English
您现在的位置:企业动态
  • 【炼石中标某省应急管理部门数据加密项目,免改造敏捷过密评】
  • 浏览:26次   发布日期:2025-04-08

  • 近日,炼石成功中标某省应急管理部门数据加密项目。针对应急数据海量汇聚、多源头流转及跨平台融合等特点,炼石凭借免改造安全创新技术,为海量应急数据提供全生命周期保护,实现核心应用系统国密合规升级,获得客户认可与肯定。



    安全筑基
    数据安全护航应急管理现代化

    数据要素驱动应急管理范式革新。应急管理作为国家治理的重要组成,本质是管理突发事件造成的不确定性。而数据作为新型生产要素,因其体量巨大、多源融合及智能建模分析优势,可减少不确定性,这与应急管理的内在本质契合,使其成为推进应急管理现代化的重要支撑,正快速融入应急准备、监测与预警、应急处置与救援、事后恢复与重建等环节。《“数据要素×”三年行动计划(2024—2026年)》就将“数据要素×应急管理”列为数据要素应用的十二项重点行动之一,为牵引应急数据要素发展指明方向。

    优化共享通道释放应急数据价值。安全生产、自然灾害防治、风险隐患等各类应急数据,由各地区、各部门和各行业企业分散掌握,极易出现监测空白和信息孤岛。因此,强化应急数据的收集汇聚及共享流转,是应急管理现代化的先决条件。应急管理领域按照《应急管理信息化发展战略规划框架》,逐步完善大数据资源中心和数据交换系统,建设原始库、资源库、主题库、专题库、知识库,并与水利、自然资源、公安等部门实现跨应用、跨业务、跨部门的数据联通、融合共享,以此支撑业务开展。随着数据共享通道的完善,必然汇聚海量数据,在提升应急管理现代化的同时,也对应急数据安全建设提出更高要求。

    加强应急数据安全防护势在必行。应急数据具有海量汇聚、高价值密度、多源头流转及跨平台融合等特征,使其面临更复杂的安全风险与合规挑战。安全风险方面,应急管理领域极易受到网络攻击、非法接入等多重安全威胁,存在数据泄露窃取、恶意篡改毁损等内生隐患,然而数据全生命周期安全防护能力相对薄弱,事前事中事后全流程防护体系建设仍亟待夯实。合规要求方面,《密码法》《数据安全法》《个人信息保护法》《国务院安委会办公室 国家减灾委办公室 应急管理部关于加强应急基础信息管理的通知》等法律法规贯彻施行,为应急管理数据保护划定刚性基线,要求采取措施加强数据全生命周期安全保护,防止数据泄露和被恶意篡改;同步规划、同步建设、同步运行商用密码保障系统,为推进大安全大应急框架及应急管理现代化提供基础保障。

    实证成果
    某省应急管理部门国密改造实践

    1案例背景

    在应急管理现代化进程中,数据安全是关键支撑,如何兼顾业务效率与安全保护面临诸多挑战与复杂需求。

    一是免改造应用增强数据安全成着力点。应急管理行业拥有巨大存量的应用软件,这些应用大多缺失内建安全机制。在实践应用中,炼石发现数据安全建设最大痛点在于,业务处理和安全机制纽结缠绕,通过改造应用叠加安全能力成本高、风险大、周期长,这使得用户投入成本在一定程度上抵消了安全带来的增益,安全建设面临“不改有风险、强改会要命”的两难困境。

    二是高并发下亟需加固数据存储传输安全。应急管理工作产生的数据量庞大,常需要对TB级别数据进行加密保护。同时,各类业务数据涉及跨部门、跨应用实时传输,系统访问量极高。这要求加密技术不仅具备高性能和高可用性,还要在数据存储、传输等多个环节中,确保数据的机密性与完整性,且不对系统的正常运行造成影响。此外,考虑到应急管理体系省、地、市三级结构特点,需要可敏捷部署的技术方案,以实现对重要数据的集中管控、分布保护以及三权分立,全面提升数据安全性。

    三是应用密码技术应符合密评合规要求。作为国家关键信息基础设施的重要组成,应急管理领域需遵循国家密码管理局对于商用密码技术应用合规性要求。密评中,物理和环境、网络和通信、设备和计算等技术层可整体性部署安全措施来满足要求,而应用和数据层作为业务风险影响范围广、分值占比最高且高风险项最多的技术层,密改工作只能由用户执行,无法委托第三方,且需要针对所有系统逐一应用密码技术满足评估要求。如果应用层未采用密码保护重要数据,存储、传输过程中的机密数据也缺乏有效防护措施,即使密评获得高分,仍无法通过。

    2解决方案

    本案例中应急管理用户数据平台从应急APP、应急管理综合平台、政务微信、CIM平台、大数据资源中心等数据源收集数据,汇入数据中台形成专题库、主题库用于统计挖掘分析等工作,支撑监督管理、监测预警、指挥救援、决策支持、政务管理等业务运行。因此,方案面向应急管理业务需求,以数据为中心、以应用层为抓手,通过免改造安全技术,叠加事前防护、事中检测响应、事后审计追溯等数据保护能力,达到“密码安全一体化”的防绕过安全防护体系,提升应急管理用户数据安全防护水平。

    创新免改造技术投送多重安全能力。方案基于切面安全的免改造技术,不改变已有云服务或物理部署架构,面向应用系统以配置方式部署,可对上百个应用服务节点中的数十个字段进行策略设置,实现敏感数据以密文形式存储于数据库或文件系统,完成字段级、文件级细粒度加密,保护结构化和非结构化数据安全。适应大多数应用架构,如Java、C、C++等主流开发语言,兼容主流的关系型和非关系型数据库,满足信息系统多、环境复杂的应急管理安全需求,这种模式对应急管理系统连续运行无影响,也不会因实施加密而带来业务风险,解决传统外挂式密码产品改造应用成本高、落地难等痛点。针对不同处理环节的免改造控制面,施加防绕过动态保护,实现横向覆盖广泛应用,纵向叠加数据识别、加密脱敏、检测响应、审计追溯多阶安全能力,易部署易扩展,实现安全与业务有机融合。

    一站式密改方案支撑应急合规升级。面向应急领域密评合规要求,炼石推出“一站式密改敏捷交付方案”以及“70+分”套餐,实现应用系统免改造接入即可实现合规升级。密改方案包括国密VPN网关、密码认证网关、应用加密网关和服务器密码机等产品。其中,国密VPN网关产品主要解决网络和通信安全测评项;密码认证网关产品主要解决应用和数据安全测评项;应用加密网关产品主要解决应用和数据安全测评项、设备和计算安全测评项;服务器密码机主要提供基础加解密算力与密管能力,支撑重要网络与信息系统“三同步、一评估”建设。

    高性能国密保障数据传输存储安全。方案支持SM系列商用密码算法,针对手机号、证件号、邮箱等字段实现保留格式加密,可灵活运用SM4的多种算法模式。凭借具有PCT国际专利保护的高性能国密技术,在单CPU上SM4加解密速度突破140Gbps,确保对用户使用体验无影响。同时,方案支持多并发、多线程数据加密,适用于单表数亿条级别的数据加密以及历史数据全量加密分批操作,实现系统影响最小化。基于高性能国密及信源加密技术,可将安全能力投送到收集、传输、存储、使用等真实的数据处理流程中,支持从应用侧将数据加密后以密文形式存储,以及数据从用户侧、应用服务到数据库之间以密文形式安全流转,安全性高、合规性好,保障重要数据存储和传输的机密性和完整性。

    引入“集中式管控、分布式保护”体系。方案通过在应急管理用户本级统一配置安全策略,在各分支多个应用节点分别部署数据加解密平台,实现敏感数据的分布式加解密和脱敏,支撑“省、地、市”自上而下的多级联动协同。方案全面覆盖服务器、云端、桌面端、移动端、物联网端等多种场景,支持“两地三中心”高可靠性部署。此外,在元数据管理系统中,支持系统管理员、策略管理员和运维管理员之间的权力和责任分离机制,“三权分立”减少滥用权限或疏漏导致的潜在风险。

    3建设成效

    本方案依托免改造技术,构建覆盖识别、防护、检测、响应、追溯等安全能力模块的数据安全实战防护体系,具有应用架构兼容多、免改造应用交付快、密码安全一体化防护好、安全建设成本省、适应业务数据流向管控准等优势,可支持事前事中事后的安全保护。方案实施后已完成数十个应用系统、数百个应用节点、数十亿条数据的安全保护,构建了网络、平台、数据之间环环相扣、协同联动的防御能力,满足GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》第三级密码应用要求,为应急管理行业数据安全防护和合规建设筑牢安全基座。

    ▌本文来源:炼石网络CipherGateway微信公众号(ID:CipherGateway)