供所需保護的合適的工具。

②機密和絕密資訊在儲存和傳輸時必須加密，加密方式可以分為：對稱加密和非對稱加密。

③機密和絕密資料的傳輸過程中必須使用數字簽名以確保資訊的不可否認性，使用數字簽名時應符合以下規範：

a. 充分保護私鑰的機密性，防止竊取者偽造金鑰持有人的簽名。

b. 採取保護公鑰完整性的安全措施，例如使用公鑰證書；

c. 確定簽名演算法的型別、屬性以及所用金鑰長度；

d. 用於數字簽名的金鑰應不同於用來加密內容的金鑰。

l 資料安全等級變更稽核

對於任何資料資訊的安全等級都一不定自始至終固定不變，資料資訊可以按照一些預定的策略發生改變。如果把安全等級劃定的過高就會增加不必要的資料防護成本，因此，資料資訊保安等級需要經常變更。

資料資訊保安等級變更需要由資料資產的所有者進行，然後改變相應的分類並告知資訊保安負責人進行備案。對於資料資訊的安全等級，應定期進行評審，只要實際情況允許，就可以進行資料資訊保安等級遞減，這樣可以降低資料防護的成本，並增加資料訪問的方便性。

l 金鑰安全管理規範

金鑰管理對於有效使用密碼技術至關重要。金鑰的丟失和洩露可能會損害資料資訊的保密性、重要性和完整性。因此，應採取加密技術等措施來有效保護金鑰，以免金鑰被非法修改和破壞；還應對生成、儲存和歸檔儲存金鑰的裝置採取物理保護。此外，必須使用經過業務平臺部門批准的加密機制進行金鑰分發，並記錄金鑰的分發過程，以便審計跟蹤，統一對金鑰、證書進行管理。

金鑰的管理應該基於以下流程：

①金鑰產生：金鑰的產生包括為不同的密碼系統和不同的應用生成金鑰。金鑰採用人工產生或加密機產生的方式；

②金鑰分發：向目標使用者分發金鑰，包括在收到金鑰時如何將之啟用；

金鑰分發管理應滿足如下要求：

①金鑰存取：為當前或近期使用的金鑰或備份金鑰提供安全儲存，包括授權使用者如何訪問金鑰；

②金鑰更新：包括金鑰變更時機及變更規則，處置被洩露的金鑰；

③金鑰備份：金鑰備份用於防止金鑰丟失；

④金鑰銷燬：需要銷燬的金鑰包括過期金鑰、廢除金鑰、洩露金鑰、被攻破金鑰，金鑰銷燬將刪除該金鑰管理下資料資訊客體的所有記錄，將無法恢復，因此，在金鑰銷燬前，應確認由此金鑰保護的資料資訊不再需要。

5) 技術工具簡述

資料從一個節點流向下一個節點的過程就是資料傳輸過程，在組織內部、外部每時每刻都在進行資料傳輸。在資料傳輸過程中有三個要素：傳輸的資料、傳輸節點、傳輸通道。所以，為了保證資料傳輸過程的安全，就需要對這三個節點進行相應的安全防護。

對於傳輸的資料，要在傳輸前先使用加密技術對資料進行加密，如果資料明文傳輸，將會面臨巨大的安全風險；對於傳輸節點，需要利用身份鑑別技術校驗傳輸節點的身份，防止傳輸節點被偽造；對於傳輸通道，資料傳輸的通道需要是加密、可信、可靠的。透過對這三個部分的安全防護，達到資料傳輸的機密性、完整性、可信任性。

l 資料加密技術

所謂資料加密技術是指將一個明文資訊經過加密金鑰及加密函式轉換，變成無意義的、無法直接識別的密文，而接收方則將此密文經過解密函式、解密金鑰還原成明文。美創科技堅定加密技術是網路安全技術的基石，只有掌握可靠的加密技術，才能在此基礎上搭建起網路安全防護的壁壘。

資料加密技術一般常見的有兩種，對稱加密和非對稱加密。另外還有一種特殊的加密手段：雜湊。雜湊是進行資料加密的一種手段之一，但是並不屬於加密的範疇。因為加密技術是可逆的，而雜湊是不可逆的。

l 雜湊演算法

HASH：也叫雜湊、雜湊，音譯為雜湊，其過程是將輸入的任意長度的明文資訊透過雜湊演算法轉換成固定長度的雜湊值。由於雜湊過程是從任意長度轉換到固定長度，所以對於資料來說往往是一種壓縮變換。輸出的雜湊值的空間大小也要小於原資料的空間大小。而且雜湊演算法有一種關鍵的特性就是，不同的資料在經過雜湊演算法後可能會得出同一個雜湊值，所以無法透過雜湊值得到一個唯一的原資料，這也就是為什麼雜湊演算法不可逆不可破解的原因。

目前常用的雜湊演算法有三種，MD4、MD5和SHA1三種演算法。

l 對稱加密和非對稱加密

對稱加密和非對稱加密工作原理都是一樣的，這兩個加密技術之間的區別在於在對稱加密中，加密金鑰和解密金鑰用的是同一個金鑰，而在非對稱加密中，加密金鑰和解密金鑰使用的是不同的兩個金鑰。

對稱加密演算法是應用較早的加密演算法 ，其技術也相對更加成熟。資料在被髮送之前，需要將資料和對稱加密的金鑰一起經過特定的對稱加密演算法進行加密，加密後形成複雜的密文，然後再講密文資料傳送出去。接收到密文資料之後，如果想得到明文資料，就必須使用同一個金鑰經過解密演算法的解密，才能得到加密前的明文資料。由於對稱加密加密和解密使用的都是同一個金鑰，這就要求接收方需要事先持有傳送方進行加密的金鑰。

對稱加密演算法的優缺點比較明顯，優點是其過程簡單、計算量小、加密解密的速度都很快、效率高。缺點就是安全性不好，因為加密解密使用的都是同一個金鑰，一旦金鑰洩露，那麼任何人都可以使用金鑰來解密資訊；另外一個就是由於加解密使用同一個金鑰，為了保證安全性每次傳輸都要生成一個唯一的金鑰，在大資料時代，海量的資料傳輸，那金鑰數量將幾何級增長，金鑰難以管理。

對稱加密演算法主要有DES、3DES、AES、RC2、RC4、RC5和Blowfish等，其中比較常用的是DES、3DES和AES這三種加密演算法。

非對稱加密演算法需要兩個金鑰： 公開金鑰（publickey）和私有金鑰（privatekey）。公開金鑰與私有金鑰是一對，如果用公開金鑰對資料進行加密，只有用對應的私有金鑰才能解密；如果用私有金鑰對資料進行加密，那麼只有用對應的公開金鑰才能解密。

非對稱加密演算法的優點是由於公私鑰是不同的，所以在分發和管理上相對簡單，金鑰數量也遠遠小於對稱加密的金鑰數量；其安全性遠遠高於對稱加密的安全性，即使公鑰任何被洩露，也無法解密資訊。其缺點就是在加解密的速度上要比對稱加密慢不少，計算量和資源消耗大。

常見的非對稱加密演算法有RSA、DSA、ECDSA等。

l 數字證書技術

對稱加密和非對稱加密解決了資料傳輸過程中的保密性問題，但是對稱加密和非對稱加密都不能解決“中間人攻擊”的問題，也就是無法鑑別資料傳輸雙方的身份的問題。即使進行了加密傳輸，但是如果對方是惡意者偽造的接收方，那麼資料傳輸也會出現嚴重的安全問題。數字證書技術的出現就是為了解決如何在計算機網路中識別對方身份的問題的，數字證書是由權威機構CA證書授權中心發行的，能提供在Internet上進行身份驗證的一種權威性電子文件。數字證書保證了資料傳輸過程中的不可抵賴性和不可篡改性。

l 金鑰管理技術

金鑰管理技術，英文名稱為Key Management Service，簡稱KMS。所以金鑰管理系統也被 成為 KMS系統。金鑰管理是資料加密的核心部分，負責加密金鑰的生成、分發、銷燬等工作。KMS中的金鑰一般可以分為三級，三級金鑰是用來對資料進行加密的金鑰，也叫資料加密金鑰；二級金鑰是用來加密資料加密金鑰的金鑰，也叫金鑰加密金鑰；一級金鑰是用來加密金鑰加密金鑰的金鑰，也是KMS系統中的根金鑰。KMS系統的設計一般由三部分組成，首先是生成和儲存金鑰的部分，用於金鑰的生成和儲存；然後是分發和管理金鑰的服務部分，用於獲取生成和儲存中的金鑰進行分發管理；最外層是提供KMS的介面，如SDK、程式設計介面等。利用KMS系統，可以大大提高金鑰保護的安全性，同時可以減少管理金鑰的成本。

l 安全傳輸通道

利用上述的資料加密技術和數字證書技術就可以構建一個比較安全的資料傳輸過程了，我們可以使用對稱加密演算法加密我們需要傳輸的資料，然後使用非對稱加密演算法傳輸對稱加密演算法的金鑰，而非對稱加密使用的公鑰可以使用數字證書進行傳輸和鑑別。同時可以在傳輸過程中加入時間戳校驗防止資料傳輸過程中的重放攻擊，重放攻擊就是攻擊者重複傳送一個接收方已經接收過的資料包來進行欺騙，在資料包中加入時間戳的繫結可以有效地解決這一問題。

在資料傳輸過程中使用成熟的安全傳輸協議可以方便 的 構建安全的資料傳輸過程，可以使用SSL、TLS、IPSec等協議。

受限於篇幅，美創科技專家不再對此處技術工具進一步展開，資料傳輸加密技術工具應能實現金鑰管理、資料加解密、數字證書、傳輸協議以及資料校驗等。下圖為資料傳輸加密的技術工具進行資料來源鑑別及記錄作業的基本流程圖。

資料傳輸加密過程域的實踐指南就展開至此，《資料安全能力成熟度模型》實踐指南系列持續更新中，歡迎持續關注。