搜索 收起
您的位置  > 互联网

聚焦十种数据存储加密技术,让数据共享更安全更有价值

chanong 发布于 2024-01-31 21:06:08 阅读()

本文重点介绍十种数据存储加密技术,希望能够帮助读者快速了解数据存储加密技术的全貌,并且当用户需要使用“加解密技术”来安全保护自己的核心数据资产时,可以判断其适用性场景及相关技术。 为产品选型等方面提供参考和帮助。

实战与合规双驱动

在“实战、合规”的驱动下,数据安全建设逐渐被视为“你不想让数据发生什么”的业务需求。 迫切需要将相匹配的安全技术应用于信息系统业务场景。

从实际情况来看,当前数据泄露事件时有发生。 面对新的安全挑战和新的合规要求,企业安全防护体系正在从“以网络为中心的安全”升级为“强调以数据为中心的安全”。 。 密码作为网络安全的王牌技术和核心支撑,天然具备安全防护基因,是实现数据安全最经济、有效、可靠的手段。 特别是在政务、金融、交通、文化旅游、央企、工业等行业,个人信息保护、商业秘密保护、国家秘密合规等方面的建设亟待加快。

着眼于数据的实际流通过程,数据作为生产要素,在各个关键节点都面临着诸多威胁。 该方法通过分析数据流中的威胁并选择关键的安全增强点进行加密,可以重塑数据的虚拟边界,防范内部和外部的安全威胁。 是当前数据安全保护的有效手段。

从合规角度来看,数据安全技术正在迎来新的发展趋势:一是数据安全技术逐渐获得国家政策重视和用户认可。 从顶层规划到配套法律法规,企业层面越来越重视加密技术的应用; 其次,数据安全技术与业务的融合越来越紧密,业务应用层正成为数据安全建设的重点,将成为解决企业平衡合规压力、改造复杂业务和信息困境的关键系统; 第三,数据安全技术的应用已扩展到各个领域和行业,例如国家标准GB/T 39786-2021《信息安全技术信息系统密码应用基本要求》的发布,取代了传统的数据安全技术。行业标准GM/T 0054-2018《信息系统密码应用基本要求》,密码技术的行业和场景适用性进一步延伸。

数据安全本质上是由攻防对抗驱动的。 实战是加密技术应用的内在要求。 合规性为加密技术的推广提供了加速引擎。 在实战和合规双重驱动下,数据存储加密技术在业务中的应用已经成为大势所趋。

寻找数据流中的安全增强点

数据存储加密保护的难点在于如何主动对流通中的数据实施加密等保护,保证数据不泄露、不被篡改。 这里的数据包括结构化和非结构化类型。 结构化数据一般是指可以使用关系数据库存储和表示的、以二维形式表示的数据。 一般来说,结构化数据是传统数据库中的数据形式; 非结构化数据是指没有固定结构的数据。 数据,包括各种文档、图片、视频、音频等。

传统的“数据库加密”往往反映的是密文数据存入数据库后的情况,一般仅限于结构化数据。 但在实际的企业场景中,数据库只是数据处理的一个环节。 因此,传统的“数据库存储加密”是“数据存储加密”的子集。

对于各种数据存储加密技术的比较,链石认为有几个评价指标:一是加密保护能力要融入业务流程,面向广泛的信息化应用,在复杂场景下提供有效保护; 其次,能够集成访问控制、审计等安全技术,使安全机制可靠、有效; 第三,优秀的权限控制能力,可以基于不同属性的分组进行细粒度的权限控制,最大限度地减少权限,有效防止内部越权访问和外部黑客拖库等风险; 第四,在节省企业成本、不影响正常业务运营的同时,敏捷部署和实施高性能数据安全防护,可以有效控制实施风险。

本文以“数据”为中心,沿着数据流转路径,基于典型B/S三层信息系统架构的多个数据业务处理点,​​全面综合行业内数据加密技术现状,选择10种有代表性的存储加密方法。 技术,并解读和分析其实现原理、应用场景以及相应的优势和挑战。

在实际应用中,需要结合用户场景和适用性需求,选择一种或多种存储加密技术组合,优势互补,打造“以密码学为核心,集成访问控制、审计等安全技术”的数据安全防护体系,满足企业多场景实战及合规需求。

十种数据存储加密技术特性分析

技术一:DLP终端加密

原理分析

部署地点:航站楼

原理:DLP(Data)终端加密技术旨在管理企业终端(主要是PC终端)上的敏感数据。 其原理是在受控终端上安装代理程序,代理程序与后台管理平台交互,结合企业的数据管理需求和分级分类策略,对下载到终端的敏感数据进行加密,从而应用对企业数据的日常流通和存储进行加密。 信息读入内存时会被解密,在控制范围之外的未经授权的复制将以密文的形式出现,主要适用于非结构化数据的保护。

应用场景

DLP终端加密技术主要适用于企业终端数据的安全管理。 在原有安全防护能力的基础上,可以有效增强以下场景的数据保护能力:

1) 由于操作错误或无意传出数据而导致技术数据泄露;

2)通过打印、剪切、复制、粘贴、另存为、重命名等操作泄露数据;

3)离职员工通过U盘、移动硬盘等随意复制机密信息;

4) 因移动笔记本电脑被盗、丢失或修理而造成的数据泄露。

优势

1.严格控制外发文件。 与其他终端安全技术相比,它可以对重要敏感文件进行外发控制,从而实现数据的“抢先防护”,防止一定程度的“故意泄露”。

挑战

1、终端适配难度大,运维成本高。 企业终端普遍具有操作系统众多、终端类型复杂、文档使用场景多样的特点。 实施终端加密时,可能会出现终端兼容适配困难、运维成本高等问题。 在移动终端上,由于权限问题,技术实现起来比较困难。

技术二:CASB代理网关

原理分析

部署位置:终端与应用服务器之间

原理:CASB代理网关(云)是一种委托式安全代理技术,在目标应用的客户端和服务器之间部署网关。 无需修改目标应用程序。 它只需要适应目标应用程序来处理客户端请求。 解析分析其中包含的敏感数据,与用户身份结合,根据设定的安全策略对请求进行脱敏等访问控制,可以同时对结构化和非结构化数据进行安全控制。

应用场景

随着云的普及,传统的IT架构正在发生变化。 企业的很多业务系统都托管在云服务提供商上。 很多日常工作,比如HR、社保、报销、OA等工作事项的管理,都有相应的SaaS服务可以使用。 企业想要享受便捷的云服务,又不想失去对自己数据的控制,可以使用CASB代理网关技术。 例如,最常见的安全防护场景之一就是能够识别用户是使用私人账户还是企业账户访问云资源,防止敏感数据从企业资源转移到私人资源。

优势

1、数据安全保护与业务融合。 CASB代理网关位于应用服务和客户端之间。 该职位可以获得丰富的业务上下文,可以灵活地利用访问者对应的属性集,根据用户、资源、操作和业务属性,如部门、地区、职位、操作、目标数据等来确定是否有权访问目标数据类型、时间等条件等,实现复杂业务场景下的数据安全保护。

挑战

1、实施成本高。 为了从客户端请求中解析出应用程序中用户操作的含义,需要对目标应用程序进行适配。 适配工作量取决于目标应用的数量、复杂程度以及安全控制粒度。

技术三:应用内加密(集成密码SDK)

原理分析

部署位置:应用服务器

原理:应用内加密(集成密码SDK)是指应用系统通过开发改造与封装加密业务逻辑的密码SDK集成,并调用其加解密接口,使目标应用系统具备数据加密保护能力。

应用场景

通常,当应用系统仅对有限数量的敏感数据有加密需求时,适合使用应用内加密(集成密码SDK)技术。 这主要包括场景:需要加密的敏感数据代码逻辑在业务系统中分布并不广泛,或者需要加密的敏感数据对应的表或字段相对较少。

优势

1、适用范围广。 应用系统开发者可以自行解决大部分数据加解密问题,不依赖数据库系统本身或第三方数据安全厂商;

2、灵活性高。 应用服务器端加密主要是应用服务器的加密方式,因为应用服务器端加密可以和业务逻辑紧密结合。 在应用系统开发过程中,可以对相关业务中的敏感数据进行灵活的加密,并可以根据业务逻辑需求灵活选择加密函数、加密密钥等的使用。

挑战

1、需要对应用系统进行开发和改造。 实施应用系统加密需要应用系统开发研发成本大、周期长、后期实施和维护成本高,同时还面临大量代码修改带来的潜在业务风险;

2.对应用开发者要求高。 对于业务开发者来说,正确、合规地使用密码技术是有一定门槛的。 例如,在实际应用中,可能会出现应用开发者密钥使用不合规或产生安全风险的情况。

技术四:应用内加密(AOE面向方面加密)

原理分析

部署位置:应用服务器

原理:应用内加密(AOE面向方面加密)技术无需开发和修改方法,即可实现应用系统中结构化和非结构化数据的存储加密,并提供细粒度的访问控制、丰富的脱敏策略、数据访问审计功能为应用打造全面、有效、易于实施的数据安全保护。 实现原理是在应用服务中间件中部署数据安全插件,结合旁路部署的数据安全管理平台和密钥管理系统,拦截数据库SQL对数据进行加密存储到数据库中。

应用场景

应用内加密(AOE切面加密)主要适合希望在应用层实现高性能数据安全防护、无需开发改造、可快速实施的企业。 该加密方法支持结构化/非结构化数据的加密,可以与应用开发解耦,具有较高的灵活性。 此外,这种加密方式可以支持分布式部署和集中管控,既可以保护单个应用程序,也可以批量保护数百个应用程序。

优势

1、数据加密与业务逻辑解耦。 该加密技术可以通过AOE面向切面的加密在技术上解耦安全与业务,并进行能力的融合与交织,具有高度的灵活性;

2.不影响企业经营。 应用内加密(AOE面向切面加密)适合“应用免修改”的实际需求,可以通过配置实现敏捷部署实施,且不影响应用的持续运行。 同时,与其他加密技术相比,该技术对数据加解密的影响最小;

3、基于细粒度权限控制的数据安全保护。 这种加密技术可以为应用创建“主体到用户、对象到领域”的安全防护体系,并可以根据不同属性的人群实施细粒度的权限控制,最大限度地减少对敏感数据的访问授权。企业内部人员。

挑战

1.应用编程语言和框架需要适配。 企业实际应用系统复杂,涉及多种编程语言和框架,这对AOE面向切面加密技术的实现提出了较高的工程实现挑战。

技术五:数据库加密网关

原理分析

部署位置:应用服务器和数据库之间

原理:数据库加密网关是部署在应用服务器和数据库服务器之间的代理网关设备。 通过解析数据库协议,对传入数据库的数据进行加密,从而达到保护数据安全的效果。

应用场景

数据库加密网关可以为数据库提供“入口加密、出口解密”的保护。 可以对数据库用户建立访问控制,实现内部人员敏感数据的精细化访问授权,防止数据库拖拽和非法SQL拦截。

优势

1、应用系统与加解密功能分离。 与传统的应用内加密(集成密码SDK)技术相比,数据库加密网关技术具有独立性,可以将用户从高度复杂、繁重的加解密处理逻辑的开发工作中解放出来。

挑战

1、存在一定的法律风险。 对于使用专有通信协议(非开源)的商业数据库,安全厂商提供的数据库加密网关方案破解协议存在法律风险;

2、高性能、高可用很难实现。 数据库加密网关增加了额外的处理节点。 在大数据量、高并发访问的场景下,如何实现高性能、高可用性面临着工程实现的挑战。

技术六:数据库插件加密

原理分析

部署位置:数据库

原理:数据库插件加密是通过为数据库定制插件流程来开发,让进入数据库的明文先进入插件程序进行加密,然后形成密文,然后插入到数据库中。数据库表。 该技术采用“触发”+“多层视图”+“扩展索引”+“外部调用”的方式实现数据加密,可以保证应用的完全透明。 通过扩展的接口和机制,数据库系统用户可以通过外部接口调用对数据进行加密和解密。 视图可以对表中的数据实现过滤、投影、聚合、关联和函数操作,并且可以调用视图中的敏感列解密函数来实现数据解密。

应用场景

如果查询涉及的加密列较少,查询结果比较集中,包含的数据记录比较少,可以考虑使用数据库插件加密技术对数据库进行加密。

优势

1.独立的电源控制系统。 利用数据库插件加密技术,外部安全服务可以提供独立于数据库自身权限控制系统的权限控制系统。 适用于需要“独立权限控制系统”的场景,可以有效防止特权用户(如DBA)对敏感数据的未授权访问。

挑战

1.仅支持少量数据库类型。 数据库插件加密,目前大多数技术实现形式都存在功能依赖,仅支持开放高层接口等少数数据库;

2.数据库性能损失较高。 数据库插件加密通过触发器和多级视图通过外部接口调用实现加解密。 触发器或视图的运行机制要求通过外部接口来读写加密表中每条数据中的每个加密列。 因此,当遇到“查询涉及到的加密列较多”等情况时,会对数据库的读写性能产生重大影响;

3、可扩展性差。 当业务变化导致数据库表结构发生变化时,插件程序的业务逻辑需要调整甚至重新定制开发,造成后期维护成本。

技术7:TDE透明数据加密

原理分析

部署位置:数据库

原理:透明数据加密(Data,简称TDE)是一种在数据库内部透明地实现数据存储加密和访问解密的技术。 SQL、MySQL等数据库默认内置了该函数。 数据在写入磁盘时会被加密,并在数据库内存中以明文形式存在。 当攻击者“拔掉”数据窃取数据时,数据库文件无法获取密钥,只能获取密文,从而保护数据库中的数据。

应用场景

透明数据加密技术适用于对数据库中的数据进行实时加解密的应用场景,特别是对数据加密要求透明、对数据加密后的数据库性能要求较高的场景。 在实际使用中,可以基于内置TDE的密钥管理接口将默认的“软密钥钱包”升级为外部密钥管理系统,以增强密钥安全性。

优势

1.独立的电源控制系统。 与数据库插件加密类似,采用插件形式的透明数据加密技术,也可以在外部安全服务中提供独立于数据库自身控制系统的访问控制系统;

2.性能损失低。 透明数据加密技术仅增强数据库引擎存储管理层的性能。 不影响数据库引擎的语句解析和优化。 数据库本身的性能得到了更好的保留。 透明数据加密技术减少了数据库加密技术的性能损失。 降低。

挑战

1、防护粒度较粗。 TDE本身就是一种磁盘加密技术。 数据在内存中以明文形式存在,需要与其他访问控制技术结合使用。 实战场景中DBA等风险难以防范;

2、数据库类型的适用范围有限制。 由于透明数据加密采用插件技术,对数据库的版本依赖性较强,且只能针对有限种类的数据库实现透明数据加密插件,在适用性上有一定的局限性。数据库类型。

技术八:UDF用户自定义函数加密

原理分析

部署位置:数据库

原理:UDF(User)用户自定义函数在现有数据库功能的基础上拓展出更丰富的业务需求。 其原理是通过定义函数名称和执行流程,以数据库支持的形式实现定制的处理逻辑。 。 UDF自定义函数加密通过UDF接口实现数据库中的数据加密和解密。

应用场景

UDF自定义函数加密作为数据库侧高度灵活的加解密一体化方式,适用于某些数据库需要定制加解密的场景,特别是基于国密算法实现数据加解密。

优势

1、扩展能力强。 该加密技术适合数据“定制化实现”的场景化需求,可以根据用户的业务需求,实现丰富多样的数据加解密处理。

挑战

1、通用性低。 这种加密技术需要根据不同的数据库类型进行定制,并在存储过程或SQL中调用。

技术9:TFE透明文件加密

原理分析

部署位置:文件系统

原理:透明文件加密(File,简称TFE)是在操作系统的文件管理子系统上部署加密插件,实现数据加密。 基于用户态和内核态传递,可以实现“文件对文件、密钥对密钥”的加密。 正常使用时,计算机内存中的文件以明文形式存在,而硬盘上存储的数据则以密文形式存在。 如果没有合法的身份、访问权限和正确的安全通道,加密的文件将受到密文的保护。 。

应用场景

透明文件加密技术几乎可以应用于任何基于文件系统的数据存储加密需求,尤其是本身不支持透明数据加密的数据库系统。 但由于文件系统加密技术无法为数据库用户提供增强的权限控制,因此不适合需要保护内部数据库超级用户的场景。

优势

1.申请流程可以授权。 透明文件加密具有更细的保护粒度,可应用于需要与应用进程绑定的场景。 只有经过授权的“白名单”应用程序进程在访问文件时才能获取明文,而未经授权的应用程序只能获取密文。

挑战

1.管理员风险。 由于文件系统加密技术与数据库无关的性质,这种加密技术不具备增强对系统用户的权限控制的能力,也无法阻止内部人员,包括系统管理员和数据库DBA访问加密数据;

2、难以实现高性能。 由于透明文件加密技术是在操作系统的文件管理子系统上部署加密插件来实现数据加密,因此会增加操作系统中用户态的处理步骤,从而对数据库系统的整体性能造成一定的损失。 要实现高性能面临着工程挑战。

技术十:FDE全盘加密

原理分析

部署位置:文件系统

原理:全盘加密(Full Disk,简称FDE)是指通过动态加解密技术对磁盘或分区进行动态加解密的技术。 FDE的动态加解密算法位于操作系统底层,所有磁盘操作都是通过FDE进行:系统向磁盘写入数据时,FDE首先对要写入的数据进行加密,然后再写入磁盘; 反之,当系统读取磁盘数据时,FDE会自动解密读取的数据,然后提交给操作系统。

应用场景

全盘加密技术适用于对磁盘上的所有数据(包括操作系统)进行动态加解密的场景。 但由于无法对用户提供增强的权限控制,无法满足内部超级用户泄露敏感数据的风险防范需求。

优势

1、性能优势突出。 全盘加密技术通过操作系统内核层(或存储设备本身的物理结构)实现,可以最大限度地减少加解密损失,为​​上层业务服务提供最高性能的文件加解密服务;

2、部署实施简单。 全盘加密只需对进入磁盘的数据进行加密,部署实施简单高效。

挑战

1、数据保护粒度粗。 由于这种加密技术缺乏访问控制能力,一旦磁盘挂载密码泄露,就有数据泄露的风险,只能防止“硬盘拔盘”攻击。

十种数据存储技术对比表

综上所述,十种数据存储加密技术在应用场景、优势与挑战方面各有侧重。 DLP终端加密技术专注于企业PC的数据安全保护; CASB代理网关、应用内加密(集成密码SDK)、应用内加密(AOE面向切面加密)重点关注企业应用服务器端的数据安全保护; 数据库加密网关、数据库插件加密、TDE透明数据加密、UDF用户自定义函数加密,重点关注数据库侧的数据安全保护; TFE透明文件加密、FDE全盘加密侧重于文件系统数据安全保护。

拥抱数字时代,激活数据要素潜力,数据安全建设工作势在必行。 在认识数据安全保护的必要性和紧迫性的前提下,具体分析数据存储加密技术的相关原理,探讨数据加密技术的具体应用。 提出更加合理、安全的数据保护措施,可以全面保障数据安全,助力我国数字化建设进程健康发展。

标签:
打赏 点赞( )

相关文章