數據作為新的生產要素,其蘊含的價值日益凸顯,而安全問題卻愈發突出。密碼技術,是實現數據安全最經濟、最有效、最可靠的手段,對數據進行加密,并結合有效的密鑰保護手段,可在開放環境中實現對數據的強訪問控制,從而讓數據共享更安全、更有價值。隨著《密碼法》等“一法三規一條例”的落實,各行業對數據加密技術、產品和服務的重視程度不斷提升。
本文聚焦十種數據存儲加密技術,希望能夠幫助讀者快速了解數據存儲加密技術的全貌,并在用戶需要通過“加解密技術”進行自身核心數據資產的安全保護時,在場景適用性判斷、相關技術與產品選型等方面提供參考和幫助。
實戰與合規雙驅動
在“實戰與合規”共同驅動下,數據安全建設作為一種“不希望數據發生什么”的業務需求逐步被重視,將與之匹配的安全技術應用到信息系統業務場景,迫在眉睫。
從實戰角度看,當下的數據泄露事件頻發,面對新安全挑戰與新合規要求,企業安全防護體系正在從“以網絡為中心的安全”,升級到“側重以數據為中心的安全”。而密碼作為網絡安全的殺手锏技術和核心支撐,天然具備安全防護基因,是實現數據安全最經濟、最有效、最可靠的手段。尤其在政務、金融、交通文旅、央企、工業等行業,個人信息保護、商業秘密保護、國密合規等方面的建設亟待加速。
聚焦到數據實際流轉過程,在每個關鍵節點上,作為生產要素的數據都面臨著眾多威脅。通過對數據流轉中的威脅分析,選取關鍵安全增強點進行加密,用這種方式可以為數據重新塑造一個虛擬邊界,實現防范內外部安全威脅,是當前數據安全實戰防護的有效手段。
從合規角度看,數據安全技術迎來發展新趨勢:第一,數據安全技術正逐步獲得國家政策重視以及用戶認可,從頂層規劃到配套法律法規的不斷加碼,企業層面越發重視加密技術應用;第二,數據安全技術與業務的結合越來越緊密,業務應用層正成為數據安全建設的重點,將成為解決企業在平衡合規壓力、改造復雜業務和信息系統困境的關鍵所在;第三,數據安全技術應用擴展到各領域行業,如國家標準GB/T 39786-2021《信息安全技術 信息系統密碼應用基本要求》的發布,替代行標GM/T 0054-2018《信息系統密碼應用基本要求》,密碼技術的行業及場景適用性進一步延伸。
|
“新合規”政策條例列舉 |
||
|
層級 |
名稱 |
條例 |
|
國家頂層設計 |
《中共中央國務院關于構建更加完善的要素市場化配置體制機制的意見》 |
第六部分“加快培育數據要素市場”第22條:加強數據資源整合和安全保護。推動完善適用于大數據環境下的數據分類分級安全保護制度,加強對政務數據、企業商業秘密和個人數據的保護。 |
|
《中華人民共和國國民經濟和社會發展第十四個五年規劃和2035年遠景目標綱要》 |
第十八章第一節:加快推進數據安全、個人信息保護等領域基礎性立法,強化數據資源全生命周期安全保護。 第十八章第三節:加強網絡安全關鍵技術研發…… |
|
|
數據安全政策法規 |
《網絡安全法》 |
第二十一條:國家實行網絡安全等級保護制度。其安全保護義務第4條明確采取數據分類、重要數據備份和加密等措施。 |
|
《個人信息保護法(草案)》 |
第五十條第三款:采取相應的加密、去標識化等安全技術措施; 第六十二條:有前款規定的違法行為,情節嚴重的,由履行個人信息保護職責的部門責令改正,沒收違法所得,并處五千萬元以下或者上一年度營業額百分之五以下罰款… |
|
|
《數據安全法(草案)》 |
第十九條:國家根據數據在經濟社會發展中的重要程度,以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用,對國家安全、公共利益或者公民、組織合法權益造成的危害程度,對數據實行分級分類保護。 第二十五:采取相應的技術措施和其他必要措施,保障數據安全。 |
|
|
密碼產業政策法規 |
《密碼法》 |
二十七條:法律、行政法規和國家有關規定要求使用商用密碼進行保護的關鍵信息基礎設施,其運營者應當使用商用密碼進行保護。關鍵信息基礎設施運營者,應當自行或者委托商用密碼檢測機構開展商用密碼應用安全性評估。 |
|
《國務院辦公廳關于印發國家政務信息化項目建設管理辦法的通知》(國辦發〔2019〕57號) |
第四章第三十條:各部門應當嚴格遵守有關保密等法律法規規定,構建全方位、多層次、一致性的防護體系,按要求采用密碼技術,并定期開展密碼應用安全性評估,確保政務信息系統運行安全和政務信息資源共享交換的數據安全。 |
|
|
《貫徹落實網絡安全等級保護制度和關鍵信息基礎設施安全保護制度的指導意見》(公網安〔2020]1960號) |
第二部分第六點:落實密碼安全防護要求。網絡運營者應貫徹落實《密碼法》等有關法律法規規定和密碼應用相關標準規范。第三級以上網絡應正確、有效采用密碼技術進行保護,并使用符合相關要求的密碼產品和服務。 |
|
|
《關鍵信息基礎設施安全保護條例(征求意見稿)》 |
第四章第二十三條第四點:采取數據分類、重要數據備份和加密認證等措施。 |
|
|
《商用密碼管理條例》 |
第六章第三十八條:非涉密的關鍵信息基礎設施、網絡安全等級保護第三級以上網絡、國家政務信息系統等網絡與信息系統,其運營者應當使用商用密碼進行保護,制定商用密碼應用方案,配備必要的資金和專業人員,同步規劃、同步建設、同步運行商用密碼保障系統,自行或者委托商用密碼檢測機構開展商用密碼應用安全性評估。 |
|
數據安全本質上是由攻防對抗推動發展的,實戰是加密技術應用的內在需求,合規為加密技術推廣提供加速引擎,在實戰與合規雙驅動下,數據存儲加密技術在業務中的應用成為大勢所趨。
尋找數據流轉中的安全增強點
數據存儲加密防護的難點,在于如何對流轉中的數據主動實施加密等保護,確保數據不被泄露或篡改,這里的數據包括結構化與非結構化等類型。結構化數據一般是指可以使用關系型數據庫存儲和表示,表現為二維形式的數據,一般來講,結構化數據也就是傳統數據庫中的數據形式;非結構化數據,就是指沒有固定結構的數據,包括各種文檔、圖片、視頻、音頻等。
傳統的“數據庫加密”往往體現為密文數據存儲到數據庫后的情形,一般局限于結構化數據,而在企業實戰化場景中,數據庫只是數據處理的一個環節,因此,傳統的“數據庫存儲加密”是“數據存儲加密”的子集。
要對比各種數據存儲加密技術,煉石認為有多項評判指標:第一,應滿足加密防護能力融入業務流程,面向廣泛信息化應用,在復雜場景中提供有效防護;第二,能夠融合訪問控制、審計等其他安全技術,實現安全機制可靠有效;第三,優秀的權限控制能力,能夠根據不同屬性的人群,展開細粒度權限控制,實現權限最小化,有效防范內部越權、外部黑客拖庫等風險;第四,在節約企業成本,不影響企業業務正常運營的情況下,敏捷部署實施高性能的數據安全防護,有效控制實施風險。
本文以“數據”為中心,沿著數據流轉路徑,在典型B/S三層信息系統架構的多個數據業務處理點基礎上,綜合業內數據加密技術現狀,選取了10種代表性的存儲加密技術,并對其實現原理、應用場景,以及相應的優勢與挑戰進行解讀分析。
在實際應用中,要結合用戶場景和適用性需求,選擇一種或者組合多種存儲加密技術,優勢互補,打造“以密碼技術為核心,訪問控制、審計等多種安全技術相互融合”的數據安全防護體系,從而滿足企業多場景的實戰化及合規需求。
十種數據存儲加密技術的特性分析
技術一:DLP終端加密
原理解析
部署位置:終端
原理:DLP(Data Leakage Prevention)終端加密技術,目的是管理企業終端上(主要是PC端)的敏感數據,其原理是在受管控的終端上安裝代理程序,由代理程序與后臺管理平臺交互,并結合企業的數據管理要求和分級分類策略,對下載到終端的敏感數據進行加密,從而將加密應用到企業數據的日常流轉和存儲中。信息被讀取到內存中時會進行解密,而未授權復制到管控范圍外則是密文形式,主要適用于非結構化數據的保護。
應用場景
DLP終端加密技術主要適用于企業終端數據的安全管理,在原有安全防護能力之上,可有效增強以下場景的數據防護能力:
1)操作失誤或無意識外發導致技術數據泄漏;
2)通過打印、剪切、復制、粘貼、另存為、重命名等操作泄漏數據;
3)離職人員通過U盤、移動硬盤等方式隨意拷走機密資料;
4)移動筆記本被盜、丟失或維修等造成數據泄漏。
優勢
1、文件外發強管控。和其他終端安全技術相比,能夠強制實現重要敏感文件的外發管控,從而實現對數據的“事前防護”,可防范一定程度的“有意泄露”。
挑戰
1、終端適配困難、運維成本高。企業終端一般具有操作系統眾多、終端類型復雜、文檔使用場景多樣等特點,終端加密在落地應用時,易出現終端兼容適配困難、運維成本較高等問題。在移動終端,由于存在權限問題,技術落地難度大。
技術二:CASB代理網關
原理解析
部署位置:終端-應用服務器之間
原理:CASB代理網關(Cloud Access Security Broker)是一種委托式安全代理技術,將網關部署在目標應用的客戶端和服務端之間,無需改造目標應用,只需通過適配目標應用,對客戶端請求進行解析,并分析出其包含的敏感數據,結合用戶身份,并根據設置的安全策略對請求進行脫敏等訪問控制,可針對結構化數據和非結構化數據同時進行安全管控。
應用場景
隨著云的普及,傳統的IT架構正在發生變化。企業很多業務系統都托管在云服務商處,日常的很多工作,比如HR、社保、報銷、OA等工作事務的管理都有相應的SaaS服務可以采用,企業想要享受便捷的云服務,又不想失去對自身數據的控制權,則可以采用CASB代理網關技術。例如,最常見的一種安全防護場景是:能夠識別出一個用戶訪問云資源是使用的私人賬號還是企業賬號,以防止敏感數據從企業資源轉移到私人資源。
優勢
1、與業務結合的數據安全保護。CASB代理網關位于應用服務和用戶端之間,該位置可以獲取到豐富的業務上下文,可以基于用戶、資源、操作和業務屬性,靈活利用訪問者所對應屬性集合決定是否有權訪問目標數據,比如部門、區域、職位、動作、目標數據類型、時間,以及其他條件等,從而在復雜業務場景下實現對數據的安全防護。
挑戰
1、實施成本較高。為實現從客戶端請求中解析用戶在應用中的操作含義,需適配目標應用,適配工作量取決于目標應用的數量和復雜度以及安全管控粒度。
技術三:應用內加密(集成密碼SDK)
原理解析
部署位置:應用服務器
原理:應用內加密(集成密碼SDK)是指應用系統通過開發改造的方式,與封裝了加密業務邏輯的密碼SDK進行集成,并調用其加解密接口,使目標應用系統具備數據加密防護能力。
應用場景
通常情況下,當應用系統僅對數量有限的敏感數據存在加密需求時,適用于使用應用內加密(集成密碼SDK)技術。這里主要包含場景:需要加密處理的敏感數據代碼邏輯在業務系統中分布不多,或者需要加密處理的敏感數據對應的表或字段相對較少。
優勢
1、適用范圍廣。應用系統的開發商可以自行解決數據加解密的絕大多數問題,對數據庫系統本身或第三方的數據安全廠商沒有依賴;
2、靈活性高。應用服務端加密,主要是針對于應用服務器的加密方式,因為應用服務端加密可與業務邏輯緊密結合,在應用系統開發過程中,靈活地對相關業務中的敏感數據進行加密處理,且使用的加密函數、加密密鑰等均可以根據業務邏輯需求進行靈活選擇。
挑戰
1、需要對應用系統開發改造。應用系統加密的實現需要應用系統開發投入較大的研發成本,時間周期較長,后期實施和維護成本較高,也面臨大量代碼改造帶來的潛在業務風險;
2、對應用開發人員要求高。對業務開發人員來說,正確合規使用密碼技術具有一定門檻。比如在實際應用中,會出現應用開發人員密鑰使用不合規或安全風險等情況。
技術四:應用內加密(AOE面向切面加密)
原理解析
部署位置:應用服務器
原理:應用內加密(AOE面向切面加密)技術,能以免開發改造方式,實現應用系統中結構化數據和非結構化數據的存儲加密,并提供細粒度訪問控制、豐富脫敏策略、以及數據訪問審計功能,為應用打造全面有效且易于實施的數據安全保護。其實現原理是將數據安全插件部署在應用服務中間件,結合旁路部署的數據安全管理平臺、密鑰管理系統,通過攔截入庫SQL,將數據加密后存入數據庫。
應用場景
應用內加密(AOE面向切面加密)主要適用于企業在應用層想要實現免開發改造的、可敏捷實施的高性能數據安全防護。該加密方式支持結構化/非結構化數據的加密,可與應用開發解耦,靈活性高。進一步的,該加密方式可支持分布式部署、集中式管控,既可針對單個應用防護,也可以針對上百個應用的批量保護。
優勢
1、數據加密與業務邏輯解耦。該加密技術通過AOE面向切面加密方式,可以將安全與業務在技術上解耦,又在能力上融合交織,擁有高度靈活性;
2、不影響業務運營。應用內加密(AOE面向切面加密)適用于“應用免改造”的實戰需求,能夠實現以配置的方式敏捷部署實施,對應用的連續運行無影響。同時與其他加密技術相比,該技術對數據加解密的影響最低;
3、基于細粒度權限控制的數據安全防護。該加密技術可針對應用打造“主體到用戶,客體到字段”的安全防護體系,能夠根據不同屬性的人群,實施細粒度的權限控制,實現對企業內部人員的敏感數據訪問最小化授權。
挑戰
1、對應用程序編程語言和框架需要做適配。企業實際應用系統錯綜復雜,涉及到多樣化的編程語言與框架,這對AOE面向切面加密技術的實現提出較高的工程化實現挑戰。
技術五:數據庫加密網關
原理解析
部署位置:應用服務器-數據庫之間
原理:數據庫加密網關是部署在應用服務器和數據庫服務器之間的代理網關設備,通過解析數據庫協議,對傳入數據庫的數據進行加密,從而獲得保護數據安全的效果。
應用場景
數據庫加密網關可以為數據庫提供“入庫加密、出庫解密”的防護,可以建立數據庫用戶的訪問控制,實現企業內部人員的敏感數據訪問授權精細化,可以防數據庫拖庫以及攔截非法SQL。
優勢
1、應用系統與加解密功能分離。相比較于傳統的應用內加密(集成密碼SDK)技術,數據庫加密網關技術具有獨立性,能夠使用戶從高度復雜且繁重的加密解密處理邏輯的開發工作解放出來。
挑戰
1、存在一定的法律風險。對于Oracle等采用私有通信協議(不開源)的商業數據庫,安全廠商提供的數據庫加密網關破解協議的方案存在法律風險;
2、高性能和高可用實現難度大。數據庫加密網關增加了額外的處理節點,在大數據量和高并發訪問場景下,要實現高性能、高可用,面臨工程化實現挑戰。
技術六:數據庫外掛加密
原理解析
部署位置:數據庫
原理:數據庫外掛加密通過針對數據庫定制開發外掛進程,使進入數據庫的明文先進入到外掛程序中進行加密,形成密文后再插入數據庫表中。這種技術使用“觸發器”+“多層視圖”+“擴展索引”+“外部調用”的方式實現數據加密,可保證應用完全透明。通過擴展的接口和機制,數據庫系統用戶可以通過外部接口調用的方式實現對數據的加解密處理。視圖可實現對表內數據的過濾、投影、聚集、關聯和函數運算,在視圖內實現對敏感列解密函數的調用,實現數據解密。
應用場景
如果查詢涉及的加密列不多,查詢結果集中,且包含的數據記錄也相對不多時,可以考慮使用數據庫外掛加密技術對數據庫進行加密。
優勢
1、獨立權控體系。使用數據庫外掛加密技術,可以在外置的安全服務中提供獨立于數據庫自有權控體系之外的權限控制體系,適用于對“獨立權控體系”有相關需求的場景,可以有效防止特權用戶(如DBA)對敏感數據的越權訪問。
挑戰
1、僅支持Oracle等少量數據庫類型。數據庫外掛加密,目前大多數的技術實現形式,存在功能性依賴,僅支持開放高級接口的Oracle等少量數據庫;
2、數據庫性能損耗較高。數據庫外掛加密是通過觸發器、多級視圖,進行外部接口調用來實現加解密,觸發器或視圖的運行機制要求對加密表中的每一條數據中的每個加密列的讀寫都會進行外部接口調用,因此,當遇到比如“查詢中涉及的加密列較多”等情況時,會對數據庫的讀寫性能存在明顯影響;
3、可擴展性差。在業務變化引起數據庫表結構發生變化時,需要對外掛程序業務邏輯進行調整,甚至需重新定制開發,存在后期維護成本。
技術七:TDE透明數據加密
原理解析
部署位置:數據庫
原理:透明數據加密(Transparent Data Encryption,簡稱為TDE)是在數據庫內部透明實現數據存儲加密、訪問解密的技術,Oracle、SQL Server、MySQL等數據庫默認內置此功能。數據在落盤時加密,在數據庫內存中是明文,當攻擊者“拔盤”竊取數據,由于數據庫文件無法獲得密鑰而只能獲取密文,從而起到保護數據庫中數據的效果。
應用場景
透明數據加密技術適用于對數據庫中的數據執行實時加解密的應用場景,尤其是在對數據加密透明化有要求,以及對數據加密后數據庫性能有較高要求的場景中。在實際使用中,可根據Oracle等內置TDE的密鑰管理接口,將默認“軟密鑰錢包”升級為外部密鑰管理系統,以增強密鑰安全性。
優勢
1、獨立權控體系。與數據庫外掛加密類似,使用插件形式的透明數據加密技術,同樣可以在外置的安全服務中提供獨立于數據庫自有權控體系之外的權限控制體系;
2、性能損耗較低。透明數據加密技術只對數據庫引擎的存儲管理層進行了性能增強,不影響數據庫引擎的語句解析和優化等處理過程,數據庫自身性能得以更好保留,透明數據加密技術在數據庫加密技術中,性能損耗較低。
挑戰
1、防護顆粒度較粗。TDE本身是一種落盤加密技術,數據在內存中處于明文狀態,需要結合其他訪問控制技術使用。在實戰場景中難以防范DBA等風險;
2、數據庫類型適用性上有限制。透明數據加密因使用插件技術,對數據庫的版本有較強依賴性,且僅能對有限幾種類型的數據庫實現透明數據加密插件,在數據庫類型適用性上有一定限制。
技術八:UDF用戶自定義函數加密
原理解析
部署位置:數據庫
原理:UDF(User Defined Function)用戶自定義函數是在已有數據庫功能的基礎上擴展更豐富的業務需求,其原理是在數據庫支持的形式上,通過定義函數名稱及執行過程,實現自定義的處理邏輯。UDF用戶自定義函數加密,是通過UDF接口實現數據在數據庫內的加解密。
應用場景
UDF用戶自定義函數加密,作為一種在數據庫側的高靈活加解密集成方式,適用于某些數據庫需要定制加解密的場景,尤其是實現基于國密算法的數據加解密。
優勢
1、擴展能力強。該加密技術適用于對數據有“定制化實現”的場景化需求,能夠根據用戶的業務需求,對數據實現豐富多樣的加解密處理。
挑戰
1、通用性低。該加密技術需要根據不同數據庫的類型,做相對應的定制化實現,并且在存儲過程或SQL中加以調用。
技術九:TFE透明文件加密
原理解析
部署位置:文件系統
原理:透明文件加密(Transparent File Encryption,簡稱為TFE),是在操作系統的文件管理子系統上部署加密插件來實現數據加密,基于用戶態與內核態交付,可實現“逐文件逐密鑰”加密。在正常使用時,計算機內存中的文件以明文形式存在,而硬盤上保存的數據是密文,如果沒有合法的使用身份、訪問權限以及正確的安全通道,加密文件都將以密文狀態被保護。
應用場景
透明文件加密技術幾乎可以適用于任何基于文件系統的數據存儲加密需求,尤其是原生不支持透明數據加密的數據庫系統。但是,由于文件系統加密技術無法提供針對數據庫用戶的增強權限控制,因此對于需要防范內部數據庫超級用戶的場景并不適用。
優勢
1、可對應用進程授權。透明文件加密的防護顆粒度較細,可以適用于對應用進程有綁定需求的場景,只有授權的“白名單”應用進程訪問文件時,才能獲得明文,而未授權應用只能獲取密文。
挑戰
1、管理員風險。由于文件系統加密技術的數據庫無關性,因此,該加密技術不具備對系統用戶增強的權限控制能力,也無法防止內部人員包括系統管理員和數據庫DBA對加密數據的訪問;
2、高性能實現難度大。透明文件加密技術因為是在操作系統的文件管理子系統上部署加密插件來實現數據的加密功能,因此會增加操作系統中用戶態的處理環節,從而對數據庫系統整體性能造成部分損失,要實現到高性能面臨工程化挑戰。
技術十:FDE全磁盤加密
原理解析
部署位置:文件系統
原理:全磁盤加密(Full Disk Encryption,簡稱FDE)是指通過動態加解密技術,對磁盤或分區進行動態加解密的技術。FDE的動態加解密算法位于操作系統底層,其所有磁盤操作均通過FDE進行:當系統向磁盤上寫入數據時,FDE首先加密要寫入的數據,然后再寫入磁盤;反之,當系統讀取磁盤數據時,FDE會自動將讀取到的數據進行解密,然后再提交給操作系統。
應用場景
全磁盤加密技術適用于磁盤上所有數據(包括操作系統)進行動態加解密的場景,但由于不能提供針對用戶的增強權限控制,無法滿足對內部超級用戶泄露敏感數據的風險防范需求。
優勢
1、性能優勢突出。全磁盤加密技術通過操作系統內核層(或者存儲設備自身的物理結構)實現,能夠最大化減少加解密損耗,對上層業務服務提供性能最高的文件加解密服務;
2、部署、實施簡單。全磁盤加密僅需對進入磁盤的數據進行加密,部署和實施簡單高效。
挑戰
1、數據防護顆粒度粗。該加密技術因為缺少訪問控制能力,因此,一旦磁盤掛載口令泄露,就有數據泄露的風險,僅能防范“拔硬盤”攻擊。
十種數據存儲技術對比表
綜上所述,十種數據存儲加密技術在應用場景以及優勢挑戰方面各有側重點,DLP終端加密技術側重于企業PC端的數據安全防護;CASB代理網關、應用內加密(集成密碼SDK)、應用內加密(AOE面向切面加密)側重于企業應用服務器端的數據安全防護;數據庫加密網關、數據庫外掛加密、TDE透明數據加密、UDF用戶自定義函數加密則側重于數據庫端的數據安全防護;TFE透明文件加密、FDE全磁盤加密則側重于文件系統數據安全防護。
迎接數字時代,激活數據要素潛能,數據安全建設工作勢在必行,在了解數據安全防護的必要性和迫切性的前提下,具體分析相關的數據存儲加密技術原理,探究數據加密技術具體應用,提出更合理、更安全的數據防護措施,能夠全面保障數據的安全性,助力我國數字化建設進程的健康發展。
