文 | 中国移动通信集团湖南有限公司 李湘宁 陈霖 梁坤

随着互联网技术的飞速发展和数字经济的快速推进，全球数据量呈现出指数级增长、海量聚集的特点。电信运营商作为国内基础通信网络的提供者，电信运营商在其应用系统中流转着海量个人用户和政企客户的重要数据信息。因此，在对基础电信运营商的企业应用中，对结构化数据、非结构化数据中的海量的敏感数据进行密码技术保护，是网络安全和数据安全防护体系中必不可少的技术手段。

一、运营商密码改造具有重要意义

《中华人民共和国密码法》重塑了全新的具有中国特色的商用密码管理体系，提出了应对国内外日益严峻的网络安全态势的创新商用密码管理体系的方案。该密码法强调了要加强商用密码应用的事中事后管理，特别是关键信息基础设施的商用密码保护。同时，面对数字经济的飞速发展，该法还将推进商用密码产品管理的放管服变革，进一步激励商用密码产业的发展。

新修订的《商用密码管理条例》规定，“网络运营者应当按照国家网络安全等级保护制度要求，使用商用密码保护网络安全”。商用密码应用安全性评估也从“推荐性”改编为“强制性”。为满足国家发布的密码行业法律、政策、标准等，应以实现密码自主可控、安全可靠为目标，推动国产化信息安全产品的研发和使用，努力建立健全密码产品体系及管理体制，推进信息产品、密码产品的国产化替代，进行相关行业的国产密码算法改造。

中国移动作为国内最大的基础电信企业，高度重视网络安全与商用密码推进工作。为落实国家相关政策，使用密码技术保护数据安全，中国移动近年来持续扩大商用密码的应用场景，商用密码应用规模逐步扩大。由于启动密码改造的时间较短，仍然存在多个信息系统未进行国密算法改造、未使用合规的密码产品、密码建设分散化等问题，业务扩展能力严重受限等情况。因此，不断扩展和探索国密算法在运营商的应用场景是十分必要的。

二、密码改造难点及应对

电信行业的运营域承载的业务包括语音、数据、多媒体等，其承载的重要系统汇聚了大量的网络数据和敏感数据，比如信令、告警、故障、网络资源等。在身份鉴别、数据传输、数据存储、密钥管理方面对于商用密码使用的需求都比较高，尤其是在不引起业务中断的情况下完成改造，以及改造后的高可用方面，有更高的要求，对其实行密码改造的意义重大。

本文以运营域中的漏洞管理系统和网络投诉管理系统两个业务系统为例，阐述相关的改造实践经验。

（一）改造目标及难点分析

运营商漏洞管理系统主要面向安全管理员提供资产漏洞管理；网络投诉管理系统主要支撑投诉预警预测、投诉预处理拦截、投诉处理闭环、投诉智能分析可视化的全过程管控。

本次改造目标主要是基于商用密码技术，实现在漏洞管理系统和网络投诉管理系统数据库中对敏感数据文件提供动态加解密能力，并根据权限提供解密范围服务；同时基于用户权限实现数据访问安全机制，对系统的敏感数据进行加密/ 脱敏处理，保证敏感数据不外泄。

按照 GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》，密码改造包含了物理和环境安全、网络与通信安全、设备和计算安全、应用和数据安全以及相应的管理制度和运行、应急处置等要求。其中，应用和数据安全的权重最高，也是密码改造中的重点。

在密码改造中面临如下难点：一是基于合规算法的身份认证。运营商普遍采用 4A 系统向移动内部员工以及第三方人员安全的访问企业内部资产提供身份认证，如何采用合规的密码算法和密码技术进行身份认证，也是本次改造的难点之一。二是难以实现代码调整。由于这两个业务系统已经上线运行，如果以代码开发改造方式为其增强和补充密码等安全能力，需要对应用代码进行调整，将面临成本高、周期长、风险大等问题。三是密文数据的模糊查询。采用密码技术对敏感业务数据加密存储后，检索方式只能是完全匹配，如果是模糊匹配的话，根本匹配不了，如何实现数据加密后的快速模糊查询也是本次密码应用需要解决的难点。四是密码服务的高可用。运营商的业务系统对服务连续性要求较高，密文数据都需要通过密码基础设施和数据库透明加密组件才能提供服务；另外，在紧急情况下，还需要对数据库的密文数据进行应急解密。因此，密码服务的高可用性需要采用合适的方式进行解决。

（二）密码改造方案简述

为了解决以上改造难点，本方案主要进行了以下技术创新。一是基于密码技术单点登录认证。方案采用 SM2 数字证书和 4A 系统、堡垒机等联动，通过权限和策略配置，实现系统资源的单点登录和细粒度授权访问。二是多方案融合实现应用免改造技术。通过数据库透明加密组件透明拦截所有 SQL 语句，不改变应用系统原有的运行机制，实现应用免改造。通过密钥与策略管理中心灵活的策略管理，实现针对重要数据的灵活加解密和数据脱敏。三是密文模糊查询。数据插入时，将需要支持模糊查询的特征数据，分段加密并存储；查询时，将条件加密后，与特征数据密文进行匹配，以达到密文查询的功能。四是系统高可用技术。在高可用方面，采用了分布式部署、系统高可用、应急刷库工具等方式，确保加密功能的高可用和应急处理，实现业务系统的高可用性。

基于以上改造思路，在改造过程中通过数据库加密、应用免改造，在漏洞管理系统、网络投诉管理系统代码免改造的情况下，实现了重要数据的加密和按策略脱敏。方案技术结构如图所示，主要包含密码基础设施、密钥与策略管理中心和数据库透明加密组件。

图 方案技术结构

各模块功能如下：一是密码基础设施作为整个方案技术架构的密码基础支撑，为整个密钥与策略管理中心提供密码机管理、密钥计算、密码运算、签名验签、加密组件接口管理和密码机集群管理服务。二是密钥与策略管理中心集中统一管理加密策略和密钥，通过可视化界面便捷地进行策略的设置。其内部包含两个模块：数据库加密策略管理模块和密钥管理模块，数据库加密策略管理模块提供可视化管理控制台，管理员可进行加解密权限规则的设置。密钥管理模块实现多密钥和多算法的统一管理以及安全认证。三是数据库透明加密组件部署在业务系统侧，负责数据库的透明加解密，实现应用系统的免改造。四是支撑的业务系统是指所采用商用密码算法进行加密保护的业务系统。

方案中的关键技术包括：一是免代码加密改造。在应用系统和数据库之间部署数据库透明加密组件，业务系统只需把指向数据库的 IP 地址修改成指向透明加 密组件的 IP 地址， 并对数据库字段进行简单的调整，即可实现数据库加密存储，从而不需要对原有的应用系统代码进行改造，实现数据加密快速上线，能在较短时间以低风险实现数据安全防护效果。二是密态数据库的使用。数据加密存储可以保护数据的机密性，但同时也对数据的可用性造成了影响。在本方案中对密态数据库查询请求时，查询由系统发起，并经过数据库透明加密组件进行 SQL 语句的解析、改写、加解密和执行操作。三是密文模糊查询。对个人姓名、手机号和身份证号等特殊数据通过采用格式保留加密（Format Preserving Encryption，FPE）算法进行数据脱敏。根据分段规则使用 SM4-CMAC 算法计算自定义模糊查询中分段内容数据，并在 HASH 字段存储 CMAC 值，在查询时，使用该字段进行匹配。四是多种密码算法的融合应用。本项目改造使用了 SM2/SM3/SM4/SM9 算法，其中 SM2 算法用于密钥申请、密钥分发，安全合规；SM3 算法用于数据的完整性保护，有效可靠；SM4 算法用于数据加密，高速高效；SM9 算法用于基于用户加密策略的分发与验证、外围导出密文数据时的密钥封装等场景，简单快捷。

三、方案效果及实施

基于国密算法和数据库透明加密方案已通过较长时间测试验证，可保障现有业务系统所有功能的正常运行，为漏洞管理系统、网络投诉管理系统提供加密服务。后期可根据需要对接其他应用，提供数据安全能力。

（一）方案实现效果

透明加密。支持漏洞管理系统、网络投诉管理系统仅修改访问的数据库 IP 地址，不需要任何代码改造，即可实现插入记录后敏感字段为密文数据，查询时为明文数据。

按需加密。支持漏洞管理系统、网络投诉管理系统可以根据实际需求选择对敏感的字段进行加密，可对不同字段采用不同加密算法、不同密钥进行加密。即使数据库文件被非法复制或者存储文件丢失，也不会导致真实敏感数据的泄露。

策略可视化管理。通过密钥和策略管理中心实现对系统策略的统一可视化管理，通过可视化管理界面对漏洞管理系统、网络投诉管理系统的敏感字段策略进行配置。

特殊字段格式不变。采用 SM4-FPE 算法字段加密后仍然保留原来的格式，数据长度/类型与明文时的数据长度/类型相同，以便实现数据加密/脱敏处理，如手机号对外展现还是 11 位数字，但看不出是什么手机号码。

密文可用。支持漏洞管理系统、网络投诉管理系统中对已加密的数据字段精确匹配检索、模糊查询。

（二）密码应用实施步骤

为保证上线业务系统的稳定与可靠，采取三个阶段过渡的方式实施。第一阶段，在数据库中同时存在明文与密文，查询时使用明文，确保业务系统正常办理，以及密文的正确性；在一阶段测试无误之后，转为二阶段，该阶段还是会同时保存密文与明文，但是查询的时候会解密密文；在经历一、二阶段之后，即加密解密都运行正常、业务办理正常，过渡到第三阶段，数据库将只存在密文，查询时解密密文。

（本文刊登于《中国信息安全》杂志2023年第7期）