某省高速集团密码应用安全保障体系建设项目中,经过层层严苛筛选,最终敲定美创数据库加密DSC-NgTDE。这一决策背后,究竟隐藏着怎样的考量?本文将为您深度剖析🔍。
随着《密码法》全面贯彻实施,某省高速集团积极响应国家对信息系统密码应用的基本要求,秉持 “同步规划、同步建设、同步运行”的“三同步” 原则,启动省网收费中心系统密码应用安全保障体系建设项目。
该项目旨在通过采用合规的密码技术、模块及产品,全面满足物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全等多维度的密码应用指标要求,实现商用密码在实际业务中的深度应用,全方位提升省网收费中心系统的安全防护水平。
其中,为满足密评 “应用和数据安全” 模块的合规要求,一款高性能、零改造的数据库加密产品成为项目的刚性需求。
某省高速集团业务系统承载大量敏感业务数据和个人信息数据,涵盖ETC卡信息、用户信息、车辆信息、交易信息、财务报表等类型,数据安全防护无疑是本次项目的重点之一,面临以下两大核心需求:
密评合规:用户计划通过商用密码应用安全性评估;
数据安全防护:实现数据防拖库、防泄漏等数据安全防护效果。
DSC-NgTDE对某省高速集团重点业务系统数据库数据实施存储加密,满足密评存储层重要数据机密性和完整性相关要求,并从根源上解决敏感数据明文存储、缺乏合规保护导致的拖库风险,为数据安全构筑起坚实防线。
项目前期选型阶段,某省高速集团曾对其他厂商数据库加密产品进行测试,但因产品对应用服务器存在较强嵌入性,对业务运行造成影响,未能达到预期效果。
而美创在 POC 测试环节,凭借DSC-NgTDE对业务透明,对性能几乎无影响的显著优势,以及便捷的产品使用和管理体验,成功赢得客户技术团队的高度认可。
在产品实际交付与密评配合过程中,美创与密评机构、某省高速集团业务系统厂商展开紧密协作。通过深度沟通与专业分析,美创为用户量身定制加密方案,该方案在满足密评对存储机密性、数据完整性要求的同时,最大限度降低对业务侧的改造成本和性能影响,助力用户顺利通过密评机构评估,为项目画上圆满句号。
本次密改项目涉及到省高速集团数十个核心数据库加密产品部署,这些数据库类型丰富多样,包括Oracle、DB2、MongoDB、Mysql、TiDB等等。美创DSC-NgTDE强大的兼容性与适配性,实现了对不同类型数据库的有效覆盖,确保加密方案在各业务场景下稳定运行。
某省高速集团是美创数据库加密应用的典型标杆用户。在加密方案设计环节,我们针对用户各业务系统在性能与机密性上的差异化要求,制定并实施了灵活精准的加密策略:对机密性要求高、涉及重要敏感数据的系统,采用通用加密模式实现全面加密;对其他系统,则采用闪电加密模式,在保障数据安全的同时,确保系统性能最优。
在数据存储保护方面,DSC-NgTDE基于国家商用密码算法SM4对核心数据(如重要业务数据、用户隐私信息等)进行加密,保障数据在存储过程中的机密性与完整性,有效防范数据泄露、数据库拖库及篡改等风险。
此外,DSC-NgTDE符合《GM/T 0028-2014〈密码模块安全技术要求〉》标准相关要求,在客户核心业务区,通过透明加密技术对重要业务数据及个人隐私数据进行加密存储,并引入基于HMAC算法的数据完整性校验机制,进一步强化数据在静态存储阶段的安全防护能力。
这个项目从POC到最终部署交付验证,整个过程算是比较顺利的。当时的部署方式是这样的:
与单纯的产品部署不同,在这次项目交付过程中,我们需要与密评机构、高速集团各业务系统厂商多方协同合作,在确保满足密评要求的前提下,实现最小化业务改造、性能影响,目前DSC-NgTDE运行稳定,用户也顺利通过了密评。
美创数据安全一体化平台(DSC),以资产为中心、身份为边界、风险为界面,面对海量复杂资产、身份和事件,实施统一全域治理, 联动多种数据安全能力提供全域防护,引入可视化让资产、身份和风险可见,实现可看、可管、可控、可溯的数据安全管理。
平台架构图
DSC-NgTDE ,通过透明加密技术,无需改造业务应用,对存储的数据进行加密,确保数据存储机密性,防止数据泄漏。
· 细粒度加密:内置国际主流和 SM4 等多种国密算法,可自动推荐库、表、列等多种加密粒度的敏感数据范围。
· 增量加密:自动加密增量数据。
· 在线加密:存量数据加密时无需停机时间窗口,不额外占用磁盘空间。
· 海量数据加密:TB 数据在线秒级加密,业务性能影响控制在毫秒级。
· 自动解密:自动信任原有数据库进程,无需新建密文索引,海量数据可极速解密至数据库内存。
· 最小授权:实时监控、阻断非法访问,并提供基于工单的列级明文授权。
· 备份透明:支持自定义备份进程白名单,优先保障备份数据、同步数据的可用性。
· 支持多级、分层密钥管理体系。
· 密钥生命周期管理,包括密钥生成、分发、存储、使用、备份、更新、恢复等,保障密钥安全。
浙公网安备 33010502006954号 
