免改造数据安全的实践与思考

1 免改造数据安全的实践与思考 炼石网络创始人、CEO白小勇 2023年4月 商务合作 市场拓展 数据共享 资源互换 ××× 应用系统服务器数据库 “传统业务需求” 侧重于“希望发生什么” “安全需求” 侧重“不希望发生什么”从而确保“发生什么” Safety 安全可靠 Reliability 可靠性 Trustiness 诚信度 Security 安全防攻击 Sureness 确定性 3 业务需求 所有安全产品或能力，都是在“某个业务”中实现了“不希望发生什么” 数据的价值 数据安全业务目标 业务视角数据安全需求 •计算机模型中，一切皆数据 •数据作为新型生产要素，在流动中体现价值 •数据是实现业务价值的主要载体 •数据安全保护对象是有价值的数据（比如个人信息） •数据安全业务目标就是“不希望数据发生什么” •机密性（Confidentiality）数据泄露会削弱或归零数据的业务价值 •完整性（Integrity）数据被篡改直接破坏业务目标 •原真性（Authenticity）数 据起源鉴别 从时间维度，数据在全生命周期的安全需求从空间维度，数据在不同层的不同防护颗粒度需求 加工 使用 •内控 传输公开 应用层 “主体到应用内用户 、客体到字段”的细颗粒度防护 收集存储 •告知 •监督 •风险 •响应 •加密 •脱敏 提供 •危害 平台层 操作系统、中间件， 数据库、文件系统 •合法 •正当 •必要 •加密 •控制 •审计 •检测 •约定•评估 •保护 •监督 •分析 •影响 基础设施层 等安全防护 CPU、内存、磁盘、网线、光纤等加密 凡是有处理数据的业务场景 就会存在风险，也就有了数据安全 几乎无边界的复杂业务需求带来同样复杂的数据安全需求 如果攻击者投入足够资源，最终总是能窃取到目标数据 无法杜绝数据泄露， 但可以使窃取成本高于数据获利 战争是双方消耗资源，构建局部优势 ，降低我方成本、提高敌方成本 防守方评估技术手段、排序优先，用更少成本、消耗攻击者更多成本 数据访问内控风险 银行应用系统总体架构图示例 数据过量访问风险 业务操作身份风险 数据违规外发风险 访问审计 风险数据 监测加密 数字重要防止 签名数据篡改 水印权限 追溯控制 去标识化 数据外发合规风险 未授权的数据访问风险 运维人员内控风险 业务人员越权访问风险 应用系统升级涉及面广，成本高周期长 银行应用功能架构图示例 个人信息与重要数据保护主要是面向应用的功能型安全需求： •业务与安全研发排期不吻合，业务团队技术与响应跟不上 •功能型安全需求要在应用中融合实现，但改造应用成本高、风险大、周期长 •数据保护不落实，则合规风险越来越大、因泄露导致的业务风险会快速累积 已上线系统升级风险大，影响业务连续 参考Spring： 从耦合式编程到AOP解耦式编程 切面安全：在数据流动的切面上重建安全规则，实现安全与业务在技术上解耦、能力上融合 公开 用户 提供 用户访问安全代理 前台系统后台系统…… CRM应用 传输AOE模块 保护结构化数据 CipherSuite 数据安全SDK 加工集成安全能力 数据资产管理系统 使用 存储 数据审计追溯系统 收集 数据安全管理平台 KMS密管系统 非结构化数据 TFE/FDE模块 保护非结构化数据 MySQL 结构化数据 TDE模块 保护结构化数据 文件系统 /数据库 姓名 周林 身份证 62108756125 手机号 17712348471 住址 中关村大街 姓名 周林 身份证 6210****125 手机号 177****8471 住址 ***大街 姓名 *** 身份证 *********** 手机号 ********** 住址 ********** 用户1用户2 用户3 实现用户与字段文档级防护 支持ABAC的访问控制策略， 应用服务 AOE插件 数据库 姓名 账号 AOE代理 窃取数据 姓名 =jfn4321jnd 身份证 8977342343 手机号 1860000134 住址 =mfdas^43 【防范内外】 •面向运维：防范应用外数据访问威胁 •存储加密：防范内部DBA、外包、黑客 •面向用户：防范应用内数据访问威胁 •动态脱敏：防范业务人员越权访问 •风险监测：监测业务人员风险操作 •审计追溯：追溯业务人员数据泄露 【方案优势】 •应用系统免开发改造，敏捷实施数据加密 邮箱 面向用户侧动态脱敏 密钥管理系统 数据安全管理平台 面向服务侧存储加密 •结合用户身份解密细控，不改变用户习惯 示例 示例 示例 示例 不影响业务人员使用、不影响DBA运维 主体到人 客体到字段 细粒度访问控制 应用查看脱敏后数据 应用看到密文 DBA工具查看脱敏数据 DBA工具查看密文 TFE文件安全模块FDE全磁盘加密 应用应用应用程序1程序2程序3 未授权进程只能读密文 密文 应用应用应用程序1程序2程序3 明文明文 授权进程可读取文件明文 用户态 用户态 挂载磁盘或卷后可读取文件明文 FDE安全模块 数据安全管理平台 内核态 OS TFE安全模块 OS内核态 密文 密文 磁盘磁盘 存储存储 密文密钥管理系统密文 产品矩阵：免改造的全面数据保护，支持灵活部署 事前 数据资产管理系统 免改造增强数据安全 仰꧎䷊ⲁ泘剝䈒榫硍簊氳创溞ⷊ⺎╙⺨车┯䈒榫硍簊㘍䍠丘䩺ⱶ㳢յ聰䷨յ㲗阞 ⟊䥉耇ⱱ 丘䩺顫嶏陃⮷丘䩺劫儗略⹧䷨䚊丘䩺陃⮷ 数据加密系统 高性能国密保障效率 顫◲곽ꢣ陁⚽丘䩺⮇眷⮇篒䷨䚊顫◲⺎鈼 㰇⤴ⱶ㳢鉯㳢䪧儹 ꛰憠鉯㳢骱♷ꈶ⮷ 数据去标识化系统 㚷PCT㎁ꡮ┥⮵⟊䥉氳냖䓪耇㎁㳢䤗儛 ㏇⶝겖IntelCPU┕㲓朆SM4ⱶ鉯㳢鵮䈲狰滭 140Gbps 适应复杂应用架构 DSM/PIP数据安全合规系统 留杼⺭鈺⫂䫝յ媪杼陁⚽յ鲜䫙压刧 事后炼石数据安全主平台 ⲁ䒳聰䷨ ꪐ䒳聰䷨ 丘䩺鹄䫡 ⶂ⺳⴬ ⸼剝陃⴬ 骱♷ꈶ⮷ 僗䷞⪵㳋⺨车┯氳䇯嫚䈒榫几冘㞝JAVAյC璡╚孲䋯⹠陪銨յ⪵㳋䋯䷒ⶖ阫氳⪩ 䤗儛席餉丘䩺㚲杼孨ⲁ阡阾金姳 㳢ꙻ留杼 㱧⪓䫝⯆瓀樋 냖䓪耇㳢溞㝄♭事中 硍㑔丘䩺䈑⽰ꪝ⪩硍㑔丘䩺䈑յ⪵㳋Linux/⟔⮡OS/Windows璡 数据审计追溯系统 丘䩺阼ꠋ槴㰇⪦◸䫙⹾㲗阞 丘䩺㵗⭴姢ⷅ乄♭┖鰉姢ⷅ 数据检测响应系统 ䷍⭵车╙陃⮷䷍⭵攑䏣庌⴬㱧⪓⼔閜㲗阞 ⮇篒⮇眷㚲杼⿏䈒㚲杼纭ⲁ压孾⿏䈒⺎鈼⴬ 集中式管控分布式保护 䌖⪍䤉ꄈ䈒榫硍簊氳꥘╈䌋留䫝⮇䄭䌋⟊䥉⛮硍舅┕⮽┖氳⪓㷄篒鼨糓留䫝 面向用户重建安全规则： •只有符合权限的用户才能访问到其应该使用的数据 •结合业务场景的风险监测 •可定责到人的高置信审计 与权限体系结合的解密策略，无法被绕过 面向运维重构数据边界： •没有任何人能从应用后台获取敏感数据明文信息 企业数据中心 OA CRM SCM ERP MES 企业业务部门 PLM 免改造数据控制点 外包工作区域 企业网络 企业IT部门 在数据控制点可实施多样安全能力，优选嵌入密码能力15 内部潜伏敌特 利用漏洞获取敏感数据 从交换机上无法获取敏感数据 通过控制数据库主机获得数据 外部黑客 明文密文密文 %#￥34dfsd675^&g5g45c456#^% 密文 *ffgth$#^fgcvcv%$fgf342&^Fg7Fdt756fg%ghgfgcvcv% 应用服务器 免改造控制点 已沦陷的交换机 通过维护命令接触后台数据 数据库/文件服务器 外包实施人员 审计管理员安全保密员系统管理员 系统管理员直接访问后台数据 IT运维、外包实施、管理员、内部恶意人员、被控制主机、特木等人员和手段均无法直接从后台获取敏感数据 只返回最小 权限数据 特权账号人员 明文 应用服务器 免改造控制点 密文密文 已沦陷的交换机 %#￥34dfsd675^&g5g45c456#^% 密文 *ffgth$#^fgcvcv%$fgf342&^Fg7Fdt756fg%ghgfgcvcv% 数据库/文件服务器 只返回最小权限数据、 风险检测、阻断和记录 检测风险访问、 即时阻断和记录 低安全意识人员 盗取账户的攻击者 SQL注入攻击 Web攻击人员 •根据数据使用人员的权限、工作内容差异，定向脱敏核心数据 •对于不应该看到数据却需要数据来工作的员 工，仅开放其权限内的数据 防绕过保护机制 免改造应用敏捷实施适应企业复杂应用架构覆盖事前事中事后的 数据安全管理平台 密钥管理系统 应用服务端 数据库管理员 用户端 明文 密文 面向切面数据安全模块 脱敏后数据 数据库 Java/C/Python等应用服务 用户端数据库 非授权用户无法获取明文 数据锚点解密强制细控 基于属性的访问控制 消除数据库侧安全威胁 协同签名身份鉴别 基于PKI的数字信封加密 基于SM4的保留格式加密（FPE） FPE格式保留加密 EVP国密接口 密钥派生接口 加密10亿条手机号，仅耗时20秒 SM2 SM3 SM4 SM9 ZUC 140Gbps! ! ! " "#$ % 2021 0$ !"#$ & ' ( ) 项目背景介绍 客户行业：政府 项目名称：XX码疫情防控信息保护 项目需求： XX码系统包含海量公民隐私信息，蕴藏巨大价值，是境外敌 对势力、灰黑产等攻击的重点目标。《密码法》《GB/T38961-2020个人健康信息码参考模型》等法律法规要求，采用符合国家密码管理要求的算法进行加密保护。在抗疫持久战局势下，健康码亟待实施基于商用密码的实战化数据安全防护 项目建设内容： 1.涉及某省3000万市民在10个应用系统中15个字段的、1.4亿条数据进行加解密实施； 2.方案调研和设计花费3天，分2天分批上线（实际为2个4小时，实施窗口期只有0点-4点）。 项目收益： 1.让健康码业务正常运转和安全防护二者兼得，保护了3000万人民的隐私信息； 2.创新技术示范可复制到更广泛场景。 部署和实施方案 项目背景介绍 部署和实施方案 客户行业：政府 项目名称：某省XX健康通数据保护项目需求： XX健康通服务近亿常住人口，从多渠道广泛收集 大量个人隐私信息用于疫情分析，海量隐私数据在“裸奔”,需要针对系统建设的安全性进行等级保护测评和商用密码应用安全性评估。 项目建设内容： 简化复杂数据处理场景，保护数据中台核心数据，把控数据出入口，采用AOE插件实现实时流转数据入库加密、出库解密，且不影响对外接口和日常数据处理；采用SDK对SQL导入导出文件进行加解密处理，支持海量数据的实时处理。 涉及某省亿级健康码用户在40个应用服务中400多个字段的、150亿条数据加解密实施。 项目收益： 1、不影响数据中台业务的同时，保护了总数超1亿用户的防疫隐私数据； 2、支持丰富的数据处理场景，保障数据存储、处理、流转安全，支撑高峰时期5万多人同时使用。3、满足国家关于政策合规、商用密码信息系统密码应用规范要求。 DBA1节点 明文 管理端（明文） 堡垒机 通过DBA工具（目前未定）访问数据库 sql写入 Kettle4节点 网贷系统 AOE-Proxy集群 MySQL数据库 核心系统 （明文） 原表（密文） 管理端（明文） 案例3：某商业银行数据安全 项目背景介绍项目建设方案 客户行业：银行 项目名称：某银行数据加密项目 项目需求： 某商业银行掌握着海量用户个人隐私数据，但面对愈加严峻的内外部数据安全威胁，银行亟需兼顾用户隐私保护与经济发展需求之间的平衡，在运用数据为用户提供产品服务的同时，强化个人敏感信息的保护。 项目实施痛点： 待保护的数据量达到亿级，且数据存在形式多、访问人员众多、存储分散、易传播； 开发改造应用叠加数据安全，周期长、难度大、风险高； 信息系统环境复杂，涉及字段类型多、数据库种类多，涉及分库分表、存储过程、模糊查询等使用场景； 加解密过程不可影响或中断正常业务的运行。 面向重要数据与个人信息保护，依托自主研发的AOE加解密模