以數據為中心的數據安全基礎能力建設探索

企業數據安全治理，除了熟悉法律法規條文，信息采集最小化，服務入口明確隱私協議外，更多的是需要建設內部基礎能力，如數據識別、分類分級、數據加密、權限管控等數據安全的基礎能力。

本文數據為中心的理念，圍繞數據識別、分類分級、基礎防護幾個方面，結合開源軟件做一次梳理和功能演示，希望能幫助有需要的人員對數據安全有個直觀的了解。

在數據識別基礎上，建立數據資產大盤，實現數據資產風險識別、監測、運營的資產全生命周期管理；

在數據分類分級的基礎上，對不同數據資產進行分類、分級，將優勢資源投入到關鍵資產的安全防護上；

在數據安全基礎防護方面，除了應具有基礎設施和架構的安全穩固外，基于數據識別和分類分級，對存儲、傳輸的敏感數據進行加密防護、賬號權限管控、數據脫敏和分發管控，結合內外部風險變化，最終走向數據安全風控之路。

1. 數據識別、分類

在大數據時代的今天，如何做好數據識別、分類，在這個基礎上建立數據資產全生命周期管理是很多企業面臨的挑戰。比如企業內部有多少數據庫表明文存儲手機號字段、有多少接口對外暴露且有手機號字段，這些數據庫表、接口等資產又面臨哪些風險，如何做到全生命周期的風險管控。針對結構化數據，如數據庫表中字段識別、半結構化數據，如日志中的數據識別、非結構化如圖片、音視頻文件的數據識別，在識別能力的覆蓋范圍、識別準確率、對性能的影響等方面，這對很多企業還是有不小的挑戰。

1.1. 內容識別示例

數據識別可以通過關鍵字、正則、算法等實現，網上文章很多，以及一些大廠也有成熟的識別技術和方案，從落地實現上主要還是基于業務場景，從數據類型上看主要分為結構化、半結構化、非結構化的數據識別。

結構化：關系型數據庫

半結構化：日志數據、JSON數據、XML文檔等

非結構化：HTML網頁、辦公文檔、圖片、音視頻文件等

1.2. 分類分級管理展示

2. 利用ShardingSphere-Proxy實現敏據加

ShardingSphere是apache頂級開源項目，旨在構建異構數據庫上層的標準和生態。它關 注如何充分合理地利用數據庫的計算和存儲能力，而并非實現一個全新的數據庫。ShardingSphere 站在 數據庫的上層視角，關注他們之間的協作多于數據庫自身。

連接、增量和可插拔是 Apache ShardingSphere 的核心概念。

連接:通過對數據庫協議、SQL方言以及數據庫存儲的靈活適配，快速的連接應用與多模式的異構數據庫;

增量:獲取數據庫的訪問流量，并提供流量重定向(數據分片、讀寫分離、影子庫)、流量變形(數據加密、數據脫敏)、流量鑒權(安全、審計、權限)、流量治理(熔斷、限流)以及流量分析(服 務質量分析、可觀察性)等透明化增量功能;

可插拔:項目采用微內核+三層可插拔模型，使內核、功能組件以及生態對接完全能夠靈活的方式 進行插拔式擴展，開發者能夠像使用積木一樣定制屬于自己的獨特系統。

ShardingSphere-Proxy定位為透明化的數據庫代理端，提供封裝了數據庫二進制協議的服務端版本，用于完成對異構語言的支 持。目前提供 MySQL 和 PostgreSQL。

安裝

下載ShardingSphere‐Proxy 的最新發行版。解壓縮后修改conf/server.yaml和以config-前綴開頭的文件，如:conf/config-encrypt.yaml 文件，進行字段加密配置，其他配置如分片規則、讀寫分離規則配置暫不討論。Linux 操作系統運行 bin/start.sh，可以指定proxy端口，bin/start.sh 3308.

敏感字段配置

(base) gengdeMacBook-Pro:conf js2thon$ mysql -h127.0.0.1 -uroot -P3308Welcome to the MySQL monitor.  Commands end with ; or \g.Your MySQL connection id is 13Server version: 8.0.20-Sharding-Proxy 4.1.0Copyright (c) 2000, 2020, Oracle and/or its affiliates. All rights reserved.Oracle is a registered trademark of Oracle Corporation and/or itsaffiliates. Other names may be trademarks of their respectiveowners.Type 'help;' or '\h' for help. Type '\c' to clear the current input statement.mysql> show tables;+----------------------+------------+| Tables_in_encrypt_db | Table_type |+----------------------+------------+| t_encrypt            | BASE TABLE |+----------------------+------------+1 row in set (0.03 sec)mysql> select * from t_encrypt;+----------+---------+-------------+| order_id | user_id | phone       |+----------+---------+-------------+|       10 |       0 | 18516014911 ||       11 |       1 | 18516014922 ||       12 |       2 | 18516014933 ||       13 |       3 | 18516014944 ||       14 |       4 | 18516014955 |+----------+---------+-------------+5 rows in set (0.09 sec)mysql> select * from t_encrypt;+----------+---------+--------------------------+-------------+| order_id | user_id | phone_cipher             | phone       |+----------+---------+--------------------------+-------------+|       10 |       0 | uFZ1RGQfxsUM+GUJqI5rlQ== | 18516014911 ||       11 |       1 | SGxnMaUHY/HR50hJcYp6Vg== | 18516014922 ||       12 |       2 | Z5NBefdS9WN3Bl6p45R1Dw== | 18516014933 ||       13 |       3 | SKqYOUF4dxloUH5M9t/wEg== | NULL        ||       14 |       4 | 4q+dOa+bxUTFSzX6AOjvUg== | NULL        |
+----------+---------+--------------------------+-------------+
（向右滑動，查看更多）

3、利用Vault實現數據庫動態憑證和數據加解密的接口調用

Hashicorp Vault解決了管理敏感信息的問題，如數據庫憑證和API密鑰就是需要以安全的方式存儲和提供給應用程序的敏感數據，Vault支持許多secret引擎，部分如下：

Key-Value：簡單的靜態鍵值對

動態生成的憑據：由Vault根據客戶端請求生成

加密密鑰：用于使用客戶端數據執行加密功能

3.1.數據庫動態憑證

Vault安裝配置較為簡單，這里主要列下相關配置信息：

數據庫鏈接配置

角色配置

獲取數據庫憑證

使用動態憑證登錄驗證

(base) js2thondeMacBook-Pro:Downloads js2thon$ mysql -u v-my-r-owFmZ3LFu -pM8DdaYZXYRU-rNIm2CbQmysql: [Warning] Using a password on the command line interface can be insecure.Welcome to the MySQL monitor.  Commands end with ; or \g.Your MySQL connection id is 1379Server version: 5.6.41-log MySQL Community Server (GPL)Copyright (c) 2000, 2020, Oracle and/or its affiliates. All rights reserved.Oracle is a registered trademark of Oracle Corporation and/or itsaffiliates. Other names may be trademarks of their respectiveowners.Type 'help;' or '\h' for help. Type '\c' to clear the current input statement.mysql>

上面在Vault配置了用戶只有SELECT權限，驗證可以正常查詢

mysql> use mysql_test;Reading table information for completion of table and column namesYou can turn off this feature to get a quicker startup with -ADatabase changedmysql> show tables;+----------------------+| Tables_in_mysql_test |+----------------------+| account              |+----------------------+mysql> select * from account;+------+------+| id   | name |+------+------+|  100 | abc  |+------+------+1 row in set (0.00 sec)

執行數據插入操作，因為沒有權限Vault報錯。

mysql> insert into account values(101,'def');ERROR 1142 (42000): INSERT command denied to user 'v-my-r-owFmZ3LFu'@'localhost' for table 'account'

3.2.數據加解密接口調用

Vault作為kms提供加解密接口，通過調用接口實現數據加解密，Vault數據密鑰的創建可參考官網文檔，此處忽略。

Vault管理后臺密鑰創建

加解密接口調用Python實現

4. 問題和思考

本文從數據識別、分類分級、配置管理、存儲字段加密這個流程梳理下來，其實需要橫向和縱向擴展的還非常多，統一密鑰管理、賬號權限、資產大盤、風險監測和運營管理，這些組成了數據安全的基礎能力。上面也只是羅列了一些開源工具的能力，只是做了單點的簡單功能演示，沒有詳細進一步去了解實現機制和優劣勢，后續有精力再做深一步的研究，也希望有落地實現的同行交流實際經驗，如在架構方案設計、異構適配、性能穩定性等方面的多維度實踐探索。