文/戴林

數(shù)據(jù)安全發(fā)展態(tài)勢(shì)及相關(guān)技術(shù)

文/戴林

2017年6月1日正式實(shí)施的《網(wǎng)絡(luò)安全法》第十條要求“建設(shè)、運(yùn)營(yíng)網(wǎng)絡(luò)或者通過(guò)網(wǎng)絡(luò)提供服務(wù)，應(yīng)當(dāng)采取技術(shù)措施和其他必要措施，維護(hù)網(wǎng)絡(luò)數(shù)據(jù)的完整性、保密性和可用性。”我們可以把這個(gè)要求看成是當(dāng)前數(shù)據(jù)安全的正式定義。

廣義的數(shù)據(jù)安全技術(shù)是指一切能夠直接、間接地保障數(shù)據(jù)的完整性、保密性、可用性的技術(shù)。這包含的范圍非常廣，比如傳統(tǒng)的防火墻、入侵檢測(cè)、病毒查殺、數(shù)據(jù)加密等，都可以納入這個(gè)范疇。正因?yàn)槿绱?，很多傳統(tǒng)的安全廠家都給自己貼上“數(shù)據(jù)安全廠家”的標(biāo)簽。

而狹義的數(shù)據(jù)安全技術(shù)是指直接圍繞數(shù)據(jù)的安全防護(hù)技術(shù)，主要指數(shù)據(jù)的訪問(wèn)審計(jì)、訪問(wèn)控制、加密、脫敏等方面。而這里的數(shù)據(jù)，則可以粗略地分為兩類：一類是非結(jié)構(gòu)化的數(shù)據(jù)，例如圖片、文件、圖紙等；另一類是結(jié)構(gòu)化的數(shù)據(jù)，主要存儲(chǔ)于數(shù)據(jù)庫(kù)中。當(dāng)然非結(jié)構(gòu)化的數(shù)據(jù)很大一部分也存儲(chǔ)于數(shù)據(jù)庫(kù)中，尤其是現(xiàn)在的各種NoSQL數(shù)據(jù)庫(kù)，就是專門(mén)針對(duì)非結(jié)構(gòu)化數(shù)據(jù)設(shè)計(jì)的。而相應(yīng)的數(shù)據(jù)安全技術(shù)，也可以粗略地劃分為針對(duì)非結(jié)構(gòu)化數(shù)據(jù)的安全技術(shù)和針對(duì)結(jié)構(gòu)化數(shù)據(jù)的安全技術(shù)。

本文聚焦于狹義的數(shù)據(jù)安全。

對(duì)于非結(jié)構(gòu)化的數(shù)據(jù)安全，主要采用數(shù)據(jù)泄露防護(hù)（Data leakage prevention, DLP）技術(shù)。DLP技術(shù)發(fā)展相對(duì)成熟，國(guó)外比較具有代表性的有Symantec的DLP產(chǎn)品，國(guó)內(nèi)也有不少類似產(chǎn)品。而對(duì)于結(jié)構(gòu)化的數(shù)據(jù)安全技術(shù)，國(guó)外發(fā)展比國(guó)內(nèi)早5～10年。個(gè)別產(chǎn)品，如數(shù)據(jù)庫(kù)審計(jì)、數(shù)據(jù)庫(kù)防火墻，以及數(shù)據(jù)庫(kù)脫敏，現(xiàn)在國(guó)外進(jìn)入產(chǎn)品和市場(chǎng)的成熟期，代表性廠家有Imperva、IBM Guardium、Infomatica等，而國(guó)內(nèi)企業(yè)目前勉強(qiáng)有產(chǎn)品能夠進(jìn)行替代，實(shí)際差距還比較大。在針對(duì)云環(huán)境和大數(shù)據(jù)環(huán)境的安全方面，國(guó)內(nèi)剛剛起步。以下逐個(gè)盤(pán)點(diǎn)。

數(shù)據(jù)泄露防護(hù)DLP

調(diào)查顯示，在文檔類泄密事件中，97%都是因內(nèi)部員工有意或無(wú)意泄露而造成。其主要原因?yàn)楹诵臄?shù)據(jù)大多以文件為載體，零散分布在員工電腦及移動(dòng)介質(zhì)中，且以明文存儲(chǔ)，不受管控。文檔的使用者可任意編輯、拷貝、轉(zhuǎn)發(fā)、打印等，文檔處在“裸奔”狀態(tài)，存在巨大的安全隱患。數(shù)據(jù)泄露防護(hù)（DLP）基于文檔加密，進(jìn)而控制其解密權(quán)限，從根源上防止數(shù)據(jù)外泄。

DLP的核心技術(shù)在于如下幾點(diǎn)：

1.動(dòng)態(tài)透明加解密，用戶無(wú)感知，在不影響用戶辦公習(xí)慣的前提下，有效控制使用者對(duì)文檔的讀取、存儲(chǔ)、復(fù)制、輸出的權(quán)限，防止數(shù)據(jù)泄密。

2.文檔分級(jí)管控，根據(jù)文檔流轉(zhuǎn)范圍，對(duì)文檔進(jìn)行多級(jí)別分級(jí)管理，確保文檔接收者只能做權(quán)限范圍內(nèi)的操作。

3.文檔外發(fā)管理，對(duì)受控的外發(fā)文件進(jìn)行加密和權(quán)限設(shè)定，防止第三方泄密。

4.系統(tǒng)集成拓展，可與文檔安全網(wǎng)關(guān)、郵件安全網(wǎng)關(guān)等系統(tǒng)整合，實(shí)現(xiàn)對(duì)單位應(yīng)用系統(tǒng)的安全集成及對(duì)核心數(shù)據(jù)載入載出的安全保護(hù)。

由于國(guó)外產(chǎn)品Symantec曾經(jīng)被審查出后門(mén)程序，以及國(guó)內(nèi)密碼管理政策原因，目前國(guó)內(nèi)的DLP產(chǎn)品主要采用國(guó)內(nèi)自主研發(fā)為主，并且由國(guó)內(nèi)公司研發(fā)生產(chǎn)，目前通過(guò)應(yīng)用層及驅(qū)動(dòng)層加密相互配合，可實(shí)現(xiàn)任意文檔類型的加密處理，并且沒(méi)有文檔大小及類型的限制，文檔處理效率幾乎不受影響，技術(shù)已基本成熟。

數(shù)據(jù)備份與容災(zāi)

需要確保數(shù)據(jù)備份和容災(zāi)系統(tǒng)通過(guò)建立數(shù)據(jù)的備份以及遠(yuǎn)程的容災(zāi)備份來(lái)確保在發(fā)生災(zāi)難性事件時(shí)，數(shù)據(jù)能夠被正常地恢復(fù)，從而提升數(shù)據(jù)的可用性。

數(shù)據(jù)容災(zāi)備份的關(guān)鍵技術(shù)在于：

1.數(shù)據(jù)變化的捕捉，將差異變化以最小的代價(jià)傳送到備份端。

2.恢復(fù)技術(shù)，需要在最短的時(shí)間甚至是零時(shí)間內(nèi)將備份數(shù)據(jù)恢復(fù)到生產(chǎn)系統(tǒng)中。

目前數(shù)據(jù)與容災(zāi)的市場(chǎng)和技術(shù)都相對(duì)成熟，國(guó)內(nèi)廠家較多，產(chǎn)品的可選擇余地較大，基本可以完全替代國(guó)外產(chǎn)品。

數(shù)據(jù)庫(kù)審計(jì)/防火墻

數(shù)據(jù)庫(kù)審計(jì)是最基礎(chǔ)的數(shù)據(jù)庫(kù)安全手段。由于數(shù)據(jù)庫(kù)是個(gè)“黑盒子”，對(duì)來(lái)自內(nèi)網(wǎng)、外網(wǎng)的用戶和系統(tǒng)對(duì)核心數(shù)據(jù)的訪問(wèn)情況，尤其是違規(guī)訪問(wèn)情況缺乏可視化。數(shù)據(jù)庫(kù)審計(jì)通過(guò)分析訪問(wèn)數(shù)據(jù)庫(kù)的網(wǎng)絡(luò)流量，對(duì)數(shù)據(jù)的訪問(wèn)情況進(jìn)行展示，并進(jìn)一步地識(shí)別敏感數(shù)據(jù)的竊取和破壞行為，比如對(duì)SQL注入攻擊、后門(mén)程序等進(jìn)行識(shí)別。而數(shù)據(jù)庫(kù)防火墻則更進(jìn)一步的，設(shè)置對(duì)核心數(shù)據(jù)的訪問(wèn)規(guī)則，阻止來(lái)自內(nèi)網(wǎng)用戶的越權(quán)訪問(wèn)和誤操作。并且這種訪問(wèn)規(guī)則是獨(dú)立于數(shù)據(jù)庫(kù)系統(tǒng)自身的訪問(wèn)控制。

數(shù)據(jù)庫(kù)審計(jì)/防火墻的核心技術(shù)在于如下幾點(diǎn)：1.高效的數(shù)據(jù)包獲取、分析和轉(zhuǎn)發(fā)技術(shù)；2.完整、準(zhǔn)確的數(shù)據(jù)庫(kù)協(xié)議解析和SQL協(xié)議解析；3.靈活有效的訪問(wèn)控制規(guī)則系統(tǒng)；4.自動(dòng)學(xué)習(xí)能力，能夠自主地學(xué)習(xí)用戶對(duì)數(shù)據(jù)的訪問(wèn)模型，并基于該模型進(jìn)行訪問(wèn)控制；5.高效的日志存儲(chǔ)和查詢性能；6.靈活的部署方式，能夠部署于多種應(yīng)用環(huán)境。

國(guó)外知名的數(shù)據(jù)庫(kù)審計(jì)/防火墻廠家有Imperva和IBM Guardium，它們的產(chǎn)品前幾年在國(guó)內(nèi)大型IT系統(tǒng)中部署較多。現(xiàn)在國(guó)內(nèi)一些公司的產(chǎn)品在界面、功能、性能等方面逐步接近國(guó)外產(chǎn)品，基本能夠替代。

數(shù)據(jù)庫(kù)加密

敏感數(shù)據(jù)在數(shù)據(jù)庫(kù)中明文存儲(chǔ)，會(huì)使得存儲(chǔ)文件、磁盤(pán)或者備份文件等被非法復(fù)制時(shí)導(dǎo)致數(shù)據(jù)泄露，而且商用數(shù)據(jù)庫(kù)還面臨著管理員權(quán)限過(guò)大，導(dǎo)致權(quán)利和責(zé)任的不統(tǒng)一。也就是說(shuō)數(shù)據(jù)管理員（DBA）不應(yīng)該有查看或者刪除所有敏感數(shù)據(jù)的權(quán)限，但是他實(shí)際上卻擁有這種權(quán)限。這也將導(dǎo)致數(shù)據(jù)的泄漏，尤其是在DBA權(quán)限被泄露的情況下。數(shù)據(jù)庫(kù)加密就是對(duì)敏感數(shù)據(jù)字段進(jìn)行選擇性的加密，并建立獨(dú)立于數(shù)據(jù)庫(kù)的訪問(wèn)控制規(guī)則，從而彌補(bǔ)上述風(fēng)險(xiǎn)。

數(shù)據(jù)庫(kù)加密的核心技術(shù)在于如下幾點(diǎn)：1.對(duì)應(yīng)用透明，包括增刪改查四種操作，以及主鍵、外鍵、約束等特性，修改表定義等操作；2.密文索引，確保加密后數(shù)據(jù)的查詢性能不受實(shí)質(zhì)影響，也就是返回首條記錄的時(shí)間沒(méi)有本質(zhì)的延長(zhǎng)；3.與國(guó)密算法的集成。

受政策、價(jià)格等原因的影響，數(shù)據(jù)庫(kù)加密產(chǎn)品主要是國(guó)內(nèi)創(chuàng)業(yè)公司生產(chǎn)的產(chǎn)品。由于密文索引的實(shí)現(xiàn)依賴于數(shù)據(jù)庫(kù)開(kāi)放的自定義索引接口，目前主流數(shù)據(jù)庫(kù)中，僅有Oracle數(shù)據(jù)庫(kù)提供這種接口，所以到現(xiàn)在為止，市場(chǎng)上真正成熟的數(shù)據(jù)庫(kù)加密，只有針對(duì)Oracle的產(chǎn)品。目前國(guó)內(nèi)數(shù)據(jù)安全創(chuàng)業(yè)公司在開(kāi)發(fā)針對(duì)MySQL的數(shù)據(jù)庫(kù)加密產(chǎn)品，主要目標(biāo)是各個(gè)共有云平臺(tái)上大量的MySQL用戶。技術(shù)路線有修改存儲(chǔ)引擎和加密網(wǎng)關(guān)兩種。修改存儲(chǔ)引擎方式比較簡(jiǎn)單，對(duì)SQL的通用性好，但是只適合開(kāi)源數(shù)據(jù)庫(kù)產(chǎn)品；而網(wǎng)關(guān)型加密產(chǎn)品對(duì)數(shù)據(jù)庫(kù)的通用性較好，但是對(duì)數(shù)據(jù)庫(kù)的某些特性支持起來(lái)比較困難。

數(shù)據(jù)庫(kù)脫敏

數(shù)據(jù)脫敏技術(shù)分為動(dòng)態(tài)脫敏和靜態(tài)脫敏。靜態(tài)脫敏針對(duì)的是在開(kāi)發(fā)、測(cè)試過(guò)程中使用真實(shí)敏感數(shù)據(jù)可能會(huì)導(dǎo)致的數(shù)據(jù)泄密風(fēng)險(xiǎn)。靜態(tài)脫敏類似于ETL，對(duì)真實(shí)數(shù)據(jù)進(jìn)行定時(shí)、批量的抽取以及脫敏轉(zhuǎn)換，從而提供準(zhǔn)確真實(shí)的數(shù)據(jù)。而動(dòng)態(tài)脫敏針對(duì)內(nèi)部運(yùn)維人員、外包人員在系統(tǒng)運(yùn)維過(guò)程中，接觸真實(shí)敏感數(shù)據(jù)，容易導(dǎo)致泄密的風(fēng)險(xiǎn)，以及應(yīng)用系統(tǒng)直接訪問(wèn)敏感數(shù)據(jù)，獲取真實(shí)數(shù)據(jù)內(nèi)容，容易導(dǎo)致泄密的風(fēng)險(xiǎn)。動(dòng)態(tài)脫敏系統(tǒng)部署于數(shù)據(jù)之前，通過(guò)改寫(xiě)訪問(wèn)數(shù)據(jù)庫(kù)的語(yǔ)句，從源頭上選擇性地對(duì)敏感數(shù)據(jù)進(jìn)行脫敏，并可以控制對(duì)敏感數(shù)據(jù)的訪問(wèn)總量。

數(shù)據(jù)庫(kù)靜態(tài)脫敏的核心技術(shù)在于如下幾點(diǎn)：1.高速的數(shù)據(jù)抽取和裝載技術(shù)；2.靈活的脫敏規(guī)則；3.敏感數(shù)據(jù)發(fā)現(xiàn)和隨機(jī)數(shù)據(jù)生成能力；4.脫敏后關(guān)聯(lián)關(guān)系的保持。

數(shù)據(jù)庫(kù)動(dòng)態(tài)脫敏的核心技術(shù)在于如下幾點(diǎn)：1.高效的數(shù)據(jù)包獲取、分析和轉(zhuǎn)發(fā)技術(shù)；2.完整準(zhǔn)確的數(shù)據(jù)庫(kù)協(xié)議解析和SQL協(xié)議解析；3.靈活有效的脫敏和訪問(wèn)控制規(guī)則系統(tǒng)；4.三層脫敏和訪問(wèn)控制。

國(guó)外數(shù)據(jù)庫(kù)脫敏的代表廠商有Informatica和IBM OPTIM。而國(guó)內(nèi)的脫敏市場(chǎng)和產(chǎn)品都是近兩年才發(fā)展起來(lái)的，整體落后。但是國(guó)內(nèi)的數(shù)據(jù)庫(kù)脫敏技術(shù)發(fā)展很快，目前靜態(tài)脫敏產(chǎn)品有一定選擇余地，基本可以替代國(guó)外產(chǎn)品。但是動(dòng)態(tài)脫敏由于技術(shù)難度更大，產(chǎn)品仍然很少，選擇余地不大，但是仍然基本可以替代國(guó)外產(chǎn)品。

云環(huán)境數(shù)據(jù)安全

在云端，數(shù)據(jù)所面臨的威脅被進(jìn)一步放大。除了遭受與傳統(tǒng)環(huán)境相同的安全威脅以外，由于云運(yùn)營(yíng)商的存在，數(shù)據(jù)還遭受“上帝之手”的威脅。以數(shù)據(jù)庫(kù)為例來(lái)說(shuō)，在云端，數(shù)據(jù)庫(kù)的租戶對(duì)數(shù)據(jù)庫(kù)的可控性是很低的，甚至不能登錄到數(shù)據(jù)庫(kù)所在的OS進(jìn)行管理。而云運(yùn)營(yíng)商卻擁有對(duì)數(shù)據(jù)庫(kù)以及其服務(wù)器的所有權(quán)限。云運(yùn)營(yíng)商完全可以在租戶毫無(wú)察覺(jué)的情況下進(jìn)入數(shù)據(jù)庫(kù)系統(tǒng)，或者進(jìn)入數(shù)據(jù)庫(kù)服務(wù)器所在的虛擬機(jī)。也就是說(shuō)，云數(shù)據(jù)庫(kù)租戶在數(shù)據(jù)庫(kù)中的數(shù)據(jù)，對(duì)云運(yùn)營(yíng)商來(lái)說(shuō)，幾乎是完全開(kāi)放的。這極大地增加了存儲(chǔ)在云端數(shù)據(jù)庫(kù)中具有商業(yè)價(jià)值的數(shù)據(jù)被泄露的風(fēng)險(xiǎn)。

云端數(shù)據(jù)對(duì)安全的技術(shù)需求，與線下是一致的，也需要借助于審計(jì)、訪問(wèn)控制、加密、脫敏等技術(shù)的保護(hù)。但是由于云管理員的存在，云端數(shù)據(jù)對(duì)加密的要求是第一位的，也就是說(shuō)，首先要確保數(shù)據(jù)的保密性，這是區(qū)別于線下數(shù)據(jù)安全的最顯著的特征。

另外，技術(shù)之外的一個(gè)要求就是客觀中立性。對(duì)于云端的數(shù)據(jù)安全防護(hù)，最好應(yīng)該是來(lái)自第三方。所謂“第三方”，就是指這種安全措施，不是由云運(yùn)營(yíng)商提供的，而是由其他獨(dú)立廠商提供的，以避免管理上和技術(shù)上的后門(mén)。

國(guó)外云端數(shù)據(jù)的安全廠家比較有代表性的如CiperCloud和Skyhigh Networks，國(guó)內(nèi)云端數(shù)據(jù)安全方案剛剛起步，有一些審計(jì)類的產(chǎn)品開(kāi)始部署，但是加密類的產(chǎn)品，還在研發(fā)階段。

（作者單位為北京理工大學(xué)）

大數(shù)據(jù)平臺(tái)的數(shù)據(jù)安全

在流行的大數(shù)據(jù)平臺(tái)Hadoop、Cloudera和Splunk中，數(shù)據(jù)存儲(chǔ)和處理的方式發(fā)生了很大的變化。既可以采用傳統(tǒng)關(guān)系型數(shù)據(jù)庫(kù)系統(tǒng)，又可以采用新型的NoSQL數(shù)據(jù)庫(kù)，如HBASE，Mongodb，Cassandra，Hive等。當(dāng)采用新型NoSQL數(shù)據(jù)庫(kù)時(shí)，數(shù)據(jù)安全面臨新的問(wèn)題。目前國(guó)外針對(duì)Hadoop和Cloudera環(huán)境有數(shù)據(jù)庫(kù)審計(jì)、數(shù)據(jù)庫(kù)防火墻等產(chǎn)品。但是國(guó)內(nèi)在此領(lǐng)域只有極少數(shù)公司在進(jìn)行試探性的研發(fā)，目前尚未有相對(duì)成熟的產(chǎn)品上市。

《網(wǎng)絡(luò)安全法》對(duì)數(shù)據(jù)安全的相關(guān)要求

《網(wǎng)絡(luò)安全法》是我國(guó)關(guān)于網(wǎng)絡(luò)空間安全的首部法律，是一部基本法。在《網(wǎng)絡(luò)安全法》中，有大量篇幅的內(nèi)容是與數(shù)據(jù)安全相關(guān)的，涉及到技術(shù)和管理兩個(gè)方面的內(nèi)容。概括起來(lái)，《網(wǎng)絡(luò)安全法》中有關(guān)網(wǎng)絡(luò)數(shù)據(jù)安全的技術(shù)性要求有如下幾點(diǎn)：

1.對(duì)數(shù)據(jù)訪問(wèn)日志進(jìn)行審計(jì)，且日志留存時(shí)間不低于6個(gè)月（第21條）；

2.對(duì)數(shù)據(jù)進(jìn)行分類，將敏感數(shù)據(jù)與普通數(shù)據(jù)區(qū)別化處理（第21條）；

3.對(duì)重要數(shù)據(jù)進(jìn)行備份，容災(zāi)（第21、34條）；

4.對(duì)重要數(shù)據(jù)進(jìn)行加密（第31條）；

5.對(duì)個(gè)人信息進(jìn)行脫敏（第42條）。