信息化觀察網(wǎng)

摘要：基于鼎鏈鏈的大數(shù)據(jù)安全管控系統(tǒng)是構(gòu)建于國(guó)產(chǎn)“自主密碼、自主代碼”的區(qū)塊鏈平臺(tái)—鼎鏈之上的，為大數(shù)據(jù)平臺(tái)量身打造的抗毀頑存、高安全、高可靠、高隱私的安全管控系統(tǒng)。該系統(tǒng)利用區(qū)塊鏈的分布式存儲(chǔ)技術(shù)、共識(shí)機(jī)制保障用戶登錄和操作記錄等日志信息不可篡改，采用密碼學(xué)技術(shù)保證被審計(jì)記錄的安全和不可否認(rèn)，使用隱私保護(hù)實(shí)現(xiàn)數(shù)據(jù)的可用不可見(jiàn)，結(jié)合時(shí)間戳服務(wù)實(shí)現(xiàn)數(shù)據(jù)訪問(wèn)、流轉(zhuǎn)、操作等日志的被審計(jì)記錄的可追溯，采用智能合約實(shí)現(xiàn)行為監(jiān)管并自動(dòng)完成系統(tǒng)安全預(yù)警。

一、項(xiàng)目背景及客戶痛點(diǎn)

數(shù)據(jù)安全建設(shè)中需加強(qiáng)中大數(shù)據(jù)平臺(tái)安全防護(hù)能力，增強(qiáng)數(shù)據(jù)防護(hù)水平，提高數(shù)據(jù)安全審計(jì)要求，但數(shù)據(jù)安全在日志審計(jì)和數(shù)據(jù)隱私方面仍然存在一些突出的問(wèn)題，主要表現(xiàn)在以下幾方面：

（1)目前大數(shù)據(jù)分析平臺(tái)中應(yīng)用系統(tǒng)的審計(jì)功能分散，不統(tǒng)一，存在審計(jì)數(shù)據(jù)孤島；

（2)大數(shù)據(jù)平臺(tái)的應(yīng)用系統(tǒng)重要性程度高，存在大量敏感數(shù)據(jù)，傳統(tǒng)審計(jì)系統(tǒng)是中心化系統(tǒng)，存在數(shù)據(jù)被篡改的風(fēng)險(xiǎn)及無(wú)法確權(quán)的問(wèn)題；

（3)傳統(tǒng)審計(jì)系統(tǒng)追查取證效率低，存在各方抵賴，出現(xiàn)問(wèn)題后追溯難。

（4）數(shù)據(jù)敏感傳輸風(fēng)險(xiǎn)，在業(yè)務(wù)協(xié)同過(guò)程存在數(shù)據(jù)泄露風(fēng)險(xiǎn)，隱私保護(hù)能力較弱

（5）數(shù)據(jù)在共享使用過(guò)程中缺乏有效管控手段

二、建設(shè)目標(biāo)

以大數(shù)據(jù)安全和隱私保護(hù)需求為主線，結(jié)合區(qū)塊鏈技術(shù)構(gòu)建數(shù)據(jù)安全的區(qū)塊鏈日志審計(jì)和隱私保護(hù)系統(tǒng)，實(shí)現(xiàn)大數(shù)據(jù)中心的數(shù)據(jù)安全防護(hù)，防止敏感數(shù)據(jù)泄露，并實(shí)現(xiàn)數(shù)據(jù)全生命周期操作記錄的區(qū)塊鏈登記，實(shí)現(xiàn)審計(jì)數(shù)據(jù)的不可篡改、不可否認(rèn)及可追溯，結(jié)合區(qū)塊鏈的隱私保護(hù)技術(shù)，有效降低大數(shù)據(jù)中心的數(shù)據(jù)泄露風(fēng)險(xiǎn)，提高大數(shù)據(jù)中心的數(shù)據(jù)安全防護(hù)能力。

三、建設(shè)內(nèi)容

采用區(qū)塊鏈技術(shù)構(gòu)建大數(shù)據(jù)安全管控系統(tǒng)，實(shí)現(xiàn)大數(shù)據(jù)中心應(yīng)用系統(tǒng)及數(shù)據(jù)共享訪問(wèn)的操作記錄保存到區(qū)塊鏈中，對(duì)數(shù)據(jù)傳輸過(guò)程進(jìn)行數(shù)據(jù)加密，有效防止敏感數(shù)據(jù)泄露，并對(duì)重要數(shù)據(jù)的共享實(shí)現(xiàn)可追溯、對(duì)數(shù)據(jù)的操作記錄的不可否認(rèn)。建設(shè)主要內(nèi)容包括：

（1）利用區(qū)塊鏈技術(shù)構(gòu)建大數(shù)據(jù)中心應(yīng)用系統(tǒng)的審計(jì)聯(lián)盟鏈，實(shí)現(xiàn)統(tǒng)一的數(shù)據(jù)安全的區(qū)塊鏈審計(jì)系統(tǒng)，實(shí)現(xiàn)對(duì)大數(shù)據(jù)中心應(yīng)用系統(tǒng)的安全審計(jì)。

（2）該聯(lián)盟鏈網(wǎng)絡(luò)中接入4A系統(tǒng)，采用與大數(shù)據(jù)中心的用戶登錄訪問(wèn)體系一樣的數(shù)據(jù)證書進(jìn)行操作訪問(wèn)記錄登記到區(qū)塊鏈中；

（3）大數(shù)據(jù)中心應(yīng)用系統(tǒng)的操作記錄上鏈，包括資源的使用情況記錄、用戶登錄及操作行為記錄、系統(tǒng)配置修改記錄等登記到區(qū)塊鏈中；

（4）大數(shù)據(jù)中心在數(shù)據(jù)共享訪問(wèn)過(guò)程中對(duì)訪問(wèn)記錄進(jìn)行數(shù)據(jù)簽名后登記到區(qū)塊鏈中

（5）使用區(qū)塊鏈平臺(tái)自帶的CA管理系統(tǒng)頒布數(shù)字證書，用于大數(shù)據(jù)中心應(yīng)用系統(tǒng)、數(shù)據(jù)共享平臺(tái)安全訪問(wèn)區(qū)塊鏈平臺(tái)，確保審計(jì)記錄上鏈的合法性；

（6）數(shù)據(jù)安全的審計(jì)監(jiān)管，作為審計(jì)節(jié)點(diǎn)接入審計(jì)聯(lián)盟鏈，實(shí)現(xiàn)對(duì)大數(shù)據(jù)中心的各系統(tǒng)的統(tǒng)一安全審計(jì)，在安全事件中進(jìn)行審計(jì)追溯。

（7）智能合約中結(jié)合同態(tài)加密服務(wù)組件，設(shè)計(jì)數(shù)據(jù)安全使用模型，實(shí)現(xiàn)重要敏感數(shù)據(jù)可用不可見(jiàn)。

四、總體架構(gòu)

·鼎鏈區(qū)塊鏈底層平臺(tái)提供服務(wù)功能主要包括網(wǎng)絡(luò)通信組件、網(wǎng)絡(luò)實(shí)體服務(wù)組件、區(qū)塊鏈功能組件、區(qū)塊鏈服務(wù)組件、公共支撐組件及安全防護(hù)組件。

·審計(jì)智能合約利用時(shí)間戳、智能合約服務(wù)及賬本實(shí)現(xiàn)數(shù)據(jù)安全的安全審計(jì)相關(guān)數(shù)據(jù)在區(qū)塊鏈中的自動(dòng)處理和運(yùn)轉(zhuǎn)。

·審計(jì)區(qū)塊鏈?zhǔn)芾淼怯洠瑢?shí)現(xiàn)大數(shù)據(jù)平臺(tái)中應(yīng)用系統(tǒng)功能的審計(jì)記錄統(tǒng)一登記到區(qū)塊鏈的登記功能，并實(shí)現(xiàn)大數(shù)據(jù)平臺(tái)中對(duì)外數(shù)據(jù)共享訪問(wèn)的審計(jì)記錄登記到區(qū)塊鏈的登記功能，包括消息隊(duì)列模塊、數(shù)據(jù)安全模塊、智能合約登記模塊、區(qū)塊鏈信息查詢模塊及登記配置模塊。

·區(qū)塊鏈可視化管理實(shí)現(xiàn)區(qū)塊鏈技術(shù)平臺(tái)相關(guān)信息的展示，比如運(yùn)行狀態(tài)、智能合約、區(qū)塊信息、賬本信息等直觀可視，從而實(shí)現(xiàn)區(qū)塊鏈技術(shù)平臺(tái)的監(jiān)控。

·大數(shù)據(jù)安全管控應(yīng)用作為區(qū)塊鏈的節(jié)點(diǎn)接入?yún)^(qū)塊鏈，訪問(wèn)區(qū)塊鏈中的安全審計(jì)記錄、數(shù)據(jù)安全模塊實(shí)現(xiàn)各信息化系統(tǒng)的統(tǒng)一安全審計(jì)應(yīng)用以及隱私保護(hù)功能，包括隱私保護(hù)模塊、數(shù)據(jù)加密模塊、操作行為審計(jì)、重要安全事件審計(jì)及審計(jì)分析、審計(jì)記錄數(shù)字簽名、審計(jì)綜合展示、審計(jì)報(bào)告下載、審計(jì)策略、郵件告警、自身審計(jì)功能、審計(jì)記錄追溯等。

五、達(dá)到效果

該系統(tǒng)在深圳市某區(qū)的大數(shù)據(jù)中心（二期）項(xiàng)目中落地運(yùn)行兩年，有效地解決審計(jì)功能分散、敏感數(shù)據(jù)泄露風(fēng)險(xiǎn)、傳統(tǒng)審計(jì)系統(tǒng)追查取證效率低等問(wèn)題，在大數(shù)據(jù)平臺(tái)的數(shù)據(jù)安全審計(jì)方面融合區(qū)塊鏈技術(shù)，充分發(fā)揮區(qū)塊鏈技術(shù)特長(zhǎng)，利用分布式存儲(chǔ)提高審計(jì)數(shù)據(jù)安全性和抗毀性，通過(guò)共識(shí)機(jī)制的審計(jì)記錄存儲(chǔ)到區(qū)塊鏈中，實(shí)現(xiàn)數(shù)據(jù)不可篡改，利用可追溯提高安全審計(jì)的能力，同時(shí)采用密碼學(xué)技術(shù)保證了數(shù)據(jù)安全性和不可否認(rèn)。結(jié)合區(qū)塊鏈技術(shù)這些特點(diǎn)，搭建大數(shù)據(jù)安全的聯(lián)盟鏈，建設(shè)統(tǒng)一數(shù)據(jù)安全的區(qū)塊鏈管控系統(tǒng)，實(shí)現(xiàn)對(duì)大數(shù)據(jù)平臺(tái)中各數(shù)據(jù)安全保障。

目前大數(shù)據(jù)平臺(tái)的安全管控（區(qū)塊鏈）系統(tǒng)的支撐記錄日志的用戶規(guī)模在5000+，日均審計(jì)操作日志200000條，對(duì)大數(shù)據(jù)平臺(tái)的各類工作人員的的70種操作行為進(jìn)行監(jiān)管，同時(shí)針對(duì)數(shù)據(jù)共享、敏感數(shù)據(jù)訪問(wèn)、數(shù)據(jù)高級(jí)分析功能訪問(wèn)記錄等接入進(jìn)行審計(jì)日志上鏈存證，基于區(qū)塊鏈技術(shù)構(gòu)建了的統(tǒng)一的安全審計(jì)系統(tǒng)，符合國(guó)家《信息系統(tǒng)安全等級(jí)保護(hù)管理辦法》的信息安全要求，滿足《GB/T 39786-2021信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求》，為智慧城市建設(shè)的安全防護(hù)保駕護(hù)航。