作者：安鹏 北京明朝万达科技股份有限公司

　　上篇《云平台数据安全保护技术研究与实践（上）》，已介绍了云环境面临的数据安全风险挑战、云数据安全相关政策和云数据保护思路。接下来将介绍云数据保护技术实现，包括云数据保护平台架构、关键技术和部署方案。

　　1.云数据保护技术实现

　　数据安全保护措施的落地实施，可以通过云环境数据安全统一管控平台来实现。

　　1.1.平台架构

　　统一管控平台以高安全高性能高可用的服务总线为基础设施，协调衔接各个业务组件和各个技术功能引擎，实现平台化体系化的数据安全防护。

　　1、服务总线：系统基础架构，中间件形态存在，支持各种远程调用和远程数据传递，提供统一的标准接口，各种技术功能引擎通过sdk接入服务总线。

　　2、引擎：技术功能型系统模块，通过统一标准的sdk规范接入服务总线，以统一接口调用提供对外技术能力输出。

　　3、组件：业务功能单元，通过不同的引擎功能组合，实现完整业务功能。

　　4、服务：业务功能子系统，通过不同的引擎功能组合、组件组合，实现服务子系统。

　　5、平台：综合了所有系统资源，以统一的规则管理、统一的数据管理、统一的授权管理、统一的资源管理，建立体系化的数据联动，以统一的视角统筹数据安全各个层级的防护。

　　1.2.关键技术

　　1.2.1.探查数据资产

　　1、数据安全防护的基础是敏感数据资产的探查，包括自动智能分析和主动扫描两种方式。

　　自动智能分析：数据探针方式，抓取当前数据使用流量包，智能分析敏感数据的分布。

　　主动扫描：主动到指定数据源位置扫描数据样本，综合分析数据样本。

　　2、得到结构化的敏感数据资产目录，包括数据源位置，数据表和数据字段，敏感等级，敏感分类分级，敏感类型。

　　3、非结构化的数据资产探查，结果包括位置，敏感等级，敏感分类，文件名称等，还会有更多的文件属性内容，包括大小、生成时间修改时间、所属者、操作系统信息等。

　　4、遵循敏感数据分类分级安全治理的分级管控理念，探查敏感数据资产目录的同时，探查审计敏感数据资产的访问情况，得到敏感数据活动链路。

　　5、以敏感数据资产集的形态，动态展示活动链路上的信息，包括客户端信息、应用系统信息、账号、时间等。

　　1.2.2.数据库加密

　　确定好敏感数据资产静点位置，对于结构化数据，通过数据库透明加解密技术实现数据的加密存储，应用的透明无感知。

　　1、数据库加密包括表空间加解密、列数据加解密，可以对存量数据加密，可以做增量数据加密。

　　2、有增强的基于规则的权限控制，确保密文数据不被违规访问。

　　3、合规要求，需要支持国密算法，主秘钥需要独立管理和存储。

　　4、考虑到数据加密的更复杂的安全场景，容灾处理要考虑能够离线解密数据库文件，确保数据不丢失。

　　1.2.3.文件加密

　　对于非机构化数据，主要针对敏感数据文件，在存储层面做好加密保护，访问权限控制，文件使用审批和使用追踪，通过水印技术实现溯源。

　　1.2.4.访问认证代理

　　数据访问保护，采用虚拟数据源模式，数据访问者使用的是虚拟账号和口令，不对外暴露实际的数据源的账号和口令，访问者无法直接访问数据源。真实的数据源隐藏在后边，由访问控制服务采用代理方式访问真实的数据源，代理访问使用真实的账号和口令。访问控制服务代理访问真实的数据源，可以周期性更新真实的账号和口令，对于数据访问者来说是透明无感知的。

　　1.2.5.访问授权

　　访问授权可以通过预授权和审批授权两种方式。系统通过规则匹配方式预授权符合条件的数据访问者访问数据，规则包括ip、账号、时间、敏感数据字段等细粒度条件。

　　1.2.6.动态脱敏

　　通过访问代理技术，实现敏感数据的动态访问控制。

　　1、正常业务系统访问敏感数据，做了预授权规则设定，返回正常数据样本，对于应用系统透明无感知。

　　2、在运维场景，运维人员可以做正常的数据库运维操作，如果访问了敏感数据，返回被掩盖泛化的数据，确保敏感数据不泄露。

　　3、数据交换场景，要确保数据的真实性和业务可用性，同时也要防止敏感数据的泄露。针对这部分数据访问，返回脱敏后高保真的数据，同时保证业务关联一致性。

　　1.2.7.防泄漏

　　防泄漏包含下面几个方面：

　　1、基于标准的敏感数据扫描，确定敏感数据资产目录，确认防泄漏目标。

　　2、敏感数据资产目录上的数据保护，做好加密存储保护。

　　3、敏感数据资产目录上的数据访问保护，基于规则的访问授权和外发控制。

　　4、敏感数据资产目录上的数据访问审计，敏感数据的使用和外发，都做好全流程监控，必要时可做溯源技术处理。

　　1.2.8.静态脱敏

　　数据静态脱敏主要在于提供生产系统的数据给开发测试、数据分析、共享数据等场景，在这些场景上，数据整体迁移到脱敏的使用环境中，对于数据的个体信息并不关心，只是整体上要求数据高保真，不影响业务需求。

　　1、可制定10余种内置的脱敏算法，确保能满足各种需求。

　　2、可以扩展脱敏算法，在线装载和卸载扩展算法，无需重启系统。

　　3、脱敏后数据可高保真，同时实现脱敏后数据业务关联一致性，确保脱敏后数据高可用。

　　4、实现脱敏任务流程化，通过审批机制实现数据迁移的流程管控。

　　1.2.9.数据水印

　　数据迁移过程，通过数据水印技术，实现事后溯源和追责。

　　1、显性水印：添加水印者可以查看到目标数据源的水印痕迹，比如增加了水印伪行或者伪列数据。

　　2、隐性水印：添加水印者无法查看到目标数据源的水印痕迹，水印内嵌到了真实数据内部。

　　3、增加了水印的数据，在事后数据流转后，通过最后的数据样本，可以提取之前的水印信息，做到数据样本的溯源追踪。

　　4、添加水印的能力可以输出提供给第三方数据迁移工具调用。在系统中设置了水印规则，生成规则信息密串，和sdk同时提供给第三方调用，第三方迁移的数据就打上了水印信息，最后通过本系统溯源未来流转的数据样本，实现业务闭环。

　　1.2.10.安全沙箱

　　统一管控平台，集成了多个层面的数据安全保护能力后，可以根据业务动态需求，跨边界的制定动态逻辑沙箱，动态沙箱是集成防泄露组件、访问控制服务、数据交换迁移服务的能力，通过统一规则管理，实现最小范围最小集合的数据流转，流转的数据全程受监控，即满足业务数据需求，同时控制在沙箱范围内流转，做到事前规划、事中可控、事后可查。

　　1.2.11.数据审计

　　1、数据审计，从数据采集开始，通过数据探针，部署在数据源特定位置，例如数据库服务器上，捕获数据的网络流量。

　　2、通过解析数据源的网络包通信协议，再而解析对应的数据包协议，分解5元组信息，获取详细数据访问信息，包括数据操作信息和数据返回信息。

　　3、记录全部的数据流转信息，敏感数据元不做记录或者脱敏记录。

　　4、根据审计规则和审计策略，审计敏感数据的流转和安全访问行为，所有的审计信息保存到大数据中心。

　　5、对审计信息做风险识别、风险告警、问题溯源、关联分析、多维度报告等，实现事中预警和事后审计。

　　1.3.平台部署

　　数据安全保护统一管控平台实现了数据安全的全体系化防护，可以实现多种云环境的部署兼容。

　　1、私有云或者本地数据中心部署：通过完整的平台本地化部署实现。

　　2、公有云部署：防泄漏dlp、数据探针、控制组件部署到云环境相应云终端设备或者云服务器上，通过公有云上的统一管控平台服务协调数据和策略。

　　3、混合云部署：在公有云部署基础上，在私有云、行业云或者本地数据中心部署防泄漏dlp、数据探针、控制组件，做到混合云环境的统一数据管控。

　　2.小结

　　当前云环境打破了传统的网络物理边界，大数据应用促使数据加速共享融合，使得敏感数据的安全保护重要性和急迫性凸显。云平台的数据保护围绕数据逻辑边界的防护展开。首先全面梳理云环境下的敏感数据资产，获得敏感数据静点位置和活动链路；针对静点数据通过对数据存储加密、数据加密措施实现核心层保护；针对敏感数据访问采用动态代理机制，通过数据访问认证代理、数据授权访问、数据多态展示实现第二层保护；通过数据防泄漏技术，覆盖业务环境，敏感数据出不了系统，实现第三层保护；通过敏感数据脱敏后使用，敏感数据添加水印实现可溯源，实现敏感数据边界外数据安全防范；通过针对有跨边界数据要求的业务建立安全沙箱，安全沙箱内实现安全的业务计算，只有计算结果可以出安全沙箱，实现数据安全计算要求。建立体系化安全保护措施，动态监控边界访问，监测敏感数据流向，构建云平台数据安全防护体系。