數(shù)據(jù)作為新的生產(chǎn)要素，其蘊(yùn)含的價(jià)值日益凸顯，而安全問(wèn)題卻愈發(fā)突出。密碼技術(shù)，是實(shí)現(xiàn)數(shù)據(jù)安全最經(jīng)濟(jì)、最有效、最可靠的手段，對(duì)數(shù)據(jù)進(jìn)行加密，并結(jié)合有效的密鑰保護(hù)手段，可在開(kāi)放環(huán)境中實(shí)現(xiàn)對(duì)數(shù)據(jù)的強(qiáng)訪問(wèn)控制，從而讓數(shù)據(jù)共享更安全、更有價(jià)值。隨著《密碼法》等“一法三規(guī)一條例”的落實(shí)，各行業(yè)對(duì)數(shù)據(jù)加密技術(shù)、產(chǎn)品和服務(wù)的重視程度不斷提升。

本文聚焦十種數(shù)據(jù)存儲(chǔ)加密技術(shù)，希望能夠幫助讀者快速了解數(shù)據(jù)存儲(chǔ)加密技術(shù)的全貌，并在用戶需要通過(guò)“加解密技術(shù)”進(jìn)行自身核心數(shù)據(jù)資產(chǎn)的安全保護(hù)時(shí)，在場(chǎng)景適用性判斷、相關(guān)技術(shù)與產(chǎn)品選型等方面提供參考和幫助。

實(shí)戰(zhàn)與合規(guī)雙驅(qū)動(dòng)

在“實(shí)戰(zhàn)與合規(guī)”共同驅(qū)動(dòng)下，數(shù)據(jù)安全建設(shè)作為一種“不希望數(shù)據(jù)發(fā)生什么”的業(yè)務(wù)需求逐步被重視，將與之匹配的安全技術(shù)應(yīng)用到信息系統(tǒng)業(yè)務(wù)場(chǎng)景，迫在眉睫。

從實(shí)戰(zhàn)角度看，當(dāng)下的數(shù)據(jù)泄露事件頻發(fā)，面對(duì)新安全挑戰(zhàn)與新合規(guī)要求，企業(yè)安全防護(hù)體系正在從“以網(wǎng)絡(luò)為中心的安全”，升級(jí)到“側(cè)重以數(shù)據(jù)為中心的安全”。而密碼作為網(wǎng)絡(luò)安全的殺手锏技術(shù)和核心支撐，天然具備安全防護(hù)基因，是實(shí)現(xiàn)數(shù)據(jù)安全最經(jīng)濟(jì)、最有效、最可靠的手段。尤其在政務(wù)、金融、交通文旅、央企、工業(yè)等行業(yè)，個(gè)人信息保護(hù)、商業(yè)秘密保護(hù)、國(guó)密合規(guī)等方面的建設(shè)亟待加速。

聚焦到數(shù)據(jù)實(shí)際流轉(zhuǎn)過(guò)程，在每個(gè)關(guān)鍵節(jié)點(diǎn)上，作為生產(chǎn)要素的數(shù)據(jù)都面臨著眾多威脅。通過(guò)對(duì)數(shù)據(jù)流轉(zhuǎn)中的威脅分析，選取關(guān)鍵安全增強(qiáng)點(diǎn)進(jìn)行加密，用這種方式可以為數(shù)據(jù)重新塑造一個(gè)虛擬邊界，實(shí)現(xiàn)防范內(nèi)外部安全威脅，是當(dāng)前數(shù)據(jù)安全實(shí)戰(zhàn)防護(hù)的有效手段。

從合規(guī)角度看，數(shù)據(jù)安全技術(shù)迎來(lái)發(fā)展新趨勢(shì)：第一，數(shù)據(jù)安全技術(shù)正逐步獲得國(guó)家政策重視以及用戶認(rèn)可，從頂層規(guī)劃到配套法律法規(guī)的不斷加碼，企業(yè)層面越發(fā)重視加密技術(shù)應(yīng)用；第二，數(shù)據(jù)安全技術(shù)與業(yè)務(wù)的結(jié)合越來(lái)越緊密，業(yè)務(wù)應(yīng)用層正成為數(shù)據(jù)安全建設(shè)的重點(diǎn)，將成為解決企業(yè)在平衡合規(guī)壓力、改造復(fù)雜業(yè)務(wù)和信息系統(tǒng)困境的關(guān)鍵所在；第三，數(shù)據(jù)安全技術(shù)應(yīng)用擴(kuò)展到各領(lǐng)域行業(yè)，如國(guó)家標(biāo)準(zhǔn)GB/T 39786-2021《信息安全技術(shù) 信息系統(tǒng)密碼應(yīng)用基本要求》的發(fā)布，替代行標(biāo)GM/T 0054-2018《信息系統(tǒng)密碼應(yīng)用基本要求》，密碼技術(shù)的行業(yè)及場(chǎng)景適用性進(jìn)一步延伸。

“新合規(guī)”政策條例列舉
層級(jí)	名稱	條例
國(guó)家頂層設(shè)計(jì)	《中共中央國(guó)務(wù)院關(guān)于構(gòu)建更加完善的要素市場(chǎng)化配置體制機(jī)制的意見(jiàn)》	第六部分“加快培育數(shù)據(jù)要素市場(chǎng)”第22條：加強(qiáng)數(shù)據(jù)資源整合和安全保護(hù)。推動(dòng)完善適用于大數(shù)據(jù)環(huán)境下的數(shù)據(jù)分類(lèi)分級(jí)安全保護(hù)制度，加強(qiáng)對(duì)政務(wù)數(shù)據(jù)、企業(yè)商業(yè)秘密和個(gè)人數(shù)據(jù)的保護(hù)。
	《中華人民共和國(guó)國(guó)民經(jīng)濟(jì)和社會(huì)發(fā)展第十四個(gè)五年規(guī)劃和2035年遠(yuǎn)景目標(biāo)綱要》	第十八章第一節(jié)：加快推進(jìn)數(shù)據(jù)安全、個(gè)人信息保護(hù)等領(lǐng)域基礎(chǔ)性立法，強(qiáng)化數(shù)據(jù)資源全生命周期安全保護(hù)。 第十八章第三節(jié)：加強(qiáng)網(wǎng)絡(luò)安全關(guān)鍵技術(shù)研發(fā)……
數(shù)據(jù)安全政策法規(guī)	《網(wǎng)絡(luò)安全法》	第二十一條：國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度。其安全保護(hù)義務(wù)第4條明確采取數(shù)據(jù)分類(lèi)、重要數(shù)據(jù)備份和加密等措施。
	《個(gè)人信息保護(hù)法（草案）》	第五十條第三款：采取相應(yīng)的加密、去標(biāo)識(shí)化等安全技術(shù)措施； 第六十二條：有前款規(guī)定的違法行為，情節(jié)嚴(yán)重的，由履行個(gè)人信息保護(hù)職責(zé)的部門(mén)責(zé)令改正，沒(méi)收違法所得，并處五千萬(wàn)元以下或者上一年度營(yíng)業(yè)額百分之五以下罰款…
	《數(shù)據(jù)安全法（草案）》	第十九條：國(guó)家根據(jù)數(shù)據(jù)在經(jīng)濟(jì)社會(huì)發(fā)展中的重要程度，以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，對(duì)國(guó)家安全、公共利益或者公民、組織合法權(quán)益造成的危害程度，對(duì)數(shù)據(jù)實(shí)行分級(jí)分類(lèi)保護(hù)。 第二十五：采取相應(yīng)的技術(shù)措施和其他必要措施，保障數(shù)據(jù)安全。
密碼產(chǎn)業(yè)政策法規(guī)	《密碼法》	二十七條：法律、行政法規(guī)和國(guó)家有關(guān)規(guī)定要求使用商用密碼進(jìn)行保護(hù)的關(guān)鍵信息基礎(chǔ)設(shè)施，其運(yùn)營(yíng)者應(yīng)當(dāng)使用商用密碼進(jìn)行保護(hù)。關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者，應(yīng)當(dāng)自行或者委托商用密碼檢測(cè)機(jī)構(gòu)開(kāi)展商用密碼應(yīng)用安全性評(píng)估。
	《國(guó)務(wù)院辦公廳關(guān)于印發(fā)國(guó)家政務(wù)信息化項(xiàng)目建設(shè)管理辦法的通知》（國(guó)辦發(fā)〔2019〕57號(hào)）	第四章第三十條：各部門(mén)應(yīng)當(dāng)嚴(yán)格遵守有關(guān)保密等法律法規(guī)規(guī)定，構(gòu)建全方位、多層次、一致性的防護(hù)體系，按要求采用密碼技術(shù)，并定期開(kāi)展密碼應(yīng)用安全性評(píng)估，確保政務(wù)信息系統(tǒng)運(yùn)行安全和政務(wù)信息資源共享交換的數(shù)據(jù)安全。
	《貫徹落實(shí)網(wǎng)絡(luò)安全等級(jí)保護(hù)制度和關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)制度的指導(dǎo)意見(jiàn)》（公網(wǎng)安〔2020]1960號(hào)）	第二部分第六點(diǎn)：落實(shí)密碼安全防護(hù)要求。網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)貫徹落實(shí)《密碼法》等有關(guān)法律法規(guī)規(guī)定和密碼應(yīng)用相關(guān)標(biāo)準(zhǔn)規(guī)范。第三級(jí)以上網(wǎng)絡(luò)應(yīng)正確、有效采用密碼技術(shù)進(jìn)行保護(hù)，并使用符合相關(guān)要求的密碼產(chǎn)品和服務(wù)。
	《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例（征求意見(jiàn)稿）》	第四章第二十三條第四點(diǎn)：采取數(shù)據(jù)分類(lèi)、重要數(shù)據(jù)備份和加密認(rèn)證等措施。
	《商用密碼管理?xiàng)l例》	第六章第三十八條：非涉密的關(guān)鍵信息基礎(chǔ)設(shè)施、網(wǎng)絡(luò)安全等級(jí)保護(hù)第三級(jí)以上網(wǎng)絡(luò)、國(guó)家政務(wù)信息系統(tǒng)等網(wǎng)絡(luò)與信息系統(tǒng)，其運(yùn)營(yíng)者應(yīng)當(dāng)使用商用密碼進(jìn)行保護(hù)，制定商用密碼應(yīng)用方案，配備必要的資金和專業(yè)人員，同步規(guī)劃、同步建設(shè)、同步運(yùn)行商用密碼保障系統(tǒng)，自行或者委托商用密碼檢測(cè)機(jī)構(gòu)開(kāi)展商用密碼應(yīng)用安全性評(píng)估。

數(shù)據(jù)安全本質(zhì)上是由攻防對(duì)抗推動(dòng)發(fā)展的，實(shí)戰(zhàn)是加密技術(shù)應(yīng)用的內(nèi)在需求，合規(guī)為加密技術(shù)推廣提供加速引擎，在實(shí)戰(zhàn)與合規(guī)雙驅(qū)動(dòng)下，數(shù)據(jù)存儲(chǔ)加密技術(shù)在業(yè)務(wù)中的應(yīng)用成為大勢(shì)所趨。

尋找數(shù)據(jù)流轉(zhuǎn)中的安全增強(qiáng)點(diǎn)

數(shù)據(jù)存儲(chǔ)加密防護(hù)的難點(diǎn)，在于如何對(duì)流轉(zhuǎn)中的數(shù)據(jù)主動(dòng)實(shí)施加密等保護(hù)，確保數(shù)據(jù)不被泄露或篡改，這里的數(shù)據(jù)包括結(jié)構(gòu)化與非結(jié)構(gòu)化等類(lèi)型。結(jié)構(gòu)化數(shù)據(jù)一般是指可以使用關(guān)系型數(shù)據(jù)庫(kù)存儲(chǔ)和表示，表現(xiàn)為二維形式的數(shù)據(jù)，一般來(lái)講，結(jié)構(gòu)化數(shù)據(jù)也就是傳統(tǒng)數(shù)據(jù)庫(kù)中的數(shù)據(jù)形式；非結(jié)構(gòu)化數(shù)據(jù)，就是指沒(méi)有固定結(jié)構(gòu)的數(shù)據(jù)，包括各種文檔、圖片、視頻、音頻等。

傳統(tǒng)的“數(shù)據(jù)庫(kù)加密”往往體現(xiàn)為密文數(shù)據(jù)存儲(chǔ)到數(shù)據(jù)庫(kù)后的情形，一般局限于結(jié)構(gòu)化數(shù)據(jù)，而在企業(yè)實(shí)戰(zhàn)化場(chǎng)景中，數(shù)據(jù)庫(kù)只是數(shù)據(jù)處理的一個(gè)環(huán)節(jié)，因此，傳統(tǒng)的“數(shù)據(jù)庫(kù)存儲(chǔ)加密”是“數(shù)據(jù)存儲(chǔ)加密”的子集。

要對(duì)比各種數(shù)據(jù)存儲(chǔ)加密技術(shù)，煉石認(rèn)為有多項(xiàng)評(píng)判指標(biāo)：第一，應(yīng)滿足加密防護(hù)能力融入業(yè)務(wù)流程，面向廣泛信息化應(yīng)用，在復(fù)雜場(chǎng)景中提供有效防護(hù)；第二，能夠融合訪問(wèn)控制、審計(jì)等其他安全技術(shù)，實(shí)現(xiàn)安全機(jī)制可靠有效；第三，優(yōu)秀的權(quán)限控制能力，能夠根據(jù)不同屬性的人群，展開(kāi)細(xì)粒度權(quán)限控制，實(shí)現(xiàn)權(quán)限最小化，有效防范內(nèi)部越權(quán)、外部黑客拖庫(kù)等風(fēng)險(xiǎn)；第四，在節(jié)約企業(yè)成本，不影響企業(yè)業(yè)務(wù)正常運(yùn)營(yíng)的情況下，敏捷部署實(shí)施高性能的數(shù)據(jù)安全防護(hù)，有效控制實(shí)施風(fēng)險(xiǎn)。

本文以“數(shù)據(jù)”為中心，沿著數(shù)據(jù)流轉(zhuǎn)路徑，在典型B/S三層信息系統(tǒng)架構(gòu)的多個(gè)數(shù)據(jù)業(yè)務(wù)處理點(diǎn)基礎(chǔ)上，綜合業(yè)內(nèi)數(shù)據(jù)加密技術(shù)現(xiàn)狀，選取了10種代表性的存儲(chǔ)加密技術(shù)，并對(duì)其實(shí)現(xiàn)原理、應(yīng)用場(chǎng)景，以及相應(yīng)的優(yōu)勢(shì)與挑戰(zhàn)進(jìn)行解讀分析。

在實(shí)際應(yīng)用中，要結(jié)合用戶場(chǎng)景和適用性需求，選擇一種或者組合多種存儲(chǔ)加密技術(shù)，優(yōu)勢(shì)互補(bǔ)，打造“以密碼技術(shù)為核心，訪問(wèn)控制、審計(jì)等多種安全技術(shù)相互融合”的數(shù)據(jù)安全防護(hù)體系，從而滿足企業(yè)多場(chǎng)景的實(shí)戰(zhàn)化及合規(guī)需求。

十種數(shù)據(jù)存儲(chǔ)加密技術(shù)的特性分析

技術(shù)一：DLP終端加密

原理解析

部署位置：終端

原理：DLP（Data Leakage Prevention）終端加密技術(shù)，目的是管理企業(yè)終端上（主要是PC端）的敏感數(shù)據(jù)，其原理是在受管控的終端上安裝代理程序，由代理程序與后臺(tái)管理平臺(tái)交互，并結(jié)合企業(yè)的數(shù)據(jù)管理要求和分級(jí)分類(lèi)策略，對(duì)下載到終端的敏感數(shù)據(jù)進(jìn)行加密，從而將加密應(yīng)用到企業(yè)數(shù)據(jù)的日常流轉(zhuǎn)和存儲(chǔ)中。信息被讀取到內(nèi)存中時(shí)會(huì)進(jìn)行解密，而未授權(quán)復(fù)制到管控范圍外則是密文形式，主要適用于非結(jié)構(gòu)化數(shù)據(jù)的保護(hù)。

應(yīng)用場(chǎng)景

DLP終端加密技術(shù)主要適用于企業(yè)終端數(shù)據(jù)的安全管理，在原有安全防護(hù)能力之上，可有效增強(qiáng)以下場(chǎng)景的數(shù)據(jù)防護(hù)能力：

1）操作失誤或無(wú)意識(shí)外發(fā)導(dǎo)致技術(shù)數(shù)據(jù)泄漏；

2）通過(guò)打印、剪切、復(fù)制、粘貼、另存為、重命名等操作泄漏數(shù)據(jù)；

3）離職人員通過(guò)U盤(pán)、移動(dòng)硬盤(pán)等方式隨意拷走機(jī)密資料；

4）移動(dòng)筆記本被盜、丟失或維修等造成數(shù)據(jù)泄漏。

優(yōu)勢(shì)

1、文件外發(fā)強(qiáng)管控。和其他終端安全技術(shù)相比，能夠強(qiáng)制實(shí)現(xiàn)重要敏感文件的外發(fā)管控，從而實(shí)現(xiàn)對(duì)數(shù)據(jù)的“事前防護(hù)”，可防范一定程度的“有意泄露”。

挑戰(zhàn)

1、終端適配困難、運(yùn)維成本高。企業(yè)終端一般具有操作系統(tǒng)眾多、終端類(lèi)型復(fù)雜、文檔使用場(chǎng)景多樣等特點(diǎn)，終端加密在落地應(yīng)用時(shí)，易出現(xiàn)終端兼容適配困難、運(yùn)維成本較高等問(wèn)題。在移動(dòng)終端，由于存在權(quán)限問(wèn)題，技術(shù)落地難度大。

技術(shù)二：CASB代理網(wǎng)關(guān)

原理解析

部署位置：終端-應(yīng)用服務(wù)器之間

原理：CASB代理網(wǎng)關(guān)（Cloud Access Security Broker）是一種委托式安全代理技術(shù)，將網(wǎng)關(guān)部署在目標(biāo)應(yīng)用的客戶端和服務(wù)端之間，無(wú)需改造目標(biāo)應(yīng)用，只需通過(guò)適配目標(biāo)應(yīng)用，對(duì)客戶端請(qǐng)求進(jìn)行解析，并分析出其包含的敏感數(shù)據(jù)，結(jié)合用戶身份，并根據(jù)設(shè)置的安全策略對(duì)請(qǐng)求進(jìn)行脫敏等訪問(wèn)控制，可針對(duì)結(jié)構(gòu)化數(shù)據(jù)和非結(jié)構(gòu)化數(shù)據(jù)同時(shí)進(jìn)行安全管控。

應(yīng)用場(chǎng)景

隨著云的普及，傳統(tǒng)的IT架構(gòu)正在發(fā)生變化。企業(yè)很多業(yè)務(wù)系統(tǒng)都托管在云服務(wù)商處，日常的很多工作，比如HR、社保、報(bào)銷(xiāo)、OA等工作事務(wù)的管理都有相應(yīng)的SaaS服務(wù)可以采用，企業(yè)想要享受便捷的云服務(wù)，又不想失去對(duì)自身數(shù)據(jù)的控制權(quán)，則可以采用CASB代理網(wǎng)關(guān)技術(shù)。例如，最常見(jiàn)的一種安全防護(hù)場(chǎng)景是：能夠識(shí)別出一個(gè)用戶訪問(wèn)云資源是使用的私人賬號(hào)還是企業(yè)賬號(hào)，以防止敏感數(shù)據(jù)從企業(yè)資源轉(zhuǎn)移到私人資源。

優(yōu)勢(shì)

1、與業(yè)務(wù)結(jié)合的數(shù)據(jù)安全保護(hù)。CASB代理網(wǎng)關(guān)位于應(yīng)用服務(wù)和用戶端之間，該位置可以獲取到豐富的業(yè)務(wù)上下文，可以基于用戶、資源、操作和業(yè)務(wù)屬性，靈活利用訪問(wèn)者所對(duì)應(yīng)屬性集合決定是否有權(quán)訪問(wèn)目標(biāo)數(shù)據(jù)，比如部門(mén)、區(qū)域、職位、動(dòng)作、目標(biāo)數(shù)據(jù)類(lèi)型、時(shí)間，以及其他條件等，從而在復(fù)雜業(yè)務(wù)場(chǎng)景下實(shí)現(xiàn)對(duì)數(shù)據(jù)的安全防護(hù)。

挑戰(zhàn)

1、實(shí)施成本較高。為實(shí)現(xiàn)從客戶端請(qǐng)求中解析用戶在應(yīng)用中的操作含義，需適配目標(biāo)應(yīng)用，適配工作量取決于目標(biāo)應(yīng)用的數(shù)量和復(fù)雜度以及安全管控粒度。

技術(shù)三：應(yīng)用內(nèi)加密（集成密碼SDK）

原理解析

部署位置：應(yīng)用服務(wù)器

原理：應(yīng)用內(nèi)加密（集成密碼SDK）是指應(yīng)用系統(tǒng)通過(guò)開(kāi)發(fā)改造的方式，與封裝了加密業(yè)務(wù)邏輯的密碼SDK進(jìn)行集成，并調(diào)用其加解密接口，使目標(biāo)應(yīng)用系統(tǒng)具備數(shù)據(jù)加密防護(hù)能力。

應(yīng)用場(chǎng)景

通常情況下，當(dāng)應(yīng)用系統(tǒng)僅對(duì)數(shù)量有限的敏感數(shù)據(jù)存在加密需求時(shí)，適用于使用應(yīng)用內(nèi)加密（集成密碼SDK）技術(shù)。這里主要包含場(chǎng)景：需要加密處理的敏感數(shù)據(jù)代碼邏輯在業(yè)務(wù)系統(tǒng)中分布不多，或者需要加密處理的敏感數(shù)據(jù)對(duì)應(yīng)的表或字段相對(duì)較少。

優(yōu)勢(shì)

1、適用范圍廣。應(yīng)用系統(tǒng)的開(kāi)發(fā)商可以自行解決數(shù)據(jù)加解密的絕大多數(shù)問(wèn)題，對(duì)數(shù)據(jù)庫(kù)系統(tǒng)本身或第三方的數(shù)據(jù)安全廠商沒(méi)有依賴；

2、靈活性高。應(yīng)用服務(wù)端加密，主要是針對(duì)于應(yīng)用服務(wù)器的加密方式，因?yàn)閼?yīng)用服務(wù)端加密可與業(yè)務(wù)邏輯緊密結(jié)合，在應(yīng)用系統(tǒng)開(kāi)發(fā)過(guò)程中，靈活地對(duì)相關(guān)業(yè)務(wù)中的敏感數(shù)據(jù)進(jìn)行加密處理，且使用的加密函數(shù)、加密密鑰等均可以根據(jù)業(yè)務(wù)邏輯需求進(jìn)行靈活選擇。

挑戰(zhàn)

1、需要對(duì)應(yīng)用系統(tǒng)開(kāi)發(fā)改造。應(yīng)用系統(tǒng)加密的實(shí)現(xiàn)需要應(yīng)用系統(tǒng)開(kāi)發(fā)投入較大的研發(fā)成本，時(shí)間周期較長(zhǎng)，后期實(shí)施和維護(hù)成本較高，也面臨大量代碼改造帶來(lái)的潛在業(yè)務(wù)風(fēng)險(xiǎn)；

2、對(duì)應(yīng)用開(kāi)發(fā)人員要求高。對(duì)業(yè)務(wù)開(kāi)發(fā)人員來(lái)說(shuō)，正確合規(guī)使用密碼技術(shù)具有一定門(mén)檻。比如在實(shí)際應(yīng)用中，會(huì)出現(xiàn)應(yīng)用開(kāi)發(fā)人員密鑰使用不合規(guī)或安全風(fēng)險(xiǎn)等情況。

技術(shù)四：應(yīng)用內(nèi)加密（AOE面向切面加密）

原理解析

部署位置：應(yīng)用服務(wù)器

原理：應(yīng)用內(nèi)加密（AOE面向切面加密）技術(shù)，能以免開(kāi)發(fā)改造方式，實(shí)現(xiàn)應(yīng)用系統(tǒng)中結(jié)構(gòu)化數(shù)據(jù)和非結(jié)構(gòu)化數(shù)據(jù)的存儲(chǔ)加密，并提供細(xì)粒度訪問(wèn)控制、豐富脫敏策略、以及數(shù)據(jù)訪問(wèn)審計(jì)功能，為應(yīng)用打造全面有效且易于實(shí)施的數(shù)據(jù)安全保護(hù)。其實(shí)現(xiàn)原理是將數(shù)據(jù)安全插件部署在應(yīng)用服務(wù)中間件，結(jié)合旁路部署的數(shù)據(jù)安全管理平臺(tái)、密鑰管理系統(tǒng)，通過(guò)攔截入庫(kù)SQL，將數(shù)據(jù)加密后存入數(shù)據(jù)庫(kù)。

應(yīng)用場(chǎng)景

應(yīng)用內(nèi)加密（AOE面向切面加密）主要適用于企業(yè)在應(yīng)用層想要實(shí)現(xiàn)免開(kāi)發(fā)改造的、可敏捷實(shí)施的高性能數(shù)據(jù)安全防護(hù)。該加密方式支持結(jié)構(gòu)化/非結(jié)構(gòu)化數(shù)據(jù)的加密，可與應(yīng)用開(kāi)發(fā)解耦，靈活性高。進(jìn)一步的，該加密方式可支持分布式部署、集中式管控，既可針對(duì)單個(gè)應(yīng)用防護(hù)，也可以針對(duì)上百個(gè)應(yīng)用的批量保護(hù)。

優(yōu)勢(shì)

1、數(shù)據(jù)加密與業(yè)務(wù)邏輯解耦。該加密技術(shù)通過(guò)AOE面向切面加密方式，可以將安全與業(yè)務(wù)在技術(shù)上解耦，又在能力上融合交織，擁有高度靈活性；

2、不影響業(yè)務(wù)運(yùn)營(yíng)。應(yīng)用內(nèi)加密（AOE面向切面加密）適用于“應(yīng)用免改造”的實(shí)戰(zhàn)需求，能夠?qū)崿F(xiàn)以配置的方式敏捷部署實(shí)施，對(duì)應(yīng)用的連續(xù)運(yùn)行無(wú)影響。同時(shí)與其他加密技術(shù)相比，該技術(shù)對(duì)數(shù)據(jù)加解密的影響最低；

3、基于細(xì)粒度權(quán)限控制的數(shù)據(jù)安全防護(hù)。該加密技術(shù)可針對(duì)應(yīng)用打造“主體到用戶，客體到字段”的安全防護(hù)體系，能夠根據(jù)不同屬性的人群，實(shí)施細(xì)粒度的權(quán)限控制，實(shí)現(xiàn)對(duì)企業(yè)內(nèi)部人員的敏感數(shù)據(jù)訪問(wèn)最小化授權(quán)。

挑戰(zhàn)

1、對(duì)應(yīng)用程序編程語(yǔ)言和框架需要做適配。企業(yè)實(shí)際應(yīng)用系統(tǒng)錯(cuò)綜復(fù)雜，涉及到多樣化的編程語(yǔ)言與框架，這對(duì)AOE面向切面加密技術(shù)的實(shí)現(xiàn)提出較高的工程化實(shí)現(xiàn)挑戰(zhàn)。

技術(shù)五：數(shù)據(jù)庫(kù)加密網(wǎng)關(guān)

原理解析

部署位置：應(yīng)用服務(wù)器-數(shù)據(jù)庫(kù)之間

原理：數(shù)據(jù)庫(kù)加密網(wǎng)關(guān)是部署在應(yīng)用服務(wù)器和數(shù)據(jù)庫(kù)服務(wù)器之間的代理網(wǎng)關(guān)設(shè)備，通過(guò)解析數(shù)據(jù)庫(kù)協(xié)議，對(duì)傳入數(shù)據(jù)庫(kù)的數(shù)據(jù)進(jìn)行加密，從而獲得保護(hù)數(shù)據(jù)安全的效果。

應(yīng)用場(chǎng)景

數(shù)據(jù)庫(kù)加密網(wǎng)關(guān)可以為數(shù)據(jù)庫(kù)提供“入庫(kù)加密、出庫(kù)解密”的防護(hù)，可以建立數(shù)據(jù)庫(kù)用戶的訪問(wèn)控制，實(shí)現(xiàn)企業(yè)內(nèi)部人員的敏感數(shù)據(jù)訪問(wèn)授權(quán)精細(xì)化，可以防數(shù)據(jù)庫(kù)拖庫(kù)以及攔截非法SQL。

優(yōu)勢(shì)

1、應(yīng)用系統(tǒng)與加解密功能分離。相比較于傳統(tǒng)的應(yīng)用內(nèi)加密（集成密碼SDK）技術(shù)，數(shù)據(jù)庫(kù)加密網(wǎng)關(guān)技術(shù)具有獨(dú)立性，能夠使用戶從高度復(fù)雜且繁重的加密解密處理邏輯的開(kāi)發(fā)工作解放出來(lái)。

挑戰(zhàn)

1、存在一定的法律風(fēng)險(xiǎn)。對(duì)于Oracle等采用私有通信協(xié)議（不開(kāi)源）的商業(yè)數(shù)據(jù)庫(kù)，安全廠商提供的數(shù)據(jù)庫(kù)加密網(wǎng)關(guān)破解協(xié)議的方案存在法律風(fēng)險(xiǎn)；

2、高性能和高可用實(shí)現(xiàn)難度大。數(shù)據(jù)庫(kù)加密網(wǎng)關(guān)增加了額外的處理節(jié)點(diǎn)，在大數(shù)據(jù)量和高并發(fā)訪問(wèn)場(chǎng)景下，要實(shí)現(xiàn)高性能、高可用，面臨工程化實(shí)現(xiàn)挑戰(zhàn)。

技術(shù)六：數(shù)據(jù)庫(kù)外掛加密

原理解析

部署位置：數(shù)據(jù)庫(kù)

原理：數(shù)據(jù)庫(kù)外掛加密通過(guò)針對(duì)數(shù)據(jù)庫(kù)定制開(kāi)發(fā)外掛進(jìn)程，使進(jìn)入數(shù)據(jù)庫(kù)的明文先進(jìn)入到外掛程序中進(jìn)行加密，形成密文后再插入數(shù)據(jù)庫(kù)表中。這種技術(shù)使用“觸發(fā)器”+“多層視圖”+“擴(kuò)展索引”+“外部調(diào)用”的方式實(shí)現(xiàn)數(shù)據(jù)加密，可保證應(yīng)用完全透明。通過(guò)擴(kuò)展的接口和機(jī)制，數(shù)據(jù)庫(kù)系統(tǒng)用戶可以通過(guò)外部接口調(diào)用的方式實(shí)現(xiàn)對(duì)數(shù)據(jù)的加解密處理。視圖可實(shí)現(xiàn)對(duì)表內(nèi)數(shù)據(jù)的過(guò)濾、投影、聚集、關(guān)聯(lián)和函數(shù)運(yùn)算，在視圖內(nèi)實(shí)現(xiàn)對(duì)敏感列解密函數(shù)的調(diào)用，實(shí)現(xiàn)數(shù)據(jù)解密。

應(yīng)用場(chǎng)景

如果查詢涉及的加密列不多，查詢結(jié)果集中，且包含的數(shù)據(jù)記錄也相對(duì)不多時(shí)，可以考慮使用數(shù)據(jù)庫(kù)外掛加密技術(shù)對(duì)數(shù)據(jù)庫(kù)進(jìn)行加密。

優(yōu)勢(shì)

1、獨(dú)立權(quán)控體系。使用數(shù)據(jù)庫(kù)外掛加密技術(shù)，可以在外置的安全服務(wù)中提供獨(dú)立于數(shù)據(jù)庫(kù)自有權(quán)控體系之外的權(quán)限控制體系，適用于對(duì)“獨(dú)立權(quán)控體系”有相關(guān)需求的場(chǎng)景，可以有效防止特權(quán)用戶（如DBA）對(duì)敏感數(shù)據(jù)的越權(quán)訪問(wèn)。

挑戰(zhàn)

1、僅支持Oracle等少量數(shù)據(jù)庫(kù)類(lèi)型。數(shù)據(jù)庫(kù)外掛加密，目前大多數(shù)的技術(shù)實(shí)現(xiàn)形式，存在功能性依賴，僅支持開(kāi)放高級(jí)接口的Oracle等少量數(shù)據(jù)庫(kù)；

2、數(shù)據(jù)庫(kù)性能損耗較高。數(shù)據(jù)庫(kù)外掛加密是通過(guò)觸發(fā)器、多級(jí)視圖，進(jìn)行外部接口調(diào)用來(lái)實(shí)現(xiàn)加解密，觸發(fā)器或視圖的運(yùn)行機(jī)制要求對(duì)加密表中的每一條數(shù)據(jù)中的每個(gè)加密列的讀寫(xiě)都會(huì)進(jìn)行外部接口調(diào)用，因此，當(dāng)遇到比如“查詢中涉及的加密列較多”等情況時(shí)，會(huì)對(duì)數(shù)據(jù)庫(kù)的讀寫(xiě)性能存在明顯影響；

3、可擴(kuò)展性差。在業(yè)務(wù)變化引起數(shù)據(jù)庫(kù)表結(jié)構(gòu)發(fā)生變化時(shí)，需要對(duì)外掛程序業(yè)務(wù)邏輯進(jìn)行調(diào)整，甚至需重新定制開(kāi)發(fā)，存在后期維護(hù)成本。

技術(shù)七：TDE透明數(shù)據(jù)加密

原理解析

部署位置：數(shù)據(jù)庫(kù)

原理：透明數(shù)據(jù)加密（Transparent Data Encryption，簡(jiǎn)稱為T(mén)DE）是在數(shù)據(jù)庫(kù)內(nèi)部透明實(shí)現(xiàn)數(shù)據(jù)存儲(chǔ)加密、訪問(wèn)解密的技術(shù)，Oracle、SQL Server、MySQL等數(shù)據(jù)庫(kù)默認(rèn)內(nèi)置此功能。數(shù)據(jù)在落盤(pán)時(shí)加密，在數(shù)據(jù)庫(kù)內(nèi)存中是明文，當(dāng)攻擊者“拔盤(pán)”竊取數(shù)據(jù)，由于數(shù)據(jù)庫(kù)文件無(wú)法獲得密鑰而只能獲取密文，從而起到保護(hù)數(shù)據(jù)庫(kù)中數(shù)據(jù)的效果。

應(yīng)用場(chǎng)景

透明數(shù)據(jù)加密技術(shù)適用于對(duì)數(shù)據(jù)庫(kù)中的數(shù)據(jù)執(zhí)行實(shí)時(shí)加解密的應(yīng)用場(chǎng)景，尤其是在對(duì)數(shù)據(jù)加密透明化有要求，以及對(duì)數(shù)據(jù)加密后數(shù)據(jù)庫(kù)性能有較高要求的場(chǎng)景中。在實(shí)際使用中，可根據(jù)Oracle等內(nèi)置TDE的密鑰管理接口，將默認(rèn)“軟密鑰錢(qián)包”升級(jí)為外部密鑰管理系統(tǒng)，以增強(qiáng)密鑰安全性。

優(yōu)勢(shì)

1、獨(dú)立權(quán)控體系。與數(shù)據(jù)庫(kù)外掛加密類(lèi)似，使用插件形式的透明數(shù)據(jù)加密技術(shù)，同樣可以在外置的安全服務(wù)中提供獨(dú)立于數(shù)據(jù)庫(kù)自有權(quán)控體系之外的權(quán)限控制體系；

2、性能損耗較低。透明數(shù)據(jù)加密技術(shù)只對(duì)數(shù)據(jù)庫(kù)引擎的存儲(chǔ)管理層進(jìn)行了性能增強(qiáng)，不影響數(shù)據(jù)庫(kù)引擎的語(yǔ)句解析和優(yōu)化等處理過(guò)程，數(shù)據(jù)庫(kù)自身性能得以更好保留，透明數(shù)據(jù)加密技術(shù)在數(shù)據(jù)庫(kù)加密技術(shù)中，性能損耗較低。

挑戰(zhàn)

1、防護(hù)顆粒度較粗。TDE本身是一種落盤(pán)加密技術(shù)，數(shù)據(jù)在內(nèi)存中處于明文狀態(tài)，需要結(jié)合其他訪問(wèn)控制技術(shù)使用。在實(shí)戰(zhàn)場(chǎng)景中難以防范DBA等風(fēng)險(xiǎn)；

2、數(shù)據(jù)庫(kù)類(lèi)型適用性上有限制。透明數(shù)據(jù)加密因使用插件技術(shù)，對(duì)數(shù)據(jù)庫(kù)的版本有較強(qiáng)依賴性，且僅能對(duì)有限幾種類(lèi)型的數(shù)據(jù)庫(kù)實(shí)現(xiàn)透明數(shù)據(jù)加密插件，在數(shù)據(jù)庫(kù)類(lèi)型適用性上有一定限制。

技術(shù)八：UDF用戶自定義函數(shù)加密

原理解析

部署位置：數(shù)據(jù)庫(kù)

原理：UDF（User Defined Function）用戶自定義函數(shù)是在已有數(shù)據(jù)庫(kù)功能的基礎(chǔ)上擴(kuò)展更豐富的業(yè)務(wù)需求，其原理是在數(shù)據(jù)庫(kù)支持的形式上，通過(guò)定義函數(shù)名稱及執(zhí)行過(guò)程，實(shí)現(xiàn)自定義的處理邏輯。UDF用戶自定義函數(shù)加密，是通過(guò)UDF接口實(shí)現(xiàn)數(shù)據(jù)在數(shù)據(jù)庫(kù)內(nèi)的加解密。

應(yīng)用場(chǎng)景

UDF用戶自定義函數(shù)加密，作為一種在數(shù)據(jù)庫(kù)側(cè)的高靈活加解密集成方式，適用于某些數(shù)據(jù)庫(kù)需要定制加解密的場(chǎng)景，尤其是實(shí)現(xiàn)基于國(guó)密算法的數(shù)據(jù)加解密。

優(yōu)勢(shì)

1、擴(kuò)展能力強(qiáng)。該加密技術(shù)適用于對(duì)數(shù)據(jù)有“定制化實(shí)現(xiàn)”的場(chǎng)景化需求，能夠根據(jù)用戶的業(yè)務(wù)需求，對(duì)數(shù)據(jù)實(shí)現(xiàn)豐富多樣的加解密處理。

挑戰(zhàn)

1、通用性低。該加密技術(shù)需要根據(jù)不同數(shù)據(jù)庫(kù)的類(lèi)型，做相對(duì)應(yīng)的定制化實(shí)現(xiàn)，并且在存儲(chǔ)過(guò)程或SQL中加以調(diào)用。

技術(shù)九：TFE透明文件加密

原理解析

部署位置：文件系統(tǒng)

原理：透明文件加密（Transparent File Encryption，簡(jiǎn)稱為T(mén)FE），是在操作系統(tǒng)的文件管理子系統(tǒng)上部署加密插件來(lái)實(shí)現(xiàn)數(shù)據(jù)加密，基于用戶態(tài)與內(nèi)核態(tài)交付，可實(shí)現(xiàn)“逐文件逐密鑰”加密。在正常使用時(shí)，計(jì)算機(jī)內(nèi)存中的文件以明文形式存在，而硬盤(pán)上保存的數(shù)據(jù)是密文，如果沒(méi)有合法的使用身份、訪問(wèn)權(quán)限以及正確的安全通道，加密文件都將以密文狀態(tài)被保護(hù)。

應(yīng)用場(chǎng)景

透明文件加密技術(shù)幾乎可以適用于任何基于文件系統(tǒng)的數(shù)據(jù)存儲(chǔ)加密需求，尤其是原生不支持透明數(shù)據(jù)加密的數(shù)據(jù)庫(kù)系統(tǒng)。但是，由于文件系統(tǒng)加密技術(shù)無(wú)法提供針對(duì)數(shù)據(jù)庫(kù)用戶的增強(qiáng)權(quán)限控制，因此對(duì)于需要防范內(nèi)部數(shù)據(jù)庫(kù)超級(jí)用戶的場(chǎng)景并不適用。

優(yōu)勢(shì)

1、可對(duì)應(yīng)用進(jìn)程授權(quán)。透明文件加密的防護(hù)顆粒度較細(xì)，可以適用于對(duì)應(yīng)用進(jìn)程有綁定需求的場(chǎng)景，只有授權(quán)的“白名單”應(yīng)用進(jìn)程訪問(wèn)文件時(shí)，才能獲得明文，而未授權(quán)應(yīng)用只能獲取密文。

挑戰(zhàn)

1、管理員風(fēng)險(xiǎn)。由于文件系統(tǒng)加密技術(shù)的數(shù)據(jù)庫(kù)無(wú)關(guān)性，因此，該加密技術(shù)不具備對(duì)系統(tǒng)用戶增強(qiáng)的權(quán)限控制能力，也無(wú)法防止內(nèi)部人員包括系統(tǒng)管理員和數(shù)據(jù)庫(kù)DBA對(duì)加密數(shù)據(jù)的訪問(wèn)；

2、高性能實(shí)現(xiàn)難度大。透明文件加密技術(shù)因?yàn)槭窃诓僮飨到y(tǒng)的文件管理子系統(tǒng)上部署加密插件來(lái)實(shí)現(xiàn)數(shù)據(jù)的加密功能，因此會(huì)增加操作系統(tǒng)中用戶態(tài)的處理環(huán)節(jié)，從而對(duì)數(shù)據(jù)庫(kù)系統(tǒng)整體性能造成部分損失，要實(shí)現(xiàn)到高性能面臨工程化挑戰(zhàn)。

技術(shù)十：FDE全磁盤(pán)加密

原理解析

部署位置：文件系統(tǒng)

原理：全磁盤(pán)加密（Full Disk Encryption，簡(jiǎn)稱FDE）是指通過(guò)動(dòng)態(tài)加解密技術(shù)，對(duì)磁盤(pán)或分區(qū)進(jìn)行動(dòng)態(tài)加解密的技術(shù)。FDE的動(dòng)態(tài)加解密算法位于操作系統(tǒng)底層，其所有磁盤(pán)操作均通過(guò)FDE進(jìn)行：當(dāng)系統(tǒng)向磁盤(pán)上寫(xiě)入數(shù)據(jù)時(shí)，F(xiàn)DE首先加密要寫(xiě)入的數(shù)據(jù)，然后再寫(xiě)入磁盤(pán)；反之，當(dāng)系統(tǒng)讀取磁盤(pán)數(shù)據(jù)時(shí)，F(xiàn)DE會(huì)自動(dòng)將讀取到的數(shù)據(jù)進(jìn)行解密，然后再提交給操作系統(tǒng)。

應(yīng)用場(chǎng)景

全磁盤(pán)加密技術(shù)適用于磁盤(pán)上所有數(shù)據(jù)（包括操作系統(tǒng)）進(jìn)行動(dòng)態(tài)加解密的場(chǎng)景，但由于不能提供針對(duì)用戶的增強(qiáng)權(quán)限控制，無(wú)法滿足對(duì)內(nèi)部超級(jí)用戶泄露敏感數(shù)據(jù)的風(fēng)險(xiǎn)防范需求。

優(yōu)勢(shì)

1、性能優(yōu)勢(shì)突出。全磁盤(pán)加密技術(shù)通過(guò)操作系統(tǒng)內(nèi)核層（或者存儲(chǔ)設(shè)備自身的物理結(jié)構(gòu)）實(shí)現(xiàn)，能夠最大化減少加解密損耗，對(duì)上層業(yè)務(wù)服務(wù)提供性能最高的文件加解密服務(wù)；

2、部署、實(shí)施簡(jiǎn)單。全磁盤(pán)加密僅需對(duì)進(jìn)入磁盤(pán)的數(shù)據(jù)進(jìn)行加密，部署和實(shí)施簡(jiǎn)單高效。

挑戰(zhàn)

1、數(shù)據(jù)防護(hù)顆粒度粗。該加密技術(shù)因?yàn)槿鄙僭L問(wèn)控制能力，因此，一旦磁盤(pán)掛載口令泄露，就有數(shù)據(jù)泄露的風(fēng)險(xiǎn)，僅能防范“拔硬盤(pán)”攻擊。

十種數(shù)據(jù)存儲(chǔ)技術(shù)對(duì)比表

綜上所述，十種數(shù)據(jù)存儲(chǔ)加密技術(shù)在應(yīng)用場(chǎng)景以及優(yōu)勢(shì)挑戰(zhàn)方面各有側(cè)重點(diǎn)，DLP終端加密技術(shù)側(cè)重于企業(yè)PC端的數(shù)據(jù)安全防護(hù)；CASB代理網(wǎng)關(guān)、應(yīng)用內(nèi)加密（集成密碼SDK）、應(yīng)用內(nèi)加密（AOE面向切面加密）側(cè)重于企業(yè)應(yīng)用服務(wù)器端的數(shù)據(jù)安全防護(hù)；數(shù)據(jù)庫(kù)加密網(wǎng)關(guān)、數(shù)據(jù)庫(kù)外掛加密、TDE透明數(shù)據(jù)加密、UDF用戶自定義函數(shù)加密則側(cè)重于數(shù)據(jù)庫(kù)端的數(shù)據(jù)安全防護(hù)；TFE透明文件加密、FDE全磁盤(pán)加密則側(cè)重于文件系統(tǒng)數(shù)據(jù)安全防護(hù)。

迎接數(shù)字時(shí)代，激活數(shù)據(jù)要素潛能，數(shù)據(jù)安全建設(shè)工作勢(shì)在必行，在了解數(shù)據(jù)安全防護(hù)的必要性和迫切性的前提下，具體分析相關(guān)的數(shù)據(jù)存儲(chǔ)加密技術(shù)原理，探究數(shù)據(jù)加密技術(shù)具體應(yīng)用，提出更合理、更安全的數(shù)據(jù)防護(hù)措施，能夠全面保障數(shù)據(jù)的安全性，助力我國(guó)數(shù)字化建設(shè)進(jìn)程的健康發(fā)展。