近年來,國家持續加強對網絡安全、資料安全、個人資訊的保護力度,陸續頒布了《網絡安全法》《資料安全法》《個人資訊保護法》《關鍵資訊基礎設施安全保護條例》《網絡安全審查辦法》《資料出境安全評估辦法》等法律法規。國家有關部門依法加大網絡安全、資料安全、個人資訊保護等領域執法力度,通過執法約談、責令改正、警告、通報批評、罰款、責令暫停相關業務、停業整頓、關閉網站、下架、處理責任人等處置處罰措施,依法打擊危害國家網絡安全、資料安全、侵害公民個人資訊等違法行為,切實維護國家網絡安全、資料安全和社會公共利益,有力保障廣大人民群衆合法權益。同時,加大典型案例曝光力度,形成強大聲勢和有力震懾,做到查處一案、警示一片,教育引導網際網路企業依法合規營運,促進企業健康規範有序發展。
在某網絡安全審查相關行政處罰事件中,違法違規行為包含:“以明文形式存儲身份證号資訊5000多萬條”。密碼技術,是實作資料安全最經濟、最有效、最可靠的手段,對資料進行加密,并結合有效的密鑰保護手段,可在開放環境中實作對資料的強通路控制,進而讓資料共享更安全、更有價值。我們聚焦十種資料存儲加密技術,希望能夠幫助讀者快速了解資料存儲加密技術的全貌,并在使用者需要通過“加解密技術”進行自身核心資料資産的安全保護時,在場景适用性判斷、相關技術與産品選型等方面提供參考和幫助。
一實戰、雙合規
今天所有的資訊化、數字化,都是“希望資料發生什麼”。在“希望發生什麼”的同時,一定伴随着“不希望發生什麼”,針對資料就形成資料安全風險。是以在資料處理的全周期、全流程中,資料安全需求如影随形、無時不在、無處不在。
從全局視角看資料安全,呈現“一實戰、雙合規”的辯證統一。所有的資料安全建設,不論是攻防演練還是合規整改,本質上是解決實戰對抗的問題,是以實戰是檢驗資料安全能力的唯一标準。但是,實戰對抗對應着偶發的、高技術水準的對抗風險,對于絕大部分企業來說,難以具備持續性的資源投入應對。而合規建設可将這種對抗性風險轉變成常态的、可重複驗證、可被審計的非對抗風險,合規更容易被推廣。當然,合規需求也是來自于實戰的最佳實踐,實戰與合規的需求是辯證統一的。我們認為,結合到資料安全合規,分為過程合規和結果合規。從過程看,密碼作為一種直接作用于資料的技術手段,合規、正确、有效地使用密碼技術,可以滿足《密碼法》等法定要求的“資料安全過程合規”。從結果看,DSM資料安全管理認證等是《資料安全法》《個人資訊保護法》以及配套法律法規的落地手段,展現了“資料安全結果合規”。
資料保護,刻不容緩。無論實戰對抗,還是資料安全合規,密碼技術都是最經濟、最有效、最可靠的手段,對資料進行加密,并結合有效的密鑰保護手段,可在開放環境中實作對資料的強通路控制,讓資料開發利用更安全。
圖1:資料安全的“一實戰、雙合規”需求
資料流動中的安全控制點
資料存儲加密防護的難點,在于如何對流轉中的資料主動實施加密等保護,確定資料不被洩露或篡改,這裡的資料包括結構化與非結構化等類型。結構化資料一般是指可以使用關系型資料庫存儲和表示,表現為二維形式的資料,一般來講,結構化資料也就是傳統資料庫中的資料形式;非結構化資料,就是指沒有固定結構的資料,包括各種文檔、圖檔、視訊、音頻等。
傳統的“資料庫加密”往往展現為密文資料存儲到資料庫後的情形,一般局限于結構化資料,而在企業實戰化場景中,資料庫隻是資料處理的一個環節,是以,傳統的“資料庫存儲加密”隻是“資料存儲加密”的子集。
要對比各種資料存儲加密技術,我們認為有多項評判名額:第一,應滿足加密防護能力融入業務流程,面向廣泛資訊化應用,在複雜場景中提供有效防護;第二,能夠融合通路控制、審計等其他安全技術,實作安全機制可靠有效;第三,優秀的權限控制能力,能夠根據不同屬性的人群,展開細粒度權限控制,實作權限最小化,有效防範内部越權、外部黑客拖庫等風險;第四,在節約企業成本,不影響企業業務正常營運的情況下,靈活部署實施高性能的資料安全防護,有效控制實施風險。
本文以“資料”為中心,沿着資料流轉路徑,在典型B/S三層資訊系統架構的多個資料業務處理點基礎上,綜合業内資料加密技術現狀,選取了10種代表性的存儲加密技術,并對其實作原理、應用場景,以及相應的優勢與挑戰進行解讀分析。
圖2:資料存儲加密技術總覽圖
我們認為,在實際應用中,要結合使用者場景和适用性需求,選擇一種或者組合多種存儲加密技術,優勢互補,打造“以密碼技術為核心,通路控制、審計等多種安全技術互相融合”的資料安全防護體系,進而滿足企業多場景的實戰化及合規需求。
十種存儲加密技術對比分析
技術一:DLP終端加密
原了解析
部署位置:終端
原理:DLP(Data Leakage Prevention)終端加密技術,目的是管理企業終端上(主要是PC端)的敏感資料,其原理是在受管控的終端上安裝代理程式,由代理程式與背景管理平台互動,并結合企業的資料管理要求和分級分類政策,對下載下傳到終端的敏感資料進行加密,進而将加密應用到企業資料的日常流轉和存儲中。資訊被讀取到記憶體中時會進行解密,而未授權複制到管控範圍外則是密文形式,主要适用于非結構化資料的保護。
應用場景
DLP終端加密技術主要适用于企業終端資料的安全管理,在原有安全防護能力之上,可有效增強以下場景的資料防護能力:
1)操作失誤或無意識外發導緻技術資料洩漏;
2)通過列印、剪切、複制、粘貼、另存為、重命名等操作洩漏資料;
3)離職人員通過U盤、移動硬碟等方式随意拷走機密資料;
4)移動筆記本被盜、丢失或維修等造成資料洩漏。
優勢
1、檔案外發強管控。和其他終端安全技術相比,能夠強制實作重要敏感檔案的外發管控,進而實作對資料的“事前防護”,可防範一定程度的“有意洩露”。
挑戰
1、終端适配困難、運維成本高。企業終端一般具有作業系統衆多、終端類型複雜、文檔使用場景多樣等特點,終端加密在落地應用時,易出現終端相容适配困難、運維成本較高等問題。在移動終端,由于存在權限問題,技術落地難度大。
技術二:CASB代理網關
原了解析
部署位置:終端-應用伺服器之間
原理:CASB代理網關(Cloud Access Security Broker)是一種委托式安全代理技術,将網關部署在目标應用的用戶端和服務端之間,無需改造目标應用,隻需通過适配目标應用,對用戶端請求進行解析,并分析出其包含的敏感資料,結合使用者身份,并根據設定的安全政策對請求進行脫敏等通路控制,可針對結構化資料和非結構化資料同時進行安全管控。
圖3:CASB代理網關技術原理
應用場景
随着雲的普及,傳統的IT架構正在發生變化。企業很多業務系統都托管在雲服務商處,日常的很多工作,比如HR、社保、報帳、OA等工作事務的管理都有相應的SaaS服務可以采用,企業想要享受便捷的雲服務,又不想失去對自身資料的控制權,則可以采用CASB代理網關技術。例如,最常見的一種安全防護場景是:能夠識别出一個使用者通路雲資源是使用的私人賬号還是企業賬号,以防止敏感資料從企業資源轉移到私人資源。
優勢
1、與業務結合的資料安全保護。CASB代理網關位于應用服務和使用者端之間,該位置可以擷取到豐富的業務上下文,可以基于使用者、資源、操作和業務屬性,靈活利用通路者所對應屬性集合決定是否有權通路目标資料,比如部門、區域、職位、動作、目标資料類型、時間,以及其他條件等,進而在複雜業務場景下實作對資料的安全防護。
挑戰
1、實施成本較高。為實作從用戶端請求中解析使用者在應用中的操作含義,需适配目标應用,适配工作量取決于目标應用的數量和複雜度以及安全管控粒度。
技術三:應用内加密(內建密碼SDK)
原了解析
部署位置:應用伺服器
原理:應用内加密(內建密碼SDK)是指應用系統通過開發改造的方式,與封裝了加密業務邏輯的密碼SDK進行內建,并調用其加解密接口,使目标應用系統具備資料加密防護能力。
圖4:應用内加密(內建密碼SDK)技術原理
應用場景
通常情況下,當應用系統僅對數量有限的敏感資料存在加密需求時,适用于使用應用内加密(內建密碼SDK)技術。這裡主要包含場景:需要加密處理的敏感資料代碼邏輯在業務系統中分布不多,或者需要加密處理的敏感資料對應的表或字段相對較少。
優勢
1、适用範圍廣。應用系統的開發商可以自行解決資料加解密的絕大多數問題,對資料庫系統本身或第三方的資料安全廠商沒有依賴;
2、靈活性高。應用服務端加密,主要是針對于應用伺服器的加密方式,因為應用服務端加密可與業務邏輯緊密結合,在應用系統開發過程中,靈活地對相關業務中的敏感資料進行加密處理,且使用的加密函數、加密密鑰等均可以根據業務邏輯需求進行靈活選擇。
挑戰
1、需要對應用系統開發改造。應用系統加密的實作需要應用系統開發投入較大的研發成本,時間周期較長,後期實施和維護成本較高,也面臨大量代碼改造帶來的潛在業務風險;
2、對應用開發人員要求高。對業務開發人員來說,正确合規使用密碼技術具有一定門檻。比如在實際應用中,會出現應用開發人員密鑰使用不合規或安全風險等情況。
技術四:應用内加密(AOE面向切面加密)
原了解析
部署位置:應用伺服器
原理:應用内加密(AOE面向切面加密)技術,能以免開發改造方式,實作應用系統中結構化資料和非結構化資料的存儲加密,并提供細粒度通路控制、豐富脫敏政策、以及資料通路審計功能,為應用打造全面有效且易于實施的資料安全保護。其實作原理是将資料安全插件部署在應用服務中間件,結合旁路部署的資料安全管理平台、密鑰管理系統,通過攔截入庫SQL,将資料加密後存入資料庫。
圖5:應用内加密(AOE面向切面加密)技術原理
應用場景
應用内加密(AOE面向切面加密)主要适用于企業在應用層想要實作免開發改造的、可靈活實施的高性能資料安全防護。該加密方式支援結構化/非結構化資料的加密,可與應用開發解耦,靈活性高。進一步的,該加密方式可支援分布式部署、集中式管控,既可針對單個應用防護,也可以針對上百個應用的批量保護。
優勢
1、資料加密與業務邏輯解耦。該加密技術通過AOE面向切面加密方式,可以将安全與業務在技術上解耦,又在能力上融合交織,擁有高度靈活性;
2、不影響業務營運。應用内加密(AOE面向切面加密)适用于“應用免改造”的實戰需求,能夠實作以配置的方式靈活部署實施,對應用的連續運作無影響。同時與其他加密技術相比,該技術對資料加解密的影響最低;
3、基于細粒度權限控制的資料安全防護。該加密技術可針對應用打造“主體到使用者,客體到字段”的安全防護體系,能夠根據不同屬性的人群,實施細粒度的權限控制,實作對企業内部人員的敏感資料通路最小化授權。
挑戰
1、對應用程式程式設計語言和架構需要做适配。企業實際應用系統錯綜複雜,涉及到多樣化的程式設計語言與架構,這對AOE面向切面加密技術的實作提出較高的工程化實作挑戰。
技術五:資料庫加密網關
原了解析
部署位置:應用伺服器-資料庫之間
原理:資料庫加密網關是部署在應用伺服器和資料庫伺服器之間的代理網關裝置,通過解析資料庫協定,對傳入資料庫的資料進行加密,進而獲得保護資料安全的效果。
圖6:資料庫加密網關技術原理
應用場景
資料庫加密網關可以為資料庫提供“入庫加密、出庫解密”的防護,可以建立資料庫使用者的通路控制,實作企業内部人員的敏感資料通路授權精細化,可以防資料庫拖庫以及攔截非法SQL。
優勢
1、應用系統與加解密功能分離。相比較于傳統的應用内加密(內建密碼SDK)技術,資料庫加密網關技術具有獨立性,能夠使使用者從高度複雜且繁重的加密解密處理邏輯的開發工作解放出來。
挑戰
1、存在一定的法律風險。對于Oracle等采用私有通信協定(不開源)的商業資料庫,安全廠商提供的資料庫加密網關破解協定的方案存在法律風險;
2、高性能和高可用實作難度大。資料庫加密網關增加了額外的處理節點,在大資料量和高并發通路場景下,要實作高性能、高可用,面臨工程化實作挑戰。
技術六:資料庫外挂加密
原了解析
部署位置:資料庫
原理:資料庫外挂加密通過針對資料庫定制開發外挂程序,使進入資料庫的明文先進入到外挂程式中進行加密,形成密文後再插入資料庫表中。這種技術使用“觸發器”+“多層視圖”+“擴充索引”+“外部調用”的方式實作資料加密,可保證應用完全透明。通過擴充的接口和機制,資料庫系統使用者可以通過外部接口調用的方式實作對資料的加解密處理。視圖可實作對表内資料的過濾、投影、聚集、關聯和函數運算,在視圖内實作對敏感列解密函數的調用,實作資料解密。
圖7:資料庫外挂加密技術原理
應用場景
如果查詢涉及的加密列不多,查詢結果集中,且包含的資料記錄也相對不多時,可以考慮使用資料庫外挂加密技術對資料庫進行加密。
優勢
1、獨立權控體系。使用資料庫外挂加密技術,可以在外置的安全服務中提供獨立于資料庫自有權控體系之外的權限控制體系,适用于對“獨立權控體系”有相關需求的場景,可以有效防止特權使用者(如DBA)對敏感資料的越權通路。
挑戰
1、僅支援Oracle等少量資料庫類型。資料庫外挂加密,目前大多數的技術實作形式,存在功能性依賴,僅支援開放進階接口的Oracle等少量資料庫;
2、資料庫性能損耗較高。資料庫外挂加密是通過觸發器、多級視圖,進行外部接口調用來實作加解密,觸發器或視圖的運作機制要求對加密表中的每一條資料中的每個加密列的讀寫都會進行外部接口調用,是以,當遇到比如“查詢中涉及的加密列較多”等情況時,會對資料庫的讀寫性能存在明顯影響;
3、可擴充性差。在業務變化引起資料庫表結構發生變化時,需要對外挂程式業務邏輯進行調整,甚至需重新定制開發,存在後期維護成本。
技術七:TDE透明資料加密
原了解析
部署位置:資料庫
原理:透明資料加密(Transparent Data Encryption,簡稱為TDE)是在資料庫内部透明實作資料存儲加密、通路解密的技術,Oracle、SQL Server、MySQL等資料庫預設内置此功能。資料在落盤時加密,在資料庫記憶體中是明文,當攻擊者“拔盤”竊取資料,由于資料庫檔案無法獲得密鑰而隻能擷取密文,進而起到保護資料庫中資料的效果。
圖8:透明資料加密技術原理
應用場景
透明資料加密技術适用于對資料庫中的資料執行實時加解密的應用場景,尤其是在對資料加密透明化有要求,以及對資料加密後資料庫性能有較高要求的場景中。在實際使用中,可根據Oracle等内置TDE的密鑰管理接口,将預設“軟密鑰錢包”更新為外部密鑰管理系統,以增強密鑰安全性。
優勢
1、獨立權控體系。與資料庫外挂加密類似,使用插件形式的透明資料加密技術,同樣可以在外置的安全服務中提供獨立于資料庫自有權控體系之外的權限控制體系;
2、性能損耗較低。透明資料加密技術隻對資料庫引擎的存儲管理層進行了性能增強,不影響資料庫引擎的語句解析和優化等處理過程,資料庫自身性能得以更好保留,透明資料加密技術在資料庫加密技術中,性能損耗較低。
挑戰
1、防護顆粒度較粗。TDE本身是一種落盤加密技術,資料在記憶體中處于明文狀态,需要結合其他通路控制技術使用。在實戰場景中難以防範DBA等風險;
2、資料庫類型适用性上有限制。透明資料加密因使用插件技術,對資料庫的版本有較強依賴性,且僅能對有限幾種類型的資料庫實作透明資料加密插件,在資料庫類型适用性上有一定限制。
技術八:UDF使用者自定義函數加密
原了解析
部署位置:資料庫
原理:UDF(User Defined Function)使用者自定義函數是在已有資料庫功能的基礎上擴充更豐富的業務需求,其原理是在資料庫支援的形式上,通過定義函數名稱及執行過程,實作自定義的處理邏輯。UDF使用者自定義函數加密,是通過UDF接口實作資料在資料庫内的加解密。
應用場景
UDF使用者自定義函數加密,作為一種在資料庫側的高靈活加解密內建方式,适用于某些資料庫需要定制加解密的場景,尤其是實作基于國密算法的資料加解密。
優勢
1、擴充能力強。該加密技術适用于對資料有“定制化實作”的場景化需求,能夠根據使用者的業務需求,對資料實作豐富多樣的加解密處理。
挑戰
1、通用性低。該加密技術需要根據不同資料庫的類型,做相對應的定制化實作,并且在存儲過程或SQL中加以調用。
技術九:TFE透明檔案加密
原了解析
部署位置:檔案系統
原理:透明檔案加密(Transparent File Encryption,簡稱為TFE),是在作業系統的檔案管理子系統上部署加密插件來實作資料加密,基于使用者态與核心态傳遞,可實作“逐檔案逐密鑰”加密。在正常使用時,計算機記憶體中的檔案以明文形式存在,而硬碟上儲存的資料是密文,如果沒有合法的使用身份、通路權限以及正确的安全通道,加密檔案都将以密文狀态被保護。
圖9:透明檔案加密技術原理
應用場景
透明檔案加密技術幾乎可以适用于任何基于檔案系統的資料存儲加密需求,尤其是原生不支援透明資料加密的資料庫系統。但是,由于檔案系統加密技術無法提供針對資料庫使用者的增強權限控制,是以對于需要防範内部資料庫超級使用者的場景并不适用。
優勢
1、可對應用程序授權。透明檔案加密的防護顆粒度較細,可以适用于對應用程序有綁定需求的場景,隻有授權的“白名單”應用程序通路檔案時,才能獲得明文,而未授權應用隻能擷取密文。
挑戰
1、管理者風險。由于檔案系統加密技術的資料庫無關性,是以,該加密技術不具備對系統使用者增強的權限控制能力,也無法防止内部人員包括系統管理者和資料庫DBA對加密資料的通路;
2、高性能實作難度大。透明檔案加密技術因為是在作業系統的檔案管理子系統上部署加密插件來實作資料的加密功能,是以會增加作業系統中使用者态的處理環節,進而對資料庫系統整體性能造成部分損失,要實作到高性能面臨工程化挑戰。
技術十:FDE全磁盤加密
原了解析
部署位置:檔案系統
原理:全磁盤加密(Full Disk Encryption,簡稱FDE)是指通過動态加解密技術,對磁盤或分區進行動态加解密的技術。FDE的動态加解密算法位于作業系統底層,其所有磁盤操作均通過FDE進行:當系統向磁盤上寫入資料時,FDE首先加密要寫入的資料,然後再寫入磁盤;反之,當系統讀取磁盤資料時,FDE會自動将讀取到的資料進行解密,然後再送出給作業系統。
應用場景
全磁盤加密技術适用于磁盤上所有資料(包括作業系統)進行動态加解密的場景,但由于不能提供針對使用者的增強權限控制,無法滿足對内部超級使用者洩露敏感資料的風險防範需求。
優勢
1、性能優勢突出。全磁盤加密技術通過作業系統核心層(或者儲存設備自身的實體結構)實作,能夠最大化減少加解密損耗,對上層業務服務提供性能最高的檔案加解密服務;
2、部署、實施簡單。全磁盤加密僅需對進入磁盤的資料進行加密,部署和實施簡單高效。
挑戰
1、資料防護顆粒度粗。該加密技術因為缺少通路控制能力,是以,一旦磁盤挂載密碼洩露,就有資料洩露的風險,僅能防範“拔硬碟”攻擊。
十種資料存儲技術對比表
| 加密技術 | 部署位置 | 加密粒度 | 性能 | 防DBA | 資料庫複雜計算 | 實施成本 |
| DLP終端加密 | 終端 | 檔案 | 中 | / | / | 中 |
| CASB代理網關 | 終端-應用伺服器之間 | 檔案/字段 | 中 | 支援 | 影響 | 中 |
| 應用内加密(內建密碼SDK) | 應用伺服器 | 檔案/字段 | 高 | 支援 | 影響 | 高 |
| 應用内加密(AOE面向切面加密) | 應用伺服器 | 檔案/字段 | 高 | 支援 | 影響 | 低 |
| 資料庫加密網關 | 應用伺服器-資料庫之間 | 字段 | 中 | 支援 | 影響 | 中 |
| 資料庫外挂加密 | 資料庫 | 字段 | 低 | 不支援 | 不影響 | 高 |
| TDE透明資料加密 | 資料庫 | 字段/表空間 | 高 | 不支援 | 不影響 | 低 |
| UDF使用者自定義函數加密 | 資料庫 | 字段 | 中 | 不支援 | 不影響 | 高 |
| TFE透明檔案加密 | 檔案系統 | 檔案 | 中 | 不支援 | 不影響 | 低 |
| FDE全磁盤加密 | 檔案系統 | 磁盤/卷 | 高 | 不支援 | 不影響 | 低 |
綜上所述,十種資料存儲加密技術在應用場景以及優勢挑戰方面各有側重點,DLP終端加密技術側重于企業PC端的資料安全防護;CASB代理網關、應用内加密(內建密碼SDK)、應用内加密(AOE面向切面加密)側重于企業應用伺服器端的資料安全防護;資料庫加密網關、資料庫外挂加密、TDE透明資料加密、UDF使用者自定義函數加密則側重于資料庫端的資料安全防護;TFE透明檔案加密、FDE全磁盤加密則側重于檔案系統資料安全防護。