数据安全技术总体状况
• 对于非结构化是数据安全，主要采用数据泄露防护（Data leakage prevention, DLP）技术。DLP技术发展相对成熟，国外比较具有代 表性的有Symantec的DLP产品，国内也有不少类似产品。 • 而对于结构化的数据安全技术，国外发展比国内早5-10年。个别 产品，如数据库审计、数据库防火墙，以及数据库脱敏，现在国 外进入产品和市场的成熟期，代表性厂家有Imperva、IBM Guardium、Infomatica等。而国内的目前勉强有产品能够进行替代， 实际差距还比较大。而在针对云环境和大数据环境的安全方面， 国内刚刚起步，与国外的差距较大。
数据安全技术简介
大数据时代的数据安全
2017/12/6
中安威士（北京）科技有限公司 北京理工大学
1
大纲
• 数据安全技术和现状 • 数据安全整体方案 • 数据安全态势感知和溯源 • 数据共享平台数据安全
数据安全技术和现状
数据安全和数据安全技术
• 2017年6月1日正式实施的《网络安全法》第十条，要求建设、运 营网络或者通过网络提供服务，应当采取技术措施和其他必要措 施，维护网络数据的完整性、保密性和可用性。我们可以把这个 要求看成是当前数据安全的正式定义。 • 广义的数据安全技术是指一切能够直接、间接的保障数据的完整 性、保密性、可用性的技术。这包含的范围非常广，比如传统的 防火墙、入侵检测、病毒查杀、数据加密等，都可以纳入这个范 畴。正因为如此，很多传统的安全厂家都给自己贴上“数据安全 厂家”的标签。
1 1 0 1 1 0 0
1 0 1 0 0 0 1
0 0 1 0 1 0 1
0 1 0 0 0 1 1
0 1 0 0 0
1 0 1 0 0 0
0 1 0 1 0
0 1 0 1 0
0 1 0 0 0 1
1 1 0 1 1 0
1 0 1 0 0 0 1
0 0 1 0 1 0 1
0 1 0 0 0 1 1
解决方案：把数据关进笼子，让数据访问在阳光下进行
全面审计
开发测试
SQL注入、跨站攻击、恶意后门......
细粒度访问控制
脱敏 加密 运维人员
数据库
外包人员
用户
APP/Web 服务器 云管理员
Internet
业务服务器
办公区

敏感数据过度使用
应用与网站后门 SQL注入攻击

运维区
数据库越权批量导出 误操作导致数据丢失 越权拖库、清表
1)对数据访问日志进行审计，且日志留存时间不低于6个月（第21条）； 2)对数据进行分类，将敏感数据与普通数据区别化处理（第21条）； 3)对重要数据进行备份，容灾（第21、34条）； 4)对重要数据进行加密（第21、31条）； 5)对个人信息进行脱敏（第42条）。
• 网络安全法中涉及到的数据包括一般网络数据（第21条），并且单独对 基础信息基础设施数据（第34条）、用户信息和个人信息（第42条）， 进行重点保护。
• 内部特权滥用（Privilege Misuse）
• 纯内部人员（81.6%） • 内外合谋（8.3%） • 合作方（2.9%）
数据来源：2017 Data Breach Investigations Report
数据时代的安全挑战-缺乏数据的审计和感知
• 为了创造价值，数据一定会 流出到不可控的边界 • 数据风险取决于接受者掌握 的数据集和目的100%压源自测试授权管理员 开发员
细粒度访问控制
• • • • • • SQL注入 部分动态网页篡改 溢出攻击 暗门程序 终端用户管控 ...
难点
• • • • 高可用 高性能 自动画像能力 ...
• • • •
误操作 蓄意报复操作 授权内违规操作 ...
WAF/NGFW/IPS/UTM
/22 30
/22 20
双向审计
扩展审计（三层）
自动学习
性能指标
处理性能
连续最高SQL/S处理能力：10万
存储性能
最低存储能力：35亿/TB
查询和报表性能
1亿记录，模糊查询1分钟以内 vs 30-60分钟
数据加密
网安法21(4)：采取数据分类、重要数据备份和加密等措施; 加密层次：硬盘加密、文件加密、数据库加密（字段）加密、网关加密、 CASB加密 可搜索加密：加密不能导致检索性能的失效或者降低
在线/非在线数据库 （敏感信息）
静态脱敏实现
发现数据 抽取数据 脱敏数据
装载数据
1%
开发环境
难点：
• 关联保持VS安全性 • 高速 • 异构输出
0 1 0 0 0 1 1 0 1 0 0 0 1 1 1 1 0 1 1 0 0 1 0 1 0 0 0 1 0 0 1 0 1 0 1 0 1 0 0 0 1 1 1 0 1 0 0 0 1 0 1 0 0 0 1 1 1 1 0 1 1 0 0 0 0 1 0 1 0 1
数据库中原始数据
6227-1010-1351-3469
授权用户
数据库中原始数据 6227-1010-1351-3469 模糊化后数据 改写 6227-XXXX-XXXX-3469
静态脱 敏
6227-1012-2463-1774
动态脱敏
业务数据库
非授权用户A
6227-XXXX-XXXX-1774
静态脱敏数据库
数据安全态势感知和溯源
数据安全检测预警：数据安全态势感知
第五十二条 负责关 键信息基础设施安 全保护工作的部门， 应当建立健全本行 业、本领域的网络 安全监测预警和信 息通报制度，并按 照规定报送网络安
数据泄漏原因分析
• Web应用攻击（Web App Attacks）
• 身份盗用/后门/权限绕过
思路：用可视化推动安全技术和管理
• 数据安全的全局视野
大数据平台的数据安全
• 在流行的大数据平台Hadoop、Cloudera和Splunk中，数据存储和 处理的方式发生了很大的变化。既可以采用传统关系型数据库系 统，又可以采用新型的NoSQL数据库，如HBASE，Mongodb， Cassandra，Hive等。当采用新型NoSQL数据库时，数据安全面临 新的问题。 • 目前国外针对Hadoop和Cloudera环境中的数据库审计、数据库防 火墙等产品。但是国内在此领域只有极少数公司在进行试探性的 研发，目前尚未有相对成熟的产品上市。

数据库审计 数据库 静态脱敏
开发、测试区
数据库 动态脱敏
使用真实数据导致 数据泄露

数据库加密 数据库防火墙 数据库服务器
第三方人员 能够查看真实数据， 敏感数据外泄

数据库平台漏洞 数据明文存储 DBA好奇心

备份服务器

备份数据明文
18
网安法21(4)：采 取数据分类、重 数据分级分类 要数据备份和加 密等措施;
1 0 1 0 0 0 1
5%
培训环境
1%
单元测试
1 0 1 0 0 0 1
0 1 0 0 0 1 1
1 1 0 1 1 0 0
1 0 1 0 0 0 1
0 0 1 0 1 0 1
0 1 0 0 0 1 1
1 0 1 0 0 0 1
0 1 0 0 0 1 1
1 1 0 1 1 0 0
0 1 0 0 0 1 1
• 难点：
• 数据库通信协议的 理解 • SQL改写和SQL的全 面覆盖 • 规则的叠加 • 规则粒度：IP, USER, SQL
数据动态模糊化层
处理后：select CONCAT(SUBSTRING(name,1,1),'O', SUBSTRING(name,3)) as name from customer
模糊化后数据 3451-2238-8975-2321
非授权用户B
4545-2313-4585-2287
动态脱敏实现
授权使用者
真实完整数据 张安全 陈保护 李加密 源SQL：select name from customer 中途拦截SQL指令， 根据用户权限对 SQL进行改写
非授权使用者
模糊化后数据 张O全 陈O护 李O密
云数据安全
• 在云端，数据所面临的威胁被进一步的放大。 • 除了遭受与传统环境相同的安全威胁以外，由于云运营商的存在，数据还遭 受“上帝之手”的威胁。 • 云数据库租户的在数据库中的数据，对云运营商来说，几乎是完全开放的。 • 技术之外的一个要求就是立场中立性。对于云端的数据安全防护，最好应该 是来自第三方的。所谓“第三方”，就是指这种安全措施，不是由云运营商 提供的，而是由其它独立厂商提供的，以避免管理上和技术上的后门。 • 国外在云端数据的安全厂家比较有代表性的如CiperCloud和Skyhigh Networks， 国内在云端的数据安全方面刚刚起步，有一些审计类的产品开始部署，但是 加密类的产品，还在研发阶段。
数据泄露防护DLP
• 核心数据大多以文件为载体，零散分布在员工电脑及移动介质中， 且以明文存储，不受管控。数据泄露防护（DLP）基于文档加密， 进而控制其解密权限，从根源上防止数据外泄。 • 目前技术已基本成熟。
数据备份与容灾
• 需要确保数据备份和容灾系统通过建立数据的备份以及远程的容 灾备份，来确保在发生灾难性事件时，数据能够被正常的恢复， 从而提升数据的可用性。 • 目前数据于容灾的市场和技术都相对成熟，国内厂家较多，产品 的可选择余地较大，基本可以完全替代国外产品。
加密的安全性和透明性
透明性 安全性
存储加 密网关
插件式 加密
网关式 加密
应用 加密
应用网 关/CASB
可落地性和安全性
数据脱敏