数据安全密码防护体系建设思路

引用本文：白小勇.数据安全密码防护体系建设思路[J].信息安全与通信保密,2019(11):15-21.

0

引　言

从IT到DT时代，企业安全建设正在从以网络为中心转向聚焦以数据为中心。业务应用是数据安全防护的关键抓手，但企业应用系统普遍缺失内建安全能力，而通过改造应用增强安全的方式成本高、风险大，所以，国内产业生态特点决定了企业适合采取运行阶段补丁增强安全的方式。

创新的CASB插件模式能够免开发改造应用、敏捷实施数据安全，可结合应用内数据加密与身份识别技术，打造“主体到应用内用户，客体到字段级”的细粒度数据防护。进一步基于锚点解密将密码、访问控制、审计等安全策略一体化，实现防绕过的数据安全密码防护体系。

1　应用内数据保护是企业安全建设重点

1.1　企业安全需求向“聚焦以数据为中心”演进

如今信息化高速发展，企业不仅将实体资产数字化，也在将其业务流程信息化，伴随而来的是企业数据资产爆发式增长。应用系统间也开始打通、共享、协同，数据作为数字化时代的重要生产要素在企业应用系统内部高速流转，驱动业务效率提升，带来了巨大效益。与此同时，数据的高价值使之成为被觊觎的目标，数据安全威胁已经成为关乎企业命运的关键业务风险。

近年来，企业数据泄露事件层出不穷，数据风险日趋严峻。2019年7月21日，美国征信机构Equifax被罚款7亿美元，为其2017年泄露1.45亿用户（将近一半美国人口）的隐私信息做出赔偿，其CEO、CIO首席信息官、CSO首席安全官在事发后被迫离职。2019年7月24日，Facebook因此前泄漏8700万用户数据，被重罚50亿美元；除了支付罚款，Facebook 后续每一次新版本的发布前，都需要接受美国联邦贸易委员会（FTC）隐私审查，还必须定期报告其用户隐私数据的处理情况。

这项处罚直接动摇了Facebook 的商业根基，因为其商业模式正是通过对用户隐私数据的挖掘，实现广告精准投放。一桩桩的数据泄露事件给社会公众生活带来恶劣影响，给企业带来沉重的商业利益损失，更严重的会直接影响到企业的正常运转，关乎企业生死存亡。

美国国家安全局 NSA（National Security Agency）下属的国防与政府防御体系的主要建设机 构IAD（Information Assurance Directorate），在2013年提出“安全必须从以网络为中心，转向聚焦以数据为中心”。2019年2月，美国国防部发布《国防部云战略》白皮书，明确提出：“美国国防部将安全防护重点，从边界防御转向保护数据和服务”。

伴随企业信息化发展，全球正在从IT时代进入DT（Data Technology）时代，而以“数据为中心、结合网络边界防护” 的双轴驱动的安全体系建设成为大势所趋。如图1所示，数据与网络（技术栈）是正交的，以网络为中心的安全体系是保证数据安全的前提和基石，而以数据为中心的安全，把数据作为抓手实施安全保护，能够有效增强对数据本身的防护能力，二者是关联、依赖和演进的关系。

图1 双轴驱动的新安全建设理念

目前，企业应用系统普遍缺失内建数据安全能力，同时多个应用系统打通共享后成倍放大了数据安全管理复杂度，面临着更为严峻的安全挑战。数据在不同应用之间流转，导致数据所有者、数据控制者和数据处理者难以有效控制，数据可能被非法访问和处理，造成数据保密性和完整性方面的巨大安全风险。

据国际密码产品供应商金雅拓统计，2018年上半年泄露的45亿条数据中，仅有不到3%是密文数据（密文被泄露是安全的）。不难看出，密码技术在数据安全防护方面的作用是十分明显的。密码技术能够直接作用于数据，是数据安全的核心技术，利用密码在身份鉴别、数据加密、信任传递等方面的重要作用，能够重构数据安全防线，获得网络空间制网权。

与国外相比，我国安全产业在信息化投入占比还有数倍差距，我国数据安全情况更加不容乐观。与此同时，我国作为大国，政务、互联网、物联网、各行业都产生了海量数据，而这些大数据的流转在目前基本是“裸奔”状态。近年来，我国密集颁布法律法规，明确数据安全密码防护要求。2019年10月26日，第十三届全国人大常委会第十四次会议表决通过《密码法》，要求关键信息基础设施应当依照法律、法规和相关国家标准等要求，使用商用密码技术保障系统安全。2019年5月公安部发布《网络安全等级保护条例2.0》增强了密码保护数据的要求。2015年以来，国家多次发文，明确要求在金融、基础信息网络、重要信息系统、重要工业控制系统和政务信息系统等关键信息基础设施，全面提升密码保障能力，将密码融入应用作为工作目标，而重心则是数据安全防护。

1.2　业务应用承载了主要数据共享，是数据安全防护关键抓手

企业建设的IT架构，包含基础设施、软件平台以及业务应用等不同层，如下图2所示，数据持续在不同层之间高效流转，实现互联共享，创造价值。

图2 业务应用承载数据共享是防护的关键抓手

数据越往上层，价值点越多。数据在基础设施层时，是没有业务含义的二进制状态；在软件平台时，可表现为各种形式的文件格式；在业务应用层时，数据才具有丰富的上下文和业务含义。

应用层恶意用户的攻击行为，往往发生在看似合理的业务操作中，具有较高的隐蔽性。并且，内部用户更容易接触到组织的核心知识资产等敏感信息，危害性更高。同时，接触业务应用层的内部人员数量，要远大于接触基础设施层和软件平台的。因此，企业要特别重视数据在业务应用层的安全保护，需要以应用为抓手实现对企业数据资产的防护，有效应对数据泄露威胁。

2　国内生态催生“应用免改造”安全增强模式

2.1　美国应用内加密采用了集成密码SDK模式

美国产业生态特点决定了其应用内加密采用了集成密码SDK模式。美国SOX（塞班斯法案， 上市公司监管法规）、HIPAA（健康保险隐私及责任法案）、FISMA（联邦信息系统安全防护政策） 、GLBA（金融服务法现代化法案）、PCI-DSS（支付卡行业数据安全标准）等行业合规准则，在应用开发建设阶段均被有效执行，并且涉及数据加密、访问控制、审计等。

同时，据 Consultancy 统计，2018年风险合规咨询市场已经达到700亿美金，美国前十大信息安全公司常年被德勤、安永、毕马威、普华永道等占据，这说明加密的广阔市场空间，并不在游离在应用之外的基础密码产品，而在充分结合行业场景的密码应用产品。

美国FIPS密码模块安全评估认证是目前被全球广泛接受的密码产品认证体系。分析美国FIPS认证的密码产品类型、构成以及密码产品发展趋势，具有重要借鉴意义。美国的应用内集成密码 SDK 技术路线也催生了丰富的密码中间件产品，这类密码中间件产品可以被应用软件集成，为应用提供内置的加密与细控等安全防护 , 可以满足企业 IT 建设的各种场景安全需求。

如图3所示，截至2018年10月12日，通过FIPS认证有效状态的1149件产品中，软件密码应用安全中间件数量最多约有264件，在通过FIPS检测认证的产品分类数量中占据首位。而国内密码中间件这个品类占比极低，这也反映出中美两国在数据防护领域的生态差异。

图3 FIPS 密码模块产品分类数量TOP10

2.2　运行阶段补丁增强模式适合国内应用产业现状

相比美国，我国在应用与数据安全相关法律法规制定起步较晚，过去十几年，大量应用系统在建设过程中没有将应用内建安全考虑进来，这造成国内大量的已建应用缺失安全防护能力，只能采取对应用二次开发改造以增强安全的方式。

而对已建应用系统，进行开发改造以增强安全的方式涉及面广、开发周期长、成本极高、风险很大，失去维护的系统甚至缺失源代码；同时，已上线的系统重新部署还存在业务中断风险。所以，通过改造的方式增强已建应用系统安全并不可行，国内的产业生态决定了我国适合采取运行阶段补丁增强安全的模式。

2.3　创新CASB插件模式实现“应用免改造”增强数据安全

炼石开创性地将CASB技术（Critical Application Security Broker，关键应用安全代理）改进并融入企业私有场景，实现“应用免改造”增强细粒度数据防护。其中，CASB插件模式不仅能够对大量已有应用提供免开发改造的数据安全增强；同时，也能够为各种新建系统提供敏捷的数据安全集成能力。

CASB插件模式对应用是透明的，应用无须改造，也不改变其之前的运行机制，遗留应用或新建应用均可快速部署，不影响企业现有系统的稳定性，保证已上线系统的正常运营，确保企业的业务不中断。CASB插件模式可敏捷部署和人性化配置，不管是针对应用系统业务人员还是DBA等管理员，都可以通过策略配置，

实现对指定数据字段的加密、脱敏、审计。并同时支持国密算法和国际算法，以及对手机号、证件号、邮箱等字段保留格式加密。

企业信息系统数量众多，涉及的数据库品牌和版本繁多。传统的数据库侧加密产品实施需要较大工程量，以覆盖若干个数据库品牌和版本。CASB插件模式完全解耦数据库品牌和版本，用户只需在应用中进行插件配置，重启服务即可完成安装，全面支持企业常用的Oracle、MySQL、SQL Server、INFORMIX、PostgreSQL、MongoDB等数据库。

3　打造防绕过的用户与字段级细粒度防护

3.1　“主体到应用内用户，客体到字段级”的细粒度防护

安全防护的本质是对主体和客体的控制。BeyondCorp提出把主体识别到“人+设备”，但是其客体识别只能到应用系统，难以覆盖对应用内流转数据的安全控制。另外，传统的数据库侧防护无法识别到应用内用户，例如，其无法知晓敏感数据是被应用内哪个登录用户访问的。

CASB插件模式能够提供“主体到应用内用户，客体到字段级”的安全防护能力。CASB插件模式是在应用内做防护，可以将登录用户、字段或文档级数据结合起来，提供细粒度的数据安全保护。管理员可通过设置加解密策略，主体控制到应用内用户，客体控制可达到数据库的表级、列级、字段级，同时不同的数据行、列及字段级（记录单元）可以采用不同加密算法和密钥，从而实现对企业内部人员的敏感数据访问授权的最小化。

3.2　密码控审一体化，安全机制防绕过

3.2.1　传统“加密与访问控制”组合模式存在短板

传统的加密与防护控制组合模式中，加密施加在数据库这一侧，访问控制通过4A或IAM策略中心下发认证和权限决策。如图4所示，这种模式下，解密和权限是两个决策点，传统的数据库加密设备将数据解密后以明文形式传输到服务端，数据解密无法和权限体系结合， 加解密和细控的分离带来了威胁敞口，攻击者可以绕过访问控制，从威胁敞口直接窃取数据。同时，数据库加密设备与IAM策略中心需要重复定义字段级的安全策略，造成重复配置、增大维护难度。

图4 传统加密与访问控制组合模式

3.2.2　基于锚点解密可实现“防绕过”的数据安全防护

密钥是对数据秘密的浓缩，数据很大但密钥很小，数据流动快、边界范围大，但密钥边界小、管控严。加密的本质价值是数据边界收缩到密钥边界，缩小了安全敞口。在数据加密的基础上再实施访问控制策略，可以打造有效的数据防护。如图5所示，CASB插件模式把数据锚点解密与访问控制、审计等技术结合，可以构建“防绕过”的数据安全防护体系。

图5 锚点解密的防绕过数据安全

同时，在解密的节点上做防护控制和审计，防护控制的策略就难以被绕过，这时审计也是具有高置信度的。CASB插件模式支持可追溯、防篡改的第三方数据库审计，以独立于业务应用之外的方式实现审计，每条日志支持主体追溯到人，并为审计日志进行完整性保护，保证可事后追责。

3.3　为企业批量应用提供多种数据类型的保护

企业同时存在结构化数据和非结构化数据，需要采用不同技术手段加以保护。

结构化数据是指具有确定长度或结构的数据，严格遵循数据格式和长度规范，主要通过关系型数据库进行存储和管理，例如身份证号码、电话号码、银行卡号等。可以将CASB插件与数据安全管理平台相结合，针对结构化数据进行加密，并实现“主体到应用内用户、客体到字段”的细粒度访问控制和安全审计，可以防范来自数据库等服务侧的威胁。

非结构化数据一般集中存储于企业文件服务器中，包括各种格式的办公文档、图片、音频、视频信息等。将CASB插件与管理平台相结合，可以实现针对非结构化数据的安全审计，以及“逐文件逐密钥”的透明文件加密。

图6 总体部署示意图

如图6所示，“CASB 管理平台”维护和下发安全策略，包括加密策略和细粒度访问控制策略，这些策略下发至插件中，由插件执行；“CASB 数据操作审计与分析系统”负责对数据访问的日志留存及审计；“KLM密钥生命周期管理系统”负责加解密所用密钥的统一管理。

3.3.1　结构化数据安全保护

对于留存在数据库和应用中的结构化数据，CASB安全插件、CASB 管理平台以及密钥管理系统的组合，可以在数据整个生命周期对其加以保护。通过仅允许已授权用户访问并查看敏感信息，可确保对数据的有效控制。

图7 结构化数据安全保护示意图

密管理平台进行交互，获取加解密策略以及密钥。CASB插件模式下可通过“主体到应用内用户，客体到字段级”的细粒度访问控制，实现面向用户端的动态脱敏。

3.3.2　非结构化数据安全保护

针对非结构化数据的安全保护，CASB插件模式可实现落盘加密，读盘解密，同时进行操作的安全审计，可实现“主体到应用内用户、客体到文件”的细粒度访问控制及审计。

图8 非结构化数据安全保护示意图

针对非结构化数据的安全保护，以“安全审计”为主要手段，可实现“主体到应用内用户， 客体到文件”的细粒度访问控制。如图8所示，CASB 插件模式支持对指定文件夹进行加密， 该文件夹（及其子文件夹）下的文件在保存时被加密；可选择要授权的应用进程，通过白名单机制使应用正常访问；未授权应用进程或者直接拷贝文件，只能读取到密文文件。服务侧整体的文件加密，支持“逐文件逐密钥”的透明文件加密。

3.3.3　“分布式加密、集中式管控”降低管理成本

如图7所示，CASB安全插件部署在应用服务端，只需进行简单配置，应用无须再进行任何额外修改，即可向数据库输出密文，数据以密文形式存储于数据库中。插件与数据库加解对于应用系统数量众多的企业，如果采用传统的单节点部署模式，在各个应用系统或数据库系统上独立部署加密审计产品，则企业将无法统一管理和监控应用系统中数据运行情况，同时成本高，后期维护难度大。

图9 分布式加密、集中式管控示意图

如图9所示，CASB插件模式支持企业批量应用系统的分布式加密与集中式管控，降低维护和管理成本。在各个应用系统上只需增加安全插件和简单配置，即可实现细粒度的加密、脱敏、审计等，支持根据企业各级系统架构部署集中数据安全管理平台，统一下发数据安全策略。让企业能够实时掌握其多个应用系统运行状况，对应用中所有数据加解密状态、访问控制授权情况以及审计日志情况实现统一管理和监控。

4　结　语

信息化升级彻底打破了传统的网络防护边界，伴随着数据科技时代的到来，企业面临严峻的安全失控、数据泄露等风险，企业安全建设理念正在从以网络为中心，转向聚焦以数据为中心。数据安全密码防护体系，本质上是用密码“重构数据边界”，在新的“数据虚拟边界”上重新定义一套安全控制规则，实现对现有应用系统、现有网络结构下的“安全能力叠加增强”。

围绕数据加解密控制可以将多种安全机制结合，包括防绕过的访问控制、高置信度的数据审计等，这些安全机制丰富和增强了安全防护水平，最终构建以密码技术为核心、多种安全技术相互融合的新安全体系，为企业的业务发展保驾护航。

作者简介 >>>

白小勇，北京炼石网络技术有限公司创始人、CEO，长期致力于密码应用、数据安全等方面的研究工作，开创性地将CASB云访问安全代理技术改进并融入企业私有场景，实现免改造应用增强细粒度数据防护。

选自《信息安全与通信保密》2019年第十一期 （为便于排版，已省去原文参考文献）