數據安全發展態勢及相關技術

今年正式實施的《網路安全法》第十條要求「建設、運營網路或者通過網路提供服務，應當採取技術措施和其他必要措施，維護網路數據的完整性、保密性和可用性。」我們可以把這個要求看成是當前數據安全的正式定義。

廣義的數據安全技術是指一切能夠直接、間接地保障數據的完整性、保密性、可用性的技術。這包含的範圍非常廣，比如傳統的防火牆、入侵檢測、病毒查殺、數據加密等，都可以納入這個範疇。正因為如此，很多傳統的安全廠家都給自己貼上「數據安全廠家」的標籤。

而狹義的數據安全技術是指直接圍繞數據的安全防護技術，主要指數據的訪問審計、訪問控制、加密、脫敏等方面。

而這裡的數據，則可以粗略地分為兩類：一類是非結構化的數據，例如圖片、文件、圖紙等；另一類是結構化的數據，主要存儲於資料庫中。當然非結構化的數據很大一部分也存儲於資料庫中，尤其是現在的各種NoSQL資料庫，就是專門針對非結構化數據設計的。而相應的數據安全技術，也可以粗略地劃分為針對非結構化數據的安全技術和針對結構化數據的安全技術。

本文聚焦於狹義的數據安全。對於非結構化的數據安全，主要採用數據泄露防護（Data leakage prevention，DLP）技術。

DLP技術發展相對成熟，國外比較具有代表性的有Symantec的DLP產品，國內也有不少類似產品。而對於結構化的數據安全技術，國外發展比國內早5～10年。個別產品，如資料庫審計、資料庫防火牆，以及資料庫脫敏，現在國外進入產品和市場的成熟期，代表性廠家有Imperva、IBM Guardium、Infomatica等，而國內企業目前勉強有產品能夠進行替代，實際差距還比較大。在針對雲環境和大數據環境的安全方面，國內剛剛起步。以下逐個盤點。

數據泄露防護DLP

調查顯示，在文檔類泄密事件中，97%都是因內部員工有意或無意泄露而造成。其主要原因為核心數據大多以文件為載體，零散分布在員工電腦及移動介質中，且以明文存儲，不受管控。文檔的使用者可任意編輯、拷貝、轉發、列印等，文檔處在「裸奔」狀態，存在巨大的安全隱患。數據泄露防護（DLP）基於文檔加密，進而控制其解密許可權，從根源上防止數據外泄。

DLP的核心技術在於如下幾點：

1、動態透明加解密，用戶無感知，在不影響用戶辦公習慣的前提下，有效控制使用者對文檔的讀取、存儲、複製、輸出的許可權，防止數據泄密。

2、文檔分級管控，根據文檔流轉範圍，對文檔進行多級別分級管理，確保文檔接收者只能做許可權範圍內的操作。

3、文檔外發管理，對受控的外發文件進行加密和許可權設定，防止第三方泄密。

4、系統集成拓展，可與文檔安全網關、郵件安全網關等系統整合，實現對單位應用系統的安全集成及對核心數據載入載出的安全保護。

由於國外產品Symantec曾經被審查出後門程序，以及國內密碼管理政策原因，目前國內的DLP產品主要採用國內自主研發為主，並且由國內公司研發生產，目前通過應用層及驅動層加密相互配合，可實現任意文檔類型的加密處理，並且沒有文檔大小及類型的限制，文檔處理效率幾乎不受影響，技術已基本成熟。

數據備份與容災

需要確保數據備份和容災系統通過建立數據的備份以及遠程的容災備份來確保在發生災難性事件時，數據能夠被正常地恢復，從而提升數據的可用性。

數據容災備份的關鍵技術在於：

1、數據變化的捕捉，將差異變化以最小的代價傳送到備份端。

2、恢復技術，需要在最短的時間甚至是零時間內將備份數據恢復到生產系統中。

目前數據與容災的市場和技術都相對成熟，國內廠家較多，產品的可選擇餘地較大，基本可以完全替代國外產品。

資料庫審計/防火牆

資料庫審計是最基礎的資料庫安全手段。由於資料庫是個「黑盒子」，對來自內網、外網的用戶和系統對核心數據的訪問情況，尤其是違規訪問情況缺乏可視化。

資料庫審計通過分析訪問資料庫的網路流量，對數據的訪問情況進行展示，並進一步地識別敏感數據的竊取和破壞行為，比如對SQL注入攻擊、後門程序等進行識別。而資料庫防火牆則更進一步的，設置對核心數據的訪問規則，阻止來自內網用戶的越權訪問和誤操作。並且這種訪問規則是獨立於資料庫系統自身的訪問控制。

資料庫審計/防火牆的核心技術在於如下幾點：

1.高效的數據包獲取、分析和轉發技術；2.完整、準確的資料庫協議解析和SQL協議解析；3.靈活有效的訪問控制規則系統；4.自動學習能力，能夠自主地學慣用戶對數據的訪問模型，並基於該模型進行訪問控制；5.高效的日誌存儲和查詢性能；6.靈活的部署方式，能夠部署於多種應用環境。

國外知名的資料庫審計/防火牆廠家有Imperva和IBM Guardium，它們的產品前幾年在國內大型IT系統中部署較多。現在國內一些公司的產品在界面、功能、性能等方面逐步接近國外產品，基本能夠替代。

資料庫加密

敏感數據在資料庫中明文存儲，會使得存儲文件、磁碟或者備份文件等被非法複製時導致數據泄露，而且商用資料庫還面臨著管理員許可權過大，導致權利和責任的不統一。也就是說數據管理員（DBA）不應該有查看或者刪除所有敏感數據的許可權，但是他實際上卻擁有這種許可權。這也將導致數據的泄漏，尤其是在DBA許可權被泄露的情況下。

資料庫加密就是對敏感數據欄位進行選擇性的加密，並建立獨立於資料庫的訪問控制規則，從而彌補上述風險。

資料庫加密的核心技術在於如下幾點：

1.對應用透明，包括增刪改查四種操作，以及主鍵、外鍵、約束等特性，修改表定義等操作；2.密文索引，確保加密後數據的查詢性能不受實質影響，也就是返回首條記錄的時間沒有本質的延長；3.與國密演算法的集成。

受政策、價格等原因的影響，資料庫加密產品主要是國內創業公司生產的產品。由於密文索引的實現依賴於資料庫開放的自定義索引介面，目前主流資料庫中，僅有Oracle資料庫提供這種介面，所以到現在為止，市場上真正成熟的資料庫加密，只有針對Oracle的產品。目前國內數據安全創業公司在開發針對MySQL的資料庫加密產品，主要目標是各個共有雲平台上大量的MySQL用戶。

技術路線有修改存儲引擎和加密網關兩種。修改存儲引擎方式比較簡單，對SQL的通用性好，但是只適合開源資料庫產品；而網關型加密產品對資料庫的通用性較好，但是對資料庫的某些特性支持起來比較困難。

資料庫脫敏

數據脫敏技術分為動態脫敏和靜態脫敏。

靜態脫敏針對的是在開發、測試過程中使用真實敏感數據可能會導致的數據泄密風險。靜態脫敏類似於ETL，對真實數據進行定時、批量的抽取以及脫敏轉換，從而提供準確真實的數據。而動態脫敏針對內部運維人員、外包人員在系統運維過程中，接觸真實敏感數據，容易導致泄密的風險，以及應用系統直接訪問敏感數據，獲取真實數據內容，容易導致泄密的風險。動態脫敏系統部署於數據之前，通過改寫訪問資料庫的語句，從源頭上選擇性地對敏感數據進行脫敏，並可以控制對敏感數據的訪問總量。

資料庫靜態脫敏的核心技術在於如下幾點：

1。高速的數據抽取和裝載技術；2.靈活的脫敏規則；3.敏感數據發現和隨機數據生成能力；4.脫敏後關聯關係的保持。

資料庫動態脫敏的核心技術在於如下幾點：

1.高效的數據包獲取、分析和轉發技術；2.完整準確的資料庫協議解析和SQL協議解析；3.靈活有效的脫敏和訪問控制規則系統；4.三層脫敏和訪問控制。

國外資料庫脫敏的代表廠商有Informatica和IBM OPTIM。而國內的脫敏市場和產品都是近兩年才發展起來的，整體落後。但是國內的資料庫脫敏技術發展很快，目前靜態脫敏產品有一定選擇餘地，基本可以替代國外產品。但是動態脫敏由於技術難度更大，產品仍然很少，選擇餘地不大，但是仍然基本可以替代國外產品。

雲環境數據安全

在雲端，數據所面臨的威脅被進一步放大。除了遭受與傳統環境相同的安全威脅以外，由於雲運營商的存在，數據還遭受「上帝之手」的威脅。

以資料庫為例來說，在雲端，資料庫的租戶對資料庫的可控性是很低的，甚至不能登錄到資料庫所在的OS進行管理。而雲運營商卻擁有對資料庫以及其伺服器的所有許可權。

雲運營商完全可以在租戶毫無察覺的情況下進入資料庫系統，或者進入資料庫伺服器所在的虛擬機。也就是說，雲資料庫租戶在資料庫中的數據，對雲運營商來說，幾乎是完全開放的。這極大地增加了存儲在雲端資料庫中具有商業價值的數據被泄露的風險。

雲端數據對安全的技術需求，與線下是一致的，也需要藉助於審計、訪問控制、加密、脫敏等技術的保護。但是由於雲管理員的存在，雲端數據對加密的要求是第一位的，也就是說，首先要確保數據的保密性，這是區別於線下數據安全的最顯著的特徵。

另外，技術之外的一個要求就是客觀中立性。對於雲端的數據安全防護，最好應該是來自第三方。所謂「第三方」，就是指這種安全措施，不是由雲運營商提供的，而是由其他獨立廠商提供的，以避免管理上和技術上的後門。

國外雲端數據的安全廠家比較有代表性的如Ciper Cloud和Sky high Networks，國內雲端數據安全方案剛剛起步，有一些審計類的產品開始部署，但是加密類的產品，還在研發階段。

大數據平台的數據安全

在流行的大數據平台Hadoop、Cloudera和Splunk中，數據存儲和處理的方式發生了很大的變化。既可以採用傳統關係型資料庫系統，又可以採用新型的NoSQL資料庫，如HBASE，Mongodb，Cassandra，Hive等。當採用新型NoSQL資料庫時，數據安全面臨新的問題。目前國外針對Hadoop和Cloudera環境有資料庫審計、資料庫防火牆等產品。但是國內在此領域只有極少數公司在進行試探性的研發，目前尚未有相對成熟的產品上市。

（作者單位為北京理工大學）

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！