1.1 企業(yè)安全需求向“聚焦以數據為中心”演進(jìn)

如今信息化高速發(fā)展，企業(yè)不僅將實(shí)體資產(chǎn)數字化，也在將其業(yè)務(wù)流程信息化，伴隨而來(lái)的是企業(yè)數據資產(chǎn)爆發(fā)式增長(cháng)。應用系統間也開(kāi)始打通、共享、協(xié)同，數據作為數字化時(shí)代的重要生產(chǎn)要素在企業(yè)應用系統內部高速流轉，驅動(dòng)業(yè)務(wù)效率提升，帶來(lái)了巨大效益。與此同時(shí)，數據的高價(jià)值使之成為被覬覦的目標，數據安全威脅已經(jīng)成為關(guān)乎企業(yè)命運的關(guān)鍵業(yè)務(wù)風(fēng)險。

近年來(lái)，企業(yè)數據泄露事件層出不窮，數據風(fēng)險日趨嚴峻。2019年7月21日，美國征信機構Equifax被罰款7億美元，為其2017年泄露1.45億用戶(hù)（將近一半美國人口）的隱私信息做出賠償，其CEO、CIO首席信息官、CSO首席安全官在事發(fā)后被迫離職。2019年7月24日，Facebook因此前泄漏8700萬(wàn)用戶(hù)數據，被重罰50億美元；除了支付罰款，Facebook 后續每一次新版本的發(fā)布前，都需要接受美國聯(lián)邦貿易委員會(huì )（FTC）隱私審查，還必須定期報告其用戶(hù)隱私數據的處理情況。

這項處罰直接動(dòng)搖了Facebook 的商業(yè)根基，因為其商業(yè)模式正是通過(guò)對用戶(hù)隱私數據的挖掘，實(shí)現廣告精準投放。一樁樁的數據泄露事件給社會(huì )公眾生活帶來(lái)惡劣影響，給企業(yè)帶來(lái)沉重的商業(yè)利益損失，更嚴重的會(huì )直接影響到企業(yè)的正常運轉，關(guān)乎企業(yè)生死存亡。

美國國家安全局 NSA（National Security Agency）下屬的國防與政府防御體系的主要建設機 構IAD（Information Assurance Directorate），在2013年提出“安全必須從以網(wǎng)絡(luò )為中心，轉向聚焦以數據為中心”。2019年2月，美國國防部發(fā)布《國防部云戰略》白皮書(shū)，明確提出：“美國國防部將安全防護重點(diǎn)，從邊界防御轉向保護數據和服務(wù)”。

伴隨企業(yè)信息化發(fā)展，全球正在從IT時(shí)代進(jìn)入DT（Data Technology）時(shí)代，而以“數據為中心、結合網(wǎng)絡(luò )邊界防護” 的雙軸驅動(dòng)的安全體系建設成為大勢所趨。如圖1所示，數據與網(wǎng)絡(luò )（技術(shù)棧）是正交的，以網(wǎng)絡(luò )為中心的安全體系是保證數據安全的前提和基石，而以數據為中心的安全，把數據作為抓手實(shí)施安全保護，能夠有效增強對數據本身的防護能力，二者是關(guān)聯(lián)、依賴(lài)和演進(jìn)的關(guān)系。

目前，企業(yè)應用系統普遍缺失內建數據安全能力，同時(shí)多個(gè)應用系統打通共享后成倍放大了數據安全管理復雜度，面臨著(zhù)更為嚴峻的安全挑戰。數據在不同應用之間流轉，導致數據所有者、數據控制者和數據處理者難以有效控制，數據可能被非法訪(fǎng)問(wèn)和處理，造成數據保密性和完整性方面的巨大安全風(fēng)險。

據國際密碼產(chǎn)品供應商金雅拓統計，2018年上半年泄露的45億條數據中，僅有不到3%是密文數據（密文被泄露是安全的）。不難看出，密碼技術(shù)在數據安全防護方面的作用是十分明顯的。密碼技術(shù)能夠直接作用于數據，是數據安全的核心技術(shù)，利用密碼在身份鑒別、數據加密、信任傳遞等方面的重要作用，能夠重構數據安全防線(xiàn)，獲得網(wǎng)絡(luò )空間制網(wǎng)權。

與國外相比，我國安全產(chǎn)業(yè)在信息化投入占比還有數倍差距，我國數據安全情況更加不容樂(lè )觀(guān)。與此同時(shí)，我國作為大國，政務(wù)、互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、各行業(yè)都產(chǎn)生了海量數據，而這些大數據的流轉在目前基本是“裸奔”狀態(tài)。近年來(lái)，我國密集頒布法律法規，明確數據安全密碼防護要求。2019年10月26日，第十三屆全國人大常委會(huì )第十四次會(huì )議表決通過(guò)《密碼法》，要求關(guān)鍵信息基礎設施應當依照法律、法規和相關(guān)國家標準等要求，使用商用密碼技術(shù)保障系統安全。2019年5月公安部發(fā)布《網(wǎng)絡(luò )安全等級保護條例2.0》增強了密碼保護數據的要求。2015年以來(lái)，國家多次發(fā)文，明確要求在金融、基礎信息網(wǎng)絡(luò )、重要信息系統、重要工業(yè)控制系統和政務(wù)信息系統等關(guān)鍵信息基礎設施，全面提升密碼保障能力，將密碼融入應用作為工作目標，而重心則是數據安全防護。

1.2 業(yè)務(wù)應用承載了主要數據共享，是數據安全防護關(guān)鍵抓手

企業(yè)建設的IT架構，包含基礎設施、軟件平臺以及業(yè)務(wù)應用等不同層，如下圖2所示，數據持續在不同層之間高效流轉，實(shí)現互聯(lián)共享，創(chuàng )造價(jià)值。

2.1 美國應用內加密采用了集成密碼SDK模式

美國產(chǎn)業(yè)生態(tài)特點(diǎn)決定了其應用內加密采用了集成密碼SDK模式。美國SOX（塞班斯法案， 上市公司監管法規）、HIPAA（健康保險隱私及責任法案）、FISMA（聯(lián)邦信息系統安全防護政策） 、GLBA（金融服務(wù)法現代化法案）、PCI-DSS（支付卡行業(yè)數據安全標準）等行業(yè)合規準則，在應用開(kāi)發(fā)建設階段均被有效執行，并且涉及數據加密、訪(fǎng)問(wèn)控制、審計等。

同時(shí)，據 Consultancy 統計，2018年風(fēng)險合規咨詢(xún)市場(chǎng)已經(jīng)達到700億美金，美國前十大信息安全公司常年被德勤、安永、畢馬威、普華永道等占據，這說(shuō)明加密的廣闊市場(chǎng)空間，并不在游離在應用之外的基礎密碼產(chǎn)品，而在充分結合行業(yè)場(chǎng)景的密碼應用產(chǎn)品。

美國FIPS密碼模塊安全評估認證是目前被全球廣泛接受的密碼產(chǎn)品認證體系。分析美國FIPS認證的密碼產(chǎn)品類(lèi)型、構成以及密碼產(chǎn)品發(fā)展趨勢，具有重要借鑒意義。美國的應用內集成密碼 SDK 技術(shù)路線(xiàn)也催生了豐富的密碼中間件產(chǎn)品，這類(lèi)密碼中間件產(chǎn)品可以被應用軟件集成，為應用提供內置的加密與細控等安全防護 , 可以滿(mǎn)足企業(yè) IT 建設的各種場(chǎng)景安全需求。

如圖3所示，截至2018年10月12日，通過(guò)FIPS認證有效狀態(tài)的1149件產(chǎn)品中，軟件密碼應用安全中間件數量最多約有264件，在通過(guò)FIPS檢測認證的產(chǎn)品分類(lèi)數量中占據首位。而國內密碼中間件這個(gè)品類(lèi)占比極低，這也反映出中美兩國在數據防護領(lǐng)域的生態(tài)差異。

2.2 運行階段補丁增強模式適合國內應用產(chǎn)業(yè)現狀

相比美國，我國在應用與數據安全相關(guān)法律法規制定起步較晚，過(guò)去十幾年，大量應用系統在建設過(guò)程中沒(méi)有將應用內建安全考慮進(jìn)來(lái)，這造成國內大量的已建應用缺失安全防護能力，只能采取對應用二次開(kāi)發(fā)改造以增強安全的方式。

而對已建應用系統，進(jìn)行開(kāi)發(fā)改造以增強安全的方式涉及面廣、開(kāi)發(fā)周期長(cháng)、成本極高、風(fēng)險很大，失去維護的系統甚至缺失源代碼；同時(shí)，已上線(xiàn)的系統重新部署還存在業(yè)務(wù)中斷風(fēng)險。所以，通過(guò)改造的方式增強已建應用系統安全并不可行，國內的產(chǎn)業(yè)生態(tài)決定了我國適合采取運行階段補丁增強安全的模式。

2.3 創(chuàng )新CASB插件模式實(shí)現“應用免改造”增強數據安全

煉石開(kāi)創(chuàng )性地將CASB技術(shù)（Critical Application Security Broker，關(guān)鍵應用安全代理）改進(jìn)并融入企業(yè)私有場(chǎng)景，實(shí)現“應用免改造”增強細粒度數據防護。其中，CASB插件模式不僅能夠對大量已有應用提供免開(kāi)發(fā)改造的數據安全增強；同時(shí)，也能夠為各種新建系統提供敏捷的數據安全集成能力。

CASB插件模式對應用是透明的，應用無(wú)須改造，也不改變其之前的運行機制，遺留應用或新建應用均可快速部署，不影響企業(yè)現有系統的穩定性，保證已上線(xiàn)系統的正常運營(yíng)，確保企業(yè)的業(yè)務(wù)不中斷。CASB插件模式可敏捷部署和人性化配置，不管是針對應用系統業(yè)務(wù)人員還是DBA等管理員，都可以通過(guò)策略配置，實(shí)現對指定數據字段的加密、脫敏、審計。并同時(shí)支持國密算法和國際算法，以及對手機號、證件號、郵箱等字段保留格式加密。

企業(yè)信息系統數量眾多，涉及的數據庫品牌和版本繁多。傳統的數據庫側加密產(chǎn)品實(shí)施需要較大工程量，以覆蓋若干個(gè)數據庫品牌和版本。CASB插件模式完全解耦數據庫品牌和版本，用戶(hù)只需在應用中進(jìn)行插件配置，重啟服務(wù)即可完成安裝，全面支持企業(yè)常用的Oracle、MySQL、SQL Server、INFORMIX、PostgreSQL、MongoDB等數據庫。

3.1 “主體到應用內用戶(hù)，客體到字段級”的細粒度防護

安全防護的本質(zhì)是對主體和客體的控制。BeyondCorp提出把主體識別到“人+設備”，但是其客體識別只能到應用系統，難以覆蓋對應用內流轉數據的安全控制。另外，傳統的數據庫側防護無(wú)法識別到應用內用戶(hù)，例如，其無(wú)法知曉敏感數據是被應用內哪個(gè)登錄用戶(hù)訪(fǎng)問(wèn)的。

CASB插件模式能夠提供“主體到應用內用戶(hù)，客體到字段級”的安全防護能力。CASB插件模式是在應用內做防護，可以將登錄用戶(hù)、字段或文檔級數據結合起來(lái)，提供細粒度的數據安全保護。管理員可通過(guò)設置加解密策略，主體控制到應用內用戶(hù)，客體控制可達到數據庫的表級、列級、字段級，同時(shí)不同的數據行、列及字段級（記錄單元）可以采用不同加密算法和密鑰，從而實(shí)現對企業(yè)內部人員的敏感數據訪(fǎng)問(wèn)授權的最小化。

3.2 密碼控審一體化，安全機制防繞過(guò)

3.2.1 傳統“加密與訪(fǎng)問(wèn)控制”組合模式存在短板

傳統的加密與防護控制組合模式中，加密施加在數據庫這一側，訪(fǎng)問(wèn)控制通過(guò)4A或IAM策略中心下發(fā)認證和權限決策。如圖4所示，這種模式下，解密和權限是兩個(gè)決策點(diǎn)，傳統的數據庫加密設備將數據解密后以明文形式傳輸到服務(wù)端，數據解密無(wú)法和權限體系結合， 加解密和細控的分離帶來(lái)了威脅敞口，攻擊者可以繞過(guò)訪(fǎng)問(wèn)控制，從威脅敞口直接竊取數據。同時(shí)，數據庫加密設備與IAM策略中心需要重復定義字段級的安全策略，造成重復配置、增大維護難度。

3.2.2 基于錨點(diǎn)解密可實(shí)現“防繞過(guò)”的數據安全防護

密鑰是對數據秘密的濃縮，數據很大但密鑰很小，數據流動(dòng)快、邊界范圍大，但密鑰邊界小、管控嚴。加密的本質(zhì)價(jià)值是數據邊界收縮到密鑰邊界，縮小了安全敞口。在數據加密的基礎上再實(shí)施訪(fǎng)問(wèn)控制策略，可以打造有效的數據防護。如圖5所示，CASB插件模式把數據錨點(diǎn)解密與訪(fǎng)問(wèn)控制、審計等技術(shù)結合，可以構建“防繞過(guò)”的數據安全防護體系。

同時(shí)，在解密的節點(diǎn)上做防護控制和審計，防護控制的策略就難以被繞過(guò)，這時(shí)審計也是具有高置信度的。CASB插件模式支持可追溯、防篡改的第三方數據庫審計，以獨立于業(yè)務(wù)應用之外的方式實(shí)現審計，每條日志支持主體追溯到人，并為審計日志進(jìn)行完整性保護，保證可事后追責。

3.3 為企業(yè)批量應用提供多種數據類(lèi)型的保護

企業(yè)同時(shí)存在結構化數據和非結構化數據，需要采用不同技術(shù)手段加以保護。

結構化數據是指具有確定長(cháng)度或結構的數據，嚴格遵循數據格式和長(cháng)度規范，主要通過(guò)關(guān)系型數據庫進(jìn)行存儲和管理，例如身份證號碼、電話(huà)號碼、銀行卡號等?？梢詫ASB插件與數據安全管理平臺相結合，針對結構化數據進(jìn)行加密，并實(shí)現“主體到應用內用戶(hù)、客體到字段”的細粒度訪(fǎng)問(wèn)控制和安全審計，可以防范來(lái)自數據庫等服務(wù)側的威脅。

非結構化數據一般集中存儲于企業(yè)文件服務(wù)器中，包括各種格式的辦公文檔、圖片、音頻、視頻信息等。將CASB插件與管理平臺相結合，可以實(shí)現針對非結構化數據的安全審計，以及“逐文件逐密鑰”的透明文件加密。

如圖6所示，“CASB 管理平臺”維護和下發(fā)安全策略，包括加密策略和細粒度訪(fǎng)問(wèn)控制策略，這些策略下發(fā)至插件中，由插件執行；“CASB 數據操作審計與分析系統”負責對數據訪(fǎng)問(wèn)的日志留存及審計；“KLM密鑰生命周期管理系統”負責加解密所用密鑰的統一管理。

3.3.1 結構化數據安全保護

對于留存在數據庫和應用中的結構化數據，CASB安全插件、CASB 管理平臺以及密鑰管理系統的組合，可以在數據整個(gè)生命周期對其加以保護。通過(guò)僅允許已授權用戶(hù)訪(fǎng)問(wèn)并查看敏感信息，可確保對數據的有效控制。

密管理平臺進(jìn)行交互，獲取加解密策略以及密鑰。CASB插件模式下可通過(guò)“主體到應用內用戶(hù)，客體到字段級”的細粒度訪(fǎng)問(wèn)控制，實(shí)現面向用戶(hù)端的動(dòng)態(tài)脫敏。

3.3.2 非結構化數據安全保護

針對非結構化數據的安全保護，CASB插件模式可實(shí)現落盤(pán)加密，讀盤(pán)解密，同時(shí)進(jìn)行操作的安全審計，可實(shí)現“主體到應用內用戶(hù)、客體到文件”的細粒度訪(fǎng)問(wèn)控制及審計。

針對非結構化數據的安全保護，以“安全審計”為主要手段，可實(shí)現“主體到應用內用戶(hù)， 客體到文件”的細粒度訪(fǎng)問(wèn)控制。如圖8所示，CASB 插件模式支持對指定文件夾進(jìn)行加密， 該文件夾（及其子文件夾）下的文件在保存時(shí)被加密；可選擇要授權的應用進(jìn)程，通過(guò)白名單機制使應用正常訪(fǎng)問(wèn)；未授權應用進(jìn)程或者直接拷貝文件，只能讀取到密文文件。服務(wù)側整體的文件加密，支持“逐文件逐密鑰”的透明文件加密。

3.3.3 “分布式加密、集中式管控”降低管理成本

如圖7所示，CASB安全插件部署在應用服務(wù)端，只需進(jìn)行簡(jiǎn)單配置，應用無(wú)須再進(jìn)行任何額外修改，即可向數據庫輸出密文，數據以密文形式存儲于數據庫中。插件與數據庫加解對于應用系統數量眾多的企業(yè)，如果采用傳統的單節點(diǎn)部署模式，在各個(gè)應用系統或數據庫系統上獨立部署加密審計產(chǎn)品，則企業(yè)將無(wú)法統一管理和監控應用系統中數據運行情況，同時(shí)成本高，后期維護難度大。

信息化升級徹底打破了傳統的網(wǎng)絡(luò )防護邊界，伴隨著(zhù)數據科技時(shí)代的到來(lái)，企業(yè)面臨嚴峻的安全失控、數據泄露等風(fēng)險，企業(yè)安全建設理念正在從以網(wǎng)絡(luò )為中心，轉向聚焦以數據為中心。數據安全密碼防護體系，本質(zhì)上是用密碼“重構數據邊界”，在新的“數據虛擬邊界”上重新定義一套安全控制規則，實(shí)現對現有應用系統、現有網(wǎng)絡(luò )結構下的“安全能力疊加增強”。

圍繞數據加解密控制可以將多種安全機制結合，包括防繞過(guò)的訪(fǎng)問(wèn)控制、高置信度的數據審計等，這些安全機制豐富和增強了安全防護水平，最終構建以密碼技術(shù)為核心、多種安全技術(shù)相互融合的新安全體系，為企業(yè)的業(yè)務(wù)發(fā)展保駕護航。