文/戴林

數(shù)據(jù)安全發(fā)展態(tài)勢及相關(guān)技術(shù)

文/戴林

2017年6月1日正式實施的《網(wǎng)絡安全法》第十條要求“建設、運營網(wǎng)絡或者通過網(wǎng)絡提供服務，應當采取技術(shù)措施和其他必要措施，維護網(wǎng)絡數(shù)據(jù)的完整性、保密性和可用性。”我們可以把這個要求看成是當前數(shù)據(jù)安全的正式定義。

廣義的數(shù)據(jù)安全技術(shù)是指一切能夠直接、間接地保障數(shù)據(jù)的完整性、保密性、可用性的技術(shù)。這包含的范圍非常廣，比如傳統(tǒng)的防火墻、入侵檢測、病毒查殺、數(shù)據(jù)加密等，都可以納入這個范疇。正因為如此，很多傳統(tǒng)的安全廠家都給自己貼上“數(shù)據(jù)安全廠家”的標簽。

而狹義的數(shù)據(jù)安全技術(shù)是指直接圍繞數(shù)據(jù)的安全防護技術(shù)，主要指數(shù)據(jù)的訪問審計、訪問控制、加密、脫敏等方面。而這里的數(shù)據(jù)，則可以粗略地分為兩類：一類是非結(jié)構(gòu)化的數(shù)據(jù)，例如圖片、文件、圖紙等；另一類是結(jié)構(gòu)化的數(shù)據(jù)，主要存儲于數(shù)據(jù)庫中。當然非結(jié)構(gòu)化的數(shù)據(jù)很大一部分也存儲于數(shù)據(jù)庫中，尤其是現(xiàn)在的各種NoSQL數(shù)據(jù)庫，就是專門針對非結(jié)構(gòu)化數(shù)據(jù)設計的。而相應的數(shù)據(jù)安全技術(shù)，也可以粗略地劃分為針對非結(jié)構(gòu)化數(shù)據(jù)的安全技術(shù)和針對結(jié)構(gòu)化數(shù)據(jù)的安全技術(shù)。

本文聚焦于狹義的數(shù)據(jù)安全。

對于非結(jié)構(gòu)化的數(shù)據(jù)安全，主要采用數(shù)據(jù)泄露防護（Data leakage prevention, DLP）技術(shù)。DLP技術(shù)發(fā)展相對成熟，國外比較具有代表性的有Symantec的DLP產(chǎn)品，國內(nèi)也有不少類似產(chǎn)品。而對于結(jié)構(gòu)化的數(shù)據(jù)安全技術(shù)，國外發(fā)展比國內(nèi)早5～10年。個別產(chǎn)品，如數(shù)據(jù)庫審計、數(shù)據(jù)庫防火墻，以及數(shù)據(jù)庫脫敏，現(xiàn)在國外進入產(chǎn)品和市場的成熟期，代表性廠家有Imperva、IBM Guardium、Infomatica等，而國內(nèi)企業(yè)目前勉強有產(chǎn)品能夠進行替代，實際差距還比較大。在針對云環(huán)境和大數(shù)據(jù)環(huán)境的安全方面，國內(nèi)剛剛起步。以下逐個盤點。

數(shù)據(jù)泄露防護DLP

調(diào)查顯示，在文檔類泄密事件中，97%都是因內(nèi)部員工有意或無意泄露而造成。其主要原因為核心數(shù)據(jù)大多以文件為載體，零散分布在員工電腦及移動介質(zhì)中，且以明文存儲，不受管控。文檔的使用者可任意編輯、拷貝、轉(zhuǎn)發(fā)、打印等，文檔處在“裸奔”狀態(tài)，存在巨大的安全隱患。數(shù)據(jù)泄露防護（DLP）基于文檔加密，進而控制其解密權(quán)限，從根源上防止數(shù)據(jù)外泄。

DLP的核心技術(shù)在于如下幾點：

1.動態(tài)透明加解密，用戶無感知，在不影響用戶辦公習慣的前提下，有效控制使用者對文檔的讀取、存儲、復制、輸出的權(quán)限，防止數(shù)據(jù)泄密。

2.文檔分級管控，根據(jù)文檔流轉(zhuǎn)范圍，對文檔進行多級別分級管理，確保文檔接收者只能做權(quán)限范圍內(nèi)的操作。

3.文檔外發(fā)管理，對受控的外發(fā)文件進行加密和權(quán)限設定，防止第三方泄密。

4.系統(tǒng)集成拓展，可與文檔安全網(wǎng)關(guān)、郵件安全網(wǎng)關(guān)等系統(tǒng)整合，實現(xiàn)對單位應用系統(tǒng)的安全集成及對核心數(shù)據(jù)載入載出的安全保護。

由于國外產(chǎn)品Symantec曾經(jīng)被審查出后門程序，以及國內(nèi)密碼管理政策原因，目前國內(nèi)的DLP產(chǎn)品主要采用國內(nèi)自主研發(fā)為主，并且由國內(nèi)公司研發(fā)生產(chǎn)，目前通過應用層及驅(qū)動層加密相互配合，可實現(xiàn)任意文檔類型的加密處理，并且沒有文檔大小及類型的限制，文檔處理效率幾乎不受影響，技術(shù)已基本成熟。

數(shù)據(jù)備份與容災

需要確保數(shù)據(jù)備份和容災系統(tǒng)通過建立數(shù)據(jù)的備份以及遠程的容災備份來確保在發(fā)生災難性事件時，數(shù)據(jù)能夠被正常地恢復，從而提升數(shù)據(jù)的可用性。

數(shù)據(jù)容災備份的關(guān)鍵技術(shù)在于：

1.數(shù)據(jù)變化的捕捉，將差異變化以最小的代價傳送到備份端。

2.恢復技術(shù)，需要在最短的時間甚至是零時間內(nèi)將備份數(shù)據(jù)恢復到生產(chǎn)系統(tǒng)中。

目前數(shù)據(jù)與容災的市場和技術(shù)都相對成熟，國內(nèi)廠家較多，產(chǎn)品的可選擇余地較大，基本可以完全替代國外產(chǎn)品。

數(shù)據(jù)庫審計/防火墻

數(shù)據(jù)庫審計是最基礎的數(shù)據(jù)庫安全手段。由于數(shù)據(jù)庫是個“黑盒子”，對來自內(nèi)網(wǎng)、外網(wǎng)的用戶和系統(tǒng)對核心數(shù)據(jù)的訪問情況，尤其是違規(guī)訪問情況缺乏可視化。數(shù)據(jù)庫審計通過分析訪問數(shù)據(jù)庫的網(wǎng)絡流量，對數(shù)據(jù)的訪問情況進行展示，并進一步地識別敏感數(shù)據(jù)的竊取和破壞行為，比如對SQL注入攻擊、后門程序等進行識別。而數(shù)據(jù)庫防火墻則更進一步的，設置對核心數(shù)據(jù)的訪問規(guī)則，阻止來自內(nèi)網(wǎng)用戶的越權(quán)訪問和誤操作。并且這種訪問規(guī)則是獨立于數(shù)據(jù)庫系統(tǒng)自身的訪問控制。

數(shù)據(jù)庫審計/防火墻的核心技術(shù)在于如下幾點：1.高效的數(shù)據(jù)包獲取、分析和轉(zhuǎn)發(fā)技術(shù)；2.完整、準確的數(shù)據(jù)庫協(xié)議解析和SQL協(xié)議解析；3.靈活有效的訪問控制規(guī)則系統(tǒng)；4.自動學習能力，能夠自主地學習用戶對數(shù)據(jù)的訪問模型，并基于該模型進行訪問控制；5.高效的日志存儲和查詢性能；6.靈活的部署方式，能夠部署于多種應用環(huán)境。

國外知名的數(shù)據(jù)庫審計/防火墻廠家有Imperva和IBM Guardium，它們的產(chǎn)品前幾年在國內(nèi)大型IT系統(tǒng)中部署較多。現(xiàn)在國內(nèi)一些公司的產(chǎn)品在界面、功能、性能等方面逐步接近國外產(chǎn)品，基本能夠替代。

數(shù)據(jù)庫加密

敏感數(shù)據(jù)在數(shù)據(jù)庫中明文存儲，會使得存儲文件、磁盤或者備份文件等被非法復制時導致數(shù)據(jù)泄露，而且商用數(shù)據(jù)庫還面臨著管理員權(quán)限過大，導致權(quán)利和責任的不統(tǒng)一。也就是說數(shù)據(jù)管理員（DBA）不應該有查看或者刪除所有敏感數(shù)據(jù)的權(quán)限，但是他實際上卻擁有這種權(quán)限。這也將導致數(shù)據(jù)的泄漏，尤其是在DBA權(quán)限被泄露的情況下。數(shù)據(jù)庫加密就是對敏感數(shù)據(jù)字段進行選擇性的加密，并建立獨立于數(shù)據(jù)庫的訪問控制規(guī)則，從而彌補上述風險。

數(shù)據(jù)庫加密的核心技術(shù)在于如下幾點：1.對應用透明，包括增刪改查四種操作，以及主鍵、外鍵、約束等特性，修改表定義等操作；2.密文索引，確保加密后數(shù)據(jù)的查詢性能不受實質(zhì)影響，也就是返回首條記錄的時間沒有本質(zhì)的延長；3.與國密算法的集成。

受政策、價格等原因的影響，數(shù)據(jù)庫加密產(chǎn)品主要是國內(nèi)創(chuàng)業(yè)公司生產(chǎn)的產(chǎn)品。由于密文索引的實現(xiàn)依賴于數(shù)據(jù)庫開放的自定義索引接口，目前主流數(shù)據(jù)庫中，僅有Oracle數(shù)據(jù)庫提供這種接口，所以到現(xiàn)在為止，市場上真正成熟的數(shù)據(jù)庫加密，只有針對Oracle的產(chǎn)品。目前國內(nèi)數(shù)據(jù)安全創(chuàng)業(yè)公司在開發(fā)針對MySQL的數(shù)據(jù)庫加密產(chǎn)品，主要目標是各個共有云平臺上大量的MySQL用戶。技術(shù)路線有修改存儲引擎和加密網(wǎng)關(guān)兩種。修改存儲引擎方式比較簡單，對SQL的通用性好，但是只適合開源數(shù)據(jù)庫產(chǎn)品；而網(wǎng)關(guān)型加密產(chǎn)品對數(shù)據(jù)庫的通用性較好，但是對數(shù)據(jù)庫的某些特性支持起來比較困難。

數(shù)據(jù)庫脫敏

數(shù)據(jù)脫敏技術(shù)分為動態(tài)脫敏和靜態(tài)脫敏。靜態(tài)脫敏針對的是在開發(fā)、測試過程中使用真實敏感數(shù)據(jù)可能會導致的數(shù)據(jù)泄密風險。靜態(tài)脫敏類似于ETL，對真實數(shù)據(jù)進行定時、批量的抽取以及脫敏轉(zhuǎn)換，從而提供準確真實的數(shù)據(jù)。而動態(tài)脫敏針對內(nèi)部運維人員、外包人員在系統(tǒng)運維過程中，接觸真實敏感數(shù)據(jù)，容易導致泄密的風險，以及應用系統(tǒng)直接訪問敏感數(shù)據(jù)，獲取真實數(shù)據(jù)內(nèi)容，容易導致泄密的風險。動態(tài)脫敏系統(tǒng)部署于數(shù)據(jù)之前，通過改寫訪問數(shù)據(jù)庫的語句，從源頭上選擇性地對敏感數(shù)據(jù)進行脫敏，并可以控制對敏感數(shù)據(jù)的訪問總量。

數(shù)據(jù)庫靜態(tài)脫敏的核心技術(shù)在于如下幾點：1.高速的數(shù)據(jù)抽取和裝載技術(shù)；2.靈活的脫敏規(guī)則；3.敏感數(shù)據(jù)發(fā)現(xiàn)和隨機數(shù)據(jù)生成能力；4.脫敏后關(guān)聯(lián)關(guān)系的保持。

數(shù)據(jù)庫動態(tài)脫敏的核心技術(shù)在于如下幾點：1.高效的數(shù)據(jù)包獲取、分析和轉(zhuǎn)發(fā)技術(shù)；2.完整準確的數(shù)據(jù)庫協(xié)議解析和SQL協(xié)議解析；3.靈活有效的脫敏和訪問控制規(guī)則系統(tǒng)；4.三層脫敏和訪問控制。

國外數(shù)據(jù)庫脫敏的代表廠商有Informatica和IBM OPTIM。而國內(nèi)的脫敏市場和產(chǎn)品都是近兩年才發(fā)展起來的，整體落后。但是國內(nèi)的數(shù)據(jù)庫脫敏技術(shù)發(fā)展很快，目前靜態(tài)脫敏產(chǎn)品有一定選擇余地，基本可以替代國外產(chǎn)品。但是動態(tài)脫敏由于技術(shù)難度更大，產(chǎn)品仍然很少，選擇余地不大，但是仍然基本可以替代國外產(chǎn)品。

云環(huán)境數(shù)據(jù)安全

在云端，數(shù)據(jù)所面臨的威脅被進一步放大。除了遭受與傳統(tǒng)環(huán)境相同的安全威脅以外，由于云運營商的存在，數(shù)據(jù)還遭受“上帝之手”的威脅。以數(shù)據(jù)庫為例來說，在云端，數(shù)據(jù)庫的租戶對數(shù)據(jù)庫的可控性是很低的，甚至不能登錄到數(shù)據(jù)庫所在的OS進行管理。而云運營商卻擁有對數(shù)據(jù)庫以及其服務器的所有權(quán)限。云運營商完全可以在租戶毫無察覺的情況下進入數(shù)據(jù)庫系統(tǒng)，或者進入數(shù)據(jù)庫服務器所在的虛擬機。也就是說，云數(shù)據(jù)庫租戶在數(shù)據(jù)庫中的數(shù)據(jù)，對云運營商來說，幾乎是完全開放的。這極大地增加了存儲在云端數(shù)據(jù)庫中具有商業(yè)價值的數(shù)據(jù)被泄露的風險。

云端數(shù)據(jù)對安全的技術(shù)需求，與線下是一致的，也需要借助于審計、訪問控制、加密、脫敏等技術(shù)的保護。但是由于云管理員的存在，云端數(shù)據(jù)對加密的要求是第一位的，也就是說，首先要確保數(shù)據(jù)的保密性，這是區(qū)別于線下數(shù)據(jù)安全的最顯著的特征。

另外，技術(shù)之外的一個要求就是客觀中立性。對于云端的數(shù)據(jù)安全防護，最好應該是來自第三方。所謂“第三方”，就是指這種安全措施，不是由云運營商提供的，而是由其他獨立廠商提供的，以避免管理上和技術(shù)上的后門。

國外云端數(shù)據(jù)的安全廠家比較有代表性的如CiperCloud和Skyhigh Networks，國內(nèi)云端數(shù)據(jù)安全方案剛剛起步，有一些審計類的產(chǎn)品開始部署，但是加密類的產(chǎn)品，還在研發(fā)階段。

（作者單位為北京理工大學）

大數(shù)據(jù)平臺的數(shù)據(jù)安全

在流行的大數(shù)據(jù)平臺Hadoop、Cloudera和Splunk中，數(shù)據(jù)存儲和處理的方式發(fā)生了很大的變化。既可以采用傳統(tǒng)關(guān)系型數(shù)據(jù)庫系統(tǒng)，又可以采用新型的NoSQL數(shù)據(jù)庫，如HBASE，Mongodb，Cassandra，Hive等。當采用新型NoSQL數(shù)據(jù)庫時，數(shù)據(jù)安全面臨新的問題。目前國外針對Hadoop和Cloudera環(huán)境有數(shù)據(jù)庫審計、數(shù)據(jù)庫防火墻等產(chǎn)品。但是國內(nèi)在此領(lǐng)域只有極少數(shù)公司在進行試探性的研發(fā)，目前尚未有相對成熟的產(chǎn)品上市。

《網(wǎng)絡安全法》對數(shù)據(jù)安全的相關(guān)要求

《網(wǎng)絡安全法》是我國關(guān)于網(wǎng)絡空間安全的首部法律，是一部基本法。在《網(wǎng)絡安全法》中，有大量篇幅的內(nèi)容是與數(shù)據(jù)安全相關(guān)的，涉及到技術(shù)和管理兩個方面的內(nèi)容。概括起來，《網(wǎng)絡安全法》中有關(guān)網(wǎng)絡數(shù)據(jù)安全的技術(shù)性要求有如下幾點：

1.對數(shù)據(jù)訪問日志進行審計，且日志留存時間不低于6個月（第21條）；

2.對數(shù)據(jù)進行分類，將敏感數(shù)據(jù)與普通數(shù)據(jù)區(qū)別化處理（第21條）；

3.對重要數(shù)據(jù)進行備份，容災（第21、34條）；

4.對重要數(shù)據(jù)進行加密（第31條）；

5.對個人信息進行脫敏（第42條）。