信息化觀察網(wǎng)

在全球范圍內(nèi)的大規(guī)模數(shù)據(jù)泄露事件頻發(fā)，數(shù)據(jù)安全以及隱私保護(hù)法規(guī)政策逐步強(qiáng)化的背景下，企業(yè)數(shù)據(jù)安全防護(hù)體系建設(shè)對企業(yè)業(yè)務(wù)風(fēng)險(xiǎn)規(guī)避至關(guān)重要。一方面，企業(yè)核心數(shù)據(jù)資產(chǎn)的泄露，將給業(yè)務(wù)帶來潛在的致命打擊，另一方面，數(shù)據(jù)泄露也將面臨監(jiān)管機(jī)構(gòu)的嚴(yán)厲處罰。2017年，美國信用評級公司Equifax因黑客攻擊泄出近1.5億人的個(gè)人信息及財(cái)務(wù)數(shù)據(jù)，并因此就“未能采取合理措施保護(hù)自身網(wǎng)絡(luò)”的過錯(cuò)支付5.75億美元罰金。

在我國，數(shù)據(jù)安全法律規(guī)范體系也逐步完善，如《網(wǎng)絡(luò)安全法》、《密碼法》、《數(shù)據(jù)安全法（草案）》、《個(gè)人信息保護(hù)法（草案）》等，其中《個(gè)人信息保護(hù)法（草案）》的處罰力度提升顯著：對侵害個(gè)人信息權(quán)利的，情節(jié)嚴(yán)重情況下，沒收違法所得，并處五千萬元以下或者上一年度營業(yè)額百分之五以下罰款，并可以責(zé)令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、至吊銷相關(guān)業(yè)務(wù)許可或營業(yè)執(zhí)照；

應(yīng)對數(shù)據(jù)泄露帶來的業(yè)務(wù)風(fēng)險(xiǎn)問題最有效的方案是對關(guān)鍵信息做加密處理，這樣即使數(shù)據(jù)庫被拖庫，或遭遇組織機(jī)構(gòu)內(nèi)部惡意越權(quán)訪問，也不會(huì)造成敏感信息泄露的損害。

基于數(shù)據(jù)加密技術(shù)，構(gòu)建數(shù)據(jù)的貼身安全防護(hù)

密碼技術(shù)是目前世界上公認(rèn)的，保障網(wǎng)絡(luò)與信息安全最有效、最可靠、最經(jīng)濟(jì)的關(guān)鍵核心技術(shù)。通過數(shù)據(jù)加密實(shí)現(xiàn)對核心數(shù)據(jù)的機(jī)密性和完整性保護(hù)，將明文變?yōu)槊芪?，配合健壯的密鑰管理體系，可以防止明文存儲(chǔ)引起的數(shù)據(jù)泄密、突破邊界防護(hù)的外部黑客攻擊以及來自于內(nèi)部越權(quán)用戶的數(shù)據(jù)竊取，從而從根本上解決敏感數(shù)據(jù)泄漏帶來的業(yè)務(wù)風(fēng)險(xiǎn)問題。

然而，數(shù)據(jù)加密技術(shù)實(shí)施具備一定的復(fù)雜度，要保障加密策略真正發(fā)揮安全效用，并確保獲取加密價(jià)值回報(bào)與投入成本的最優(yōu)解，需要對數(shù)據(jù)加密進(jìn)行細(xì)致的策略規(guī)劃。這包括：

明確數(shù)據(jù)加密策略核心目標(biāo)：數(shù)據(jù)加密的價(jià)值主要包括幾個(gè)方面：防拔盤、防黑客拖庫、防內(nèi)部人員、合規(guī)遵從等。不同加密策略可以解決的問題不同，加密策略目標(biāo)直接影響加密策略的執(zhí)行方案。如在在等保2.0以及商密合規(guī)場景，基于數(shù)據(jù)庫原生TDE的加密策略在密鑰的安全性管控、加密算法、商用密碼產(chǎn)品認(rèn)證等方面難以實(shí)現(xiàn)合規(guī)遵從；

明確數(shù)據(jù)加密的范圍及粒度：加密策略是對數(shù)據(jù)的最高等級的保護(hù)，一般選擇敏感字段進(jìn)行加密，如客戶信息、財(cái)務(wù)數(shù)據(jù)等商業(yè)數(shù)據(jù)或身份證、電話號碼等個(gè)人信息等；基于文件層或表空間的加密，一方面加密粒度粗，安全性差，另一方面也將帶來無意義的性能損耗或帶來潛在的穩(wěn)定性問題；

評估加密策略執(zhí)行對業(yè)務(wù)的影響：包括業(yè)務(wù)系統(tǒng)改造成本、業(yè)務(wù)性能影響、數(shù)據(jù)庫兼容性、實(shí)施運(yùn)維以及流程成本等。如數(shù)據(jù)在應(yīng)用、DB、文件、存儲(chǔ)中流動(dòng)，加密實(shí)施點(diǎn)越靠近應(yīng)用安全性越高，但加密實(shí)施以及密鑰管理的復(fù)雜度也越高；不同數(shù)據(jù)庫類型對加密技術(shù)策略支持程度不盡相同；以及加密后數(shù)據(jù)庫聯(lián)合檢索以及事務(wù)處理能力等；

數(shù)據(jù)加密強(qiáng)度及密鑰安全性：包括加密對象、加密算法以及密鑰的安全管控機(jī)制評估。

總結(jié)而言，數(shù)據(jù)加密策略的實(shí)施需要進(jìn)行系統(tǒng)而細(xì)致的規(guī)劃。一般來說，應(yīng)考慮以下幾個(gè)要點(diǎn)，綜合制定數(shù)據(jù)加密實(shí)施線路及方案：

對合規(guī)敏感性行業(yè)，充分考慮合規(guī)性條款，包括敏感數(shù)據(jù)劃定及分級標(biāo)準(zhǔn)，加密算法以及密碼產(chǎn)品合規(guī)性等；

加密策略落地前，梳理加密數(shù)據(jù)類型以及相應(yīng)的業(yè)務(wù)數(shù)據(jù)流轉(zhuǎn)邏輯，綜合規(guī)劃加密點(diǎn)、解密點(diǎn)、密鑰管控邏輯等；

考慮業(yè)務(wù)運(yùn)行狀態(tài)及加密策略實(shí)施對系統(tǒng)的影響情況，如對已上線業(yè)務(wù)系統(tǒng)，考慮存量數(shù)據(jù)加密處理方案；對未來可能存在處理邏輯變動(dòng)或持續(xù)擴(kuò)展的系統(tǒng)，考慮加密策略的兼容性及擴(kuò)展性成本；

詳細(xì)評估數(shù)據(jù)加密策略實(shí)施中可能存在的數(shù)據(jù)一致性問題、系統(tǒng)平穩(wěn)遷移問題，以及意外狀況下的加密回滾與數(shù)據(jù)備份方案；

典型數(shù)據(jù)加密技術(shù)線路優(yōu)劣勢分析

目前，市面上提供了各類基于不同技術(shù)線路的數(shù)據(jù)加密解決方案，以下是針對典型的數(shù)據(jù)加密技術(shù)線路的實(shí)現(xiàn)分析及優(yōu)劣勢對比：

應(yīng)用層開發(fā)：基本原理是在應(yīng)用系統(tǒng)開發(fā)層，基于加密函數(shù)、密鑰處理實(shí)現(xiàn)敏感字段加密。優(yōu)點(diǎn)是安全性高，靈活實(shí)施，對數(shù)據(jù)庫類型依賴程度低，商密合規(guī)遵從簡單。缺點(diǎn)是涉及應(yīng)用開發(fā)改造，對應(yīng)用系統(tǒng)開發(fā)商存在依賴性，對數(shù)據(jù)庫復(fù)雜運(yùn)算存在影響。

數(shù)據(jù)庫代理/協(xié)議解析：基本原理是基于數(shù)據(jù)庫協(xié)議解析、數(shù)據(jù)庫接口擴(kuò)展機(jī)制進(jìn)行加密處理。優(yōu)點(diǎn)是對應(yīng)用透明，不需要業(yè)務(wù)層邏輯處理。缺點(diǎn)是對數(shù)據(jù)庫類型甚至版本依賴性重、容易造成性能瓶頸，商密合規(guī)遵從存在風(fēng)險(xiǎn)。

數(shù)據(jù)庫原生TDE機(jī)制：基本原理是基于數(shù)據(jù)庫原生提供的透明數(shù)據(jù)加密接口調(diào)用實(shí)現(xiàn)加密處理。優(yōu)點(diǎn)是對應(yīng)用透明，不需要業(yè)務(wù)層邏輯處理。缺點(diǎn)是并不能徹底解決拖庫、內(nèi)鬼問題，不能滿足商密合規(guī)要求，且對數(shù)據(jù)庫廠商支持情況依賴性重、僅支持有限類型的數(shù)據(jù)庫廠商。

文件/存儲(chǔ)級加密：基本原理是對數(shù)據(jù)庫底層文件系統(tǒng)或存儲(chǔ)硬件進(jìn)行加密。優(yōu)點(diǎn)是對應(yīng)用透明，性能影響小。缺點(diǎn)是安全性低，不能解決拖庫、內(nèi)鬼問題，存在潛在穩(wěn)定性問題。

企業(yè)在落地?cái)?shù)據(jù)加密時(shí)，應(yīng)綜合考慮業(yè)務(wù)安全需求以及不同線路下的加密方案優(yōu)劣勢，評估并選擇適合自身業(yè)務(wù)場景的加密技術(shù)實(shí)施方案。騰訊云在數(shù)據(jù)加密領(lǐng)域，也創(chuàng)新推出了云訪問安全代理CASB（以下簡稱騰訊云CASB）產(chǎn)品，幫助用戶解決數(shù)據(jù)加密難題。

騰訊云CASB數(shù)據(jù)加密技術(shù)線路

在彈性擴(kuò)展云環(huán)境業(yè)務(wù)場景下，數(shù)據(jù)加密策略的實(shí)施也將面臨更多的現(xiàn)實(shí)難題。當(dāng)前，國內(nèi)外云廠商普遍采用密鑰管理系統(tǒng)KMS或云加密機(jī)CloudHSM服務(wù)實(shí)例提供數(shù)據(jù)加密方案，用戶基于應(yīng)用層開發(fā)實(shí)現(xiàn)敏感數(shù)據(jù)的加密實(shí)現(xiàn)數(shù)據(jù)安全性保護(hù)以及合規(guī)要求；應(yīng)用層開發(fā)要求云租戶具備一定的密碼方案設(shè)計(jì)以及開發(fā)能力，在實(shí)際落地時(shí)存在較高的使用門檻。

為解決這個(gè)問題，在12月開發(fā)者大會(huì)上，騰訊云對外發(fā)布了云訪問安全代理CASB解決方案：一款面向應(yīng)用的數(shù)據(jù)防護(hù)服務(wù)，用免應(yīng)用開發(fā)改造的配置方式，提供面向服務(wù)側(cè)的字段級數(shù)據(jù)存儲(chǔ)加密防護(hù)服務(wù)。

騰訊云商密合規(guī)數(shù)據(jù)加密解決方案

騰訊云CASB在加密技術(shù)線路上，更偏向于應(yīng)用層加密：既保持了應(yīng)用層加密的靈活性、安全性，以及商密合規(guī)遵從性，同時(shí)實(shí)現(xiàn)了免開發(fā)改造，對應(yīng)用的透明。其基礎(chǔ)思想是結(jié)合經(jīng)典云訪問安全代理（CASB）以及面向切面編程（AOP）思維：在數(shù)據(jù)訪問訪問層，如JDBC層安裝數(shù)據(jù)安全插件，通過安全插件封裝設(shè)定的數(shù)據(jù)加密與脫敏規(guī)則邏輯。當(dāng)用戶將數(shù)據(jù)安全插件部署到應(yīng)用服務(wù)器，數(shù)據(jù)安全插件作為業(yè)務(wù)代碼與底層數(shù)據(jù)庫交互中間服務(wù)，代理并解析SQL語法和識別用戶身份，對目標(biāo)字段進(jìn)行加密處理后再入庫；在出庫時(shí)，將密文從數(shù)據(jù)庫中取出進(jìn)行解密后返回給終端用戶，同時(shí)也支持按照設(shè)定的脫敏策略進(jìn)行處理。

騰訊云CASB加密方案特點(diǎn)及優(yōu)勢

防黑客拖庫，防內(nèi)部人員/DBA越權(quán)風(fēng)險(xiǎn)

明文存儲(chǔ)的數(shù)據(jù)將面臨拔盤、黑客拖庫、內(nèi)部越權(quán)訪問等帶來的大規(guī)模核心數(shù)據(jù)泄露高危風(fēng)險(xiǎn)。

騰訊云CASB數(shù)據(jù)庫加密系統(tǒng)將敏感數(shù)據(jù)在應(yīng)用服務(wù)內(nèi)（如Tomcat）加密，除實(shí)現(xiàn)將數(shù)據(jù)加密后存入數(shù)據(jù)庫，還能實(shí)現(xiàn)數(shù)據(jù)從應(yīng)用服務(wù)到數(shù)據(jù)庫之間以密文形式傳輸。在數(shù)據(jù)庫的控制范疇內(nèi)，不論是存儲(chǔ)磁盤還是數(shù)據(jù)庫范圍內(nèi)的內(nèi)存、緩存，關(guān)鍵敏感信息是密文狀態(tài)，可解除黑客拖庫、DBA等風(fēng)險(xiǎn)。同時(shí)，管理員可對不同的數(shù)據(jù)庫字段采用不同加密、脫敏、以及密鑰策略，實(shí)現(xiàn)敏感數(shù)據(jù)訪問授權(quán)最小化。

滿足商密合規(guī)以及國密整改合規(guī)要求

騰訊安全云訪問安全代理CASB數(shù)據(jù)加密方案持國密SM系列算法加密運(yùn)算，密鑰管理采用三級密鑰派生機(jī)制，根密鑰和模塊密鑰均是由密碼機(jī)產(chǎn)生的真隨機(jī)數(shù)，工作密鑰由模塊密鑰實(shí)時(shí)派生，實(shí)現(xiàn)“一字段一密鑰”。該服務(wù)已通過國家密碼管理局的安全認(rèn)證，可滿足等保2.0以及商用密碼應(yīng)用安全性評估的對應(yīng)用和數(shù)據(jù)機(jī)密性和完整性保護(hù)的合規(guī)要求。

借助騰訊云CASB數(shù)據(jù)加密方案，用戶在信息系統(tǒng)建設(shè)和運(yùn)行階段，均能便捷基于商密合規(guī)數(shù)據(jù)加密技術(shù)實(shí)現(xiàn)對其數(shù)據(jù)進(jìn)行安全保護(hù)；

系統(tǒng)性能影響小

騰訊云CASB方案在單CPU上的國密SM4加解密速度已突破130Gbps，加密10億條機(jī)號僅耗時(shí)20秒（即每秒5000萬條），高性能密碼實(shí)現(xiàn)保障用戶使用密碼產(chǎn)品后的效率和用戶體驗(yàn)。除此之外，和數(shù)據(jù)庫側(cè)加密消耗數(shù)據(jù)庫敏感的計(jì)算資源相比，CASB在應(yīng)用服務(wù)側(cè)加密，其加解密執(zhí)行只在目標(biāo)應(yīng)用服務(wù)器上完成，不對數(shù)據(jù)庫服務(wù)器CPU和內(nèi)存造成損耗，對系統(tǒng)整體性能影響小。同時(shí)，加密性能也可跟隨應(yīng)用服務(wù)器線性擴(kuò)展，滿足高性能業(yè)務(wù)場景敏感數(shù)據(jù)加密需求。

應(yīng)用免改造

需開發(fā)改造應(yīng)，也需適配數(shù)據(jù)庫，實(shí)施周期短，成本低。騰訊云CASB數(shù)據(jù)加密系統(tǒng)對應(yīng)透明，不改變應(yīng)系統(tǒng)原有的運(yùn)機(jī)制和用戶使式，可在用戶感知的情況下進(jìn)行重要數(shù)據(jù)保護(hù)。

騰訊云CASB數(shù)據(jù)安全插件為數(shù)據(jù)訪問層提供增強(qiáng)安全模塊，該模式將安全機(jī)制與業(yè)務(wù)場景在技術(shù)上解耦、但又在能力上融合，實(shí)現(xiàn)免開發(fā)改造應(yīng)用的數(shù)據(jù)加密策略敏捷實(shí)施，我們期待騰訊云CASB創(chuàng)新加密方案能夠有效助力企業(yè)落地?cái)?shù)據(jù)安全及數(shù)據(jù)加密策略。

總結(jié)

云訪問安全代理CASB是騰訊安全云數(shù)據(jù)安全中臺(tái)的重要組件之一。在數(shù)據(jù)安全領(lǐng)域，騰訊安全也將持續(xù)進(jìn)行產(chǎn)品創(chuàng)新，豐富騰訊云“云數(shù)據(jù)安全中臺(tái)”組件能力，助力企業(yè)降本增效，更加從容地應(yīng)對來自數(shù)據(jù)安全的挑戰(zhàn)，加速實(shí)現(xiàn)數(shù)字化、智能化的轉(zhuǎn)型升級。