m o c . 5 b u h t i g 数据存储加密技术白皮书 北京炼石网络技术有限公司 Beijing Lianshi Networks Technology Co.,Ltd. 1 前言 十种数据存储加密技术白皮书 数据作为新的生产要素，其蕴含的价值日益凸显，而安全问题却愈发突出。 m o c . 5 而密码技术，是实现数据安全最经济、最有效、最可靠的手段，对数据进行加密， 可在开放环境中实现数据的安全流转和使用。随着《密码法》等“一法三规一条 例”的落实，各行业对数据加密技术、产品和服务的重视程度不断提升。 b u 本文聚焦十种数据存储加密技术，希望能够帮助读者快速了解数据存储加密 h t i g 技术的全貌，并在客户需要通过“加解密技术”进行自身核心数据资产的安全保 护时，在场景适用性判断、相关产品选型等方面提供有效的参考和帮助。 2 实战与合规双驱动 十种数据存储加密技术白皮书 m o c . 5 在“实战与合规”共同驱动下，数据安全建设作为“业务需求”逐步被重 视，将与之匹配的安全技术应用到信息系统业务场景，迫在眉睫。 从实战化角度来看，当下的数据安全事件频发，面对全新的安全挑战以 b u 及新合规要求，企业安全体系正在从“以网络为中心的安全”，加速升级到 “侧重以数据为中心的安全”。而密码作为网络安全的杀手锏技术和核心支 h t i g 撑，天然具备安全防护基因，是实现数据安全最经济、最有效、最可靠的手 段。尤其在数字化政务、金融、教育、医疗、文旅、电信等行业，个人信息 保护、商业秘密保护、国密合规等方面的建设亟待加速。 聚焦数据实际流转过程，在每个关键节点上，作为生产要素的数据都面 临着众多威胁。通过对数据流转中的威胁分析，选取关键安全增强点进行加 密，用这种方式给数据重新塑造了一个虚拟边界，实现防范内外部安全威胁， 成为当前数据安全防护的主要手段。 3 m o c . 5 图 1：基于数据流转路径的威胁模型分析 从合规性角度来看，数据安全技术迎来发展新趋势：第一，数据安全技 b u 术正逐步获得国家政策层面的重视以及用户应用层面的认可，从顶层设计到 h t i g 配套政策法规的不断加码，企业层面越发重视加密技术应用；第二，数据安 全技术应用从通信安全等领域快速被扩展到各领域行业，如国家标准 GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》的发布，替代行标 GM/T 0054-2018《信息系统密码应用基本要求》，密码技术的行业及场景适 用性进一步扩展延伸；第三，数据安全技术与业务的结合越来越紧密，业务 应用层正成为数据安全建设的中心，将成为解决企业在平衡合规压力、改造 复杂业务和信息系统困境的“钥匙”。 4 新合规政策条例 层级 名称 条例 第六部分“加快培育数据要素市场”第 22 条：加强数 《中共中央国务院关于构建 据资源整合和安全保护。推动完善适用于大数据环境 更加完善的要素市场化配置 下的数据分类分级安全保护制度，加强对政务数据、 国 家 体制机制的意见》 企业商业秘密和个人数据的保护。 顶 层 设计 《中华人民共和国国民经济 第十八章第一节：加快推进数据安全、个人信息保护 和社会发展第十四个五年规 等领域基础性立法，强化数据资源全生命周期安全保 m o c . 5 划和 2035 年远景目标纲要》 护。第十八章第三节：加强网络安全关键技术研发…… 第二十一条：国家实行网络安全等级保护制度。其安 《网络安全法》 全保护义务第 4 条明确采取数据分类、重要数据备份 和加密等措施。 b u 第五十条第三款：采取相应的加密、去标识化等安全 技术措施； 数 据 h t i g 《个人信息保护法（草案）》 第六十二条：有前款规定的违法行为，情节严重的， 由履行个人信息保护职责的部门责令改正，没收违法 安 全 所得，并处五千万元以下或者上一年度营业额百分之 政 策 五以下罚款… 法规 第十九条：国家根据数据在经济社会发展中的重要程 度，以及一旦遭到篡改、破坏、泄露或者非法获取、 非法利用，对国家安全、公共利益或者公民、组织合 《数据安全法（草案）》 法权益造成的危害程度，对数据实行分级分类保护。 第二十五：采取相应的技术措施和其他必要措施，保 障数据安全。 5 二十七条：法律、行政法规和国家有关规定要求使用 商用密码进行保护的关键信息基础设施，其运营者应 当使用商用密码进行保护。关键信息基础设施运营者， 《密码法》 应当自行或者委托商用密码检测机构开展商用密码应 用安全性评估。 第四章第三十条：各部门应当严格遵守有关保密等法 《国务院办公厅关于印发国 律法规规定，构建全方位、多层次、一致性的防护体 家政务信息化项目建设管理 m o c . 5 系，按要求采用密码技术，并定期开展密码应用安全 办法的通知》 （国办发〔2019〕 性评估，确保政务信息系统运行安全和政务信息资源 57 号） 共享交换的数据安全。 第二部分第六点：落实密码安全防护要求。网络运营 密 码 《贯彻落实网络安全等级保 者应贯彻落实《密码法》等有关法律法规规定和密码 产 业 b u 护制度和关键信息基础设施 应用相关标准规范。第三级以上网络应正确、有效采 政 策 安全保护制度的指导意见》 法规 用密码技术进行保护，并使用符合相关要求的密码产 h t i g （公网安〔2020]1960 号） 品和服务。 《关键信息基础设施安全保 第四章第二十三条第四点：采取数据分类、重要数据 护条例（征求意见稿）》 备份和加密认证等措施。 第六章第三十八条：非涉密的关键信息基础设施、网 络安全等级保护第三级以上网络、国家政务信息系统 等网络与信息系统，其运营者应当使用商用密码进行 《商用密码管理条例》 保护，制定商用密码应用方案，配备必要的资金和专 业人员，同步规划、同步建设、同步运行商用密码保 障系统，自行或者委托商用密码检测机构开展商用密 码应用安全性评估。 6 数据流转的安全增强点 十种数据存储加密技术白皮书 数据安全本质上是由攻防对抗推动发展的，实战为加密技术的应用提供 了内在需求，合规对加密技术的应用推广起到直接有效的手段，在实战与合 m o c . 5 规双驱动下，数据存储加密技术在业务中的应用成为技术大势所趋。 数据存储加密防护的难点，在于如何对流转中的数据进行主动式实施加密 等保护，确保数据不被未授权篡改或泄露，这里的数据涵盖结构化与非结构化 b u 两种类型。结构化数据一般是指可以使用关系型数据库表示和存储，表现为二 h t i g 维形式的数据，本质来讲，结构化数据也就是传统数据库中的数据形式；非结 构化数据，顾名思义，就是指没有固定结构的数据，包括各种文档、图片、视 频/音频等，终端平台的很多重要文件、视频、图片等都属于这个范畴。 传统的“数据库加密”往往体现为密文数据存储到数据库后的情形，往 往局限于结构化数据，而在企业实战化场景中，数据库却仅仅是数据处理的 一个环节或载体，因此，传统的数据库存储加密技术是“数据存储加密”的 子集。 针对加密技术对数据的安全防护，我们认为有四方面指标：第一，应满足加 密防护能力融入业务流程，提供多场景细粒度有效防护；第二，能够融合访问控 制、审计等其他安全技术，实现安全机制可靠有效运行；第三，优秀的权限控制 能力，能够根据不同属性的人群，展开细致的权限控制，实现权限的最小化，有 7 效防范内部越权、外部黑客拖库等风险；第四，在节约企业成本，不影响企业业 务正常运营的情况下，敏捷部署实施高性能的数据安全防护。而在实际应用中， 为了满足这些指标要求，需要对用户场景的适用性进行判断，并结合具体的场 景化需求，选择一种或者几种的技术组合，优劣势互补，打造出“以密码存储 技术为核心，访问控制、审计等多种安全技术相互融合”的数据安全防护体系， 从而切实满足企业多场景的实战化及合规需求！本文以“数据”为中心，沿着数 据流转路径，在典型 B/S 三层信息系统架构的 10 个重要数据业务处理点基础上， m o c . 5 综合业内数据加解密现状，选取了对应的 10 种代表性的存储加密技术，并对其 实现原理、应用场景，以及相应的优势与挑战进行解读分析。 b u h t i g 图 2：数据存储加密技术总览图 8 十种数据存储加密技术分析 全面、系统、多维度 技术一：DLP 终端加密 1）原理解析 m o c . 5 部署位置：终端 原理：DLP（Data leakage prevention）终端加密技术，目的是管理企业终 端上（主要指 PC 端）的敏感数据，其原理是在受管控的终端上安装代理程序， b u 由代理程序与后台管理平台交互，并结合企业数据管理部门的管理要求，对下载 h t i g 到终端的敏感数据进行加密，形成适合企业的数据分级分类策略，从而将加密应 用到企业数据的日常流转和存储中。信息被读取到内存中时会进行解密，被未授 权复制到管控范围外则是密文形式，主要适用于非结构化数据的保护。 2）应用场景 DLP 终端加密技术主要适用于企业 PC 终端数据的安全管理，在原有安全防 护能力之上，可有效增强以下场景的数据防护能力： 1）操作失误导致技术数据泄漏或损坏； 2）通过打印、剪切、复制、粘贴、另存为、重命名等操作泄漏数据； 3）离职人员通过 U 盘、CD/DVD、移动硬盘随意拷走机密资料； 4）移动笔记本被盗、丢失或维修造成数据泄漏。 9 3）优势 1、外发交流安全可控。终端加密主要适用于企业 PC 终端的场景，因此，经 常会有“限制”合作方或外部人员使用企业文件 相关权限的需求，DLP 终端 加密可以顺利实现这个需求，从而保证外发交流文件的安全性。 4）挑战 1、终端适配困难、运维成本高。企业终端一般存在操作系统众多、终端类 m o c . 5 型复杂、文档使用场景又多样等情况，终端加密在落地应用时，易出现终端兼容 适配困难、运维成本较高等问题。 b u 技术二：CASB 代理网关 1）原理解析 h t i g 部署位置：终端-应用服务器之间 原理：CASB 代理网关（Cloud Access Security Broker）是一种委托式安 全代理技术，其核心利用 CASB 技术，将网关部署在目标应用的客户端和服务端 之间，无需改造目标应用，只需通过适配目标应用，对客户端请求进行解析，并 分析出其包含的敏感数据，结合用户身份，并根据设置的安全策略对请求进行脱 敏等访问控制，可针对结构化数据和非结构化数据同时进行安全管控。 图 3：CAS