数据基础设施密码应用方案报告

一、方案概述

1.1 编制背景

为支撑国家数据基础设施建设，保障数据要素跨主体、跨区域、跨行业流通全流程的安全可信，依据全国数据标准化技术委员会（SAC/TC609）发布的数据基础设施系列技术规范，针对区域 / 行业功能节点、可信数据空间服务平台、接入连接器等核心组件，构建覆盖数据采集、传输、存储、加工、使用、销毁全生命周期的密码应用体系，为数据 “可用不可见、可控可计量、可追溯可审计” 提供底层密码支撑，保障数据要素市场化配置安全有序推进。

1.2 编制依据

本方案基于以下标准与技术文件编制：

1. TC609-6-2025-11《数据基础设施 区域 / 行业功能节点技术要求》
2. TC609-6-2025-12《数据基础设施 接入管理》
3. TC609-6-2025-13《数据基础设施 安全能力通用要求》
4. TC609-6-2025-14《可信数据空间 数字合约技术要求》
5. TC609-6-2025-15《可信数据空间 使用控制技术要求》
6. TC609-6-2025-16《可信数据空间 技术能力评价规范》
7. GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》
8. GB/T 32905-2016《信息安全技术 SM3 密码杂凑算法》
9. GB/T 32907-2016《信息安全技术 SM4 分组密码算法》
10. GM/T 0024-2023《SSL VPN 技术规范》

1.3 建设目标

构建 “全域统一、全链覆盖、分级适配、合规可测” 的密码应用体系，实现全域身份互认、数据全链路加密、操作全流程存证、行为全维度管控，满足网络安全等级保护三级及商用密码应用安全性评估要求，为数据基础设施可信流通提供内生安全底座。

二、密码应用总体原则

1. 全生命周期覆盖原则

密码能力贯穿数据采集、传输、存储、加工、使用、销毁全流程，覆盖身份、标识、合约、策略、日志全要素，形成无缝衔接的闭环防护链条。

2. 内生安全原则

将密码能力作为数据基础设施的核心原生组件，与各功能模块同步规划、同步建设、同步运行，深度融入身份体系、业务流程、系统栈与日志体系，提供原生可信防护能力。

3. 体系化协同防护原则

构建多层次纵深防御体系，推动各组件密码能力协同联动，适配跨域、跨主体、跨系统的数据流通场景，实现全域信任传递、安全协同与统一管控。

4. 分级分类适配原则

基于数据分级分类结果匹配差异化密码防护策略；同时区分基础级与扩展级能力档位，适配不同建设阶段、不同业务场景的安全需求。

5. 标准合规原则

严格遵循国家网络安全等级保护、商用密码应用相关法律法规与标准规范，确保密码应用合规可测、可审计、可验证。

三、密码应用总体架构

本方案采用 “一底座、三层级、全流程” 的密码应用架构：

• 一个信任底座：以国家商用密码算法体系为核心，构建统一身份信任、标识信任、存证信任三大基础能力，为上层所有业务组件提供标准化密码支撑。

• 三级节点覆盖：密码能力嵌入全域 / 区域 / 行业功能节点、可信数据空间服务平台、接入连接器三级业务节点，实现基础设施全层级密码防护。

• 全流程嵌入：密码能力贯穿数字合约签署、数据交付、使用控制、存证审计全业务流程，保障数据流通每个环节的安全可信。

四、核心组件密码应用详细要求

4.1 区域 / 行业功能节点密码应用

区域 / 行业功能节点是 “统一目录标识、统一身份登记、统一接口要求” 服务的核心载体，密码应用覆盖管理、运营、公共服务全模块：

1、主体身份管理密码能力

• 采用数字证书、去中心化身份（DID）、密钥等多类型身份凭证，结合账号口令、多因素认证（MFA）实现接入主体、业务节点、接入连接器的身份核验。

• 基于全域可信根证书实现跨域身份互认，保障跨区域 / 行业身份凭证的核验与认可；身份信息传输与存储采用国密算法加密，敏感信息隔离存储。

2、接入连接器管理密码能力

• 支持接入连接器与功能节点间、接入连接器之间的双向身份认证，基于连接器身份密钥与数字证书完成合法性校验。

• 心跳上报报文附加完整性校验，实时监控连接器运行状态，保障状态数据真实不可篡改。

3、数据资源与产品管理密码能力

• 数据资源、产品登记信息完成合规性校验后，基于标识规范完成标识赋码，标识生成、传输、存储过程符合商用密码应用安全要求。

• 数据目录跨节点上报与同步采用密码技术保障完整性，防止目录信息被篡改。

4、存证服务密码能力

• 采用密码技术、可信计算技术或对接区块链平台，保障存证信息的完整性、不可否认性、可追溯性与不可篡改性。

• 支持基于存证信息还原完整交付过程，为争议解决提供可信数据支撑。

5、接口与交互密码能力

• 所有对外服务接口具备身份认证、权限控制、防重放攻击、防数据泄露能力，接口调用需进行数字签名验证。

• 跨节点数据交互采用符合 GM/T 0024 标准的国密 SSL 协议，保障传输机密性与完整性。

4.2 可信数据空间服务平台密码应用

可信数据空间服务平台是数据流通运营的核心载体，密码应用围绕数据全流程安全展开：

1、身份管理密码能力

• 对接权威身份注册平台，基于密码技术完成用户身份注册、登录认证、更新与注销全生命周期管理。

• 用户身份凭证加密存储，所有平台操作关联身份标识，保障操作主体可信可追溯。

2、数字合约安全能力

• 完整性保障：通过数字签名、区块链、可信执行环境等技术，确保数字合约在生成、协商、备案、履行全流程不被篡改，数据使用前自动校验合约完整性。

• 真实性保障：基于符合国家密码管理要求的身份认证机制，确认合约签署各方身份真实，通过电子签名确保签署行为不可否认。

• 机密性保障：对合约中的敏感字段采用标准密码算法加密，传输过程走加密通道，仅授权主体可查询合约内容。

3、数据产品安全能力

• 基于数据敏感性、重要性实施分类分级，匹配差异化密码防护策略。

• 数据传输采用加密、数字签名技术保障机密性与完整性；数据存储采用加密存储与访问控制机制。

• 集成数据沙箱、可信执行环境（TEE）等安全计算环境，结合隐私保护计算技术，保障数据计算过程安全。

4、空间运行安全能力

• 对数据流通、使用等关键操作全量记录日志，采用哈希校验、区块链存证等防篡改技术保障日志真实完整。

• 建立标准化审计机制，基于可信日志开展合规审计，保障空间运行可追溯、可监管。

4.3 接入连接器密码应用

接入连接器是数据供需双方接入基础设施的入口，密码应用聚焦本地数据安全与跨主体交互安全：

1、身份管理密码能力

• 实现与对端连接器、功能节点的双向身份验证，通过唯一标识比对与密钥核验确认对方身份可信。

• 支持本地用户多因素认证与密钥核验，连接器身份密钥等敏感信息加密存储，禁止非授权导出。

2、数据交付密码能力

• 基于数字合约要求对交付数据进行加密、脱敏预处理，支持通过隐私保护计算、数据沙箱等安全方式交付数据。

• 数据传输采用密码技术保障完整性与机密性；交付记录生成签名存证，并按要求上报服务平台。

3、数据使用控制密码能力

• 数据使用环境支持通过 TPCM、TPM、TEE 等可信计算模块实现环境可信度量，确保执行环境未被篡改。

• 对算法、模型、应用程序进行可信认证或数字签名校验，确保仅授权程序可使用数据。

• 数据存储全程加密，使用过程通过密态计算、隐私计算保障原始数据不泄露；使用后按策略自动销毁数据。

4、互操作密码能力

• 连接器间通信采用 HTTPS 协议，安全层基于 SM2 非对称加密、SM3 摘要算法实现 TLS/SSL 安全传输。

• 请求与应答报文头携带身份签名信息，确保报文来源可信、内容完整。

4.4 数字合约体系密码应用

数字合约是数据流通的规则载体，密码技术保障合约全生命周期可信：

1. 创建与协商阶段：合约模板采用数字签名保障来源可信；协商过程加密传输，每次修订保留版本记录与签名信息，确保协商历史可追溯、不可篡改。
2. 签署阶段：签署各方基于合法身份凭证生成数字签名，签名包含合约标识码、签署时间等信息；签署完成后自动校验各方签名有效性，验证通过后方可生效。
3. 备案阶段：已签署合约采用加密与完整性保护技术备案存储；支持版本管理，所有版本保留哈希校验值，支持历史版本追溯审计。
4. 履行阶段：履约前自动验证合约签名真实性；履约过程日志采用不可篡改技术存储，策略执行节点定期上报履行状态，形成可审计的履约轨迹。
5. 终止阶段：终止操作需身份认证与签名验证，生成含终止原因、时间与签名的终止凭证；按约定执行数据销毁并生成销毁证明。

4.5 数据使用控制体系密码应用

使用控制是保障数据 “可用不可见” 的核心技术，密码技术支撑策略全生命周期可信执行：

1. 策略全链路安全：策略下发前进行数字签名验签，确保来源可信、内容未篡改；策略传输采用加密通道；本地存储采用防篡改机制，与对应数据产品绑定。
2. 执行环境可信：采用隔离技术分隔不同数据任务；使用前对执行环境做完整性验证；高安全场景采用硬件可信技术保障计算与存储操作可信执行。
3. 使用过程防护：高敏感数据计算采用隐私保护计算、密态计算技术，保障中间数据与计算结果机密性；数据使用后自动销毁，删除后不可检索访问。

4.6 存证审计体系密码应用

存证审计是数据流通可监管的核心支撑，密码技术保障存证信息可信：

1. 全流程日志存证：覆盖合约、数据交付、策略执行、运维操作全流程；采用哈希链式存储、区块链存证等技术保障日志不可篡改。
2. 查验与审计追溯：日志查询需身份鉴权；跨节点审计数据加密上报，支撑合规审计与争议溯源。
3. 不可否认性保障：关键操作日志附加主体数字签名与时间戳；采用分布式多节点备份，保障存证数据可用性与完整性。

五、密码技术支撑体系

5.1 密码算法体系

全面遵循国家商用密码标准，构建统一算法体系：

• 非对称密码：SM2 算法，用于身份认证、数字签名、密钥协商。

• 摘要算法：SM3 算法，用于数据完整性校验、日志哈希、合约摘要。

• 对称密码：SM4 算法，用于敏感数据存储加密、传输加密。

• 传输层协议：符合 GM/T 0024 标准的国密 SSL 协议，保障网络传输安全。

• 隐私计算密码：支撑安全多方计算、同态加密、联邦学习等技术，实现数据 “可用不可见”。

5.2 身份信任体系

构建全域统一的分布式身份信任体系：

• 统一发放 DID、数字证书等身份凭证，覆盖所有参与主体与系统组件。

• 支持多因素认证，高权限操作强制双因子验证。

• 基于全域可信根实现跨区域、跨行业身份互认与状态同步。

• 覆盖身份注册、审核、更新、注销全生命周期管控，关键操作密码鉴权。

5.3 数据全生命周期密码防护

• 采集：数据源身份核验，采集数据完整性校验。

• 传输：全链路国密加密通道，端到端机密性与完整性保障。

• 存储：敏感数据 SM4 加密存储，数据与密钥分离管理。

• 加工使用：隐私计算、TEE、数据沙箱保障加工过程原始数据不泄露。

• 销毁：密码学删除方式，销毁解密密钥确保数据不可恢复。

5.4 可信存证体系

融合哈希链式存证、区块链存证、可信计算存证多种技术，覆盖全业务场景，保障存证内容的完整性、不可篡改性、不可否认性与可追溯性。

5.5 接口与互操作密码防护

所有标准化接口启用身份认证与签名校验，具备防重放攻击能力；跨组件、跨节点互操作遵循统一密码协议，保障异构系统安全互联互通。

六、分级能力适配要求

依据可信数据空间技术能力评价规范，密码应用能力分为基础级与扩展级，适配不同建设阶段。

6.1 基础级密码能力

为可信数据空间最小能力集，满足基本安全合规要求：

• 身份安全：支持用户与连接器身份认证、密钥管理，实现登录身份核验。

• 传输安全：国密算法保障数据传输机密性与完整性。

• 合约安全：数字合约完整性校验、真实性验证。

• 数据安全：数据存储与传输加密，基本分级防护。

• 存证安全：关键操作日志记录与基础防篡改。

• 合规基础：满足网络安全等级保护三级基本密码要求。

6.2 扩展级密码能力

面向行业级、区域级复杂流通场景，在基础级之上增强能力：

• 身份安全：跨域身份互认、DID 体系、异构连接器双向认证。

• 合约安全：区块链存证、全链路合约加密、智能合约履约支撑。

• 数据安全：隐私计算、可信执行环境、密态计算等高级计算安全。

• 存证安全：全量日志区块链存证，跨节点审计追溯。

• 环境安全：TPCM/TPM/TEE 硬件可信度量，全栈运行环境可信。

• 运营安全：密码资源统一管控、密钥全生命周期管理、异常行为告警。

七、安全管理与合规要求

7.1 组织与制度保障

• 设立数据安全管理专职部门与岗位，配备专职安全管理员且不可兼任，明确密码管理职责。

• 建立战略级、管理级、操作级三级密码安全管理制度，覆盖密钥管理、密码设备管理、应急响应、人员保密等维度。

• 关键岗位签署保密协议与岗位责任书；人员离岗立即回收权限与密钥，触发全域权限冻结。

7.2 合规性要求

• 等级保护合规：相关信息系统至少满足 GB/T 22239-2019 第三级安全要求。

• 商密应用合规：关键场景全面采用国密算法，定期开展商用密码应用安全性评估。

• 数据安全合规：符合《数据安全法》《个人信息保护法》要求，密码应用与数据分类分级深度结合。

7.3 应急与运维保障

• 制定密码安全应急预案，覆盖密钥泄露、系统攻击、数据泄露等场景。

• 每年至少开展 1 次应急演练，高风险场景增加频次，演练记录留存不少于 3 年。

• 建立漏洞快速响应机制，及时修复密码组件漏洞；管理员账户与敏感操作强制多因素认证，运维操作全程留痕审计。

八、实施建议

1. 同步规划建设：将密码应用与数据基础设施各组件同步规划、设计、实施，避免事后补建带来的架构改造成本。
2. 分阶段落地推进：优先建设基础级密码能力，保障核心业务安全合规；逐步扩展高级密码能力，支撑复杂流通场景创新。
3. 第三方测评验证：建设完成后委托具备资质的第三方机构开展等级保护测评与商用密码应用安全性评估，验证能力合规性。
4. 持续运营优化：建立密码能力常态化监测机制，定期开展安全审计与风险评估，结合业务发展与技术演进持续优化防护体系。

|（注：个人观点）