业务支撑系统4A管理平台数据加密技术.doc

成果上报申请书（同2010年）成果名称 业务支撑系统4A管理平台数据加密技术成果申报单位成果承担部门/分公司项目负责人姓名项目负责人联系电话和Email成果专业类别*业务支撑所属专业部门*业务支撑线条成果研究类别*其他省内评审结果*通过关键词索引（35个）数据安全 4A 数据库加密应用投资产品版权归属单位对企业现有标准规范的符合度：（按填写说明5）如果该成果来源于研发项目，请填写研发项目的年度、名称和类型（类型包括：集团重点研发项目、集团联合研发项目、省公司重点研发项目、其他研发项目），可填写多个：成果简介：安徽移动自2009年开始建设面向业务支撑网的BOSS/CRM系统、经营分析系统、运营管理系统、VGOP/ESOP、P-BOSS等系统的集中帐号管理（Account）、统一授权管理(Authorization)、身份认证管理（Authentication）和安全审计管理(Audit)的4A管理平台。4A管理平台经过2年的建设已经发展成为安徽移动业务支撑网基础信息安全承载平台，拥有40000多主账号信息及密码，十几万从账号信息密码，几千万条审计记录，日均4A日均门户访问量达10万次，成为至关重要的信息安全平台。所承载的数据机密性要求极高，一旦泄露，后果不堪设想。为了保证核心数据的安全，安徽公司创新的提出利用ORACLE数据库本身的扩展接口来实现对4A管理平台数据的加密和解密，并结合平台自身的授权管理，对数据访问进行控制，对数据内容进行加密。真正做到了“什么人看什么资料”，不仅保证了核心数据的安全性，也提高了审计的效率。实现功能：主要技术如下：（1）实现了对数据库超级用户的访问管理，防止数据库超级用户进行的4A管理平台数据窃取：在Oracle中，以sys和system为代表的系统管理员，拥有很高的权利，可以访问到任何数据；在大型企业和政府机构中，除了系统管理员，以用户数据分析人员、程序员、开发方维护人员为代表的特权用户，也可以访问到敏感数据。而这些用户的存在，对数据安全来说是极大的隐患。通过4A管理平台数据库加密，在现有的Oracle权限控制系统外，对4A管理平台数据的加密/解密功能进行了独立的控制，由安全管理员负责决定哪些数据库用户有权访问敏感数据的明文信息。（2）实现了硬件设备层面的数据泄漏，防止硬件存储设备引起的泄密：一旦使用了4A管理平台数据库加密，无论是运行环境的硬件存储设备，还是数据备份的磁带中，敏感数据是以加密的形态存储的，从而有效地防止了由于硬件丢失或硬件维修等无意识的泄密。（3）实现了操作系统文件级别的数据防护，防止操作系统文件引起的数据泄密：在通常情况下，4A管理平台的数据是以明文的形式存储在操作系统的文件系统中；通过对文件系统的访问，就会访问到敏感数据。这样，该主机的操作系统管理员和高权限用户都可以接触到这些敏感数据。若是主机在网络上，只要能够通过网络访问到这些文件的用户，也可以接触到这些敏感数据。一旦使用了4A管理平台数据库加密，敏感数据都是以密文的形式存储在操作系统上，从而有效防止了由操作系统文件引起的数据泄密。（4）实现了“黑客入侵式”的数据防护，防止外部入侵进行的数据窃取：黑客总是有办法绕过放火墙和入侵检测系统，到用户的业务系统中进行窥视；当安徽移动对数据进行了有效加密保护，再厉害的黑客，在不掌握密钥的情况下，都无法获得敏感数据的明文信息。4A管理平台数据库加密不仅对4A管理平台敏感数据进行了加密，同时提供了有效的密钥管理体系，从而有效地防止了黑客入侵带来的数据泄密。省内试运行效果： 该数据库加密技术使用以来，使得4A平台核心数据的访问更加受控，有效的保护核心数据的使用，每月可以阻止非授权的数据访问2000余条，批量操作审批300余件，同时提升了数据审计的效率，使核心敏感数据的审计数据统计时间由原来的3小时缩减到40分钟左右。同时，数据库加密对于4A管理平台的生产环境的敏感数据加密与解密、管理权与安全控制权分离有较强的现实指导意义。数据库加密也适用于对其他涉及敏感数据的系统，例如CRM,NG-BOSS,经分，可以对数据库的部分表或字段（例如客户信息、客户密码、经营分析数据）进行加密，以避免核心数据的流失，避免在大数据量环境下的数据库加密操作效率低下的情况。若此项创新在集团进行推广，将大大提升4A管理平台的敏感信息防护能力，同时提高数据审计的效率，优化现有的权限管理流程。推广无需额外的投资，只需要引入安徽公司的方法，对Oracle数据库的扩展基础接口和4A管理平台接口进行对接改造，同时对权限流程进行相应的优化即可。文章主体（3000字以上，可附在表格后）：根据成果研究类别，主体内容的要求有差异，具体要求见表格后的“填写说明6”。业务支撑系统4A管理平台数据加密技术.一、项目背景（一）存在的问题或需求安徽移动自2009年开始建设面向业务支撑网的BOSS/CRM系统、经营分析系统、运营管理系统、VGOP/ESOP、P-BOSS等系统的集中帐号管理（Account）、统一授权管理(Authorization)、身份认证管理（Authentication）和安全审计管理(Audit)的4A管理平台。4A管理平台经过2年的建设已经发展成为安徽移动业务支撑网基础信息安全承载平台，拥有40000多主账号信息及密码，十几万从账号信息密码，几千万条审计记录，日均4A日均门户访问量达数十万次，成为至关重要的信息安全平台。所承载的数据机密性要求极高，一旦泄露，后果不堪设想。安徽移动业务支撑网4A管理平台采用oracle数据库，在建设前期，4A管理平台数据都以明文的形式存储在数据库中，带来了不少的安全风险l 明文存储引起数据泄密。4A管理平台中ORACLE数据库中的数据以明文形式放置在便携式存储设备中，存储设备的丢失将引起数据泄密的风险。非法使用者可以通过网络、操作系统接触到这些文件，从而引起敏感数据外泄。l 数据库超级用户进行的数据窃取。4A管理平台中ORACLE数据库中，以sys和system为代表的系统管理员，可以访问到任何数据；这些都为数据的泄密留下了极大的隐患。外部入侵进行的数据破解。现在越来越多的黑客以不满足于入侵主机和网络设备，敏感的数据资源已成为他们获取的目标。黑客经常会利用系统的薄弱环节绕过防火墙和入侵检测系统，到用户的业务系统中进行窥视，也会尝试用不同的方式对用户数据进行窃取，从而导致企业的机密外泄，造成大量经济损失。（二）解决的意义本项目通过平台与Oracle数据库加密接口二次的开发，创新的引入应用与数据库加密技术的紧密结合，在实现数据加密的基础上，通过与4A管理平台的权限控制、授权管理相结合，从应用层面实现对数据的有效保护。具体的意义如下：（1）防止数据库超级用户进行的4A管理平台数据窃取：在Oracle中，以sys和system为代表的系统管理员，拥有很高的权利，可以访问到任何数据；在大型企业和政府机构中，除了系统管理员，以用户数据分析人员、程序员、开发方维护人员为代表的特权用户，也可以访问到敏感数据。而这些用户的存在，对数据安全来说是极大的隐患。通过4A管理平台数据库加密，在现有的Oracle权限控制系统外，对4A管理平台数据的加密/解密功能进行了独立的控制，由安全管理员负责决定哪些数据库用户有权访问敏感数据的明文信息。（2）防止硬件存储设备引起的泄密：一旦使用了4A管理平台数据库加密，无论是运行环境的硬件存储设备，还是数据备份的磁带中，敏感数据是以加密的形态存储的，从而有效地防止了由于硬件丢失或硬件维修等无意识的泄密。（3）防止操作系统文件引起的数据泄密：在通常情况下，4A管理平台的数据是以明文的形式存储在操作系统的文件系统中；通过对文件系统的访问，就会访问到敏感数据。这样，该主机的操作系统管理员和高权限用户都可以接触到这些敏感数据。若是主机在网络上，只要能够通过网络访问到这些文件的用户，也可以接触到这些敏感数据。一旦使用了4A管理平台数据库加密，敏感数据都是以密文的形式存储在操作系统上，从而有效防止了由操作系统文件引起的数据泄密。（4）防止外部入侵进行的数据窃取：黑客总是有办法绕过放火墙和入侵检测系统，到用户的业务系统中进行窥视；当安徽移动对数据进行了有效加密保护，再厉害的黑客，在不掌握密钥的情况下，都无法获得敏感数据的明文信息。4A管理平台数据库加密不仅对4A管理平台敏感数据进行了加密，同时提供了有效的密钥管理体系，从而有效地防止了黑客入侵带来的数据泄密。二、实现方案或方案优选过程在4A平台建设中，4A管理平台考虑采用数据库加密方式来解决数据泄露风险。尝试了包括前置代理、应用加密和Oracle自带加密选件TDE。前置代理需要应用大幅改造、大量Oracle核心特性无法使用；应用加密必须由应用实现数据加密，加密数据无法检索，已有系统无法透明移植；TDE不能集成国产加密算法，不符合国家密码政策。因此这几种方案无法在4A管理平台中使用。为了解决这一现状，安徽移动提出一个既可以保留现有方案的优点，解决存在问题的数据库加密。其核心思路是利用ORACLE数据库本身的扩展接口来实现对4A管理平台数据的加密和解密。Oracle扩展接口提供了用于开发前端应用程序及中间件的C/C+开发类库。通过扩展接口，可以控制所有类型的SQL语句的执行，包括DDL、控制语句(事务、会话、系统)、查询、DML、PL/SQL，以及嵌入式SQL。扩展接口可以最大程度地控制程序的运行，执行Oracle服务器所允许的多有数据库操作，还能够访问Oracle数据库服务器里的所有数据类型，包括标量值、集合和所有对象类型的实例，并且以引用的方式访问对象及其元数据，还有能力动态获取、修改对象的属性值。 利用ORACLE扩展接口实现4A管理平台数据加密与解密技术细节如下：（1） 实现思路：以ORACLE扩展接口为基础，通过视图和触发器实现数据的加解密调用。通过外部程序调用机制实现独立于ORACLE的加密和权限控制。通过Oracle扩展机制实现加密索引和优化扩展。 （2） 逻辑架构： （3） 体系研究：数据库加密的解决思路充分利用了ORACLE的扩展接口，以实现数据库性能的无损。通过体系结构图，我们可以看出，加密数据保存在ORACLE数据库中，而负责加密与解密的程序则独立于数据库，这也意味着该体系既能够获得ORACLE SQL语句的所有特性（如：关联），也可以在独立于数据库的权限之外进行安全体系设计；同时由于数据库与应用之间不存在代理程序，应用本身无需做修改，而实现了真正的透明加解密。l 数据库加密对于4A管理平台中数据加密解密流程的基本处理思路如下图：1. 更改表名称，以原表名生成一个视图，用于响应对于原表的操作请求。2. 更改原表结构，识别出需加密的明文列后，对其列的属性进行修改，使其宽度和类型满足容纳加密后数据的需要。3. 在数据库为每个被加密的表生成触发器，用于拦截正常的表操作请求，然后将其导向至以原表名命名的视图。4. 视图中的数据在显示前，通过一个密钥保存机构和程序对原表中保存的数据进行加密与解密操作。5. 最后将数据通过视图呈现给授权客户。l 对于应用或客户端发起的查询请求，使用数据库加密后的流程如下： 应用或客户端向ORACLE数据库发起查询请求，ORACLE内置的SQL处理引擎向目标表发起请求，但请求被触发器拦截转向到视图上（密文透明处理模块），随后通过密文索引取出加密后的数据送往安全服务处理模块，该模块再根据用户权限及加密策略将数据恢复为明文，返回给客户端。l 对于应用或客户端发起的插入、删除和更新请求，使用数据库加密后的流程如下： 应用或客户端向ORACLE数据库发起修改请求（含插入、更新、删除），ORACLE内置的SQL处理引擎向目标表发起请求，但请求被触发器拦截转向到视图上（密文透明处理模块），随后将明文数据送往安全服务处理模块，该模块再根据用户权限及加密策略将数据处理为密文，之后将数据送入加密后的原表进行匹配后处理，返回处理后的结果给密文透明处理模块，由其解密后发往客户端。通过以上流程，可以发现，数据库加密对原表结构进行了修改，将原有列修改为可以存储密文的新列，所有对原表的操作被触发器拦截后发往视图，而不是在原表操作。使用数据库加密，修改原始表的列属性，可以实现对原始表的灵活加密：（从上图可看出数据库加密可以支持明文列和密文列的共存。）同时，可以配合加解密处理功能，实现对不同级别用户的授权。由于数据库加密是在数据表的列一级上实现的加解密，因此可以很容易通过建设一个外部管理中心以实现对用户的分权管理。如下图所示：对于不同用户的请求，触发器拦截后，虽然都是指向同一个视图，但是后续处理中会根据其权限进行不同的处理：非授权用户同时看到的是密文数据，而授权用户看到的是经过解密的明文。通过以上分析，可以很容易发现，数据库加密实际上为4A管理平台数据库的管理提供了一个新的思路4A管理平台在4A管理平台管理员岗位外，单独设置4A管理平台安全员和4A管理平台审计员，将数据库管理权、内容管理权和操作审计权分离，缩小数据库管理员的权限，避免其权限带来数据泄露的风险。如下图所示：三种角色可以按照以下职能划分：l 4A管理平台管理员：不能看到敏感的数据，但能够设计，完成，执行，维护4A管理平台数据库系统。l 4A管理平台安全员：不能看到敏感的数据，但能够配置和执行安全策略等。l 4A管理平台审计员：对安全策略的配置和对敏感信息的访问进行审计等。对于4A管理平台数据库安全员，其主要工作就是基于角色和基于时间、地点制定访问控制策略。如基于列的访问策略、基于角色的访问策略定义了谁、什么时间和什么地点能否访问受保护的数据。如图所示，安全管理员为最终用户制定了基于时间、地址、访问权的策略，应用于被保护的列对象，并且基于此策略为审计提供基础信息数据。（4） 关键技术：l 基于ORACLE扩展接口技术的加密索引。现有加解密方案的一大问题就是密文无法被ORACLE索引。数据库加密在这一方面另辟蹊径，通过专有的加密索引技术，突破传统技术对加密列不能使用索引的限制，在保证索引数据的安全基础上，提供对已加密数据为检索条件的索引查询；在加密列上进行的=、>、<和Like操作仍可以使用索引。如上图所示，密文基于ORACLE扩展接口使用了B+树结构索引，反映在优化器中可以被ORACLE所识别和使用，因此加密数据可以快速被检索。l 多重密钥保护技术。通过前面的介绍，数据的加密和解密是至关重要的一个环节。只要是加密技术就会用到密钥，因此在中密钥如何保存，以及其安全性的考虑都是设计的重点。所以，安徽移动在数据库加密中设计了分离式密钥体系，以加强系统密钥的保护。所谓分离式密钥体系就是根据不同的功能设计不同的密钥，相互隔离，并且同时被主密钥所保护。如上图所示，密钥设计包括主要思路如下：(a) 所有密钥随机产生，存放在加密机中。(b) 系统初试化时，生成系统主密钥，主密钥被加密设备保护。(c) 系统生成四类应用密钥数据根密钥、加密策略密钥、审计密钥和通讯密钥，它们又被主密钥加密保护。(d) 列密钥是根据需要生成，被数据根密钥保护的。通过主密钥、应用密钥和列密钥三级分离的策略，可以建立完整的密钥体系，对所有密钥进行保护，避免密钥泄露引起数据泄密。三、主要成果和应用情况在4A管理平台中应用数据库加密，能够在保证4A管理平台原系统架构、接口等不做修改的情况下，提高4A管理平台的数据安全性。（一）逻辑架构上，4A管理平台数据库加密应用在平台功能层的账号管理、授权管理和审计模块。其目的是当系统的核心数据被非法获取后，无法从中获取/分析出有价值数据，从而保证系统安全和数据安全。（二）4A管理平台的核心在于账户、认证、授权和审计，这些功能集中在平台功能层中体现。只要对其中的关键数据进行处理，就能保证非法获取的数据没有实际价值。所以，应该针对账号管理和授权管理模块中的数据进行加密管理。（三）对账户和授权模块所对应的数据加密后，4A系统的用户账号即受到保护，以及对应的角色信息和权限信息都将受到保护。账号管理账号管理中实现组织结构（部门、地域等）和自然人的管理，实现主账号管理、角色管理、从账号管理和账号属性管理等。账号管理模块中存放在自然人信息，如姓名、年龄、地址信息等组织结构信息，如部门、地域、职位等这些数据能直接反映出个人及组织信息，被非授权获取后影响最大。这些数据不经常变动，只作为资料存放在数据库中，系统运行不会受其直接影响。所以这些数据信息适合加密保护。授权管理授权管理实体（即资源）的范围包括系统资源（主机、网络设备、数据库、安全设备、其他）和应用资源（BOSS系统（包括客服和容灾）、经营分析系统、运营管理系统、其他）两大类。这部分数据的加密目的是切断与账号管理模块中的数据关联。保证数据被非法获取后，无法从中找到与账号（自然人）的权限关联。审计日志审计管理范围包括：4A管理平台自身的安全日志记录信息，被管理资源的高敏感度数据访问和关键操作行为审计记录。审计日志记录系统的关键操作信息，适合应用数据库加密加密。这些数据是系统用户的操作证据，需要严格保护起来。4A管理平台应用数据库加密后当4A管理平台原有的合法用户访问数据时，感受不到4A管理平台数据库加密的存在，所有获取到的4A数据都和未应用数据库加密时保持一致。数据间的关系不会受到影响，也不会影响到关联、计算等功能。当未授权/非法用户访问数据时，4A管理平台数据库加密的权限控制模块会检查到没有授权。用户请求的数据会按未加密的乱码或空值方式返回给用户。由于数据间缺乏关联，所以请求的数据毫无价值。四、效益分析（一）经济效益分析1、预期目标：按照一个月可以减少10次数据泄密事件，每次泄密事件带来的人员工作量、经济损失为1万元计算，年节约费用：120万元。2、预期目标：按照一个月审计工作节省40%的数据统计时间，平均每月消耗人力资本2万元计算，年节约费用：24万元。（二）社会效益 1、提升用户使用感受：平台终端使用者并不会感觉到该技术给工作中带来的不便，使用体验和之前完全一样，还能提高系统刷新数据的效率，在给系统带来安全性的同时，也提升了用户的使用感受。2、维护公司形象：每一次数据泄漏事件都会给公司的声誉带来极大的损坏，通过使用数据加密技术，可以使敏感数据只能被经过审核、需要使用的人可见，大大减少了数据泄密的可能性，维护公司形象。 3、提高工作效率：在4A管理平台使用这种新技术，大大节省了数据审计的工作量，提高安全审计的工作效率。五、其他说明