不知道你們有沒有這種感覺，一堆騷擾、推銷電話時(shí)常扎堆打過來，清凈一段時(shí)間后，又開始如被鞭尸般撈起來繼續(xù)被“騷擾”。

讓人有種恍如隔世的感覺：我的信息到底是在哪個(gè)環(huán)節(jié)泄露的？

住過萬豪酒店的朋友們應(yīng)該能體會(huì)雷鋒網(wǎng)編輯的這種想法，2018 年 3.83 億預(yù)訂喜達(dá)屋酒店客戶的詳細(xì)個(gè)人信息遭到泄露。今年 7 月，這家公司被英國罰款 1.24 億美元。

畢竟 1.24 億美元的罰款也不會(huì)被平分給這些被泄露信息的受害者，說來也沒什么可高興的。它只發(fā)出了一個(gè)嚴(yán)重警告的信號(hào)：出來混，泄露信息，是要挨罰的。

聽起來有點(diǎn)嚴(yán)重，前陣子，中國一些涉及非法爬蟲業(yè)務(wù)的所謂“大數(shù)據(jù)風(fēng)控”企業(yè)日子不好過，被抓的傳聞四起，這兩天的一個(gè)消息是，江蘇淮安警方依法打擊了 7 家涉嫌侵犯公民個(gè)人信息犯罪的公司，涉嫌非法緩存公民個(gè)人信息 1 億多條，其中，拉卡拉支付旗下的考拉征信涉嫌非法提供身份證返照查詢 9800 多萬次，獲利 3800 萬元。

因此，考拉征信服務(wù)有限公司及北京黑格公司的法定代表人、董事長、銷售、技術(shù)等 20 余名涉案人員被警方一起帶走了。

看上去，這些“主動(dòng)”把個(gè)人信息拿來賺錢的企業(yè)果然沒有好下場(chǎng)。但對(duì)“被動(dòng)挨打”也要認(rèn)，被人盯上數(shù)據(jù)的企業(yè)就只能渾渾噩噩過日子了嗎？

并不是。按照一個(gè)樸素的道理，如果一個(gè)人抱著金銀珠寶上街，起碼也要配備一兩個(gè)保鏢，如果是拍賣公司運(yùn)貨，可能配上的是一個(gè)安保公司全方位的服務(wù)。

當(dāng)然，還有一些本來就有錢有勢(shì)的“大富豪”，可能直接出手成立一家專為自己服務(wù)的安保公司。

這種樸素的理念映射到現(xiàn)代企業(yè)保護(hù)自己的各類數(shù)據(jù)或者數(shù)據(jù)庫，也很好理解：有錢有人的大公司自己有安全部門、安全人員，甚至自己研發(fā)了保護(hù)工具，一般企業(yè)還是購買專業(yè)方案，也就是購買“安保公司的服務(wù)”。

由于對(duì)數(shù)據(jù)的保護(hù)實(shí)在迫在眉睫，一家專業(yè)數(shù)據(jù)“安保公司”美創(chuàng)甚至將之前主打的“數(shù)據(jù)庫安全”增長到“數(shù)據(jù)安全”，他們做出這個(gè)決定是在兩年前。

為什么會(huì)有這種變化？保護(hù)數(shù)據(jù)的思路應(yīng)該是什么樣？雷鋒網(wǎng)與美創(chuàng)公司的 CTO 周杰聊了聊。

口述：周杰 | 整理：李勤

關(guān)于打法：數(shù)據(jù)安全廠商的不同

我所指的數(shù)據(jù)安全是指要防止數(shù)據(jù)被惡意泄漏，或者是被惡意拖庫、撞庫、弄壞、被加密等。數(shù)據(jù)庫防火墻、數(shù)據(jù)庫審計(jì)、防水壩、加解密、防勒索、業(yè)務(wù)安全審計(jì)、脫敏等肯定是我們的主流產(chǎn)品，當(dāng)然，災(zāi)備也不可能丟掉，任何系統(tǒng)都需要做災(zāi)備，災(zāi)備嚴(yán)格來講也屬于安全產(chǎn)品?，F(xiàn)在線下遷移到線上，上云的態(tài)勢(shì)很猛，異構(gòu)的數(shù)據(jù)庫遷移產(chǎn)品很重要。

不過，有些公司對(duì)數(shù)據(jù)安全的理解就等同于只有數(shù)據(jù)庫災(zāi)備，我理解的是，就算你只用災(zāi)備產(chǎn)品，也不應(yīng)局限在數(shù)據(jù)庫災(zāi)備上，它應(yīng)該是全業(yè)務(wù)的災(zāi)備。

比如，一個(gè)企業(yè)可能除了主系統(tǒng)，還有很多微服務(wù)，應(yīng)用系統(tǒng)宕機(jī)后，切換是很困難的，如果有100個(gè)微服務(wù)，備份順序如何？是否能實(shí)時(shí)備份？這是很復(fù)雜的情況。

國內(nèi)很多數(shù)據(jù)安全廠商是從傳統(tǒng)安全廠商轉(zhuǎn)型而來，他們的防護(hù)理念是從外到內(nèi)的，他們從黑客的角度出發(fā)想問題，并沒有明確的保護(hù)對(duì)象，是在梳理攻擊者的攻擊路徑，保護(hù)程度可能比較淺，從 IP 到端口就完了。沒有實(shí)時(shí)阻斷，可能只有旁路阻斷，實(shí)際上旁路阻斷是偽命題，它不可能實(shí)現(xiàn)100%阻斷，流量一大，肯定無法阻斷危險(xiǎn)操作。

我們的思路是從內(nèi)而外出發(fā)，有明確的保護(hù)對(duì)象，也就是數(shù)據(jù)。

我們首先會(huì)定義“有什么東西”，梳理核心資產(chǎn)，從保護(hù)對(duì)象出發(fā)，可以精確了解攻擊方式，從而縮小攻擊面。比如，對(duì)一個(gè)數(shù)據(jù)庫的破壞有哪些形式？用勒索病毒加密、物理拷貝、 通過 SQL 語句刪除數(shù)據(jù)或竊取數(shù)據(jù)等。

除了縮小攻擊面，還要盡量隱藏攻擊面。

比如，MySQL 的默認(rèn)連接端口是3306，如果把 MySQL 的 3306 端口變成了 3308，就可以在黑客撒網(wǎng)式批量掃描過程中增加一些免疫的效果，雖然只是一點(diǎn)點(diǎn)，但它是有作用的。如果我們的敏感資產(chǎn)不會(huì)被發(fā)現(xiàn)，自然受攻擊的可能性大大減小。

我們還可以在 3306 的端口上放個(gè)陷阱，模擬 MySQL，把攻擊流量引入陷阱，用于來分析或定位黑客。

很多廠商的思路是，“漏報(bào)”比“誤報(bào)”好，如果當(dāng)下對(duì)一個(gè)“威脅”不能確定，會(huì)先放過，等問題上報(bào)、分析、檢測(cè)這一套漫長的運(yùn)營流程下來后，事情就可能已經(jīng)發(fā)生了，傷害已經(jīng)造成，要有什么效果也只能等到下一次。

面對(duì)核心資產(chǎn)，不能放過任何一個(gè)危險(xiǎn)操作。美創(chuàng)的理念還是實(shí)時(shí)阻斷，采取動(dòng)態(tài)的策略，知白守黑。好人是可被窮盡的，壞人是不可被窮盡的。

比如，做 PDF 防篡改，能夠編輯 PDF 的軟件有多少？95% 的企業(yè)用的都是同一種，我們只要做出一個(gè)畫像，確定了關(guān)鍵指標(biāo)，別人想偽造這個(gè)軟件也很難，只有具有合法身份的訪問才被允許。

關(guān)于用戶：上安全是否影響業(yè)務(wù)

安全要上馬，對(duì)用戶來說，也不是一件容易的事情。

我們?cè)诤陀脩艚涣髦?，常常發(fā)現(xiàn)他們有這樣的疑慮：上了安全系統(tǒng)是否會(huì)影響業(yè)務(wù)系統(tǒng)？業(yè)務(wù)系統(tǒng)可能在 99% 的時(shí)間保持工作狀態(tài)，安全系統(tǒng)可能是在 1% 的時(shí)間里抵御攻擊，所有的安全系統(tǒng)都是為了保障業(yè)務(wù)的正常進(jìn)行，不能上了一套系統(tǒng)把業(yè)務(wù)搞癱了。

所以，我們研究數(shù)據(jù)安全防護(hù)必須盡量取得平衡。

首先，安全策略要盡可能動(dòng)態(tài)化，減少對(duì)用戶正常工作的打擾。引入自學(xué)習(xí)，讓策略更加聰明。

其次，當(dāng)安全系統(tǒng)真出現(xiàn)異常的時(shí)候，讓安全系統(tǒng)從串行變成旁路，保證業(yè)務(wù)系統(tǒng)正常運(yùn)行，讓業(yè)務(wù)系統(tǒng)先好好干活，稍微閑余時(shí)再抓包分析。

關(guān)于數(shù)據(jù)：流動(dòng)中的全鏈路防護(hù)

我們始終認(rèn)為，安全應(yīng)該是一個(gè)防護(hù)鏈，而不是某個(gè)點(diǎn)。

在數(shù)字化轉(zhuǎn)型的大背景下，數(shù)據(jù)一直在流動(dòng)，也就導(dǎo)致了數(shù)據(jù)所處的位置是不同的。根據(jù)數(shù)據(jù)所處位置的不同，可以把數(shù)據(jù)分為三類：在數(shù)據(jù)中心、在流動(dòng)路上、在終端上。

對(duì)不同位置上的數(shù)據(jù)，保護(hù)策略不一樣。

對(duì)于在數(shù)據(jù)中心的數(shù)據(jù)，因?yàn)閷?duì)“云廠商”天然的不信任，對(duì)數(shù)據(jù)進(jìn)行加密災(zāi)備是必須的。數(shù)據(jù)中心的數(shù)據(jù)本來就是供人訪問的，要進(jìn)行數(shù)據(jù)交換，因此在校驗(yàn)身份上沒那么簡單，進(jìn)行多因子身份認(rèn)證是必須的，對(duì)這一點(diǎn)，各家都有自己的方案。

我們的思路是，除了驗(yàn)證最基本的賬號(hào)和密碼，還要驗(yàn)證訪問者的操作系統(tǒng)，用何種應(yīng)用程序連接，如果說我們只是解析協(xié)議，得到的信息是有限的，因此我們可能需要在訪問者的終端上安裝一個(gè)代理，報(bào)告進(jìn)程的哈希值或者簽名，從源頭上控制訪問端，排除惡意軟件的連接。

確認(rèn)身份后，還需要分析上下文的語境，弄清楚為什么這個(gè)訪問者需要訪問，為什么是這個(gè)時(shí)間段，在這個(gè)地址發(fā)起訪問。對(duì)于工作時(shí)間以及常用地址之外的訪問，我們會(huì)先判斷有風(fēng)險(xiǎn)。

總之，還是盡可能地描述訪問者的畫像，并在數(shù)據(jù)中心進(jìn)行相應(yīng)的防護(hù)。從不信任，永遠(yuǎn)驗(yàn)證。

審計(jì)也是很重要的一環(huán)，把所有的操作都審計(jì)下來，有助于事后的分析，回溯。

因?yàn)閿?shù)據(jù)是流動(dòng)的，我們要對(duì)敏感數(shù)據(jù)進(jìn)行脫敏，對(duì)脫敏之后數(shù)據(jù)進(jìn)行全鏈路加密。

所謂脫敏，就是去掉敏感信息，保留原來數(shù)據(jù)一定特征，即保持?jǐn)?shù)據(jù)原有的可用性。也是說對(duì)數(shù)據(jù)進(jìn)行脫敏過程中，得到的結(jié)果一定是這個(gè)數(shù)據(jù)還是可以用的，能保持原有的特征，能讓數(shù)據(jù)共享方獲得的數(shù)據(jù)仍然可以用、可以處理、可以提取相應(yīng)的特征價(jià)值，從而獲得原有對(duì)數(shù)據(jù)的要求。

脫敏分為靜態(tài)脫敏和動(dòng)態(tài)脫敏。

靜態(tài)脫敏往往是線下的、旁路的；動(dòng)態(tài)脫敏往往是線上的、活的數(shù)據(jù)。

靜態(tài)脫敏一般用在非生產(chǎn)環(huán)境，把數(shù)據(jù)批量離線做脫敏，把生產(chǎn)環(huán)境里結(jié)構(gòu)化數(shù)據(jù)、非結(jié)構(gòu)化數(shù)據(jù)進(jìn)行脫敏之后，加載到非生產(chǎn)環(huán)境使用。用于開發(fā)測(cè)試等。動(dòng)態(tài)脫敏是實(shí)時(shí)脫敏，一般應(yīng)用環(huán)境是生產(chǎn)環(huán)境，訪問敏感信息時(shí)再脫敏。根據(jù)場(chǎng)景、權(quán)限、角色不一樣，對(duì)同一個(gè)敏感信息時(shí)有可能進(jìn)行統(tǒng)一的屏蔽，也可能不同的屏蔽，根據(jù)場(chǎng)景操作。

此外，大家都在提數(shù)據(jù)水印，就是防止在數(shù)據(jù)的流轉(zhuǎn)中泄密而找不到流失源頭。

我們一直想實(shí)現(xiàn)的是一種透明水印，使用者看不到，但一旦泄密，可以通過水印逮到泄露者，這種靈感來源于“藏頭詩”：如果我發(fā)給你10000 行記錄，在第一行某個(gè)地方寫一個(gè)字，在其他行寫一個(gè)字，用戶對(duì)此是無感知的。

數(shù)據(jù)安全技術(shù)還會(huì)有這些趨勢(shì)：

第一，隱私計(jì)算，我們經(jīng)常有一些數(shù)據(jù)需要流動(dòng)和外發(fā)，不可能把所有的數(shù)據(jù)進(jìn)行脫敏，有些數(shù)據(jù)的脫敏程度不高的話，復(fù)原也不是難事。

數(shù)據(jù)隱私的保護(hù)手段，主要分為可信硬件和密碼學(xué)兩個(gè)流派。硬件方面主要是可信執(zhí)行環(huán)境（Trusted Execution Environment,TEE），而密碼學(xué)方面有同態(tài)加密（Homomorphic Encryption），安全多方計(jì)算（Multi-party Computation）和零知識(shí)證明（Zero-knowledge Proof, ZKP）。

TEE 可能會(huì)是個(gè)方向，但是 TEE 這條路大家也是剛開始走?；谟布姆桨敢灿袉栴}，比如升級(jí)困難。當(dāng)MPC，同態(tài)加密等有重大突破的時(shí)候，TEE 會(huì)退休。

第二，就是云化和大數(shù)據(jù)化，我們?cè)谶@里也要做很多東西，未來的數(shù)據(jù)安全在云端。

第三，自適應(yīng)安全架構(gòu)。以一些安全策略為例，如果安全策略定得太寬松，沒什么用，定得太細(xì)致則會(huì)干擾正常業(yè)務(wù)，所以我們要讓策略根據(jù)情況調(diào)整。

第四，數(shù)據(jù)庫加解密也是方向之一，數(shù)據(jù)庫加解密一直是個(gè)業(yè)界難點(diǎn)。國內(nèi)很多企事業(yè)單位用的加密算法是國外算法，在過保上可能會(huì)遇到一些問題，現(xiàn)在有國密算法，在安全可控的大背景下，數(shù)據(jù)庫加解密支持國密算法大有可為，但國產(chǎn)替代會(huì)是一個(gè)比較長期的過程。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。