身份证号还在明文存储?一文读懂十大存储加密技术!
一文读懂十种数据存储加密技术
近年来,国家持续加强对网络安全、数据安全、个人信息的保护力度,陆续颁布了《网络安全法》《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》《网络安全审查办法》《数据出境安全评估办法》等法律法规。国家有关部门依法加大网络安全、数据安全、个人信息保护等领域执法力度,通过执法约谈、责令改正、警告、通报批评、罚款、责令暂停相关业务、停业整顿、关闭网站、下架、处理责任人等处置处罚措施,依法打击危害国家网络安全、数据安全、侵害公民个人信息等违法行为,切实维护国家网络安全、数据安全和社会公共利益,有力保障广大人民群众合法权益。同时,加大典型案例曝光力度,形成强大声势和有力震慑,做到查处一案、警示一片,教育引导互联网企业依法合规运营,促进企业健康规范有序发展。
在某网络安全审查相关行政处罚事件中,违法违规行为包含:“以明文形式存储身份证号信息5000多万条”。密码技术,是实现数据安全最经济、最有效、最可靠的手段,对数据进行加密,并结合有效的密钥保护手段,可在开放环境中实现对数据的强访问控制,从而让数据共享更安全、更有价值。炼石聚焦十种数据存储加密技术,希望能够帮助读者快速了解数据存储加密技术的全貌,并在用户需要通过“加解密技术”进行自身核心数据资产的安全保护时,在场景适用性判断、相关技术与产品选型等方面提供参考和帮助。本文共计9291个字,预计阅读时间需15分钟。关注本公众号,回复关键词“炼石就是数据安全017”,可下载《炼石数据存储加密技术白皮书》。
声明:北京炼石网络技术有限公司对本文的内容及相关产品信息拥有受法律保护的著作权,未经授权许可,任何人不得将文章的全部或部分内容以转让、出售等方式用于商业目的使用。转载、摘编使用本文章的文字或者观点的应注明来源。文章中所载的材料和信息,包括但不限于文本、图片、数据、观点、建议等各种形式,不能替代律师出具的法律意见。违反上述声明者,本公司将追究其相关法律责任。文章撰写过程中,为便于技术说明和涵义解释,引用了一系列的参考文献,内容如有侵权,请联系本公司修改或删除。
一实战、双合规
今天所有的信息化、数字化,都是“希望数据发生什么”。在“希望发生什么”的同时,一定伴随着“不希望发生什么”,针对数据就形成数据安全风险。因此在数据处理的全周期、全流程中,数据安全需求如影随形、无时不在、无处不在。从全局视角看数据安全,呈现“一实战、双合规”的辩证统一。所有的数据安全建设,不论是攻防演练还是合规整改,本质上是解决实战对抗的问题,所以实战是检验数据安全能力的唯一标准。但是,实战对抗对应着偶发的、高技术水平的对抗风险,对于绝大部分企业来说,难以具备持续性的资源投入应对。而合规建设可将这种对抗性风险转变成常态的、可重复验证、可被审计的非对抗风险,合规更容易被推广。当然,合规需求也是来自于实战的最佳实践,实战与合规的需求是辩证统一的。炼石认为,结合到数据安全合规,分为过程合规和结果合规。从过程看,密码作为一种直接作用于数据的技术手段,合规、正确、有效的使用密码技术,可以满足《密码法》等法定要求的“数据安全过程合规”。从结果看,DSM数据安全管理认证等是《数据安全法》《个人信息保护法》以及配套法律法规的落地手段,体现了“数据安全结果合规”。数据保护,刻不容缓。无论实战对抗,还是数据安全合规,密码技术都是最经济、最有效、最可靠的手段,对数据进行加密,并结合有效的密钥保护手段,可在开放环境中实现对数据的强访问控制,让数据开发利用更安全。
图1:数据安全的“一实战、双合规”需求
数据流动中的安全控制点
数据存储加密防护的难点,在于如何对流转中的数据主动实施加密等保护,确保数据不被泄露或篡改,这里的数据包括结构化与非结构化等类型。结构化数据一般是指可以使用关系型数据库存储和表示,表现为二维形式的数据,一般来讲,结构化数据也就是传统数据库中的数据形式;非结构化数据,就是指没有固定结构的数据,包括各种文档、图片、视频、音频等。
传统的“数据库加密”往往体现为密文数据存储到数据库后的情形,一般局限于结构化数据,而在企业实战化场景中,数据库只是数据处理的一个环节,因此,传统的“数据库存储加密”只是“数据存储加密”的子集。
要对比各种数据存储加密技术,炼石认为有多项评判指标:第一,应满足加密防护能力融入业务流程,面向广泛信息化应用,在复杂场景中提供有效防护;第二,能够融合访问控制、审计等其他安全技术,实现安全机制可靠有效;第三,优秀的权限控制能力,能够根据不同属性的人群,展开细粒度权限控制,实现权限最小化,有效防范内部越权、外部黑客拖库等风险;第四,在节约企业成本,不影响企业业务正常运营的情况下,敏捷部署实施高性能的数据安全防护,有效控制实施风险。本文以“数据”为中心,沿着数据流转路径,在典型B/S三层信息系统架构的多个数据业务处理点基础上,综合业内数据加密技术现状,选取了10种代表性的存储加密技术,并对其实现原理、应用场景,以及相应的优势与挑战进行解读分析。炼石认为,在实际应用中,要结合用户场景和适用性需求,选择一种或者组合多种存储加密技术,优势互补,打造“以密码技术为核心,访问控制、审计等多种安全技术相互融合”的数据安全防护体系,从而满足企业多场景的实战化及合规需求。
十种存储加密技术对比分析
技术一:DLP终端加密
原理解析
应用场景
1)操作失误或无意识外发导致技术数据泄漏;
优势
挑战
技术二:CASB代理网关
原理解析
部署位置:终端-应用服务器之间
原理:CASB代理网关(Cloud Access Security Broker)是一种委托式安全代理技术,将网关部署在目标应用的客户端和服务端之间,无需改造目标应用,只需通过适配目标应用,对客户端请求进行解析,并分析出其包含的敏感数据,结合用户身份,并根据设置的安全策略对请求进行脱敏等访问控制,可针对结构化数据和非结构化数据同时进行安全管控。应用场景
随着云的普及,传统的IT架构正在发生变化。企业很多业务系统都托管在云服务商处,日常的很多工作,比如HR、社保、报销、OA等工作事务的管理都有相应的SaaS服务可以采用,企业想要享受便捷的云服务,又不想失去对自身数据的控制权,则可以采用CASB代理网关技术。例如,最常见的一种安全防护场景是:能够识别出一个用户访问云资源是使用的私人账号还是企业账号,以防止敏感数据从企业资源转移到私人资源。
优势
1、与业务结合的数据安全保护。CASB代理网关位于应用服务和用户端之间,该位置可以获取到丰富的业务上下文,可以基于用户、资源、操作和业务属性,灵活利用访问者所对应属性集合决定是否有权访问目标数据,比如部门、区域、职位、动作、目标数据类型、时间,以及其他条件等,从而在复杂业务场景下实现对数据的安全防护。
挑战
1、实施成本较高。为实现从客户端请求中解析用户在应用中的操作含义,需适配目标应用,适配工作量取决于目标应用的数量和复杂度以及安全管控粒度。
技术三:应用内加密(集成密码SDK)
原理解析
应用场景
优势
1、适用范围广。应用系统的开发商可以自行解决数据加解密的绝大多数问题,对数据库系统本身或第三方的数据安全厂商没有依赖;
挑战
1、需要对应用系统开发改造。应用系统加密的实现需要应用系统开发投入较大的研发成本,时间周期较长,后期实施和维护成本较高,也面临大量代码改造带来的潜在业务风险;
技术四:应用内加密(AOE面向切面加密)
原理解析
部署位置:应用服务器
原理:应用内加密(AOE面向切面加密)技术,能以免开发改造方式,实现应用系统中结构化数据和非结构化数据的存储加密,并提供细粒度访问控制、丰富脱敏策略、以及数据访问审计功能,为应用打造全面有效且易于实施的数据安全保护。其实现原理是将数据安全插件部署在应用服务中间件,结合旁路部署的数据安全管理平台、密钥管理系统,通过拦截入库SQL,将数据加密后存入数据库。应用场景
应用内加密(AOE面向切面加密)主要适用于企业在应用层想要实现免开发改造的、可敏捷实施的高性能数据安全防护。该加密方式支持结构化/非结构化数据的加密,可与应用开发解耦,灵活性高。进一步的,该加密方式可支持分布式部署、集中式管控,既可针对单个应用防护,也可以针对上百个应用的批量保护。
优势
1、数据加密与业务逻辑解耦。该加密技术通过AOE面向切面加密方式,可以将安全与业务在技术上解耦,又在能力上融合交织,拥有高度灵活性;
挑战
1、对应用程序编程语言和框架需要做适配。企业实际应用系统错综复杂,涉及到多样化的编程语言与框架,这对AOE面向切面加密技术的实现提出较高的工程化实现挑战。
技术五:数据库加密网关
原理解析
部署位置:应用服务器-数据库之间原理:数据库加密网关是部署在应用服务器和数据库服务器之间的代理网关设备,通过解析数据库协议,对传入数据库的数据进行加密,从而获得保护数据安全的效果。
应用场景
数据库加密网关可以为数据库提供“入库加密、出库解密”的防护,可以建立数据库用户的访问控制,实现企业内部人员的敏感数据访问授权精细化,可以防数据库拖库以及拦截非法SQL。
优势
1、应用系统与加解密功能分离。相比较于传统的应用内加密(集成密码SDK)技术,数据库加密网关技术具有独立性,能够使用户从高度复杂且繁重的加密解密处理逻辑的开发工作解放出来。
挑战
1、存在一定的法律风险。对于Oracle等采用私有通信协议(不开源)的商业数据库,安全厂商提供的数据库加密网关破解协议的方案存在法律风险;
2、高性能和高可用实现难度大。数据库加密网关增加了额外的处理节点,在大数据量和高并发访问场景下,要实现高性能、高可用,面临工程化实现挑战。
技术六:数据库外挂加密
原理解析
部署位置:数据库
应用场景
优势
挑战
1、仅支持Oracle等少量数据库类型。数据库外挂加密,目前大多数的技术实现形式,存在功能性依赖,仅支持开放高级接口的Oracle等少量数据库;
2、数据库性能损耗较高。数据库外挂加密是通过触发器、多级视图,进行外部接口调用来实现加解密,触发器或视图的运行机制要求对加密表中的每一条数据中的每个加密列的读写都会进行外部接口调用,因此,当遇到比如“查询中涉及的加密列较多”等情况时,会对数据库的读写性能存在明显影响;
技术七:TDE透明数据加密
原理解析
部署位置:数据库
应用场景
透明数据加密技术适用于对数据库中的数据执行实时加解密的应用场景,尤其是在对数据加密透明化有要求,以及对数据加密后数据库性能有较高要求的场景中。在实际使用中,可根据Oracle等内置TDE的密钥管理接口,将默认“软密钥钱包”升级为外部密钥管理系统,以增强密钥安全性。
优势
1、独立权控体系。与数据库外挂加密类似,使用插件形式的透明数据加密技术,同样可以在外置的安全服务中提供独立于数据库自有权控体系之外的权限控制体系;
挑战
1、防护颗粒度较粗。TDE本身是一种落盘加密技术,数据在内存中处于明文状态,需要结合其他访问控制技术使用。在实战场景中难以防范DBA等风险;
2、数据库类型适用性上有限制。透明数据加密因使用插件技术,对数据库的版本有较强依赖性,且仅能对有限几种类型的数据库实现透明数据加密插件,在数据库类型适用性上有一定限制。
技术八:UDF用户自定义函数加密
原理解析
部署位置:数据库
原理:UDF(User Defined Function)用户自定义函数是在已有数据库功能的基础上扩展更丰富的业务需求,其原理是在数据库支持的形式上,通过定义函数名称及执行过程,实现自定义的处理逻辑。UDF用户自定义函数加密,是通过UDF接口实现数据在数据库内的加解密。应用场景
UDF用户自定义函数加密,作为一种在数据库侧的高灵活加解密集成方式,适用于某些数据库需要定制加解密的场景,尤其是实现基于国密算法的数据加解密。
优势
1、扩展能力强。该加密技术适用于对数据有“定制化实现”的场景化需求,能够根据用户的业务需求,对数据实现丰富多样的加解密处理。
挑战
1、通用性低。该加密技术需要根据不同数据库的类型,做相对应的定制化实现,并且在存储过程或SQL中加以调用。
技术九:TFE透明文件加密
原理解析
部署位置:文件系统
原理:透明文件加密(Transparent
File
Encryption,简称为TFE),是在操作系统的文件管理子系统上部署加密插件来实现数据加密,基于用户态与内核态交付,可实现“逐文件逐密钥”加密。在正常使用时,计算机内存中的文件以明文形式存在,而硬盘上保存的数据是密文,如果没有合法的使用身份、访问权限以及正确的安全通道,加密文件都将以密文状态被保护。
应用场景
透明文件加密技术几乎可以适用于任何基于文件系统的数据存储加密需求,尤其是原生不支持透明数据加密的数据库系统。但是,由于文件系统加密技术无法提供针对数据库用户的增强权限控制,因此对于需要防范内部数据库超级用户的场景并不适用。
优势
1、可对应用进程授权。透明文件加密的防护颗粒度较细,可以适用于对应用进程有绑定需求的场景,只有授权的“白名单”应用进程访问文件时,才能获得明文,而未授权应用只能获取密文。
挑战
1、管理员风险。由于文件系统加密技术的数据库无关性,因此,该加密技术不具备对系统用户增强的权限控制能力,也无法防止内部人员包括系统管理员和数据库DBA对加密数据的访问;
2、高性能实现难度大。透明文件加密技术因为是在操作系统的文件管理子系统上部署加密插件来实现数据的加密功能,因此会增加操作系统中用户态的处理环节,从而对数据库系统整体性能造成部分损失,要实现到高性能面临工程化挑战。
技术十:FDE全磁盘加密
原理解析
原理:全磁盘加密(Full Disk Encryption,简称FDE)是指通过动态加解密技术,对磁盘或分区进行动态加解密的技术。FDE的动态加解密算法位于操作系统底层,其所有磁盘操作均通过FDE进行:当系统向磁盘上写入数据时,FDE首先加密要写入的数据,然后再写入磁盘;反之,当系统读取磁盘数据时,FDE会自动将读取到的数据进行解密,然后再提交给操作系统。
应用场景
全磁盘加密技术适用于磁盘上所有数据(包括操作系统)进行动态加解密的场景,但由于不能提供针对用户的增强权限控制,无法满足对内部超级用户泄露敏感数据的风险防范需求。
优势
1、性能优势突出。全磁盘加密技术通过操作系统内核层(或者存储设备自身的物理结构)实现,能够最大化减少加解密损耗,对上层业务服务提供性能最高的文件加解密服务;
挑战
1、数据防护颗粒度粗。该加密技术因为缺少访问控制能力,因此,一旦磁盘挂载口令泄露,就有数据泄露的风险,仅能防范“拔硬盘”攻击。
十种数据存储技术对比表
加密技术 | 部署位置 | 加密粒度 | 性能 | 防DBA | 数据库复杂计算 | 实施成本 |
DLP终端加密 | 终端 | 文件 | 中 | / | / | 中 |
CASB代理网关 | 终端-应用服务器之间 | 文件/字段 | 中 | 支持 | 影响 | 中 |
应用内加密(集成密码SDK) | 应用服务器 | 文件/字段 | 高 | 支持 | 影响 | 高 |
应用内加密(AOE面向切面加密) | 应用服务器 | 文件/字段 | 高 | 支持 | 影响 | 低 |
数据库加密网关 | 应用服务器-数据库之间 | 字段 | 中 | 支持 | 影响 | 中 |
数据库外挂加密 | 数据库 | 字段 | 低 | 不支持 | 不影响 | 高 |
TDE透明数据加密 | 数据库 | 字段/表空间 | 高 | 不支持 | 不影响 | 低 |
UDF用户自定义函数加密 | 数据库 | 字段 | 中 | 不支持 | 不影响 | 高 |
TFE透明文件加密 | 文件系统 | 文件 | 中 | 不支持 | 不影响 | 低 |
FDE全磁盘加密 | 文件系统 | 磁盘/卷 | 高 | 不支持 | 不影响 | 低 |
炼石免改造数据安全,让数据开发利用与有效保护二者兼得。炼石免改造应用的数据安全方案,结合国家“四法四条例”、以及金融等行业监管要求,以“数据”为中心,以“应用”为抓手,打造应用内嵌式数据安全产品,形成“一平台、多模块”产品体系,覆盖识别、防护、检测/响应、追溯等环节。炼石免改造数据安全方案防护能力覆盖应用系统、数据库、文件系统、磁盘、终端等多层级,在不同的数据控制点,可发现识别目标数据结构及用户身份,并整合加密、去标识化、身份认证、访问控制、行为审计等安全能力,实现“主体到人、客体到字段”的细粒度防护。基于免改造数据安全技术,重构数据防护边界,实现防绕过的数据安全机制。
22万字数据安全产业洞察报告(下载) |《数据安全法》一周年
12万字 | 2021数据安全与个人信息保护技术白皮书(附下载)
17万字 | 2021密码应用技术白皮书(附下载)
三万字 | 2021密码产业洞察报告(附下载)
200页幻灯片图解典型行业与省市数据法规要求(附下载)
幻灯片下载 | 图解《个人信息保护法》《数据安全法》
200页幻灯片图解《网络数据安全管理条例(征求意见稿)》及数据安全技术体系
附下载|我国197项数据安全政策回顾汇总
炼石网络是一家数据安全技术创新厂商,先后获得安天、国科嘉和、腾讯等投资,面向个人信息和商业数据保护等场景,开创自研“免改造数据安全”产品,以及DSM数据安全管理平台。炼石免改造数据安全夺得第七届互联网安全大会(ISC 2019)首届“创新独角兽沙盒大赛”总冠军,技术特色是免开发改造应用的数据保护、高性能国产密码和去标识化技术,为政府、金融、运营商、交通、教医旅、工业等用户提供个人信息保护、商业数据保护、DSM数据安全管理合规改造、国密合规改造。面向《密码法》《数据安全法》《个人信息保护法》等法律法规,企业重要数据与个人信息亟待提升防护水平与合规改造。炼石基于免改造数据安全技术,通过高覆盖率的数据控制点,横向覆盖广泛应用,纵向叠加发现识别、加密、去标识化、检测/响应、审计追溯等安全能力,有效保护结构化与非结构化数据,实现集中式管控、分布式保护,可应用在数据存储、使用、加工、传输、提供等环节。炼石方案可在不影响业务的前提下敏捷实施上线,将安全与业务在技术上解耦、但又在能力上融合交织,实现主体到应用内用户、客体到字段/文档级的有效保护,打造实战化数据安全防护体系。
微信号:炼石网络CipherGateway