1、基于CASB插件模式的应用免改造数据加密防护1应用缺失内生安全催生CASB插件模式3通信加密存储加密身份鉴别数据分级标识处理DT时代推动以数据为中心的安全技术演进以网络为中心的安全以数据为中心的安全防火墙IDS端点安全移动安全VPNSIEM反病毒零信任网络终端管控沙箱检测泄露检测数据鉴权解密细控数据审计数据态势双轴驱动的新安全建设体系万豪酒店3.83亿名顾客数据遭泄露，涉及姓名、电话、护照、地址、邮箱等；罚款1.24亿美元国泰航空940万条旅客信息泄露，包含姓名、电话、地址、护照、身份证、过往飞行记录等；面临39亿港币罚款2019年1月10月7月4月印度10亿公民数据库Aadhaar泄露，含名

2、字、电话、指纹、虹膜等信息2018年1月2017年9月美国最大征信机构Equifax泄露超过1.45亿美国公民数据，涉及社保号、地址、信用卡；罚款7亿美元，业务遭受沉重打击Facebook爆出数据泄漏事件，超过8700万用户数据被剑桥分析公司非法收集用于政治广告；罚款50亿美元，同时被限制隐私数据处理权，直接动摇商业模式根基英国航空50万旅客信息遭泄露，涉及姓名、地址、邮箱、信用卡等；罚款2.3亿美元4密码数据安全是增长最快的新安全市场制定法律法规，监督密码政策落地，密码应用合规。评测密码应用合规正确有效，全社会普及国密的抓手密码防护数据安全是目标中国数据安全市场*源自中国报告网数据安全风险驱

3、动密码安全政策加速市场成熟第八条 县级以上人民政府应当将密码工作纳入本级国民经济和社会发展规划,所需经费列入本级预算。第十二条 关键信息基础设施应当依照法律、法规的规定和密码相关国家标准的强制性要求使用密码进行保护20192019年年6 6月月【法法律律威威慑慑】全全国国人人大大审审议议密密码码法法明确国产密码应用推广相关任务财政配套国密应用推广专项资金【政政策策强强推推】两两办办密密码码3636号号文文加加速速推推广广应采用密码技术保证通信过程中数据的完整性、保密性,重要数据在传输、存储过程中的完整性、保密性应使用国家密码主管部门认证核准的密码技术和产品20192019年年5 5月月【抓抓手

4、手增增强强】公公安安部部等等保保2.02.0信息安全技术个人信息安全规范互联网个人信息安全保护指南个人信息出境安全评估办法数据安全管理办法（征求意见稿）20192019年年【法法规规增增强强】发发布布数数据据安安全全法法规规5IT技术升级推动安全产品向细粒度演进时间轴安全控制颗粒度状态防火墙IPSNGFW载荷级(网络)内容级业务应用级DLPVPN数据库加密WAFCASB(安全代理)DPISWG19922007UTMIDS2015云与数字化提升了IT颗粒度、规模及复杂度，要求安全颗粒度与业务匹配，推动安全手段与业务应用结合！BeyondCorpAVSIEM6空间维度-业务应用承载数据共享，是数据

5、安全关键抓手添加文字基础设施软件平台业务应用OA BPM Email SCM QMS PLM MPM ERP MES CRM HRM操作系统，中间件，数据库，文件系统、存储系统，HypervisorCPU，内存，磁盘，网线，光纤，交换机数据数据10人100人10010000人个人隐私企业运营产品数据物流供应企业财务共赢协作知识资产经营报表核心设计沟通交流公文流转数据查询客户关系7美国应用内建密码SDK，已产生数百亿数据安全市场*FIPS密码模块产品分类数量TOP10中，第一大品类是密码中间件，占比23%234767788422640100200300网络安全产品软件密码模

6、块其他应用硬件密码模块软件密码算法套件操作系统内核软件密码模块通信应用硬件密码模块存储应用硬件密码模块网络设备硬件密码模块网络安全产品硬件密码模块HSM(密码芯片/机/卡/Key)软件密码应用安全中间件*FIPS-140密码产品截至2018年10月12日8而国内大量应用缺失安全，开发改造模式不可行已有应用系统升级涉及面广开发周期长，承担较大风险已上线的系统升级成本更高间接造成业务损失的风险金融应用功能架构图示例企业应用系统总体架构图示例9国内适合于运行阶段补丁增强模式面向切面加密插件安全策略管理平台密钥管理系统应用服务数据库用户1用户2用户3主体到人细粒度访问控制客体到字段6210875612

7、5中关村大街周林6210*125177*8471*大街周林住址*姓名身份证手机号*姓名账号邮箱住址8977342343=mfdasu43姓名身份证手机号=jfn4321jnd窃取数据住址姓名身份证手机号住址姓名身份证手机号支持ABAC的访问控制策略，实现用户与字段文档级防护面向用户侧动态脱敏数据发现：元数据提取、数据扫描 特定数据发现（如个人信息）数据加密：字段或文档级加密锚点解密的防绕过细控与审计访问控制：基于属性和角色的访问控制丰富的数据脱敏策略行为审计：可定责的日志防篡改审计数据访问风控面向服务侧加密【对美国CASB技术的创新】1.Aspect

8、 Oriented Encryption，面向切面加密防护2.Critical Application Security Brokers，关键应用安全代理，CASB插件模式【方案优势】1.免开发改造应用，敏捷实施数据加密防护2.结合用户身份解密细控，且不改变用户操作习惯10公有云时代，美国CASB提供SaaS细粒度防护【部署】CASB以代理方式部署在用户和云服务之间，可部署在企业本地、或云服务形式【驱动】SaaS快速发展带来的风险应对，而防火墙等现有产品无法应对云端数据风险，催生了CASB品类【价值】以云端数据安全为核心，结合应用识别、威胁防护等，实现对企业不可掌控应用的安全增强Cloud A

9、ccess Security Brokers（云访问安全代理）Magic Quadrant for CASB,Source:Gartner(2018年10月)Proxy ModeAPI ModeIn this mode of operation,the CASBs are in-line and are pre-and postprocessing all traffic to/from the SaaS application.Providers are using a mix of forward and reverse proxy methods to achieve this func

10、tionality.There are some providers that are cloud only,on-premises only and a small number that support both.In this mode,end users give CASBs their permission to use their cloud administration credentials so that the CASB can see and control cloud policy,monitor various levels of administrator and

11、end-user access and define policy.The benefit being that organizations can do this from one central location.Gartner has an extensive library on the topic of APIs,for example,see Managing Service Dependencies in the Extended Enterprise.”资料来源：Gartner(May 2015)美国SaaS云端威胁催生了CASB之Proxy和API模式12CASB三种模式的技

12、术对比方案CASB代理模式（串网关）CASB插件模式（切面插件）CASB API模式（改代码）技术本质网关侧分析和代理应用请求，以适配方式增强数据安全与业务安全结合上下文，防护内部及外部威胁应用内识别用户数据操作，以配置方式增强数据安全防护内部及外部数据威胁云应用改变流程扩展外部安全服务，以API集成方式增强云应用安全能力结合业务流程，防护内部及外部威胁优缺分析实施成本中，应用免改造但需适配适合企业关键应用、或全网安全管控关键应用安全代理（私有场景）、云访问安全代理（公有云）实施成本低，仅需配置安全策略适合批量应用数据防护实施关键应用安全代理（私有场景、公有云）实施成本中，需要开发改造应用适合

13、主流SaaS云访问安全代理（公有云）云应用用户端API模式代理模式插件模式13类型感知范围请求关联技术能力功能特点生活举例业务结合安全产品适用场景业务应用级Business-awarenessInter-requestBroker委托式安全代理经纪人高CASB云安全/内部威胁防护内容级Content-awarenessIntra-requestProxy转发式安全代理快递员低DPI/NGFW/WAF/DLP外网管控/互联网安全载荷级(网络)Payload-awarenessIntra-part-requestFilter封包/替换/阻断门卫无VPN网关/IDS/IPS/FW内外网隔离/内网监控

14、Security Broker核心技术创新是业务级细控FilterProxyplatformEncryptBusinessBroker2CASB插件模式实现应用免改造数据防护15数据安全抓手从数据库演进到应用服务两层结构下，数据库承载主要业务逻辑，TDE等数据库侧安全机制可识别到人三层架构下，数据库几乎没有业务逻辑，只能识别应用系统，而不能还原用户身份三层结构下，业务应用承载主要逻辑和数据共享，是实现数据安全关键抓手，可识别用户身份两层结构1990-2005三层结构2006-2019技术演化16“面向切面安全层”可准确识别身份和数据内部员工供应商客户合作单位企业门户统一待办移动接入统一认证物联

15、网接入BI展现企业搜索协同办公基础数据库业务数据库分析数据库文件、视频、图片搜索服务ES敏感数据发现高性能国密动态脱敏高置信审计透明加解密PortalOALDAP/AD数据层CASB插件应用服务层展现层用户层锚点防绕过移动应用财务供应链生产计划车间MESDCS人力资源预算报销CRMPLC设备质量物流WMS.提取元数据识别身份一体化策略免改造代码17CASB插件版加密方案支持丰富数据库类型18传统“加密与访问控制”组合存在短板密文IAM策略中心明文用户端应用服务端数据库加密设备数据库非授权用户无法得到敏感数据明文（字段级）消除数据库端安全威胁敏感数据流经服务端时为明文数据库加密的密钥为一个密钥，

16、并且无法和权限体系结合（因为解密和权限是两个决策点），加密和细控的分离，带来了威胁敞口窃取数据会重复定义字段级安全策略，无法一体化19模式21-锚点解密的防绕过数据安全：威胁分析服务端直接窃取数据数据用户威胁分析数据在服务端可直接窃取，访问控制可以被绕过，同时审计置信度较低这既会带来数据威胁，也是对安全机制本身的破坏环境/约束条件数据是流动的，缺乏一个数据集中控制点模式威胁示例应用-数据库模式下，存在应用外数据访问，比如DBA窃取数据共享场景下的数据流转访问控制/审计网关安全管理员安全机制被绕过20模式21-锚点解密的防绕过数据安全：防护模型解法用加密构建一个数据的集中控制点，在该控制点进行细

17、控，并留存日志提供高置信度审计关联解法直接用访问控制和审计，但存在“马其诺防线”被绕过效果/注意点/副作用/局限性缺点是复杂数据加密后对计算有影响，因此需要结合业务使用，适用于重要数据参考案例企业应用CASB实现防绕过的安全机制后端无法解密数据数据用户结合数据加密的访问控制/审计网关安全管理员安全机制有效密文明文细粒度加密结合业务权限解密，防止安全机制被绕过身份认证SM2完整性SM3数据加密SM4以密码为核心、细控和审计等安全技术互相融合！21CASB插件版支持加密与脱敏一体化策略统统一一管管控控部部署署成成本本低低支支持持多多数数据据库库高高性性能能国国密密自自定定义义加加密密配配置置简简单

18、单对对应应用用透透明明用户只需在应用中进行模块的配置，重启服务即可完成安装加密模块对应用透明，不改变原运行机制，写入加密，读取解密提供友好界面，用户方便设置需要加密的数据库表中的字段本产品是一种通用的数据库加密产品，完全解耦数据库品牌国密高性能实现，对信息系统不造成加密延迟企业应用多、数据库多场景，可部署统一平台集中管理多应用系统由统一CASB平台管理，无需单独部署，降低成本应用查看脱敏后数据DBA工具查看脱敏数据应用看到密文（手机号采用FPE）DBA工具查看密文22TFE透明文件加密-逐文件逐密钥的静态数据加密应应用用程程序序1 1服务端密文通过在Windows/Linux驱动层安装TFE模

19、块，应用免改造实现存盘文件密文存储。TFE驱动模块与文件加密管理平台交互，获取加解密策略以及密钥。可指定要加密的文件夹，该文件夹（及其子文件夹）的文件在保存时被加密，也可选择全盘加密；可选择要授权的应用，通过白名单机制使应用正常访问；而未授权应用或者直接拷贝文件，只能读取密文文件。密钥生命周期管理平台统一进行加解密所使用密钥的管理工作。文件加密管理平台与密钥生命周期管理平台进行交互，获取加解密所使用的密钥。TFE DriverOS文件加密驱动层应应用用程程序序2 2应应用用程程序序3 3授权进程可读取文件明文密文文件下发加密策略密钥交互存储磁盘文件加密管理平台KLM平台密密钥钥交交互互TFET

20、FE可可以以独独立立部部署署，也也可可作作为为CASBCASB插插件件版版的的附附加加模模块块23“分布式加密、集中式管控”批量防护企业应用结构化数据非结构化数据云基础设施前台订票呼叫中心CRM系统OracleCASB管理平台维护和下发安全策略透明文件加密为文件提供高性能存储加密（非结构化）设施/IaaS中间件/PaaS应用用户访问用户*面向切面加密插件KLM提供统一密钥生命周期管理面向切面插件提供用户与字段级数据防护（结构化）*透明文件加密插件CASB数据审计与分析系统MySQLMongo3CASB插件版的技术优势25优势1：免开发改造应用，敏捷实施数据加密防护用用户户端端数据库Java/.

21、NET/PHP等应用服务数据安全防护管理平台数据库管理员数据操作与分析系统26优势2：结合身份解密细控，不改变用户操作习惯终端DLP保护离线的非结构化数据数据库安全产品防运维/防拔盘用户应用服务数据库运维人员边界安全产品提供网络基础防护，并衍生出网络流量分析等BeyondCorp保护网络接入，主体到人、客体到应用CASB从应用侧防护数据，主体到应用内用户、客体到字段文档级27优势3：密码控审一体化，内外威胁同时防密文消除应用侧安全威胁消除数据库侧安全威胁数据锚点解密强制细控非授权用户无法获取明文基于属性的访问控制（细粒度控制）字段级加密（每字段、每文件密钥不同）用户端CASB插件版应用服务端数

22、据库消息安全性等同于密钥安全性密钥安全性可扩大为消息安全性数据很大，但密钥很小将安全问题缩小到密钥管理问题将密钥管理与访问控制、审计结合，构建“防绕过”安全防线密码与访问控制、审计一体化的字段级安全策略数据发现分级分类数据加密(开放环境防护)数据审计检测风控访问控制(封闭环境防护)密码数据安全密码防护体系28优势4：业内高性能国密可等效替换AES，对业务不影响并行度某国密SSL实现查大表缓存攻击Intel常量时间炼石SM-NI常量时间815.59.68.67.5166.54.8*上表单位为Cycles/Byte，加密每字节所需的CPU时钟周期数，数值越低越好Intel专利炼石PCT专利35%1

23、3XXXXXXXXX基于SM4的保留格式加密（FPE）11位手机号仅耗时*单颗i9 CPU测试29CipherGateway-应用免改造的数据安全产品CASB插件版-用户与字段级加密细控，数据共享与安全兼得CASB代理网关版-业务上下文安全防护，增强应用的安全能力CASB公有云版-云端数据风险管控，增强对云的信任CipherSuite-高性能基础密码产品高性能服务器密码机、专业KLM密钥生命周期管理系统高效、安全、易用、场景覆盖全面的密码SDK愿景：数据时代的安全守护者使命：将安全适配进应用，让数据共享更有价值基于CASB与密码技术的新一代数据安全解决方案提供商，获多轮投资；创新CASB插件模

24、式免改造应用增强安全；PCT专利保护最快国密实现；团队精通密码工程化、应用重构优化，擅长应用安全增强与国密改造；关于我们北京炼石网络技术有限公司30炼石CASB支持数据安全和国密整改两大需求场景*GM/T 0054-2018三级应用和数据安全设备和计算安全网络和通信安全物理和环境安全应用要求内容炼石产品应用a)应使用密码技术对登录的用户进行身份标识和鉴别，实现身份鉴别信息的防截获、防假冒和防重用，保证应用系统用户身份的真实性；炼石CipherSuite可与重要信息系统集成，提供内建的国密能力，辅助身份认证，保护数据在传输态、存储态的安全性；炼石CASB可在不改造原有系统的前提下，为系统补足缺失

25、的国密能力，保护数据在传输态、存储态的安全性，提供基于ABAC的动态访问控制，并提供第三方防篡改的日志审计；炼石KLM提供必要的密钥管理功能。b)应使用密码技术的完整性功能来保证业务应用系统访问控制策略、数据库表访问控制信息和重要信息资源敏感标记等信息的完整性；c)应采用密码技术保证重要数据在传输过程中的机密性，包括但不限于鉴别数据、重要业务数据和重要用户信息等；d)应采用密码技术保证重要数据在存储过程中的机密性，包括但不限于鉴别数据、重要业务数据和重要用户信息等；e)应采用密码技术保证重要数据在传输过程中的完整性，包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和

26、重要用户信息等；f)应采用密码技术保证重要数据在存储过程中的完整性，包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要用户信息、重要可执行程序等；g)应使用密码技术的完整性功能来实现对日志记录完整性的保护；h)应采用密码技术对重要应用程序的加载和卸载进行安全控制；i)宜采用符合GM/T 0028的三级及以上密码模块或通过国家密码管理部门核准的硬件密码产品实现密码运算和密钥管理。数据安全密码防护体系数据发现、分级分类数据加密锚点解密访问控制动态脱敏审计追溯身份鉴别通信加密31炼石数据安全方案特点应用免改造ABDC合规/支持云防内外威胁业务不影响数据时代的安全守护者