金融行业全密态数据库 研究报告 北京金融科技产业联盟 2022年12月版权声明 本报告版权属于北京金融科技产业联盟 ，并受法律保护。 转载、编摘或利用其他方式使用本白皮书文字或观点的 ，应 注明来源。违反上述声明者，将被追究相关法律责任。 编制委员会 主编 潘润红 编委会成员 郭志军 聂丽琴 林承军 编写组成员 （按姓氏拼音排序） 曹健冯程郭亮江智睿 彭卫华 苏强 汪晟王栩王枫杨锐赵琼 主审 黄本涛 统稿 张蕾 参编单位： 交通银行股份有限公司 、中国工商银行股份有限公司 、北京 金融科技产业联盟 、华为技术有限公司 、阿里云计算有限公 司、腾讯云计算 （北京）有限责任公司 、百度云计算技术 （北 京）有限公司、北京奥星贝斯科技有限公 司 目录 一、研究 背景............................................. 1 二、主流安全 技术......................................... 3 （一）访问控制 ......................................... 4 （二）全链路加密 ....................................... 7 （三）数据脱敏 ........................................ 16 （四）数据库审计 ...................................... 19 （五）数据库防火墙 .................................... 22 （六）数据库漏洞扫描 .................................. 25 三、全密态数据库 技术.................................... 26 （一）硬件全密态技术 .................................. 26 （二）软件全密态技术 .................................. 26 （三）其他相关 技术.................................... 26 四、产品现状 与应用场景 .................................. 30 （一）产品现状 ........................................ 26 （二）应用场景 ........................................ 26 五、应用挑战与应对 ...................................... 33 （一）保障密态计算机制的安全性 ........................ 26 （二）实现业务的无缝迁移或轻量化迁移 .................. 26 （三）避免服务切换带来的性能损耗 ...................... 26 六、研究情况 总结........................................ 34 1一、研究背景 数据库是数据存储的主要技术手段 ，数据库系统在整 个 IT架构中的重要地位不言而喻 。攻击数据库 ，窃取信息是当 今信息系统的一个主要安全问题 。数据泄露或被篡改等安全 事件对企业和组织带来的损失将是多方面的 ，既有可量化的 经济损失 ，也有不可量化的品牌信誉和业务影响 。因此，确 保数据库安全越来越重要。 数据库安全 ，是指以保护数据库系统 、数据库服务器和 数据库中的数据、应用、存储，以及相关网络连接为目的 ， 是防止数据库系统及其数据遭到泄露 、篡改或破坏的安全技 术。与传统的网络安全防护体系不同 ，数据库安全 技术更加 注重从客户内部的角度做安全 ，即信息安全 。其内涵包括了 保密性、完整性和可用性 ，即所谓的 CIA(Confidentiality, Integrity, Availability) 三个方面。 机密性专指受保护数据只可以被合法的 （或预期的 ）用 户可访问 ，其主要实现手段包括数据的访问控制 、数据加密 和密钥管理等手段； 完整性是保证只有合法的 （或预期的 ）用户才能修改数 据，主要通过访问控制来实现 ，同时在数据的传输和存储中 可以通过校验算法来保证用户数据的完整性； 可用性主要体现在整体的安全能力 、容灾能力 、可靠度， 以及各个相关系统 （存储系统 、网络通路 、身份验证机制和 权限校验机制等等）的正常工作保障。 事实上，数据库经过长期发展已经构建出体系化的安全 2能力，同时许多专业化的评估测试机构也在帮助数据库厂商 挖掘产品缺陷 ，加速完善数据库安全能力的构建 ，并出具专 业化评估报告 ，作为第三方背书让用户 “信得过”。这些成 熟的安全技术手段 ，构建了数据库纵深防御的安全体系 ，保 障数据库在应用中的安全。 由于云数据库服务的应用便捷性 、高可靠、低成本等优 势可降低企业运营成本 ，加速企业应用创新 ，云数据库已成 为数据库业务未来重要的增长点 。但无论是传统的线下数据 库服务，还是日益增长的云数据库服务 ，数据库的核心任务 都是帮助用户存储和管理数据 ，且在复杂多样的环境下保证 数据不丢失、隐私不泄露、数据不被篡改以及服务不中断 。 这就要求面向开放市场的云数据库具备多层次的安全防御 机制，以面对相较于传统数据库更加多样化 、复杂化的风险 。 应用程序漏洞 、系统配置错误还是恶意管理员都可能对数据 安全与隐私保护造成巨大风险 。云数据库的部署网络由 “私 有环境”向“开放环境 ”转变，系统运维管理角色被拆分为 业务管理员和运维管理员 。业务管理员拥有业务管理的权限， 属于企业业务方 ，而运维管理员属于云服务提供商 。数据库 运维管理员虽然被定义成系统运维管理 ，其实际依旧享有对 数据的完全使用权限 ，可通过运维管理权限或提权来访问数 据甚至篡改数据 。同时，由于开放式的环境和网络边界的模 糊化，用户数据在整个业务流程中被更充分地暴露给攻击者， 无论是传输 、存储、运维还是运行态 ，都有可能遭受来自攻 击者的攻击。 3面对越来越复杂的云环境 ，我们需要一种能够彻底解决 数据全生命周期隐私保护的系统性解决方案 。事实上，近年 来学术界以及工业界陆续提出了许多创新思路 。其一是数据 离开客户端时 ，在用户侧对数据进行加密 ，且不影响服务端 的检索与计算 ，从而实现敏感数据保护 。此时即便数据库管 理员也无法接触到用户侧的密钥，进而无法获取明文数据 。 这一思路被称为密态数据库解决方案 ，或全加密数据库解决 方案。 正如密态数据库定义所描述的那样 ，密态数据库的核心 任务是保护数据全生命周期安全并实现基于密文数据的检 索计算。在加密算法足够安全的情况下 ，外部攻击者及内部 管理员均无法获取有效的数据信息。 二、主流安全技术介绍 目前，主流数据库安全技术包括权限与访问控制 、全链 路加密、数据脱敏 、数据库审计 、数据库漏洞扫描和数据库 防火墙。目前国内分布式数据库产品基本具备这些安全特性。 权限与访问控制是利用授权和鉴权的方法来控制数据 库用户对授权数据的访问 。在权限分配的过程中 ，应遵循最 小权限原则 ，实现细粒度的访问控制 ，从而提升数据资源的 完整性和资源访问的安全性 ，实现访问控制过程的动态管理。 “全链路”指的是数据在传输 、计算，存储的过程 ，而 “全链路加密 ”指的是端到端的数据加密保护能力 ，即从应 用系统到数据库的传输过程 、到数据在应用运行时的计算过 程（使用 /交换），和到数据最终被持久化落盘的存储过程 4中的加密能力。 数据脱敏是一种采用专门的脱敏算法对敏感数据进行 变形、屏蔽、替换、随机化、加密，并将敏感数据转化为虚 构数据的技术 。按照作用位置 、实现原理不同 ，数据脱敏可 以划分为静态数据脱敏（ StaticDataMasking, SDM)和动 态数据脱敏（ Dynamic DataMasking, DDM)。 数据库审计能够实时记录数据库的活动 ，对数据库操作 进行细粒度审计 。除此之外 ，数据库审计还应能对数据库遭 受到的风险行为进行告警，如：数据库漏洞攻击、 SQL注入 攻击、高危风险操作等 。数据库审计信息生成可以由数据库 内核提供 ，也可通过旁路部署 ，通过镜像流量或探针的方式 采集流量 ，并基于语法语义的解析技术提取出 SQL中相关的 要素（用户、 SQL操作、表、字段等）进而实时记录来自各 个层面的所有数据库活动。 数据库漏洞扫描是专门对数据库系统进行自动化安全 评估的专业技术 ，通过数据库漏洞扫描能够有效的评估数据 库系统的安全漏洞和威胁并提供修复建议。 数据库防火墙系统是针对应用侧异常数据访问的数据 库安全策略 。一般采用主动防御机制 ，通过学习期行为建模 ， 预定义风险策略 ；并结合数据库虚拟补丁 、注入规则和应用 关联防护机制 ，实现数据库的访问行为控制 、高危风险阻断 和可疑行为审计。 （一）访问控制 访问控制 ，就是通过某种途径显式地允许或者限制访问 5能力及范围 ，以限制对关键资源的访问 ，防止非法用户的侵 入或合法用户的不慎操作所造成的破坏 。采用可靠的访问控 制机制是数据库系统安全的必要保证 。目前主流的访问控制 技术包括自主访问控制 ，强制访问控制 ，和基于角色的访问 控制。项目所选数据库很好的支持了自主访问控制 、基于角 色的访问控制，以及基于安全标记的细粒度访问控制能力 ， 防止越权访问和信息泄漏。 1.基于角色的访问控制