炼石网络：免改造数据安全的实践与思考（2023）（24页）.pdf

1、1免改造数据安全的实践与思考炼石网络创始人、CEO 白小勇2023年4月2“安全需求”侧重“不希望发生什么”从而确保“发生什么”安全是一种业务需求“传统业务需求”侧重于“希望发生什么”商务合作市场拓展数据共享资源互换应用系统服务器数据库3各种“安全”含义都可以映射到“业务需求”Security安全防攻击Reliability可靠性业务需求Sureness确定性Trustiness诚信度Safety安全可靠4从业务视角重新思考数据安全数据安全业务目标数据安全保护对象是有价值的数据（比如个人信息）数据安全业务目标就是“不希望数据发生什么”数据的价值计算机模型中，一切皆数据数据作为新型生产要素，在流

2、动中体现价值数据是实现业务价值的主要载体业务视角数据安全需求机密性（Confidentiality）数据泄露会削弱或归零数据的业务价值完整性（Integrity）数据被篡改直接破坏业务目标原真性（Authenticity）数据起源鉴别所有安全产品或能力，都是在“某个业务”中实现了“不希望发生什么”5数据安全需求，来自于业务处理的“风险映射”应用层平台层基础设施层“主体到应用内用户、客体到字段”的细颗粒度防护操作系统、中间件，数据库、文件系统等安全防护CPU、内存、磁盘、网线、光纤等加密从空间维度，数据在不同层的不同防护颗粒度需求从时间维度，数据在全生命周期的安全需求收集存储使用加工传输公开提供

3、 合法 正当 必要 告知 监督 检测 内控 风险 响应 加密 脱敏 约定 评估 保护 监督 危害 分析 影响 加密 控制 审计6凡是有处理数据的业务场景就会存在风险，也就有了数据安全几乎无边界的复杂业务需求带来同样复杂的数据安全需求数据安全边界，取决于业务边界7“艰难的防守者”重新思考数据保护的意义如果攻击者投入足够资源，最终总是能窃取到目标数据无法杜绝数据泄露，但可以使窃取成本高于数据获利8对数据有效保护手段的评价战争是双方消耗资源，构建局部优势，降低我方成本、提高敌方成本防守方评估技术手段、排序优先，用更少成本、消耗攻击者更多成本9安全机制和业务处理纽结缠绕、难以改造应用系统升级涉及面广，

4、成本高周期长已上线系统升级风险大，影响业务连续银行应用功能架构图示例银行应用系统总体架构图示例个人信息与重要数据保护主要是面向应用的功能型安全需求：业务与安全研发排期不吻合，业务团队技术与响应跟不上功能型安全需求要在应用中融合实现，但改造应用成本高、风险大、周期长数据保护不落实，则合规风险越来越大、因泄露导致的业务风险会快速累积重要数据权限控制访问审计数字签名水印追溯去标识化数据加密风险监测防止篡改未授权的数据访问风险运维人员内控风险业务人员越权访问风险数据外发合规风险数据违规外发风险业务操作身份风险数据过量访问风险数据访问内控风险10切面安全：在数据流动的切面上重建安全规则，实现安全与业务在

5、技术上解耦、能力上融合参考Spring：从耦合式编程到AOP解耦式编程面向切面的数据安全11部署模式：统一平台下的多控制点，对数据精准识别和保护结构化数据前台系统后台系统CRMTFE/FDE模块保护非结构化数据文件系统/数据库应用用户访问安全代理用户MySQLKMS密管系统数据安全管理平台数据审计追溯系统数据资产管理系统数据安全SDK集成安全能力CipherSuite非结构化数据AOE模块保护结构化数据存储公开收集使用加工传输提供TDE模块保护结构化数据12数据保护【结构化】：免改造应用的字段级保护支持ABAC的访问控制策略，实现用户与字段文档级防护面向用户侧动态脱敏面向服务侧存储加密AOE插

6、件数据库姓名账号邮箱住址89773423431860000134=mfdas43姓名身份证手机号=jfn4321jnd窃取数据用户1用户2用户36210875612517712348471中关村大街周林6210*125177*8471*大街周林住址*姓名身份证手机号*住址姓名身份证手机号住址姓名身份证手机号数据安全管理平台密钥管理系统应用服务示例应用查看脱敏后数据示例应用看到密文示例DBA工具查看脱敏数据示例DBA工具查看密文不影响业务人员使用、不影响DBA运维主体到人细粒度访问控制客体到字段AOE代理【防范内外】面向运维：防范应用外数据访问威胁存储加密：防范内部DBA、外包、黑客面向用户：防