付 静，周维续，詹全忠，张 潮

（水利部信息中心，北京 100053）

0 引言

随着信息化技术的飞速发展，数据已成为国家基础性战略资源，以及与土地、劳动力、资本、技术等传统要素并列的生产要素[1]。2022 年，我国数字经济规模超过 50 万亿元，占 GDP 比例达到41.5%[2]。数据量急速增长的同时，数据泄露、窃取、篡改、损毁等安全事件层出不穷，数据安全形势日益严峻。我国先后颁布《中华人民共和国网络安全法》《关键信息基础设施安全保护条例》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律法规，形成了较为完善的数据安全法制版图，对数据和个人信息的安全管理提供了法制保障，同时也对各行业重要数据的安全保护提出了更高要求。

为推动新阶段水利高质量发展，全面提升国家水安全保障能力，水利部确立了包含智慧水利建设在内的 6 条实施路径，正在加快构建以数字孪生水利为核心的具有“四预”功能的智慧水利体系。按照“需求牵引、应用至上、数字赋能、提升能力”的总体要求，以数字化、网络化、智能化为主线，算据、算法、算力为支撑，数字化场景、智能化模拟、精准化决策为路径，加快建设、持续完善具有强大“四预”功能的数字孪生流域[3]。在建设过程中，保障数据安全至关重要，应在大力推进数字孪生水利建设工作中强化数据安全保护，完善关键信息基础设施等重要信息系统的数据安全防护[4]。

数字孪生流域要对物理流域全要素和水利治理管理全过程进行数字映射和智能模拟，实现与物理流域同步仿真运行、虚实交互、迭代优化，必然需要海量数据的采集、汇集、分析、展示等作为支撑。与传统水利信息化数据相比，数字孪生水利建设涉及的数据主要有以下 3 点不同：1） 数据量呈指数级提升，支撑业务的数据由原来普遍的 GB 级提升至 TB 级甚至更高；2） 数据实时性由天级、小时级，提升至分钟级、秒级甚至更高；3） 数据精度大幅度提升，涉及大量高精度 DEM（数字高程模型）、DOM（数字正射影像图）、DSM（数字表面模型）、BIM（建筑信息模型）等数据的采集和加工及计算。这些不同对水利重要数据的安全保护提出了新的要求和挑战。

密码是保障数据安全的核心技术，也是构建数据安全防护体系的重要基石。我国已经自主研发了对称加密、非对称加密、标识密码等密码算法，并形成系列国家技术标准，已经在传统信息系统、物联网等场景中得到了广泛应用[5]。只有进一步加强 SM2，SM3，SM4，SM9 等国产商用密码算法的应用，坚持自主创新和安全可信，才能保证网络和数据安全的基础牢固。近年来，水利部完成了基于国产密码算法的密码基础设施建设，将水利行业 CA 认证体系整体由RSA（非对称可逆加密）算法升级至 SM2 算法，并为应用系统提供对称、非对称、杂凑等算法接口，可方便快捷地实现数据传输、存储等环节的加/解密和签名验签等保护[6]。目前，很多应用系统已根据实际需要实现了数据库、数据共享应用的加密保护，有效保护了数据安全[7]。

实现国产商用密码应用，可以降低敏感信息泄露和信息系统遭受攻击的风险，同时也是实现信息安全自主可控的主要手段之一。针对水利行业重要数据安全保护，对重要数据安全防护总体方案、网络安全基本防护、水利数据分类分级方法、基于商用密码技术的数据加密保护等方面开展研究，提出全面通用防护和应用内加密相结合的点面结合保护方法，推动数字孪生流域数据建设过程中的重要数据全流程安全应用。

1 重要数据防护总体思路

2022 年，水利部组织数字孪生流域建设先行先试工作，制定了数字孪生流域建设先行先试台账，启动实施了包括“数字孪生流域重要数据安全保护体系”在内的 94 项先行先试任务。按照数据安全法等法律法规要求，通过本项数据安全保护体系任务的实施，结合智慧水利行业网络安全技术要求[8]、水利部本级网络安全已有基础和数字孪生流域建设数据安全保护需求，在水利部本级探索以商用密码为基础的水利重要数据保护总体方案，如图1 所示。

图1 以商用密码为基础的数字孪生流域重要数据保护方案

基于总体防护方案，以密码基础设施、数据动/静态脱敏平台、数据分类分级平台等安全服务系统，以及数据库防火墙、API（应用程序接口）安全网关等安全设备系统为支撑，对重要数据的采集、传输、存储、使用、共享、销毁等全生命周期防护，对应采取加密传输、身份鉴别、完整性保护、签名验签、数据脱敏、访问控制、审计阻断、数据防泄漏等有效保护措施，对数据运维采取运维安全审计、终端 DLP（数据防泄漏）保护等措施，严防运维过程中数据泄露等风险。重要数据全生命周期防护措施如图2 所示。

图2 重要数据全生命周期防护措施

2 网络安全基础防护优化

根据国家网络安全相关法律法规要求，遵循行业网络安全顶层设计，落实网络安全等级保护和水利网络安全保护技术规范等相关标准要求，水利部已基本建立由组织管理、安全技术、安全运营等体系组成的网络安全防护基础。面对从网络向数据的保护对象变化，应充分利用已有网络安全基础防护开展数据安全综合防护体系建设，并在建设中协同推进网络和数据的安全体系优化完善。

2.1 组织管理体系

以合法合规、责任到人为中心，在原有组织机构、管理制度、标准规范等基础上查漏补缺，充分补充或完善数据安全工作需要的分类分级标准、行业数据安全管理办法、数据安全责任人管理等方面内容。

2.2 安全技术体系

在纵深防御、监测预警、应急响应等 3 个方面技术防护中不断完善数据安全保护能力：

1） 纵深防御。纵深防御包括基础安全技术、统一安全服务 2 个方面。基础安全技术是整个网络的防护基础，应充分发挥网络安全防线中运维审计系统、VPN 系统、应用防火墙、SSL（安全套接层）安全网关等可提供数据安全防护技术的系统设备作用，在重要数据维护、业务访问、加密传输等方面提供安全支撑。统一安全服务是为全网提供密码、认证、备份、情报等安全服务支撑的资源池，应不断完善优化密码基础设施、统一身份认证、本地异地灾备设施等，为重要数据保护提供加/解密和签名验签商用密码技术、重要数据访问修改安全认证和备份等支撑。同时，根据数据安全保护的需要，补充分类分级、动/静态脱敏等基础支撑服务。

2） 监测预警。在已有网络安全大数据和监测算法模型的基础上，补充数据库审计日志、数据库防火墙日志、数据防泄漏日志、应用内数据审计信息等数据源，同时强化对数据泄露、窃取等情报数据的主动收集。充分利用机器学习、强化学习等数据计算分析技术，结合数据本身业务逻辑关系，开发针对数据窃取、篡改等威胁的检测算法模型，逐步实现对网内数据安全事件的全面监测预警。

3） 应急响应。在已有网络安全应急响应体系下，结合数据安全特点，充分联动业务应用，针对不同层级告警开展应急决策指挥，及时控制事态发展，降低事件影响。

2.3 安全运营体系

网络安全运营体系包括安全评估、安全监测、渗透测试、漏洞修复、运维审计、攻防演练、事件响应、分析优化等多方面内容。应基于已有网络安全运营体系，做好与数据安全有关的评估、监测、审计等方面工作，制定相关规范标准，将业务部门纳入运营体系，共同做好数据安全运营。尤其是完善数据安全“查、改、罚”的有效手段，在攻防演练、渗透测试等环节中重点突出对数据安全防护方面的漏洞隐患发现整改。

3 水利数据分类分级方法

数据分类分级是开展数据安全保护的第一步，也是构建安全保护体系的重要基础。为指导和规范水利数据分类分级工作，依据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律法规和数据安全有关文件要求，结合数字孪生流域数据情况，提出水利数据分类分级方法。

3.1 数据分类方法

水利信息化建设涉及自然水系、水利工程等各类数据，应通过多要素分析，按照数据基本属性及所属具体水利业务进行分类。参考水利信息分类与编码标准，结合当前数字孪生水利工作特点进行水利业务分类，主要包括水利基础、水利业务、地理空间、行政管理、个人信息和其他等数据，并在此基础上细化业务分类。

1） 水利基础数据。指水利对象相对稳定的属性及主要特征信息，包括流域、河流、湖泊、水利工程等水利对象的主要属性数据，如江河湖泊、水利工程、监测站（点）等。

2） 水利业务数据。指对自然界的水进行控制、调节、治导、开发、管理和保护，在防治水旱灾害和开发利用水资源等水利业务的各项活动过程中收集和产生的数据，如水旱灾害、水工程、水资源、水环境等数据。

3） 地理空间数据。指带有地理坐标的数据，包括资源、环境、经济和社会等领域的带有地理坐标的数据，是地理实体空间和属性特征的描述，如 DOM，DEM，BIM 等数据。

4） 行政管理数据。指水利机构日常运行管理过程中收集和产生的数据，如行政管理、财务与审计、人事与教育、国际合作、科技管理等数据。

5） 个人信息。指已识别或者可识别的与自然人有关的各种信息，如个人身份、生物识别、财产、通信、位置等信息。

3.2 数据分级方法

按照数据一旦遭到篡改、破坏、泄露或者非法获取及利用，对国家安全、公共利益、组织或个人合法权益造成的影响和危害程度，将数据从低到高分成1～5 个级别，对应一般数据（1～3 级）、重要数据（4 级）、核心数据（5 级）。水利行业数据定级矩阵如表1 所示。

表1 水利行业数据定级矩阵

4 数据点面结合防护

针对数字孪生流域数据不同应用场景的合规性、透明度、加/解密保护强度和计算效率等需求，提出全面通用防护和应用内加密相结合的点面结合“双保险”加密方法，有效兼顾了重要数据加密保护和应用使用等需求，实现了数据安全和便捷高效应用。

4.1 面防护——场景化防护

传统的数据库加密可以通过加密算法将明文数据转化为密文后再存储，一般局限于结构化数据，而水利行业数据不仅包含结构化数据，还拥有大量非结构化数据，且数据库也只是数据处理的一个环节，因此水利行业数据安全保护要对数据的收集、存储、使用、加工、传输、提供、公开等全生命周期主动实施安全防护，打造基于商用密码的数据安全防护体系，防范侵害重要数据权益的行为发生。

以数据分类分级为基础，结合数据在业务系统和访问应用中的全部环节建立不同的安全实用规则，实现多站点的数据安检，并对重要数据落实全过程监控审计，同时保障数据共享和应用安全。在数据流转路径关键节点，选择适当的对称加密、非对称加密、密码杂凑等密码算法，实现数据访问、展示、获取、修改等应用场景下的全面保护。

主要技术方法如下：

1） 终端 DLP 加密技术。在受管控的终端上安装代理程序，由代理程序与行业数据后台交互，并结合数据管理要求和分级分类策略，对下载到终端的敏感数据进行加密，从而将加密应用到数据的日常流转和存储中。信息在本机使用时会进行解密，而未授权复制到管控范围外的数据则是密文形式。

2） 应用内加密（集成密码服务 SDK）。应用系统与封装了加密业务逻辑的密码服务 SDK（软件开发工具包）进行集成，通过密码服务SDK调用密码基础设施服务，实现加/解密，使水利行业数据具备数据加密防护能力。

3） 透明数据加密（TDE）。通过数据库与密码基础设施集成，综合采用硬件加密卡等措施，使内存中的数据库明文存储时全部转变为密文，正常访问时完全不受影响。攻击者即使窃取到数据库文件，也无法获取明文数据。

4） 透明文件加密（TFE）。在操作系统的文件管理子系统上部署加密插件并与密码基础设施集成，实现数据加密，基于用户态与内核态交付，可实现逐文件逐密钥加密。对重要数据可采用独立密钥进行加/解密操作。

5） 全磁盘加密（FDE）。通过动态加/解密技术，对磁盘或分区进行动态加/解密。FDE 的动态加/解密算法位于国产操作系统底层，所有磁盘操作均通过FDE 进行：当系统向磁盘写入数据时，FDE 首先加密要写入的数据，然后再写入磁盘；反之，当系统读取磁盘数据时，FDE 会自动将读取到的数据进行解密，然后再提交给操作系统。

4.2 面防护——数据权限管控

数字孪生流域数据应用可基于业务、运维、安全3 类用户“三权分立”的设计思路进行全方位的权限保护：

1） 业务用户。业务用户由水利部统一身份认证系统进行身份鉴定并经行业重要数据系统后台鉴权后，才可开展权限内的系统查询、信息录入和下载等操作。

2） 运维用户。运维用户由水利部统一身份认证系统进行身份鉴定并经行业重要数据系统后台鉴权后，才能对系统代码、业务策略和流程等进行修改，业务数据、操作日志等均为密文存储，全程对运维用户不可见。

3） 安全用户。安全用户由水利部统一身份认证系统进行身份鉴定并经行业重要数据系统后台鉴权后，方可配合业务、运维等用户对系统密钥和加/解密资源进行维护，业务、系统数据等均不对安全管理员开放。

业务、运维、安全 3 类用户根据职责不同，可再进行细粒度权限角色划分。

4.3 点防护——双层防护

为解决数字孪生流域建设等业务中的水利重要数据在使用过程中性能、便利性与安全难以平衡的难题，在全数据透明加密、权限管控的面防护基础上，对水利行业重要数据系统进行改造，与密码基础设施集成，调用国产密码算法加/解密服务，对重要及敏感数据进行字段加密的点防护。既保证了数据写入磁盘时全部加密，又保证了数据库内存中的重要敏感数据也是密文，大大提高了数据防护能力，实现了水利行业关键数据的“双保险”。以全国水利一张图业务系统为例，通过商用密码实现了重要数据的存储和访问全加密，有效避免了数据泄露或被窃取。

5 结语

海量高精度、高实时水利数据的全生命周期安全使用是数字孪生水利建设的重要基础和必要保障。本研究提出的基于商用密码的水利重要数据点面结合保护方法，充分与网络安全体系结合，基本覆盖数据使用的全生命周期防护，在水利部核心业务应用的重要数据保护中发挥了积极作用，对数字孪生水利建设有一定借鉴和指导意义。下一步，将重点围绕采集汇集过程安全、大数据安全、密码计算效率提升等方面开展研究应用，探索研究更加全面高效的水利数据安全防护体系。