数据存储加密技术

数据存储加密防护的难点，在于如何对流转中的数据主动实施加密等保护确保数据不被泄露或篡改，这里的数据包括结构化与非结构化等类型。结构化数据一般是指可以使用关系型数据库存储和表示，表现为二维形式的数据，一般来讲，结构化数据也就是传统数据库中的数据形式;非结构化数据，就是指没有固定结构的数据，包括各种文档、图片、视频、音频等。

传统的“数据库加密”往往体现为密文数据存储到数据库后的情形，一般局限于结构化数据，而在企业实战化场景中，数据库只是数据处理的一个环节，因此，传统的“数据库存储加密”只是“数据存储加密”的子集。

本思维导图以“数据”为中心，沿着数据流转路径，在典型B/S三层信息系统架构的多个数据业务处理点基础上，综合业内数据加密技术现状，选取了10种代表性的存储加密技术，并对其实现原理、应用场景，以及相应的优势与挑战进行解读分析。

概述

数据存储加密技术总览图

部署位置：终端

原理解析

DLP终端加密技术主要适用于企业终端数据的安全管理，在原有安全防护能力之上，可有效增强以下场景的数据防护能力:1)操作失误或无意识外发导致技术数据泄漏;2)通过打印、剪切、复制、粘贴、另存为、重命名等操作泄漏数据;3)离职人员通过U盘、移动硬盘等方式随意拷走机密资料;4)移动笔记本被盗、丢失或维修等造成数据泄漏。

应用场景

优势

1、终端适配困难、运维成本高。企业终端一般具有操作系统众多、终端类型复杂、文档使用场景多样等特点，终端加密在落地应用时，易出现终端兼容适配困难、运维成本较高等问题。在移动终端，由于存在权限问题，技术落地难度

挑战

技术一：DLP终端加密

部署位置：终端-应用服务器之间

原理：CASB代理网关(CloudAccessSecurity Broker)是一种委托式安全代理技术，将网关部署在目标应用的客户端和服务端之间，无需改造目标应用，只需通过适配目标应用，对客户端请求进行解析，并分析出其包含的敏感数据结合用户身份，并根据设置的安全策略对请求进行脱敏等访问控制，可针对结构化数据和非结构化数据同时进行安全管控。

CASB代理网关技术原理

随着云的普及，传统的架构正在发生变化。企业很多业务系统都托管在云服务商处，日常的很多工作，比如HR、社保、报销、0A等工作事务的管理都有相应的 SaaS 服务可以采用，企业想要享受便捷的云服务，又不想失去对自身数据的控制权，则可以采用CASB代理网关技术。例如，最常见的一种安全防护场景是:能够识别出一个用户访问云资源是使用的私人账号还是企业账号，以防止敏感数据从企业资源转移到私人资源

1、与业务结合的数据安全保护。CASB 代理网关位于应用服务和用户端之间该位置可以获取到丰富的业务上下文，可以基于用户、资源、操作和业务属性灵活利用访问者所对应属性集合决定是否有权访问目标数据，比如部门、区域职位、动作、目标数据类型、时间，以及其他条件等，从而在复杂业务场景下实现对数据的安全防护。

1、实施成本较高。为实现从客户端请求中解析用户在应用中的操作含义，需适配目标应用，适配工作量取决于目标应用的数量和复杂度以及安全管控粒度。

技术二：CASB代理网关

部署位置：应用服务器

应用内加密（集成密码SDK）技术原理

1、适用范围广。应用系统的开发商可以自行解决数据加解密的绝大多数问题，对数据库系统本身或第三方的数据安全厂商没有依赖;

2、灵活性高。应用服务端加密，主要是针对于应用服务器的加密方式，因为应用服务端加密可与业务逻辑紧密结合，在应用系统开发过程中，灵活地对相关业务中的敏感数据进行加密处理，且使用的加密函数、加密密钥等均可以根据业务逻辑需求进行灵活选择。

1、需要对应用系统开发改造。应用系统加密的实现需要应用系统开发投入较大的研发成本，时间周期较长，后期实施和维护成本较高，也面临大量代码改造带来的潜在业务风险;

2、对应用开发人员要求高。对业务开发人员来说，正确合规使用密码技术具有一定门槛。比如在实际应用中，会出现应用开发人员密钥使用不合规或安全风险等情况。

技术三：应用内加密（集成密码SDK）

原理：应用内加密(AOE面向切面加密)技术，能以免开发改造方式，实现应用系统中结构化数据和非结构化数据的存储加密，并提供细粒度访问控制、丰富脱敏策略、以及数据访问审计功能，为应用打造全面有效且易于实施的数据安全保护。其实现原理是将数据安全插件部署在应用服务中间件，结合旁路部署的数据安全管理平台、密钥管理系统，通过拦截入库SOL，将数据加密后存入数据库。

应用内加密（AOE面向切面加密）技术原理

应用内加密(A0E面向切面加密)主要适用于企业在应用层想要实现免开发改造的、可敏捷实施的高性能数据安全防护。该加密方式支持结构化/非结构化数据的加密，可与应用开发解耦，灵活性高。进一步的，该加密方式可支持分布式部署、集中式管控，既可针对单个应用防护，也可以针对上百个应用的批量保护

1、数据加密与业务逻辑解耦。该加密技术通过AOE面向切面加密方式，可以将安全与业务在技术上解耦，又在能力上融合交织，拥有高度灵活性;

2、不影响业务运营。应用内加密(AOE面向切面加密)适用于“应用免改造”的实战需求，能够实现以配置的方式敏捷部署实施，对应用的连续运行无影响。同时与其他加密技术相比，该技术对数据加解密的影响最低:

3、基于细粒度权限控制的数据安全防护。该加密技术可针对应用打造“主体到用户，客体到字段”的安全防护体系，能够根据不同属性的人群，实施细粒度的权限控制，实现对企业内部人员的敏感数据访问最小化授权。

技术四：应用内加密（AOE面向切面加密）

部署位置：应用服务器-数据库之间

原理：数据库加密网关是部署在应用服务器和数据库服务器之间的代理网关设备，通过解析数据库协议，对传入数据库的数据进行加密，从而获得保护数据安全的效果。

数据库加密网关技术原理

数据库加密网关可以为数据库提供“入库加密、出库解密”的防护，可以建立数据库用户的访问控制，实现企业内部人员的敏感数据访问授权精细化，可以防数据库拖库以及拦截非法 SOL。

1、应用系统与加解密功能分离。相比较于传统的应用内加密(集成密码SDK)技术，数据库加密网关技术具有独立性，能够使用户从高度复杂且繁重的加密解密处理逻辑的开发工作解放出来。

1、存在一定的法律风险。对于 0racle等采用私有通信协议(不开源)的商业数据库，安全厂商提供的数据库加密网关破解协议的方案存在法律风险;

2、高性能和高可用实现难度大。数据库加密网关增加了额外的处理节点在大数据量和高并发访问场景下，要实现高性能、高可用，面临工程化实现挑战。

技术五：数据库加密网关

部署位置：数据库

数据库外挂加密技术原理

如果查询涉及的加密列不多，查询结果集中，且包含的数据记录也相对不多时，可以考虑使用数据库外挂加密技术对数据库进行加密。

1、独立权控体系。使用数据库外挂加密技术，可以在外置的安全服务中提供独立于数据库自有权控体系之外的权限控制体系，适用于对“独立权控体系有相关需求的场景，可以有效防止特权用户(如DBA)对敏感数据的越权访问。

1、仅支持 0racle等少量数据库类型。数据库外挂加密，目前大多数的技术实现形式，存在功能性依赖，仅支持开放高级接口的0racle等少量数据库;

3、可扩展性差。在业务变化引起数据库表结构发生变化时，需要对外挂程序业务逻辑进行调整，甚至需重新定制开发，存在后期维护成本。

技术六：数据库外挂加密

原理：透明数据加密(Transparent DataEncryption，简称为TDE)是在数据库内部透明实现数据存储加密、访问解密的技术，0racle、SOLServer、MySOL等数据库默认内置此功能。数据在落盘时加密，在数据库内存中是密文，当攻击者“拔盘”窃取数据，由于数据库文件无法获得密钥而只能获取密文，从而起到保护数据库中数据的效果

TDE透明数据加密技术原理

透明数据加密技术适用于对数据库中的数据执行实时加解密的应用场景尤其是在对数据加密透明化有要求，以及对数据加密后数据库性能有较高要求的场景中。在实际使用中，可根据0racle等内置TDE的密钥管理接口，将默认软密钥钱包”升级为外部密钥管理系统，以增强密钥安全性。

2、性能损耗较低。透明数据加密技术只对数据库引擎的存储管理层进行了性能增强，不影响数据库引擎的语句解析和优化等处理过程，数据库自身性能得以更好保留，透明数据加密技术在数据库加密技术中，性能损耗较低。

1、防护颗粒度较粗。TDE本身是一种落盘加密技术，数据在内存中处于明文状态，需要结合其他访问控制技术使用。在实战场景中难以防范 DBA等风险；

2、数据库类型适用性上有限制。透明数据加密因使用插件技术，对数据库的版本有较强依赖性，且仅能对有限几种类型的数据库实现透明数据加密插件，在数据库类型适用性上有一定限制。

技术七：TDE透明数据加密

原理：UDF(User Defined Function)用户自定义函数是在已有数据库功能的基础上扩展更丰富的业务需求，其原理是在数据库支持的形式上，通过定义函数名称及执行过程，实现自定义的处理逻辑。UDF用户自定义函数加密，是通过UDF接口实现数据在数据库内的加解密。

1、扩展能力强。该加密技术适用于对数据有“定制化实现”的场景化需求，能够根据用户的业务需求，对数据实现丰富多样的加解密处理。

1、通用性低。该加密技术需要根据不同数据库的类型，做相对应的定制化实现，并且在存储过程或SOL中加以调用。

技术八：UDF用户自定义函数加密

部署位置：文件系统

原理：透明文件加密(TransparentFileEncryption，简称为TFE)，是在操作系统的文件管理子系统上部署加密插件来实现数据加密，基于用户态与内核态交付，可实现“逐文件逐密钥”加密。在正常使用时，计算机内存中的文件以明文形式存在，而硬盘上保存的数据是密文，如果没有合法的使用身份、访问权限以及正确的安全通道，加密文件都将以密文状态被保护

TFE透明文件加密技术原理

透明文件加密技术几乎可以适用于任何基于文件系统的数据存储加密需求尤其是原生不支持透明数据加密的数据库系统。但是，由于文件系统加密技术无法提供针对数据库用户的增强权限控制，因此对于需要防范内部数据库超级用户的场景并不适用

1、可对应用进程授权。透明文件加密的防护颗粒度较细，可以适用于对应用进程有绑定需求的场景，只有授权的“白名单”应用进程访问文件时，才能获得明文，而未授权应用只能获取密文。

技术九：TFE透明文件加密

部署位置：存储硬件

原理：全磁盘加密(Full Disk Encryption，简称FDE)是指通过动态加解密技术，对磁盘或分区进行动态加解密的技术。FDE的动态加解密算法位于操作系统底层，其所有磁盘操作均通过FDE进行:当系统向磁盘上写入数据时FDE首先加密要写入的数据，然后再写入磁盘;反之，当系统读取磁盘数据时FDE会自动将读取到的数据进行解密，然后再提交给操作系统。

全磁盘加密技术适用于磁盘上所有数据(包括操作系统)进行动态加解密的场景，但由于不能提供针对用户的增强权限控制，无法满足对内部超级用户泄露敏感数据的风险防范需求

1、性能优势突出。全磁盘加密技术通过操作系统内核层(或者存储设备自身的物理结构)实现，能够最大化减少加解密损耗，对上层业务服务提供性能最高的文件加解密服务;

2、部署、实施简单。全磁盘加密仅需对进入磁盘的数据进行加密，部署和实施简单高效。

1、数据防护颗粒度粗。该加密技术因为缺少访问控制能力，因此，一旦磁盘挂载口令泄露，就有数据泄露的风险，仅能防范“拔硬盘”攻击。

技术十：FDE全磁盘加密

十种数据存储加密技术特征分析

十种加密技术比较

综上所述，十种数据存储加密技术在应用场景以及优势挑战方面各有侧重点，DLP终端加密技术侧重于企业PC端的数据安全防护;CASB代理网关、应用内加密(集成密码SDK)、应用内加密(A0E面向切面加密)侧重于企业应用服务器端的数据安全防护;数据库加密网关、数据库外挂加密、TDE透明数据加密UDF用户自定义函数加密则侧重于数据库端的数据安全防护:TFE透明文件加密FDE全磁盘加密则侧重于文件系统数据安全防护。

总结

数据存储加密技术