【原】个人信息保护系统安全检查要点

当前个人信息保护是网络安全领域的重要部分，国家相应的法律法规也在逐步完善和施行。保护个人信息是网络安全工作的重要组成部分，这一工作的进展需要从管理和技术层面采取严格的举措，需要网络监管方、经营方和使用方的共同不断努力。

高校有必要对今后新上线的和原有信息系统统一进行安全检查和整改，网络安全主管部门需要在管理和技术层面对各二级部门信息系统的落实情况进行监管，在系统上线前和日常巡检中针对用户数据保护进行检查。

本文从数据保存使用、认证和回溯机制几个方面分析了可能存在的安全隐患，提出了对应的检查要点和解决问题的建议。

图1 信息系统中涉及个人信息保护的主要部分

数据存储

数据存储是用户数据存续期的基础环节，也是黑客入侵的价值最大目标。需要对密码、找回密码答案等验证数据采用单向不可逆加密存储，按照当前公开研究应至少采用SHA（安全散列算法，Secure Hash Algorithm）-2256和较新的国密等的算法进行加密。

由于基于Hash的数字签名加密方案的计算底层是Hash函数的计算，因此基于Hash的数字签名加密方案具有很高的执行效率^[1]。

对于用户的敏感个人信息，比如姓名、手机、身份证号和邮箱等，采用可逆加密之后存储。由于常见加密算法的公开性，所以可以在算法之外嵌套定制化转换算法，这套算法根据数据的敏感度和数量级设计不同的复杂度。

为了避免可能的源代码泄露造成加密算法破解，在服务器端使用混淆、碎片等技术手段加密动态语言源代码。

单次加密和解密的操作消耗少量硬件资源，但在用户较大并发的情况下累积占用大量服务器资源，因此信息系统项目组需要研讨控制加密数据的范围，在保障安全的前提下优化服务器资源占用。

定制化算法会导致数据只能通过信息系统调用，如果采用一般的数据库管理工具会导致数据无法使用，这时也可采用透明加密，使得信息系统无需变更达到数据库部分加密的效果。

图2 常见加密算法及其分类

数据传输

数据在网络上传输期间也存在一定的安全风险，可以采用相对安全版本的TLS（传输层安全性协议，Transport Layer Security）协议进行传输加密。

目前至少应该使用TLS1.2版本，推荐使用TLS1.3版本，而且在服务器的配置上去掉对具有隐患的过时加密算法的支持。TLS1.3的高效性主要体现在0-RTT握手以及Earlydata数据上^[2]。

当然随之而来的是，用户也必须使用较新版本的浏览器。同时必须加强对私钥证书的保护，需要严格控制能够接触到证书的人员范围，在服务器上配置访问权限。避免私钥证书互联网泄漏的可能，尤其不能忽视存在严重隐患的特例，禁止证书放置在网站发布目录等不当位置。

数据调用

在编程和配置部署阶段防范非常规调用数据的风险，控制信息系统的数据读写权限、数量和频率。程序不使用最高权限用户访问数据库。单独配置操作个人信息的读写数据库用户、查询业务数据的只读数据库用户、操作数据的读写数据库用户。

在程序底层通过不同的组件分别进行关联。不同数据库用户针对不同的表和视图拥有各自权限，后台代码根据实际功能调用不同组件。在此基础上最小化数据库用户权限，能够实现系统功能即可。

在动态语言编写的数据库操作中间层检测来自同一个请求（相同IP、用户或时段）的单次大量或者高频少量连续读写数据的情况，超出阈值按照预定义规则进行阻断，在输入专用密码后可以继续原先操作，同时通过邮件或短信向管理员发出情况记录。

身份验证

身份验证是保障用户数据的有效屏障。当用户在首次注册的时候启用多重认证机制，比如部门特定问题验证、内部邮箱随机码、预留手机短信等方式。

在登录入口采用多因素认证机制。系统配置一个登录信任综合评分，指标包括用户未活跃时长、来源位置、登录设备指纹信息和同设备连续登录错误次数等。

根据评分逐渐加强的安全措施有图形验证码弹出、用户名密码验证、预留问题检验、邮件短信验证、IP或账号某时段登录禁止、长期封禁（管理员可解锁）等方式。

登录页面的验证码机制是最外层的反暴力破解措施。将原始的验证码替换成增加扰动后的对抗验证码，则黑灰产的打码平台的模型识别率将大幅降低^[3]。

限定管理员用户在进行重要操作，比如新建管理员、增修基础配置、大量下载数据等过程中需要进行二次验证。普通用户在修改密码和个人信息时需要进行二次验证。

图3 服务器日志保存及大数据分析

日志分析

信息系统（网站）的访问和操作日志在系统上保存一份记录。同时通过Syslog、镜像流量、串行转发等方式进行日志的即时备份，建立独立的日志服务器，其认证体系完全独立于信息系统，由不同的人员管理。

完整记录来源、终端特征、身份、时间、访问对象、操作等要素。针对数据库建立数据库审计体系，对数据的所有读写操作进行记录和分析控制。

日志服务器具备一定的大数据分析能力，自动关联不同类型、设备和时段的日志。在APT攻击检测中，主要利用大数据分析技术对海量的网络设备日志、安全设备日志和操作系统日志进行关联分析^[4]。

把发现的疑似APT（高级持续威胁，Advanced Persistent Threat）等攻击手段提交资深安全人员，经过人工筛选后及时处置。

信息系统的个人信息保护工作是一个系统工程，在技术层面需要在通用防御方法基础上根据现实情况进行定制化配置。即使在系统上线运行之后也需要通过对系统日志、攻击手段和漏洞情报的研判来不断改进整个技术防御体系。

参考文献

[1]巫光福，江林伟.抗量子密码学综述[J].长江信息通信，2021，34(07)：55-60.

[2]张兴隆，程庆丰，马建峰.TLS1.3协议研究进展[J].武汉大学学报(理学版)，2018，64(06)：471-484.

[3]陈岳峰，毛潇锋，李裕宏，何源，薛晖.AI安全——对抗样本技术综述与应用[J].信息安全研究，2019，5(11)：1000-1007.

[4]冯贵兰，李正楠，周文刚.大数据分析技术在网络领域中的研究综述[J].计算机科学，2019，46(06)：1-20.

基金项目：中国海洋大学成人高等教育研究课题（202005）

作者：姜鹏、孙祥林、刘宏坤（中国海洋大学网络与信息中心）、赵正利（中国海洋大学教育系）

责编：郑艺龙

投稿、转载或合作，请联系：eduinfo@cernet.com