m o c . 5 b u h t i g 数据存储加密技术白皮书 北京炼石网络技术有限公司 Beijing Lianshi Networks Technology Co.,Ltd. 1 前言 十种数据存储加密技术白皮书 数据作为新的生产要素,其蕴含的价值日益凸显,而安全问题却愈发突出。 m o c . 5 而密码技术,是实现数据安全最经济、最有效、最可靠的手段,对数据进行加密, 可在开放环境中实现数据的安全流转和使用。随着《密码法》等“一法三规一条 例”的落实,各行业对数据加密技术、产品和服务的重视程度不断提升。 b u 本文聚焦十种数据存储加密技术,希望能够帮助读者快速了解数据存储加密 h t i g 技术的全貌,并在客户需要通过“加解密技术”进行自身核心数据资产的安全保 护时,在场景适用性判断、相关产品选型等方面提供有效的参考和帮助。 2 实战与合规双驱动 十种数据存储加密技术白皮书 m o c . 5 在“实战与合规”共同驱动下,数据安全建设作为“业务需求”逐步被重 视,将与之匹配的安全技术应用到信息系统业务场景,迫在眉睫。 从实战化角度来看,当下的数据安全事件频发,面对全新的安全挑战以 b u 及新合规要求,企业安全体系正在从“以网络为中心的安全”,加速升级到 “侧重以数据为中心的安全”。而密码作为网络安全的杀手锏技术和核心支 h t i g 撑,天然具备安全防护基因,是实现数据安全最经济、最有效、最可靠的手 段。尤其在数字化政务、金融、教育、医疗、文旅、电信等行业,个人信息 保护、商业秘密保护、国密合规等方面的建设亟待加速。 聚焦数据实际流转过程,在每个关键节点上,作为生产要素的数据都面 临着众多威胁。通过对数据流转中的威胁分析,选取关键安全增强点进行加 密,用这种方式给数据重新塑造了一个虚拟边界,实现防范内外部安全威胁, 成为当前数据安全防护的主要手段。 3 m o c . 5 图 1:基于数据流转路径的威胁模型分析 从合规性角度来看,数据安全技术迎来发展新趋势:第一,数据安全技 b u 术正逐步获得国家政策层面的重视以及用户应用层面的认可,从顶层设计到 h t i g 配套政策法规的不断加码,企业层面越发重视加密技术应用;第二,数据安 全技术应用从通信安全等领域快速被扩展到各领域行业,如国家标准 GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》的发布,替代行标 GM/T 0054-2018《信息系统密码应用基本要求》,密码技术的行业及场景适 用性进一步扩展延伸;第三,数据安全技术与业务的结合越来越紧密,业务 应用层正成为数据安全建设的中心,将成为解决企业在平衡合规压力、改造 复杂业务和信息系统困境的“钥匙”。 4 新合规政策条例 层级 名称 条例 第六部分“加快培育数据要素市场”第 22 条:加强数 《中共中央国务院关于构建 据资源整合和安全保护。推动完善适用于大数据环境 更加完善的要素市场化配置 下的数据分类分级安全保护制度,加强对政务数据、 国 家 体制机制的意见》 企业商业秘密和个人数据的保护。 顶 层 设计 《中华人民共和国国民经济 第十八章第一节:加快推进数据安全、个人信息保护 和社会发展第十四个五年规 等领域基础性立法,强化数据资源全生命周期安全保 m o c . 5 划和 2035 年远景目标纲要》 护。第十八章第三节:加强网络安全关键技术研发…… 第二十一条:国家实行网络安全等级保护制度。其安 《网络安全法》 全保护义务第 4 条明确采取数据分类、重要数据备份 和加密等措施。 b u 第五十条第三款:采取相应的加密、去标识化等安全 技术措施; 数 据 h t i g 《个人信息保护法(草案)》 第六十二条:有前款规定的违法行为,情节严重的, 由履行个人信息保护职责的部门责令改正,没收违法 安 全 所得,并处五千万元以下或者上一年度营业额百分之 政 策 五以下罚款… 法规 第十九条:国家根据数据在经济社会发展中的重要程 度,以及一旦遭到篡改、破坏、泄露或者非法获取、 非法利用,对国家安全、公共利益或者公民、组织合 《数据安全法(草案)》 法权益造成的危害程度,对数据实行分级分类保护。 第二十五:采取相应的技术措施和其他必要措施,保 障数据安全。 5 二十七条:法律、行政法规和国家有关规定要求使用 商用密码进行保护的关键信息基础设施,其运营者应 当使用商用密码进行保护。关键信息基础设施运营者, 《密码法》 应当自行或者委托商用密码检测机构开展商用密码应 用安全性评估。 第四章第三十条:各部门应当严格遵守有关保密等法 《国务院办公厅关于印发国 律法规规定,构建全方位、多层次、一致性的防护体 家政务信息化项目建设管理 m o c . 5 系,按要求采用密码技术,并定期开展密码应用安全 办法的通知》 (国办发〔2019〕 性评估,确保政务信息系统运行安全和政务信息资源 57 号) 共享交换的数据安全。 第二部分第六点:落实密码安全防护要求。网络运营 密 码 《贯彻落实网络安全等级保 者应贯彻落实《密码法》等有关法律法规规定和密码 产 业 b u 护制度和关键信息基础设施 应用相关标准规范。第三级以上网络应正确、有效采 政 策 安全保护制度的指导意见》 法规 用密码技术进行保护,并使用符合相关要求的密码产 h t i g (公网安〔2020]1960 号) 品和服务。 《关键信息基础设施安全保 第四章第二十三条第四点:采取数据分类、重要数据 护条例(征求意见稿)》 备份和加密认证等措施。 第六章第三十八条:非涉密的关键信息基础设施、网 络安全等级保护第三级以上网络、国家政务信息系统 等网络与信息系统,其运营者应当使用商用密码进行 《商用密码管理条例》 保护,制定商用密码应用方案,配备必要的资金和专 业人员,同步规划、同步建设、同步运行商用密码保 障系统,自行或者委托商用密码检测机构开展商用密 码应用安全性评估。 6 数据流转的安全增强点 十种数据存储加密技术白皮书 数据安全本质上是由攻防对抗推动发展的,实战为加密技术的应用提供 了内在需求,合规对加密技术的应用推广起到直接有效的手段,在实战与合 m o c . 5 规双驱动下,数据存储加密技术在业务中的应用成为技术大势所趋。 数据存储加密防护的难点,在于如何对流转中的数据进行主动式实施加密 等保护,确保数据不被未授权篡改或泄露,这里的数据涵盖结构化与非结构化 b u 两种类型。结构化数据一般是指可以使用关系型数据库表示和存储,表现为二 h t i g 维形式的数据,本质来讲,结构化数据也就是传统数据库中的数据形式;非结 构化数据,顾名思义,就是指没有固定结构的数据,包括各种文档、图片、视 频/音频等,终端平台的很多重要文件、视频、图片等都属于这个范畴。 传统的“数据库加密”往往体现为密文数据存储到数据库后的情形,往 往局限于结构化数据,而在企业实战化场景中,数据库却仅仅是数据处理的 一个环节或载体,因此,传统的数据库存储加密技术是“数据存储加密”的 子集。 针对加密技术对数据的安全防护,我们认为有四方面指标:第一,应满足加 密防护能力融入业务流程,提供多场景细粒度有效防护;第二,能够融合访问控 制、审计等其他安全技术,实现安全机制可靠有效运行;第三,优秀的权限控制 能力,能够根据不同属性的人群,展开细致的权限控制,实现权限的最小化,有 7 效防范内部越权、外部黑客拖库等风险;第四,在节约企业成本,不影响企业业 务正常运营的情况下,敏捷部署实施高性能的数据安全防护。而在实际应用中, 为了满足这些指标要求,需要对用户场景的适用性进行判断,并结合具体的场 景化需求,选择一种或者几种的技术组合,优劣势互补,打造出“以密码存储 技术为核心,访问控制、审计等多种安全技术相互融合”的数据安全防护体系, 从而切实满足企业多场景的实战化及合规需求!本文以“数据”为中心,沿着数 据流转路径,在典型 B/S 三层信息系统架构的 10 个重要数据业务处理点基础上, m o c . 5 综合业内数据加解密现状,选取了对应的 10 种代表性的存储加密技术,并对其 实现原理、应用场景,以及相应的优势与挑战进行解读分析。 b u h t i g 图 2:数据存储加密技术总览图 8 十种数据存储加密技术分析 全面、系统、多维度 技术一:DLP 终端加密 1)原理解析 m o c . 5 部署位置:终端 原理:DLP(Data leakage prevention)终端加密技术,目的是管理企业终 端上(主要指 PC 端)的敏感数据,其原理是在受管控的终端上安装代理程序, b u 由代理程序与后台管理平台交互,并结合企业数据管理部门的管理要求,对下载 h t i g 到终端的敏感数据进行加密,形成适合企业的数据分级分类策略,从而将加密应 用到企业数据的日常流转和存储中。信息被读取到内存中时会进行解密,被未授 权复制到管控范围外则是密文形式,主要适用于非结构化数据的保护。 2)应用场景 DLP 终端加密技术主要适用于企业 PC 终端数据的安全管理,在原有安全防 护能力之上,可有效增强以下场景的数据防护能力: 1)操作失误导致技术数据泄漏或损坏; 2)通过打印、剪切、复制、粘贴、另存为、重命名等操作泄漏数据; 3)离职人员通过 U 盘、CD/DVD、移动硬盘随意拷走机密资料; 4)移动笔记本被盗、丢失或维修造成数据泄漏。 9 3)优势 1、外发交流安全可控。终端加密主要适用于企业 PC 终端的场景,因此,经 常会有“限制”合作方或外部人员使用企业文件 相关权限的需求,DLP 终端 加密可以顺利实现这个需求,从而保证外发交流文件的安全性。 4)挑战 1、终端适配困难、运维成本高。企业终端一般存在操作系统众多、终端类 m o c . 5 型复杂、文档使用场景又多样等情况,终端加密在落地应用时,易出现终端兼容 适配困难、运维成本较高等问题。 b u 技术二:CASB 代理网关 1)原理解析 h t i g 部署位置:终端-应用服务器之间 原理:CASB 代理网关(Cloud Access Security Broker)是一种委托式安 全代理技术,其核心利用 CASB 技术,将网关部署在目标应用的客户端和服务端 之间,无需改造目标应用,只需通过适配目标应用,对客户端请求进行解析,并 分析出其包含的敏感数据,结合用户身份,并根据设置的安全策略对请求进行脱 敏等访问控制,可针对结构化数据和非结构化数据同时进行安全管控。 图 3:CAS
炼石网络 数据存储加密技术白皮书 v1.8
文档预览
中文文档
27 页
50 下载
1000 浏览
0 评论
0 收藏
3.0分
温馨提示:本文档共27页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
本文档由 路人甲 于 2022-06-17 03:32:34上传分享