《中華人民共和國(guó)數(shù)據(jù)安全法》已于9月1日正式開始施行���,北京威廉希尔股份有限公司(以下簡(jiǎn)稱“威廉希尔”)編撰了“數(shù)據(jù)安全與密碼”專題��。上一期����,我們談到了數(shù)據(jù)傳輸?shù)陌踩酒谖覀冎攸c(diǎn)講述數(shù)據(jù)存儲(chǔ)安全�,以最為常見的數(shù)據(jù)庫(kù)存儲(chǔ)與數(shù)據(jù)訪問為例,探討數(shù)據(jù)存儲(chǔ)機(jī)密性保護(hù)涉及的保護(hù)對(duì)象�����,并從風(fēng)險(xiǎn)的角度分析多類技術(shù)措施的有效性�。
在《中華人民共和國(guó)數(shù)據(jù)安全法》描述的數(shù)據(jù)處理活動(dòng)中,數(shù)據(jù)存儲(chǔ)安全是業(yè)界討論最熱烈的��,關(guān)于存儲(chǔ)數(shù)據(jù)機(jī)密性的需求則倍受關(guān)注�。實(shí)際上,數(shù)據(jù)存儲(chǔ)的安全需求并不存在于“存儲(chǔ)”這個(gè)行為中�����,而是存在于對(duì)存儲(chǔ)數(shù)據(jù)的“訪問”行為中����,只不過所采用的安全措施,有些是在存儲(chǔ)時(shí)施加的��,例如先加密再落盤等。
對(duì)于數(shù)據(jù)庫(kù)���,“存儲(chǔ)”涉及前后相繼的多個(gè)“寫入”動(dòng)作�����,包含了數(shù)據(jù)寫入數(shù)據(jù)庫(kù)表�����、數(shù)據(jù)文件寫入主機(jī)文件系統(tǒng)���,以及主機(jī)文件以二進(jìn)制形式寫入磁盤。這三個(gè)動(dòng)作使得存儲(chǔ)數(shù)據(jù)對(duì)不同的訪問主體呈現(xiàn)出三種不同的形態(tài):數(shù)據(jù)庫(kù)表記錄����、數(shù)據(jù)文件、磁盤上的二進(jìn)制數(shù)據(jù)��。
從風(fēng)險(xiǎn)的角度出發(fā)���,數(shù)據(jù)存儲(chǔ)的機(jī)密性風(fēng)險(xiǎn)主要體現(xiàn)在數(shù)據(jù)被訪問主體非預(yù)期獲取����,這既包括訪問主體的身份被假冒����,也包括身份真實(shí)的訪問者執(zhí)行了非正當(dāng)?shù)墨@取操作。從前面所述的����,數(shù)據(jù)庫(kù)存儲(chǔ)時(shí)數(shù)據(jù)的三種呈現(xiàn)形態(tài),攻擊者可能會(huì)從數(shù)據(jù)庫(kù)設(shè)備本身(A)����、數(shù)據(jù)庫(kù)管理入口(B)、應(yīng)用系統(tǒng)入口(C)等訪問點(diǎn)來分別接觸這三種形態(tài)的數(shù)據(jù),如下圖所示:
風(fēng)險(xiǎn)A:
數(shù)據(jù)存儲(chǔ)的物理介質(zhì)或邏輯映像失竊
無論是攻擊者或還是背叛的運(yùn)維人員�����,假如能夠接觸到數(shù)據(jù)庫(kù)服務(wù)器主機(jī)���,那么這種直接針對(duì)數(shù)據(jù)庫(kù)硬件設(shè)備的安全風(fēng)險(xiǎn)便是現(xiàn)實(shí)存在的�����,比如可以直接拆卸硬盤�。對(duì)于業(yè)務(wù)應(yīng)用部署在云上的情況�����,如果云服務(wù)商主動(dòng)違規(guī)或云服務(wù)商被攻擊,攻擊者便可能將虛機(jī)化部署的數(shù)據(jù)存儲(chǔ)主機(jī)的鏡像全部拿走��。
應(yīng)對(duì)這個(gè)層面風(fēng)險(xiǎn)��,可以從訪問主體身份真實(shí)性和物理介質(zhì)上數(shù)據(jù)的機(jī)密性防護(hù)入手����。
主體身份真實(shí)性方面,對(duì)于非云的物理設(shè)備��,可參照GB/T39786的要求�����,采用密碼技術(shù)對(duì)進(jìn)出設(shè)備所在機(jī)房的人員身份進(jìn)行鑒別�,并維護(hù)出入記錄的完整性以備事后審計(jì);對(duì)于云上系統(tǒng)�����,可要求云服務(wù)商保證其物理環(huán)境安全�。物理介質(zhì)上數(shù)據(jù)的機(jī)密性方面,在設(shè)備驅(qū)動(dòng)層實(shí)施的磁盤透明加密�����,以及在文件系統(tǒng)層實(shí)施的文件透明加密是常見的手段,攻擊者即便拆走了磁盤等物理介質(zhì)�����,也無法看懂其中的任何數(shù)據(jù)����。
局限性:磁盤透明和文件透明加密只能防范物理介質(zhì)失竊造成的數(shù)據(jù)泄露��,無法防范操作系統(tǒng)管理員�����、數(shù)據(jù)庫(kù)系統(tǒng)管理員背叛造成的數(shù)據(jù)泄露�����,因?yàn)閷?duì)于他們的訪問���,數(shù)據(jù)從磁盤上提取到內(nèi)存時(shí)�,已經(jīng)“透明解密”了����。
風(fēng)險(xiǎn)B:
相關(guān)內(nèi)部管理員實(shí)施“內(nèi)部作案”
在背叛或被假冒的情況下�����,數(shù)據(jù)庫(kù)管理員(以下簡(jiǎn)稱“DBA”)可通過查看��、導(dǎo)出�����、備份等數(shù)據(jù)庫(kù)管理命令或新建數(shù)據(jù)庫(kù)訪問賬戶的方式獲取數(shù)據(jù)明文信息����;而操作系統(tǒng)管理員則可以直接將數(shù)據(jù)文件拷貝出去�����。
針對(duì)這類風(fēng)險(xiǎn)���,仍從主體身份真實(shí)性和數(shù)據(jù)機(jī)密性兩個(gè)方面考慮�。
對(duì)于主體身份真實(shí)性�����,可根據(jù)數(shù)據(jù)重要程度的不同,考慮對(duì)數(shù)據(jù)庫(kù)管理員/操作系統(tǒng)管理員的身份執(zhí)行嚴(yán)格的鑒別���,例如使用基于數(shù)字簽名技術(shù)的身份鑒別�����,同時(shí)結(jié)合審計(jì)策略和日志記錄的完整性保護(hù)做到管理員違規(guī)操作的事中事后發(fā)現(xiàn)。
對(duì)于數(shù)據(jù)機(jī)密性防護(hù)����,類似上述的磁盤透明加密、文件透明加密等方式便不再有效�����。一種可行的方法是通過在數(shù)據(jù)庫(kù)與應(yīng)用之間部署額外的加密產(chǎn)品�,實(shí)現(xiàn)數(shù)據(jù)入庫(kù)前和出庫(kù)后的透明加解密。這樣��,數(shù)據(jù)庫(kù)/操作系統(tǒng)管理員能夠接觸的數(shù)據(jù)便全是以密文形式存在���,從而防止管理員背叛或被假冒導(dǎo)致的數(shù)據(jù)泄露風(fēng)險(xiǎn)�����。
局限性:部署在數(shù)據(jù)庫(kù)與應(yīng)用之間的加密產(chǎn)品(如數(shù)據(jù)加密網(wǎng)關(guān))能夠避免因數(shù)據(jù)庫(kù)管理員���、操作系統(tǒng)管理員背叛造成的數(shù)據(jù)泄漏以及磁盤介質(zhì)被竊的風(fēng)險(xiǎn)��,但無法防范來自業(yè)務(wù)層的攻擊���。因?yàn)闃I(yè)務(wù)系統(tǒng)需要處理數(shù)據(jù)以完成業(yè)務(wù)操作,數(shù)據(jù)在從數(shù)據(jù)庫(kù)經(jīng)數(shù)據(jù)網(wǎng)關(guān)之后�����,理所當(dāng)然解密成為明文���。
風(fēng)險(xiǎn)C:
以應(yīng)用為入口的數(shù)據(jù)泄露風(fēng)險(xiǎn)
應(yīng)用側(cè)對(duì)數(shù)據(jù)的威脅主要包括兩類�。第一類是應(yīng)用的部署運(yùn)維人員通常能夠從應(yīng)用配置中獲取到數(shù)據(jù)庫(kù)的訪問賬號(hào)���,通過數(shù)據(jù)庫(kù)訪問工具獲得數(shù)據(jù)�����;第二類是業(yè)務(wù)應(yīng)用中的管理員角色濫用其“用戶授權(quán)”功能�,將訪問用戶數(shù)據(jù)的權(quán)限違規(guī)賦予其它用戶,從而獲得用戶數(shù)據(jù)��。
針對(duì)上述的第一類威脅�,常見的應(yīng)對(duì)措施是對(duì)數(shù)據(jù)進(jìn)行應(yīng)用層加密,保護(hù)數(shù)據(jù)的機(jī)密性���。應(yīng)用系統(tǒng)隨其需要��,在存儲(chǔ)數(shù)據(jù)時(shí)調(diào)用相關(guān)密碼模塊進(jìn)行加密���,在獲取數(shù)據(jù)時(shí)通過密碼模塊進(jìn)行解密,只有通過業(yè)務(wù)系統(tǒng)才能看到明文�����。由于應(yīng)用側(cè)配置的數(shù)據(jù)賬號(hào)本身就代表了合法訪問數(shù)據(jù)的實(shí)體���,因此僅應(yīng)用層的加密能夠做到與應(yīng)用緊密結(jié)合,從而有效應(yīng)對(duì)此類威脅�����。
對(duì)第二類威脅���,通常采用增強(qiáng)業(yè)務(wù)系統(tǒng)身份認(rèn)證的方法���,比如可采用基于密碼技術(shù)的數(shù)字簽名認(rèn)證�����,或者包含生物特征和短信校驗(yàn)碼的多因素身份鑒別等���,從而保障應(yīng)用管理員、運(yùn)維管理員����、用戶等間接數(shù)據(jù)訪問主體身份的真實(shí)性,保證權(quán)限相關(guān)操作行為的不可否認(rèn)性�。
局限性:以應(yīng)用為入口的數(shù)據(jù)泄露風(fēng)險(xiǎn),其防護(hù)手段是與業(yè)務(wù)系統(tǒng)密切相關(guān)的�,也就是說相應(yīng)的安全措施需要在業(yè)務(wù)系統(tǒng)上實(shí)現(xiàn)。這很難通過增加單獨(dú)的數(shù)據(jù)安全產(chǎn)品來達(dá)到效果���。但從某種程度上�����,這并不算是一種局限�����,而是促進(jìn)業(yè)務(wù)系統(tǒng)在設(shè)計(jì)時(shí)就需要同步考慮數(shù)據(jù)安全保護(hù)措施����,使得相應(yīng)的數(shù)據(jù)安全機(jī)制融入到業(yè)務(wù)系統(tǒng)本身的機(jī)制之中。長(zhǎng)遠(yuǎn)看來��,以這種“內(nèi)置”或“內(nèi)生”方式實(shí)現(xiàn)的數(shù)據(jù)安全機(jī)制��,才是數(shù)據(jù)安全得到充分重視的表現(xiàn)����。
/photos/微信圖片_20220127095306.jpg)
圖標(biāo)鏈接/photos/csc_logo_white.png){kind=logo}
圖標(biāo)鏈接/photos/WebTrust for CA-10413.jpg)
圖標(biāo)鏈接/photos/BR SSL-10414.jpg)
圖標(biāo)鏈接/photos/EV SSL-10415.jpg)
圖標(biāo)鏈接/photos/webtrust-csb-seal_副本.jpg)
