不知道你們有沒有這種感覺，一堆騷擾、推銷電話時常扎堆打過來，清凈一段時間后，又開始如被鞭尸般撈起來繼續(xù)被“騷擾”。

讓人有種恍如隔世的感覺：我的信息到底是在哪個環(huán)節(jié)泄露的？

住過萬豪酒店的朋友們應(yīng)該能體會雷鋒網(wǎng)編輯的這種想法，2018 年 3.83 億預(yù)訂喜達屋酒店客戶的詳細個人信息遭到泄露。今年 7 月，這家公司被英國罰款 1.24 億美元。

畢竟 1.24 億美元的罰款也不會被平分給這些被泄露信息的受害者，說來也沒什么可高興的。它只發(fā)出了一個嚴重警告的信號：出來混，泄露信息，是要挨罰的。

聽起來有點嚴重，前陣子，中國一些涉及非法爬蟲業(yè)務(wù)的所謂“大數(shù)據(jù)風(fēng)控”企業(yè)日子不好過，被抓的傳聞四起，這兩天的一個消息是，江蘇淮安警方依法打擊了 7 家涉嫌侵犯公民個人信息犯罪的公司，涉嫌非法緩存公民個人信息 1 億多條，其中，拉卡拉支付旗下的考拉征信涉嫌非法提供身份證返照查詢 9800 多萬次，獲利 3800 萬元。

因此，考拉征信服務(wù)有限公司及北京黑格公司的法定代表人、董事長、銷售、技術(shù)等 20 余名涉案人員被警方一起帶走了。

看上去，這些“主動”把個人信息拿來賺錢的企業(yè)果然沒有好下場。但對“被動挨打”也要認，被人盯上數(shù)據(jù)的企業(yè)就只能渾渾噩噩過日子了嗎？

并不是。按照一個樸素的道理，如果一個人抱著金銀珠寶上街，起碼也要配備一兩個保鏢，如果是拍賣公司運貨，可能配上的是一個安保公司全方位的服務(wù)。

當然，還有一些本來就有錢有勢的“大富豪”，可能直接出手成立一家專為自己服務(wù)的安保公司。

這種樸素的理念映射到現(xiàn)代企業(yè)保護自己的各類數(shù)據(jù)或者數(shù)據(jù)庫，也很好理解：有錢有人的大公司自己有安全部門、安全人員，甚至自己研發(fā)了保護工具，一般企業(yè)還是購買專業(yè)方案，也就是購買“安保公司的服務(wù)”。

由于對數(shù)據(jù)的保護實在迫在眉睫，一家專業(yè)數(shù)據(jù)“安保公司”美創(chuàng)甚至將之前主打的“數(shù)據(jù)庫安全”增長到“數(shù)據(jù)安全”，他們做出這個決定是在兩年前。

為什么會有這種變化？保護數(shù)據(jù)的思路應(yīng)該是什么樣？雷鋒網(wǎng)與美創(chuàng)公司的 CTO 周杰聊了聊。

口述：周杰 | 整理：李勤

關(guān)于打法：數(shù)據(jù)安全廠商的不同

我所指的數(shù)據(jù)安全是指要防止數(shù)據(jù)被惡意泄漏，或者是被惡意拖庫、撞庫、弄壞、被加密等。數(shù)據(jù)庫防火墻、數(shù)據(jù)庫審計、防水壩、加解密、防勒索、業(yè)務(wù)安全審計、脫敏等肯定是我們的主流產(chǎn)品，當然，災(zāi)備也不可能丟掉，任何系統(tǒng)都需要做災(zāi)備，災(zāi)備嚴格來講也屬于安全產(chǎn)品?，F(xiàn)在線下遷移到線上，上云的態(tài)勢很猛，異構(gòu)的數(shù)據(jù)庫遷移產(chǎn)品很重要。

不過，有些公司對數(shù)據(jù)安全的理解就等同于只有數(shù)據(jù)庫災(zāi)備，我理解的是，就算你只用災(zāi)備產(chǎn)品，也不應(yīng)局限在數(shù)據(jù)庫災(zāi)備上，它應(yīng)該是全業(yè)務(wù)的災(zāi)備。

比如，一個企業(yè)可能除了主系統(tǒng)，還有很多微服務(wù)，應(yīng)用系統(tǒng)宕機后，切換是很困難的，如果有100個微服務(wù)，備份順序如何？是否能實時備份？這是很復(fù)雜的情況。

國內(nèi)很多數(shù)據(jù)安全廠商是從傳統(tǒng)安全廠商轉(zhuǎn)型而來，他們的防護理念是從外到內(nèi)的，他們從黑客的角度出發(fā)想問題，并沒有明確的保護對象，是在梳理攻擊者的攻擊路徑，保護程度可能比較淺，從 IP 到端口就完了。沒有實時阻斷，可能只有旁路阻斷，實際上旁路阻斷是偽命題，它不可能實現(xiàn)100%阻斷，流量一大，肯定無法阻斷危險操作。

我們的思路是從內(nèi)而外出發(fā)，有明確的保護對象，也就是數(shù)據(jù)。

我們首先會定義“有什么東西”，梳理核心資產(chǎn)，從保護對象出發(fā)，可以精確了解攻擊方式，從而縮小攻擊面。比如，對一個數(shù)據(jù)庫的破壞有哪些形式？用勒索病毒加密、物理拷貝、 通過 SQL 語句刪除數(shù)據(jù)或竊取數(shù)據(jù)等。

除了縮小攻擊面，還要盡量隱藏攻擊面。

比如，MySQL 的默認連接端口是3306，如果把 MySQL 的 3306 端口變成了 3308，就可以在黑客撒網(wǎng)式批量掃描過程中增加一些免疫的效果，雖然只是一點點，但它是有作用的。如果我們的敏感資產(chǎn)不會被發(fā)現(xiàn)，自然受攻擊的可能性大大減小。

我們還可以在 3306 的端口上放個陷阱，模擬 MySQL，把攻擊流量引入陷阱，用于來分析或定位黑客。

很多廠商的思路是，“漏報”比“誤報”好，如果當下對一個“威脅”不能確定，會先放過，等問題上報、分析、檢測這一套漫長的運營流程下來后，事情就可能已經(jīng)發(fā)生了，傷害已經(jīng)造成，要有什么效果也只能等到下一次。

面對核心資產(chǎn)，不能放過任何一個危險操作。美創(chuàng)的理念還是實時阻斷，采取動態(tài)的策略，知白守黑。好人是可被窮盡的，壞人是不可被窮盡的。

比如，做 PDF 防篡改，能夠編輯 PDF 的軟件有多少？95% 的企業(yè)用的都是同一種，我們只要做出一個畫像，確定了關(guān)鍵指標，別人想偽造這個軟件也很難，只有具有合法身份的訪問才被允許。

關(guān)于用戶：上安全是否影響業(yè)務(wù)

安全要上馬，對用戶來說，也不是一件容易的事情。

我們在和用戶交流中，常常發(fā)現(xiàn)他們有這樣的疑慮：上了安全系統(tǒng)是否會影響業(yè)務(wù)系統(tǒng)？業(yè)務(wù)系統(tǒng)可能在 99% 的時間保持工作狀態(tài)，安全系統(tǒng)可能是在 1% 的時間里抵御攻擊，所有的安全系統(tǒng)都是為了保障業(yè)務(wù)的正常進行，不能上了一套系統(tǒng)把業(yè)務(wù)搞癱了。

所以，我們研究數(shù)據(jù)安全防護必須盡量取得平衡。

首先，安全策略要盡可能動態(tài)化，減少對用戶正常工作的打擾。引入自學(xué)習(xí)，讓策略更加聰明。

其次，當安全系統(tǒng)真出現(xiàn)異常的時候，讓安全系統(tǒng)從串行變成旁路，保證業(yè)務(wù)系統(tǒng)正常運行，讓業(yè)務(wù)系統(tǒng)先好好干活，稍微閑余時再抓包分析。

關(guān)于數(shù)據(jù)：流動中的全鏈路防護

我們始終認為，安全應(yīng)該是一個防護鏈，而不是某個點。

在數(shù)字化轉(zhuǎn)型的大背景下，數(shù)據(jù)一直在流動，也就導(dǎo)致了數(shù)據(jù)所處的位置是不同的。根據(jù)數(shù)據(jù)所處位置的不同，可以把數(shù)據(jù)分為三類：在數(shù)據(jù)中心、在流動路上、在終端上。

對不同位置上的數(shù)據(jù)，保護策略不一樣。

對于在數(shù)據(jù)中心的數(shù)據(jù)，因為對“云廠商”天然的不信任，對數(shù)據(jù)進行加密災(zāi)備是必須的。數(shù)據(jù)中心的數(shù)據(jù)本來就是供人訪問的，要進行數(shù)據(jù)交換，因此在校驗身份上沒那么簡單，進行多因子身份認證是必須的，對這一點，各家都有自己的方案。

我們的思路是，除了驗證最基本的賬號和密碼，還要驗證訪問者的操作系統(tǒng)，用何種應(yīng)用程序連接，如果說我們只是解析協(xié)議，得到的信息是有限的，因此我們可能需要在訪問者的終端上安裝一個代理，報告進程的哈希值或者簽名，從源頭上控制訪問端，排除惡意軟件的連接。

確認身份后，還需要分析上下文的語境，弄清楚為什么這個訪問者需要訪問，為什么是這個時間段，在這個地址發(fā)起訪問。對于工作時間以及常用地址之外的訪問，我們會先判斷有風(fēng)險。

總之，還是盡可能地描述訪問者的畫像，并在數(shù)據(jù)中心進行相應(yīng)的防護。從不信任，永遠驗證。

審計也是很重要的一環(huán)，把所有的操作都審計下來，有助于事后的分析，回溯。

因為數(shù)據(jù)是流動的，我們要對敏感數(shù)據(jù)進行脫敏，對脫敏之后數(shù)據(jù)進行全鏈路加密。

所謂脫敏，就是去掉敏感信息，保留原來數(shù)據(jù)一定特征，即保持數(shù)據(jù)原有的可用性。也是說對數(shù)據(jù)進行脫敏過程中，得到的結(jié)果一定是這個數(shù)據(jù)還是可以用的，能保持原有的特征，能讓數(shù)據(jù)共享方獲得的數(shù)據(jù)仍然可以用、可以處理、可以提取相應(yīng)的特征價值，從而獲得原有對數(shù)據(jù)的要求。

脫敏分為靜態(tài)脫敏和動態(tài)脫敏。

靜態(tài)脫敏往往是線下的、旁路的；動態(tài)脫敏往往是線上的、活的數(shù)據(jù)。

靜態(tài)脫敏一般用在非生產(chǎn)環(huán)境，把數(shù)據(jù)批量離線做脫敏，把生產(chǎn)環(huán)境里結(jié)構(gòu)化數(shù)據(jù)、非結(jié)構(gòu)化數(shù)據(jù)進行脫敏之后，加載到非生產(chǎn)環(huán)境使用。用于開發(fā)測試等。動態(tài)脫敏是實時脫敏，一般應(yīng)用環(huán)境是生產(chǎn)環(huán)境，訪問敏感信息時再脫敏。根據(jù)場景、權(quán)限、角色不一樣，對同一個敏感信息時有可能進行統(tǒng)一的屏蔽，也可能不同的屏蔽，根據(jù)場景操作。

此外，大家都在提數(shù)據(jù)水印，就是防止在數(shù)據(jù)的流轉(zhuǎn)中泄密而找不到流失源頭。

我們一直想實現(xiàn)的是一種透明水印，使用者看不到，但一旦泄密，可以通過水印逮到泄露者，這種靈感來源于“藏頭詩”：如果我發(fā)給你10000 行記錄，在第一行某個地方寫一個字，在其他行寫一個字，用戶對此是無感知的。

數(shù)據(jù)安全技術(shù)還會有這些趨勢：

第一，隱私計算，我們經(jīng)常有一些數(shù)據(jù)需要流動和外發(fā)，不可能把所有的數(shù)據(jù)進行脫敏，有些數(shù)據(jù)的脫敏程度不高的話，復(fù)原也不是難事。

數(shù)據(jù)隱私的保護手段，主要分為可信硬件和密碼學(xué)兩個流派。硬件方面主要是可信執(zhí)行環(huán)境（Trusted Execution Environment,TEE），而密碼學(xué)方面有同態(tài)加密（Homomorphic Encryption），安全多方計算（Multi-party Computation）和零知識證明（Zero-knowledge Proof, ZKP）。

TEE 可能會是個方向，但是 TEE 這條路大家也是剛開始走。基于硬件的方案也有問題，比如升級困難。當MPC，同態(tài)加密等有重大突破的時候，TEE 會退休。

第二，就是云化和大數(shù)據(jù)化，我們在這里也要做很多東西，未來的數(shù)據(jù)安全在云端。

第三，自適應(yīng)安全架構(gòu)。以一些安全策略為例，如果安全策略定得太寬松，沒什么用，定得太細致則會干擾正常業(yè)務(wù)，所以我們要讓策略根據(jù)情況調(diào)整。

第四，數(shù)據(jù)庫加解密也是方向之一，數(shù)據(jù)庫加解密一直是個業(yè)界難點。國內(nèi)很多企事業(yè)單位用的加密算法是國外算法，在過保上可能會遇到一些問題，現(xiàn)在有國密算法，在安全可控的大背景下，數(shù)據(jù)庫加解密支持國密算法大有可為，但國產(chǎn)替代會是一個比較長期的過程。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。