一、方案概述1.1 编制背景为支撑国家数据基础设施建设保障数据要素跨主体、跨区域、跨行业流通全流程的安全可信依据全国数据标准化技术委员会SAC/TC609发布的数据基础设施系列技术规范针对区域 / 行业功能节点、可信数据空间服务平台、接入连接器等核心组件构建覆盖数据采集、传输、存储、加工、使用、销毁全生命周期的密码应用体系为数据 “可用不可见、可控可计量、可追溯可审计” 提供底层密码支撑保障数据要素市场化配置安全有序推进。1.2 编制依据本方案基于以下标准与技术文件编制TC609-6-2025-11《数据基础设施 区域 / 行业功能节点技术要求》TC609-6-2025-12《数据基础设施 接入管理》TC609-6-2025-13《数据基础设施 安全能力通用要求》TC609-6-2025-14《可信数据空间 数字合约技术要求》TC609-6-2025-15《可信数据空间 使用控制技术要求》TC609-6-2025-16《可信数据空间 技术能力评价规范》GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》GB/T 32905-2016《信息安全技术 SM3 密码杂凑算法》GB/T 32907-2016《信息安全技术 SM4 分组密码算法》GM/T 0024-2023《SSL VPN 技术规范》1.3 建设目标构建 “全域统一、全链覆盖、分级适配、合规可测” 的密码应用体系实现全域身份互认、数据全链路加密、操作全流程存证、行为全维度管控满足网络安全等级保护三级及商用密码应用安全性评估要求为数据基础设施可信流通提供内生安全底座。二、密码应用总体原则1. 全生命周期覆盖原则密码能力贯穿数据采集、传输、存储、加工、使用、销毁全流程覆盖身份、标识、合约、策略、日志全要素形成无缝衔接的闭环防护链条。2. 内生安全原则将密码能力作为数据基础设施的核心原生组件与各功能模块同步规划、同步建设、同步运行深度融入身份体系、业务流程、系统栈与日志体系提供原生可信防护能力。3. 体系化协同防护原则构建多层次纵深防御体系推动各组件密码能力协同联动适配跨域、跨主体、跨系统的数据流通场景实现全域信任传递、安全协同与统一管控。4. 分级分类适配原则基于数据分级分类结果匹配差异化密码防护策略同时区分基础级与扩展级能力档位适配不同建设阶段、不同业务场景的安全需求。5. 标准合规原则严格遵循国家网络安全等级保护、商用密码应用相关法律法规与标准规范确保密码应用合规可测、可审计、可验证。三、密码应用总体架构本方案采用 “一底座、三层级、全流程” 的密码应用架构一个信任底座以国家商用密码算法体系为核心构建统一身份信任、标识信任、存证信任三大基础能力为上层所有业务组件提供标准化密码支撑。三级节点覆盖密码能力嵌入全域 / 区域 / 行业功能节点、可信数据空间服务平台、接入连接器三级业务节点实现基础设施全层级密码防护。全流程嵌入密码能力贯穿数字合约签署、数据交付、使用控制、存证审计全业务流程保障数据流通每个环节的安全可信。四、核心组件密码应用详细要求4.1 区域 / 行业功能节点密码应用区域 / 行业功能节点是 “统一目录标识、统一身份登记、统一接口要求” 服务的核心载体密码应用覆盖管理、运营、公共服务全模块1、主体身份管理密码能力采用数字证书、去中心化身份DID、密钥等多类型身份凭证结合账号口令、多因素认证MFA实现接入主体、业务节点、接入连接器的身份核验。基于全域可信根证书实现跨域身份互认保障跨区域 / 行业身份凭证的核验与认可身份信息传输与存储采用国密算法加密敏感信息隔离存储。2、接入连接器管理密码能力支持接入连接器与功能节点间、接入连接器之间的双向身份认证基于连接器身份密钥与数字证书完成合法性校验。心跳上报报文附加完整性校验实时监控连接器运行状态保障状态数据真实不可篡改。3、数据资源与产品管理密码能力数据资源、产品登记信息完成合规性校验后基于标识规范完成标识赋码标识生成、传输、存储过程符合商用密码应用安全要求。数据目录跨节点上报与同步采用密码技术保障完整性防止目录信息被篡改。4、存证服务密码能力采用密码技术、可信计算技术或对接区块链平台保障存证信息的完整性、不可否认性、可追溯性与不可篡改性。支持基于存证信息还原完整交付过程为争议解决提供可信数据支撑。5、接口与交互密码能力所有对外服务接口具备身份认证、权限控制、防重放攻击、防数据泄露能力接口调用需进行数字签名验证。跨节点数据交互采用符合 GM/T 0024 标准的国密 SSL 协议保障传输机密性与完整性。4.2 可信数据空间服务平台密码应用可信数据空间服务平台是数据流通运营的核心载体密码应用围绕数据全流程安全展开1、身份管理密码能力对接权威身份注册平台基于密码技术完成用户身份注册、登录认证、更新与注销全生命周期管理。用户身份凭证加密存储所有平台操作关联身份标识保障操作主体可信可追溯。2、数字合约安全能力完整性保障通过数字签名、区块链、可信执行环境等技术确保数字合约在生成、协商、备案、履行全流程不被篡改数据使用前自动校验合约完整性。真实性保障基于符合国家密码管理要求的身份认证机制确认合约签署各方身份真实通过电子签名确保签署行为不可否认。机密性保障对合约中的敏感字段采用标准密码算法加密传输过程走加密通道仅授权主体可查询合约内容。3、数据产品安全能力基于数据敏感性、重要性实施分类分级匹配差异化密码防护策略。数据传输采用加密、数字签名技术保障机密性与完整性数据存储采用加密存储与访问控制机制。集成数据沙箱、可信执行环境TEE等安全计算环境结合隐私保护计算技术保障数据计算过程安全。4、空间运行安全能力对数据流通、使用等关键操作全量记录日志采用哈希校验、区块链存证等防篡改技术保障日志真实完整。建立标准化审计机制基于可信日志开展合规审计保障空间运行可追溯、可监管。4.3 接入连接器密码应用接入连接器是数据供需双方接入基础设施的入口密码应用聚焦本地数据安全与跨主体交互安全1、身份管理密码能力实现与对端连接器、功能节点的双向身份验证通过唯一标识比对与密钥核验确认对方身份可信。支持本地用户多因素认证与密钥核验连接器身份密钥等敏感信息加密存储禁止非授权导出。2、数据交付密码能力基于数字合约要求对交付数据进行加密、脱敏预处理支持通过隐私保护计算、数据沙箱等安全方式交付数据。数据传输采用密码技术保障完整性与机密性交付记录生成签名存证并按要求上报服务平台。3、数据使用控制密码能力数据使用环境支持通过 TPCM、TPM、TEE 等可信计算模块实现环境可信度量确保执行环境未被篡改。对算法、模型、应用程序进行可信认证或数字签名校验确保仅授权程序可使用数据。数据存储全程加密使用过程通过密态计算、隐私计算保障原始数据不泄露使用后按策略自动销毁数据。4、互操作密码能力连接器间通信采用 HTTPS 协议安全层基于 SM2 非对称加密、SM3 摘要算法实现 TLS/SSL 安全传输。请求与应答报文头携带身份签名信息确保报文来源可信、内容完整。4.4 数字合约体系密码应用数字合约是数据流通的规则载体密码技术保障合约全生命周期可信创建与协商阶段合约模板采用数字签名保障来源可信协商过程加密传输每次修订保留版本记录与签名信息确保协商历史可追溯、不可篡改。签署阶段签署各方基于合法身份凭证生成数字签名签名包含合约标识码、签署时间等信息签署完成后自动校验各方签名有效性验证通过后方可生效。备案阶段已签署合约采用加密与完整性保护技术备案存储支持版本管理所有版本保留哈希校验值支持历史版本追溯审计。履行阶段履约前自动验证合约签名真实性履约过程日志采用不可篡改技术存储策略执行节点定期上报履行状态形成可审计的履约轨迹。终止阶段终止操作需身份认证与签名验证生成含终止原因、时间与签名的终止凭证按约定执行数据销毁并生成销毁证明。4.5 数据使用控制体系密码应用使用控制是保障数据 “可用不可见” 的核心技术密码技术支撑策略全生命周期可信执行策略全链路安全策略下发前进行数字签名验签确保来源可信、内容未篡改策略传输采用加密通道本地存储采用防篡改机制与对应数据产品绑定。执行环境可信采用隔离技术分隔不同数据任务使用前对执行环境做完整性验证高安全场景采用硬件可信技术保障计算与存储操作可信执行。使用过程防护高敏感数据计算采用隐私保护计算、密态计算技术保障中间数据与计算结果机密性数据使用后自动销毁删除后不可检索访问。4.6 存证审计体系密码应用存证审计是数据流通可监管的核心支撑密码技术保障存证信息可信全流程日志存证覆盖合约、数据交付、策略执行、运维操作全流程采用哈希链式存储、区块链存证等技术保障日志不可篡改。查验与审计追溯日志查询需身份鉴权跨节点审计数据加密上报支撑合规审计与争议溯源。不可否认性保障关键操作日志附加主体数字签名与时间戳采用分布式多节点备份保障存证数据可用性与完整性。五、密码技术支撑体系5.1 密码算法体系全面遵循国家商用密码标准构建统一算法体系非对称密码SM2 算法用于身份认证、数字签名、密钥协商。摘要算法SM3 算法用于数据完整性校验、日志哈希、合约摘要。对称密码SM4 算法用于敏感数据存储加密、传输加密。传输层协议符合 GM/T 0024 标准的国密 SSL 协议保障网络传输安全。隐私计算密码支撑安全多方计算、同态加密、联邦学习等技术实现数据 “可用不可见”。5.2 身份信任体系构建全域统一的分布式身份信任体系统一发放 DID、数字证书等身份凭证覆盖所有参与主体与系统组件。支持多因素认证高权限操作强制双因子验证。基于全域可信根实现跨区域、跨行业身份互认与状态同步。覆盖身份注册、审核、更新、注销全生命周期管控关键操作密码鉴权。5.3 数据全生命周期密码防护采集数据源身份核验采集数据完整性校验。传输全链路国密加密通道端到端机密性与完整性保障。存储敏感数据 SM4 加密存储数据与密钥分离管理。加工使用隐私计算、TEE、数据沙箱保障加工过程原始数据不泄露。销毁密码学删除方式销毁解密密钥确保数据不可恢复。5.4 可信存证体系融合哈希链式存证、区块链存证、可信计算存证多种技术覆盖全业务场景保障存证内容的完整性、不可篡改性、不可否认性与可追溯性。5.5 接口与互操作密码防护所有标准化接口启用身份认证与签名校验具备防重放攻击能力跨组件、跨节点互操作遵循统一密码协议保障异构系统安全互联互通。六、分级能力适配要求依据可信数据空间技术能力评价规范密码应用能力分为基础级与扩展级适配不同建设阶段。6.1 基础级密码能力为可信数据空间最小能力集满足基本安全合规要求身份安全支持用户与连接器身份认证、密钥管理实现登录身份核验。传输安全国密算法保障数据传输机密性与完整性。合约安全数字合约完整性校验、真实性验证。数据安全数据存储与传输加密基本分级防护。存证安全关键操作日志记录与基础防篡改。合规基础满足网络安全等级保护三级基本密码要求。6.2 扩展级密码能力面向行业级、区域级复杂流通场景在基础级之上增强能力身份安全跨域身份互认、DID 体系、异构连接器双向认证。合约安全区块链存证、全链路合约加密、智能合约履约支撑。数据安全隐私计算、可信执行环境、密态计算等高级计算安全。存证安全全量日志区块链存证跨节点审计追溯。环境安全TPCM/TPM/TEE 硬件可信度量全栈运行环境可信。运营安全密码资源统一管控、密钥全生命周期管理、异常行为告警。七、安全管理与合规要求7.1 组织与制度保障设立数据安全管理专职部门与岗位配备专职安全管理员且不可兼任明确密码管理职责。建立战略级、管理级、操作级三级密码安全管理制度覆盖密钥管理、密码设备管理、应急响应、人员保密等维度。关键岗位签署保密协议与岗位责任书人员离岗立即回收权限与密钥触发全域权限冻结。7.2 合规性要求等级保护合规相关信息系统至少满足 GB/T 22239-2019 第三级安全要求。商密应用合规关键场景全面采用国密算法定期开展商用密码应用安全性评估。数据安全合规符合《数据安全法》《个人信息保护法》要求密码应用与数据分类分级深度结合。7.3 应急与运维保障制定密码安全应急预案覆盖密钥泄露、系统攻击、数据泄露等场景。每年至少开展 1 次应急演练高风险场景增加频次演练记录留存不少于 3 年。建立漏洞快速响应机制及时修复密码组件漏洞管理员账户与敏感操作强制多因素认证运维操作全程留痕审计。八、实施建议同步规划建设将密码应用与数据基础设施各组件同步规划、设计、实施避免事后补建带来的架构改造成本。分阶段落地推进优先建设基础级密码能力保障核心业务安全合规逐步扩展高级密码能力支撑复杂流通场景创新。第三方测评验证建设完成后委托具备资质的第三方机构开展等级保护测评与商用密码应用安全性评估验证能力合规性。持续运营优化建立密码能力常态化监测机制定期开展安全审计与风险评估结合业务发展与技术演进持续优化防护体系。|注个人观点