国产欧美日韩精品a在线观看-国产欧美日韩精品一区二区三区-国产欧美日韩精品综合-国产欧美中文字幕-一区二区三区精品国产-一区二区三区精品国产欧美

1.1 企業安全需求向“聚焦以數據為中心”演進

如今信息化高速發展，企業不僅將實體資產數字化，也在將其業務流程信息化，伴隨而來的是企業數據資產爆發式增長。應用系統間也開始打通、共享、協同，數據作為數字化時代的重要生產要素在企業應用系統內部高速流轉，驅動業務效率提升，帶來了巨大效益。與此同時，數據的高價值使之成為被覬覦的目標，數據安全威脅已經成為關乎企業命運的關鍵業務風險。

近年來，企業數據泄露事件層出不窮，數據風險日趨嚴峻。2019年7月21日，美國征信機構Equifax被罰款7億美元，為其2017年泄露1.45億用戶（將近一半美國人口）的隱私信息做出賠償，其CEO、CIO首席信息官、CSO首席安全官在事發后被迫離職。2019年7月24日，Facebook因此前泄漏8700萬用戶數據，被重罰50億美元；除了支付罰款，Facebook 后續每一次新版本的發布前，都需要接受美國聯邦貿易委員會（FTC）隱私審查，還必須定期報告其用戶隱私數據的處理情況。

這項處罰直接動搖了Facebook 的商業根基，因為其商業模式正是通過對用戶隱私數據的挖掘，實現廣告精準投放。一樁樁的數據泄露事件給社會公眾生活帶來惡劣影響，給企業帶來沉重的商業利益損失，更嚴重的會直接影響到企業的正常運轉，關乎企業生死存亡。

美國國家安全局 NSA（National Security Agency）下屬的國防與政府防御體系的主要建設機 構IAD（Information Assurance Directorate），在2013年提出“安全必須從以網絡為中心，轉向聚焦以數據為中心”。2019年2月，美國國防部發布《國防部云戰略》白皮書，明確提出：“美國國防部將安全防護重點，從邊界防御轉向保護數據和服務”。

伴隨企業信息化發展，全球正在從IT時代進入DT（Data Technology）時代，而以“數據為中心、結合網絡邊界防護” 的雙軸驅動的安全體系建設成為大勢所趨。如圖1所示，數據與網絡（技術棧）是正交的，以網絡為中心的安全體系是保證數據安全的前提和基石，而以數據為中心的安全，把數據作為抓手實施安全保護，能夠有效增強對數據本身的防護能力，二者是關聯、依賴和演進的關系。

目前，企業應用系統普遍缺失內建數據安全能力，同時多個應用系統打通共享后成倍放大了數據安全管理復雜度，面臨著更為嚴峻的安全挑戰。數據在不同應用之間流轉，導致數據所有者、數據控制者和數據處理者難以有效控制，數據可能被非法訪問和處理，造成數據保密性和完整性方面的巨大安全風險。

據國際密碼產品供應商金雅拓統計，2018年上半年泄露的45億條數據中，僅有不到3%是密文數據（密文被泄露是安全的）。不難看出，密碼技術在數據安全防護方面的作用是十分明顯的。密碼技術能夠直接作用于數據，是數據安全的核心技術，利用密碼在身份鑒別、數據加密、信任傳遞等方面的重要作用，能夠重構數據安全防線，獲得網絡空間制網權。

與國外相比，我國安全產業在信息化投入占比還有數倍差距，我國數據安全情況更加不容樂觀。與此同時，我國作為大國，政務、互聯網、物聯網、各行業都產生了海量數據，而這些大數據的流轉在目前基本是“裸奔”狀態。近年來，我國密集頒布法律法規，明確數據安全密碼防護要求。2019年10月26日，第十三屆全國人大常委會第十四次會議表決通過《密碼法》，要求關鍵信息基礎設施應當依照法律、法規和相關國家標準等要求，使用商用密碼技術保障系統安全。2019年5月公安部發布《網絡安全等級保護條例2.0》增強了密碼保護數據的要求。2015年以來，國家多次發文，明確要求在金融、基礎信息網絡、重要信息系統、重要工業控制系統和政務信息系統等關鍵信息基礎設施，全面提升密碼保障能力，將密碼融入應用作為工作目標，而重心則是數據安全防護。

1.2 業務應用承載了主要數據共享，是數據安全防護關鍵抓手

企業建設的IT架構，包含基礎設施、軟件平臺以及業務應用等不同層，如下圖2所示，數據持續在不同層之間高效流轉，實現互聯共享，創造價值。

2.1 美國應用內加密采用了集成密碼SDK模式

美國產業生態特點決定了其應用內加密采用了集成密碼SDK模式。美國SOX（塞班斯法案， 上市公司監管法規）、HIPAA（健康保險隱私及責任法案）、FISMA（聯邦信息系統安全防護政策） 、GLBA（金融服務法現代化法案）、PCI-DSS（支付卡行業數據安全標準）等行業合規準則，在應用開發建設階段均被有效執行，并且涉及數據加密、訪問控制、審計等。

同時，據 Consultancy 統計，2018年風險合規咨詢市場已經達到700億美金，美國前十大信息安全公司常年被德勤、安永、畢馬威、普華永道等占據，這說明加密的廣闊市場空間，并不在游離在應用之外的基礎密碼產品，而在充分結合行業場景的密碼應用產品。

美國FIPS密碼模塊安全評估認證是目前被全球廣泛接受的密碼產品認證體系。分析美國FIPS認證的密碼產品類型、構成以及密碼產品發展趨勢，具有重要借鑒意義。美國的應用內集成密碼 SDK 技術路線也催生了豐富的密碼中間件產品，這類密碼中間件產品可以被應用軟件集成，為應用提供內置的加密與細控等安全防護 , 可以滿足企業 IT 建設的各種場景安全需求。

如圖3所示，截至2018年10月12日，通過FIPS認證有效狀態的1149件產品中，軟件密碼應用安全中間件數量最多約有264件，在通過FIPS檢測認證的產品分類數量中占據首位。而國內密碼中間件這個品類占比極低，這也反映出中美兩國在數據防護領域的生態差異。

2.2 運行階段補丁增強模式適合國內應用產業現狀

相比美國，我國在應用與數據安全相關法律法規制定起步較晚，過去十幾年，大量應用系統在建設過程中沒有將應用內建安全考慮進來，這造成國內大量的已建應用缺失安全防護能力，只能采取對應用二次開發改造以增強安全的方式。

而對已建應用系統，進行開發改造以增強安全的方式涉及面廣、開發周期長、成本極高、風險很大，失去維護的系統甚至缺失源代碼；同時，已上線的系統重新部署還存在業務中斷風險。所以，通過改造的方式增強已建應用系統安全并不可行，國內的產業生態決定了我國適合采取運行階段補丁增強安全的模式。

2.3 創新CASB插件模式實現“應用免改造”增強數據安全

煉石開創性地將CASB技術（Critical Application Security Broker，關鍵應用安全代理）改進并融入企業私有場景，實現“應用免改造”增強細粒度數據防護。其中，CASB插件模式不僅能夠對大量已有應用提供免開發改造的數據安全增強；同時，也能夠為各種新建系統提供敏捷的數據安全集成能力。

CASB插件模式對應用是透明的，應用無須改造，也不改變其之前的運行機制，遺留應用或新建應用均可快速部署，不影響企業現有系統的穩定性，保證已上線系統的正常運營，確保企業的業務不中斷。CASB插件模式可敏捷部署和人性化配置，不管是針對應用系統業務人員還是DBA等管理員，都可以通過策略配置，實現對指定數據字段的加密、脫敏、審計。并同時支持國密算法和國際算法，以及對手機號、證件號、郵箱等字段保留格式加密。

企業信息系統數量眾多，涉及的數據庫品牌和版本繁多。傳統的數據庫側加密產品實施需要較大工程量，以覆蓋若干個數據庫品牌和版本。CASB插件模式完全解耦數據庫品牌和版本，用戶只需在應用中進行插件配置，重啟服務即可完成安裝，全面支持企業常用的Oracle、MySQL、SQL Server、INFORMIX、PostgreSQL、MongoDB等數據庫。

3.1 “主體到應用內用戶，客體到字段級”的細粒度防護

安全防護的本質是對主體和客體的控制。BeyondCorp提出把主體識別到“人+設備”，但是其客體識別只能到應用系統，難以覆蓋對應用內流轉數據的安全控制。另外，傳統的數據庫側防護無法識別到應用內用戶，例如，其無法知曉敏感數據是被應用內哪個登錄用戶訪問的。

CASB插件模式能夠提供“主體到應用內用戶，客體到字段級”的安全防護能力。CASB插件模式是在應用內做防護，可以將登錄用戶、字段或文檔級數據結合起來，提供細粒度的數據安全保護。管理員可通過設置加解密策略，主體控制到應用內用戶，客體控制可達到數據庫的表級、列級、字段級，同時不同的數據行、列及字段級（記錄單元）可以采用不同加密算法和密鑰，從而實現對企業內部人員的敏感數據訪問授權的最小化。

3.2 密碼控審一體化，安全機制防繞過

3.2.1 傳統“加密與訪問控制”組合模式存在短板

傳統的加密與防護控制組合模式中，加密施加在數據庫這一側，訪問控制通過4A或IAM策略中心下發認證和權限決策。如圖4所示，這種模式下，解密和權限是兩個決策點，傳統的數據庫加密設備將數據解密后以明文形式傳輸到服務端，數據解密無法和權限體系結合， 加解密和細控的分離帶來了威脅敞口，攻擊者可以繞過訪問控制，從威脅敞口直接竊取數據。同時，數據庫加密設備與IAM策略中心需要重復定義字段級的安全策略，造成重復配置、增大維護難度。

3.2.2 基于錨點解密可實現“防繞過”的數據安全防護

密鑰是對數據秘密的濃縮，數據很大但密鑰很小，數據流動快、邊界范圍大，但密鑰邊界小、管控嚴。加密的本質價值是數據邊界收縮到密鑰邊界，縮小了安全敞口。在數據加密的基礎上再實施訪問控制策略，可以打造有效的數據防護。如圖5所示，CASB插件模式把數據錨點解密與訪問控制、審計等技術結合，可以構建“防繞過”的數據安全防護體系。

同時，在解密的節點上做防護控制和審計，防護控制的策略就難以被繞過，這時審計也是具有高置信度的。CASB插件模式支持可追溯、防篡改的第三方數據庫審計，以獨立于業務應用之外的方式實現審計，每條日志支持主體追溯到人，并為審計日志進行完整性保護，保證可事后追責。

3.3 為企業批量應用提供多種數據類型的保護

企業同時存在結構化數據和非結構化數據，需要采用不同技術手段加以保護。

結構化數據是指具有確定長度或結構的數據，嚴格遵循數據格式和長度規范，主要通過關系型數據庫進行存儲和管理，例如身份證號碼、電話號碼、銀行卡號等。可以將CASB插件與數據安全管理平臺相結合，針對結構化數據進行加密，并實現“主體到應用內用戶、客體到字段”的細粒度訪問控制和安全審計，可以防范來自數據庫等服務側的威脅。

非結構化數據一般集中存儲于企業文件服務器中，包括各種格式的辦公文檔、圖片、音頻、視頻信息等。將CASB插件與管理平臺相結合，可以實現針對非結構化數據的安全審計，以及“逐文件逐密鑰”的透明文件加密。

如圖6所示，“CASB 管理平臺”維護和下發安全策略，包括加密策略和細粒度訪問控制策略，這些策略下發至插件中，由插件執行；“CASB 數據操作審計與分析系統”負責對數據訪問的日志留存及審計；“KLM密鑰生命周期管理系統”負責加解密所用密鑰的統一管理。

3.3.1 結構化數據安全保護

對于留存在數據庫和應用中的結構化數據，CASB安全插件、CASB 管理平臺以及密鑰管理系統的組合，可以在數據整個生命周期對其加以保護。通過僅允許已授權用戶訪問并查看敏感信息，可確保對數據的有效控制。

密管理平臺進行交互，獲取加解密策略以及密鑰。CASB插件模式下可通過“主體到應用內用戶，客體到字段級”的細粒度訪問控制，實現面向用戶端的動態脫敏。

3.3.2 非結構化數據安全保護

針對非結構化數據的安全保護，CASB插件模式可實現落盤加密，讀盤解密，同時進行操作的安全審計，可實現“主體到應用內用戶、客體到文件”的細粒度訪問控制及審計。

針對非結構化數據的安全保護，以“安全審計”為主要手段，可實現“主體到應用內用戶， 客體到文件”的細粒度訪問控制。如圖8所示，CASB 插件模式支持對指定文件夾進行加密， 該文件夾（及其子文件夾）下的文件在保存時被加密；可選擇要授權的應用進程，通過白名單機制使應用正常訪問；未授權應用進程或者直接拷貝文件，只能讀取到密文文件。服務側整體的文件加密，支持“逐文件逐密鑰”的透明文件加密。

3.3.3 “分布式加密、集中式管控”降低管理成本

如圖7所示，CASB安全插件部署在應用服務端，只需進行簡單配置，應用無須再進行任何額外修改，即可向數據庫輸出密文，數據以密文形式存儲于數據庫中。插件與數據庫加解對于應用系統數量眾多的企業，如果采用傳統的單節點部署模式，在各個應用系統或數據庫系統上獨立部署加密審計產品，則企業將無法統一管理和監控應用系統中數據運行情況，同時成本高，后期維護難度大。

信息化升級徹底打破了傳統的網絡防護邊界，伴隨著數據科技時代的到來，企業面臨嚴峻的安全失控、數據泄露等風險，企業安全建設理念正在從以網絡為中心，轉向聚焦以數據為中心。數據安全密碼防護體系，本質上是用密碼“重構數據邊界”，在新的“數據虛擬邊界”上重新定義一套安全控制規則，實現對現有應用系統、現有網絡結構下的“安全能力疊加增強”。

圍繞數據加解密控制可以將多種安全機制結合，包括防繞過的訪問控制、高置信度的數據審計等，這些安全機制豐富和增強了安全防護水平，最終構建以密碼技術為核心、多種安全技術相互融合的新安全體系，為企業的業務發展保駕護航。