1!"!# 360数科在线业务系统安全存储实践黄建庭架构总监 3极端安全事件回顾某快递疑似泄露约3亿条涉及寄件人、收件人信息包含姓名、地址、电话等某快递某求职网站某酒店集团某视频网站2018-082018-082018-06疑似泄露约5亿条涉及注册及开房记录包含姓名、手机号、身份证号等疑似泄露约10亿条涉及寄件人、收件人信息包含姓名、地址、电话等2018-06疑似泄露约195万条涉及个人简历信息2018-06疑似泄露约900万条涉及用户信息 4我们的安全等级够吗？脱库拆硬盘非法导出非法访问如果发生极端安全事件，比如： 5360数科在线业务系统安全存储解决方案数据安全传输规范数据安全存储规范数据安全使用规范数据安全保护规范加密技术方案脱敏技术方案加密组件中间件解决方案秘钥管理数据加解密加解密接口安全管理平台批量解密审核脱敏组件规则管理敏感信息大盘用户行为追踪鹰眼审计平台数据出口追踪堡垒机安全环境敏感信息追踪监控告警在线业务系统作业平台大数据平台日志平台业务系统外部网关应用安全实现制度&环境安全检测金融私网 601020403银行卡号手机号姓名身份证号数据安全保护规范敏感信息识别地址。。。等其他敏感信息 7数据安全保护规范关键规范[存储] 敏感信息存储加密、脱敏原则[存储] 最小必要存储原则[使用] 最小必要展示、分级控制原则[使用] 最小必要导出、分级审批原则[管理]可追踪、审计、预警原则[传输] 传输加密、脱敏原则 8数据加密方案现状及目标要求现状目标要求1.系统多：100+2.存储类型多：MySQL、MongoDB、HBase、ElasticSearch3.存量数据大：100亿+1.对业务无感2.改造量（成本）小3.性能影响小4.可更换秘钥 9数据加密方案加密技术方案的三个核心问题1. 如何保护数据？2. 如何保护秘钥？3. 如何保护算法？1. 使用对称加密算法2. 非对称加密算法3. 代码混淆& 加固 10数据加密方案基于DAL的数据加密技术方案2. 加密组件：实现加解密算法。3. 安全管理平台：管理加密秘钥及加解密。•秘钥列表获取及缓存•实现加解密算法、md5x算法•提供加解密接口、Annotation及工具类•秘钥管理（生命周期管理）•加解密管理服务•批量解密文件审核流程•加解密服务接口•敏感信息（常态化）扫描•历史数据批量加密及校验1. 设计原则•框架不入侵SQL•兼容历史•可回滚•代码直观业务系统安全管理平台数据存储(MySQL等)请求秘钥RSA(AESKeys)数据处理请求数据处理结果启动阶段-Container加密处理-DALRSA(AESKeys)对AES秘钥集进行加密Map<md_prefix, List<aesKeys>md->[key11,key10]ud->[key20]JNI加解密[解密处理]1. 取Cache OR unRsa(AESKeys)2. 获取md_prefix，Aes version3. 选取解密秘钥4. unAesCrypt(密文)5. 返回明文[加密处理]1. 取Cache OR unRsa(AESKeys)2. md5X(明文)，取前缀3. 选取生效秘钥4. aesCrypt(明文)5. 返回: md#0#密文Java层缓存1. 是否击中LRU内存缓存？1.1 击中缓存，返回结果1.2 未击中缓存，调用JNI加解密加密组件明文加密处理缓存启动初始化完成密文业务逻辑处理解密处理密文明文业务逻辑处理 11数据加密方案存储设计idmobile_nomobile_no_md5xmobile_no_encryptx11388888888859d6b82c5132e07efe63a2e0c0d153800e3re|U2FsdGVkX19Zk6wm4FQQ9Kg28IgduD5gnG1lCRFI82c=21399999999964d0c71e657b8fe10528cc8b7f4488460e3rr|U2FsdGVkX1+JPo5h7wzpDK6w/bUI0z91DbKEOQUB4yI=1.数据结构设计：新增_encryptx, _md5x字段l_encryptx用于存储密文l_md5x用于字段条件查询。（md5x算法生成动态盐）2. 密文字段结构l秘钥编号l分隔符l密文数据3. 密文长度l英文：6 + (原长度+15)*1.4l中文：6 + 原长度*5lMD5X：32位秘钥编号|密文数据固定5位固定1位长度与明文相关 12数据加密方案两阶段实施阶段一：数据加密处理•增加_md5x和_encryptx字段、增量写入•历史数据加密处理•数据校验阶段二：密文切换•Entity中明文字段标上非持久化注解@Transient•清理SQL中明文字段，改造查询条件（使用_md5x做查询条件）•删除数据库明文字段 13数据加密方案优缺点1.优点•开箱即用•可更换秘钥•改造量小•性能影响较小•源头加密、下游无需处理•实施可回滚2.缺点•不支持比较操作，比如：like、order by等•不支持计算操作，比如：sum/avg等99line <1ms 14日志加密脱敏方案现状及目标要求现状目标要求1.日志量大：5T+/日2.打印格式多样3.脱敏诉求多样1.对业务无感2.改造量（成本）小3.性能影响小4.可配置化 15日志加密脱敏方案基于Log4j2扩展的可配置化脱敏方案1.Log4j2扩展点•log4j2.messageFactory=com.qihoo.xxx.log.DesensitizedParameterizedMessageFactory2.实现ValueFilter•DesensitizedFastJsonFilter3. 脱敏时机•formatMessage 16风险审核客服处理数据分析内部作业外部合作方交付短信发送，与三方SP交互运行实例系统间交互触达可审计触达场景 17触达可审计鹰眼审计平台-敏感信息追踪方案规则管理数据流动大盘信息关系网鹰眼审计平台数据出口大盘用户行为大盘监控告警作业平台大数据平台日志平台安全管理平台外部网关MQ队列数据加工匹配数据源层数据传输层计算层业务功能层敏感字段管理卡bin管理出口明细追踪用户行为追踪敏感信息追踪 18事前预防•需求安全事项评审•架构安全事项评审•安全规范学习考试事中扫描及审计•持续扫描•安全整改事后预警•异常接触行为预警•异常接触行为审计安全长效机制数据安全保障方案 安全的本质是提升安全边际，提高破坏的成本安全度≈破坏成本-破坏收益安全无小事，魔鬼在细节中，愿再无极端安全事件！安全感悟