炼石-数据存储加密技术白皮书V1.1.pdf

数据存储加密技术白皮书 北京炼石网络技术有限公司 Beijing LianshiNetworks Technology Co.,Ltd. 1 一实战、双合规 数据存储加密技术白皮书 今天所有的信息化、数字化，都是 “希望数据发生什么”。在 “希望发生 什么”的同时，一定伴随着 “不希望发生什么”，针对数据就形成数据安全风 险。因此在数据处理的全周期、全流程中，数据安全需求如影随形、无时不在、 无处不在。 从全局视角看数据安全，呈现 “一实战、双合规”的辩证统一。所有的数 据安全建设，不论是攻防演练还是合规整改，本质上是解决实战对抗的问题， 所以实战是检验数据安全能力的唯一标准。但是，实战对抗对应着偶发的、高 技术水平的对抗风险，对于绝大部分企业来说，难以具备持续性的资源投入应 对。而合规建设可将这种对抗性风险转变成常态的、可重复验证、可被审计的 非对抗风险，合规更容易被推广。当然，合规需求也是来自于实战的最佳实践， 实战与合规的需求是辩证统一的。炼石认为，结合到数据安全合规，分为过程 合规和结果合规。从过程看，密码作为一种直接作用于数据的技术手段，合规、 正确、有效的使用密码技术，可以满足 《密码法》等法定要求的 “数据安全过 程合规”。从结果看，DSM数据安全管理认证等是 《数据安全法》《个人信息 保护法》以及配套法律法规的落地手段，体现了“数据安全结果合规”。 3 数据保护，刻不容缓。无论实战对抗，还是数据安全合规，密码技术都是 最经济、最有效、最可靠的手段，对数据进行加密，并结合有效的密钥保护手 段，可在开放环境中实现对数据的强访问控制，让数据开发利用更安全。 图1：数据安全的 “一实战、双合规”需求 4 数据流动中的安全控制点 数据存储加密技术白皮书 数据存储加密防护的难点，在于如何对流转中的数据主动实施加密等保护， 确保数据不被泄露或篡改，这里的数据包括结构化与非结构化等类型。结构化数 据一般是指可以使用关系型数据库存储和表示，表现为二维形式的数据，一般来 讲，结构化数据也就是传统数据库中的数据形式；非结构化数据，就是指没有固 定结构的数据，包括各种文档、图片、视频、音频等。 传统的“数据库加密”往往体现为密文数据存储到数据库后的情形，一般局 限于结构化数据，而在企业实战化场景中，数据库只是数据处理的一个环节，因 此，传统的 “数据库存储加密”只是 “数据存储加密”的子集。 要对比各种数据存储加密技术，炼石认为有多项评判指标：第一，应满足加 密防护能力融入业务流程，面向广泛信息化应用，在复杂场景中提供有效防护； 第二，能够融合访问控制、审计等其他安全技术，实现安全机制可靠有效；第三， 优秀的权限控制能力，能够根据不同属性的人群，展开细粒度权限控制，实现权 限最小化，有效防范内部越权、外部黑客拖库等风险；第四，在节约企业成本， 不影响企业业务正常运营的情况下，敏捷部署实施高性能的数据安全防护，有效 控制实施风险。 本文以“数据”为中心，沿着数据流转路径，在典型B/S 三层信息系统架构 的多个数据业务处理点基础上，综合业内数据加密技术现状，选取了10种代表 性的存储加密技术，并对其实现原理、应用场景，以及相应的优势与挑战进行解 读分析。 5