隨著云計(jì)算、大數(shù)據(jù)的快速發(fā)展，政府越來(lái)越意識(shí)到網(wǎng)絡(luò)、數(shù)據(jù)安全的重要性。相應(yīng)的法律法規(guī)不斷完善，這其中包括《網(wǎng)絡(luò)安全法》、《網(wǎng)絡(luò)安全等級(jí)保護(hù)》、《重要數(shù)據(jù)出境安全評(píng)估指南》、《個(gè)人信息安全規(guī)范、大數(shù)據(jù)安全標(biāo)準(zhǔn)白皮書》、《大數(shù)據(jù)服務(wù)安全能力要求》等等。作為數(shù)據(jù)安全的重要組成部分，數(shù)據(jù)存儲(chǔ)安全是安全的基礎(chǔ)之一。本文，將描述數(shù)據(jù)存儲(chǔ)加密的主流方案并進(jìn)行對(duì)比，同時(shí)針對(duì)痛點(diǎn)難點(diǎn)問(wèn)題進(jìn)行說(shuō)明。

1. 數(shù)據(jù)存儲(chǔ)加密的場(chǎng)景方案

要對(duì)數(shù)據(jù)進(jìn)行有效的存儲(chǔ)安全管理，可遵循如下步驟：

步驟1：分析并確定要保護(hù)的關(guān)鍵數(shù)據(jù)

要對(duì)數(shù)據(jù)進(jìn)行保護(hù)之前，首先要確定哪些數(shù)據(jù)需要保護(hù)和為什么要保護(hù)這些數(shù)據(jù)。這其本質(zhì)是一個(gè)數(shù)據(jù)分級(jí)的問(wèn)題。數(shù)據(jù)分級(jí)從概念上講是根據(jù)數(shù)據(jù)的敏感程度和數(shù)據(jù)遭到篡改、破壞、泄露或非法利用后對(duì)受害者的影響程度，按照一定的原則和方法進(jìn)行定義。另一方面也需要關(guān)注的就是法規(guī)遵從性需求。例如《數(shù)據(jù)安全法》第二十一條就規(guī)定，”國(guó)家建立數(shù)據(jù)分類分級(jí)保護(hù)制度，根據(jù)數(shù)據(jù)在經(jīng)濟(jì)社會(huì)發(fā)展中的重要程度，以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，對(duì)國(guó)家安全、公共利益或者個(gè)人、組織合法權(quán)益造成的危害程度，對(duì)數(shù)據(jù)實(shí)行分類分級(jí)保護(hù)”。下圖就是就是按數(shù)據(jù)敏感程度做的一個(gè)劃分示例：

步驟2：選擇適合技術(shù)方案和加密算法

作為數(shù)據(jù)防護(hù)是否能夠成功實(shí)施的關(guān)鍵，企業(yè)需要在關(guān)鍵數(shù)據(jù)的安全性、保持應(yīng)用系統(tǒng)的功能可用性，和系統(tǒng)可維護(hù)性方面綜合考慮，來(lái)確定適合企業(yè)需要的加密保護(hù)的技術(shù)方案。下表羅列常用加密技術(shù)及應(yīng)對(duì)的安全風(fēng)險(xiǎn)。

• 磁盤加密

磁盤采用的塊級(jí)別加密技術(shù)，例如AWS的EBS，阿里云的ECS等都支持磁盤加密。這種加密最大的好處在于，它對(duì)操作系統(tǒng)是透明的。性能在加密后較加密前有所降低，根據(jù)上層應(yīng)用的不同性能下降幅度各異。

• 文件加密

通過(guò)堆疊在其它文件系統(tǒng)之上(如 Ext2, Ext3, ReiserFS, JFS 等)，為應(yīng)用程序提供透明、動(dòng)態(tài)、高效和安全的加密功能。典型的是用于加密指定的目錄。需要關(guān)注的是這種加密方式可能會(huì)產(chǎn)生較大的性能損失。

• 數(shù)據(jù)庫(kù)加密-TDE

透明數(shù)據(jù)加密TDE，是數(shù)據(jù)庫(kù)提供的一種加密技術(shù)，即對(duì)數(shù)據(jù)文件執(zhí)行實(shí)時(shí)I/O加密和解密。數(shù)據(jù)在寫入磁盤之前進(jìn)行加密，從磁盤讀入內(nèi)存時(shí)進(jìn)行解密。TDE不會(huì)增加數(shù)據(jù)文件的大小，開發(fā)人員無(wú)需更改任何應(yīng)用程序。其對(duì)應(yīng)密鑰管理也是由數(shù)據(jù)庫(kù)提供的API或組件實(shí)現(xiàn)，應(yīng)用透明。在某些場(chǎng)景下磁盤或系統(tǒng)無(wú)法對(duì)用戶開放(如云環(huán)境)的條件下，這種方式就比較適合。

• 數(shù)據(jù)庫(kù)加密-三方加固

數(shù)據(jù)庫(kù)加密還有種方式是采用對(duì)數(shù)據(jù)庫(kù)進(jìn)行三方加固的方式，即將第三方專業(yè)數(shù)據(jù)庫(kù)加密廠商的產(chǎn)品內(nèi)置在數(shù)據(jù)庫(kù)之中，提供透明數(shù)據(jù)加密能力。所謂透明是指，用戶應(yīng)用系統(tǒng)不需要做改造即可使用，且具有權(quán)限的用戶看到的是明文數(shù)據(jù)，完全無(wú)感。此外，還可以增強(qiáng)原有數(shù)據(jù)庫(kù)的安全能力，如提供三權(quán)分立、脫敏展示等。

• 應(yīng)用層加密

應(yīng)用層加密，可以說(shuō)是一種終極方案，其可保證在數(shù)據(jù)到達(dá)數(shù)據(jù)庫(kù)之前，就已經(jīng)做了數(shù)據(jù)加密，可實(shí)時(shí)保護(hù)用戶敏感數(shù)據(jù)。這里關(guān)鍵需要提供應(yīng)用透明性，保證應(yīng)用無(wú)需改造或僅需少量改造。這種方式完全由用戶自己控制，無(wú)需信任任何三方廠商提供的數(shù)據(jù)安全保障，得到充分的自由度和靈活性。例如可以跨多數(shù)據(jù)庫(kù)提供統(tǒng)一安全加密策略等。

對(duì)比幾種方式

步驟3：保護(hù)好數(shù)據(jù)的加密密鑰

為了保護(hù)好加密數(shù)據(jù)，不會(huì)被非法竊取，需要保護(hù)好數(shù)據(jù)的加密密鑰。避免第三方廠商或個(gè)人接觸到明文數(shù)據(jù)，最好做法就是將密文數(shù)據(jù)的密鑰控制在用戶自己手中。密鑰管理包含了密鑰的創(chuàng)建、存儲(chǔ)、生命期管理、保護(hù)。密鑰的安全性直接決定了加密數(shù)據(jù)的安全性。建議密鑰獨(dú)立存儲(chǔ)，并采用根密鑰保護(hù)，根密鑰受硬件加密卡保護(hù)，或者被KMS服務(wù)的密碼保護(hù)。所謂KMS密鑰管理，是通過(guò)用戶的口令保護(hù)主密鑰，口令正確主密鑰解密;主密鑰對(duì)密鑰文件進(jìn)行保護(hù)，只有主密鑰成功解密后，密鑰文件才能使用，最后通過(guò)密鑰文件生成可用的密鑰。

步驟4：實(shí)施必要的防數(shù)據(jù)泄漏措施

雖然采取了必要的數(shù)據(jù)加密措施，但并不能徹底解決來(lái)自應(yīng)用系統(tǒng)環(huán)境和運(yùn)維環(huán)境的安全威脅，典型的如來(lái)自應(yīng)用系統(tǒng)的SQL注入攻擊、后門程序、利用數(shù)據(jù)庫(kù)漏洞的攻擊行為、第三方運(yùn)維人員的誤操作等。因此需要采用數(shù)據(jù)庫(kù)防火墻這樣的數(shù)據(jù)邊界防護(hù)技術(shù)，利用其細(xì)粒度的訪問(wèn)控制、防攻擊、防批量數(shù)據(jù)下載等特性，實(shí)現(xiàn)有效的防數(shù)據(jù)泄漏。

步驟5：監(jiān)控并審計(jì)數(shù)據(jù)的訪問(wèn)行為

一方面，黑客攻擊行為千變?nèi)f化，另一方面，系統(tǒng)的復(fù)雜性帶來(lái)的數(shù)據(jù)正常維護(hù)和管理行為往往也是不可預(yù)期的。因此，需要對(duì)重要數(shù)據(jù)的訪問(wèn)行為采取持續(xù)、及時(shí)的監(jiān)控和審計(jì)，形成有效的風(fēng)險(xiǎn)報(bào)告提供給用戶發(fā)現(xiàn)新的風(fēng)險(xiǎn)，幫助用戶更好地進(jìn)行數(shù)據(jù)保護(hù)。

步驟6：利用自動(dòng)脫敏防止測(cè)試環(huán)境數(shù)據(jù)泄漏

除了生產(chǎn)環(huán)境的數(shù)據(jù)防護(hù)外，企業(yè)內(nèi)部測(cè)試環(huán)境也是一個(gè)重要信息泄漏源，特別是需要“抽取”源端生產(chǎn)數(shù)據(jù)用于測(cè)試系統(tǒng)時(shí);利用數(shù)據(jù)自動(dòng)脫敏技術(shù)可以在有效地保護(hù)生產(chǎn)數(shù)據(jù)的同時(shí)，為測(cè)試環(huán)境提供可用的符合用戶預(yù)期的測(cè)試數(shù)據(jù)。

2. 數(shù)據(jù)存儲(chǔ)加密的若干難點(diǎn)

應(yīng)用透明問(wèn)題

在數(shù)據(jù)存儲(chǔ)安全的同時(shí)，如何提供如未加密前的使用體驗(yàn)非常重要。這里可總結(jié)為對(duì)應(yīng)用的透明性。使用者或應(yīng)用系統(tǒng)不需要關(guān)心系統(tǒng)進(jìn)行了哪些保護(hù)，可完全無(wú)感地使用數(shù)據(jù)。這樣的透明性主要體現(xiàn)在以下方面：

• SQL 語(yǔ)句透明：如常規(guī)的SELECT、UPDATE、INSERT、DELETE 等語(yǔ)句可進(jìn)行操作，應(yīng)用程序不用作修改即可擁有安全特性。
• 庫(kù)內(nèi)計(jì)算透明：對(duì)于應(yīng)用透明支持的含義還包括庫(kù)內(nèi)的計(jì)算(如存儲(chǔ)過(guò)程和函數(shù)透明的支持等)。
• 開發(fā)接口透明：提供對(duì)應(yīng)用開發(fā)接口的全面透明支持，包括：JDBC、ODBC等。
• 生態(tài)工具透明：數(shù)據(jù)庫(kù)自身及周邊生態(tài)工具仍然可以正常使用。

廠商綁定問(wèn)題

如上面提到的幾種加密方式中，存儲(chǔ)層加密、文件層加密會(huì)存在完全依賴于底層基礎(chǔ)設(shè)施廠商(或云廠商)的問(wèn)題，數(shù)據(jù)庫(kù)加密也要部分依賴于數(shù)據(jù)庫(kù)廠商或三方安全廠商;上述幾種方式都會(huì)存在廠商綁定風(fēng)險(xiǎn)。對(duì)比而言，應(yīng)用層加密相對(duì)靈活度最大，可完全從用戶角度考慮加密問(wèn)題，但這一方式必然存在較大投入，如何能做到應(yīng)用無(wú)感是比較頭疼的問(wèn)題。目前主流有通過(guò)數(shù)據(jù)中間層的方式解決，即在應(yīng)用與數(shù)據(jù)庫(kù)之間構(gòu)建訪問(wèn)層，將數(shù)據(jù)加密、解密、脫敏等功能實(shí)現(xiàn)其中。對(duì)上面的應(yīng)用提供標(biāo)準(zhǔn)化、透明的數(shù)據(jù)訪問(wèn)接口，對(duì)下數(shù)據(jù)庫(kù)提供標(biāo)準(zhǔn)規(guī)范的安全策略，可不綁定具體產(chǎn)品。

接入方式問(wèn)題

如前面談到的應(yīng)用層加密，也許是個(gè)不錯(cuò)的選擇。對(duì)應(yīng)用來(lái)講，最好的透明使用方式是提供出標(biāo)準(zhǔn)的數(shù)據(jù)庫(kù)接口服務(wù)。當(dāng)前主流是采用Proxy模式，可以讓應(yīng)用完全無(wú)感地使用。但想做到無(wú)感，是需要從數(shù)據(jù)庫(kù)協(xié)議層面仿真模擬，但受限于商業(yè)數(shù)據(jù)庫(kù)協(xié)議的封閉，是存在一定局限的。雖然可以通過(guò)如JDBC/Client的方式去做，但這種方式一是無(wú)法完全無(wú)感，二是會(huì)存在更新客戶端困難等問(wèn)題。

性能效率問(wèn)題

數(shù)據(jù)存儲(chǔ)安全所涉及的數(shù)據(jù)加密、解密、脫敏等，勢(shì)必會(huì)影響到應(yīng)用使用效率。雖然很多產(chǎn)品都號(hào)稱效率很高，但這個(gè)性能瓶頸是客觀存在的。這里首先需要的是正視效率問(wèn)題，能客觀評(píng)估效率差異;此外如何能通過(guò)某些方式去擴(kuò)展計(jì)算能力，部分解決效率低下問(wèn)題也是一種思路。相對(duì)而言，采用存儲(chǔ)層、文件層方式，可在一定程度上解決此問(wèn)題。

清洗遷移問(wèn)題

針對(duì)數(shù)據(jù)加密，存在一個(gè)存量的問(wèn)題。如果是新建項(xiàng)目，完全可以采用全新的數(shù)據(jù)安全策略，但對(duì)于已有項(xiàng)目且存在數(shù)據(jù)，是需要解決數(shù)據(jù)清洗及遷移問(wèn)題。針對(duì)前者，難點(diǎn)在于如何實(shí)現(xiàn)動(dòng)態(tài)清洗，在系統(tǒng)在線的同時(shí)，應(yīng)用可同步處理新舊數(shù)據(jù)，逐步完成清洗動(dòng)作。清洗后的解決還需解決數(shù)據(jù)校驗(yàn)等，確保清洗是準(zhǔn)確的。針對(duì)后者，在清洗完畢后，需要做應(yīng)用層面遷移，完全切換回去;這里需解決平滑過(guò)度問(wèn)題及可能出現(xiàn)的回退問(wèn)題。針對(duì)上述難點(diǎn)，應(yīng)用層方案，無(wú)疑是比較好可以解決此問(wèn)題的。

安全計(jì)算問(wèn)題

數(shù)據(jù)最終是要參與到計(jì)算中的，不能因安全需求而影響到計(jì)算。對(duì)于數(shù)據(jù)安全計(jì)算，取決于其所處的位置在何處。對(duì)于存儲(chǔ)層、文件層，其位于數(shù)據(jù)庫(kù)之下，作為數(shù)據(jù)計(jì)算主體的數(shù)據(jù)庫(kù)是可不感知的，但對(duì)于數(shù)據(jù)庫(kù)層和應(yīng)用層是要解決這一問(wèn)題。數(shù)據(jù)經(jīng)過(guò)加密后，會(huì)失去其數(shù)據(jù)特征，這會(huì)影響到優(yōu)化器、執(zhí)行器的工作。應(yīng)用層加密也是同樣的。目前存在一些密態(tài)計(jì)算技術(shù)，能在一定程度上解決這一問(wèn)題。

國(guó)密算法問(wèn)題

國(guó)密算法，即國(guó)家商用密碼算法。是由國(guó)家密碼管理局認(rèn)定和公布的密碼算法標(biāo)準(zhǔn)及其應(yīng)用規(guī)范，其中部分密碼算法已經(jīng)成為國(guó)際標(biāo)準(zhǔn)。如SM系列密碼，SM代表商密，即商業(yè)密碼，是指用于商業(yè)的、不涉及國(guó)家秘密的密碼技術(shù)。之前很多的安全產(chǎn)品(特別是國(guó)外產(chǎn)品)是不支持國(guó)密算法的，這點(diǎn)是企業(yè)在做安全策略時(shí)需考慮的問(wèn)題，特別是重監(jiān)管的企業(yè)。

統(tǒng)一管控問(wèn)題

數(shù)據(jù)散落在企業(yè)各處，提供統(tǒng)一、全局、細(xì)粒度的安全管控，包括復(fù)雜條件授權(quán)等是很有意義的。對(duì)于企業(yè)可采用統(tǒng)一的數(shù)據(jù)視角解決安全問(wèn)題。目前通常的做法是基于不同數(shù)據(jù)庫(kù)自己來(lái)實(shí)現(xiàn)各自安全策略，對(duì)客戶不甚友好，如能統(tǒng)?處理，非常具有商業(yè)意義。針對(duì)這點(diǎn)，是需要站在單一產(chǎn)品之上，從數(shù)據(jù)使用生態(tài)標(biāo)準(zhǔn)角度去考慮。

數(shù)據(jù)加密風(fēng)險(xiǎn)

數(shù)據(jù)加密是存在風(fēng)險(xiǎn)的，可能存在加密后無(wú)法還原的風(fēng)險(xiǎn)。通常的做法是使用明文與密文并存方式解決。但由于明文的存在，必然會(huì)導(dǎo)致安全風(fēng)險(xiǎn)。目前針對(duì)這一問(wèn)題沒有很好的解法，常規(guī)的做法就是并存+隔離、小步快跑的策略。

用戶意愿問(wèn)題

這是一個(gè)終極問(wèn)題，由于數(shù)據(jù)存儲(chǔ)安全需求帶來(lái)的各種問(wèn)題，勢(shì)必會(huì)影響用戶對(duì)數(shù)據(jù)的使用且會(huì)存在較大的成本投入及面臨風(fēng)險(xiǎn)。因而導(dǎo)致用戶整體意愿不高，更多是政策層面的驅(qū)動(dòng)。針對(duì)這一問(wèn)題，一方面要看到數(shù)據(jù)安全已受到國(guó)家層面的關(guān)注，是必須要解決的問(wèn)題;一方面通過(guò)技術(shù)上的不斷完善成熟，加速穩(wěn)定落地。

作者介紹

韓鋒，51CTO社區(qū)編輯，CCIA（中國(guó)計(jì)算機(jī)協(xié)會(huì)）常務(wù)理事，前Oracle?ACE，騰訊TVP，阿里云MVP，dbaplus等多家社群創(chuàng)始人或?qū)＜覉F(tuán)成員。有著豐富的一線數(shù)據(jù)庫(kù)架構(gòu)、軟件研發(fā)、產(chǎn)品設(shè)計(jì)、團(tuán)隊(duì)管理經(jīng)驗(yàn)。曾擔(dān)任多家公司首席DBA、數(shù)據(jù)庫(kù)架構(gòu)師等職。在云、電商、金融、互聯(lián)網(wǎng)等行業(yè)均有涉獵，精通多種關(guān)系型數(shù)據(jù)庫(kù)，對(duì)NoSQL及大數(shù)據(jù)相關(guān)技術(shù)也有涉足，實(shí)踐經(jīng)驗(yàn)豐富。曾著有數(shù)據(jù)庫(kù)相關(guān)著作《SQL優(yōu)化最佳實(shí)踐》、《數(shù)據(jù)庫(kù)高效優(yōu)化》。