数字经济时代,数据作为核心生产要素,实现数据保密性、完整性、可用性的保护至关重要,随着我国数据安全法律规范体系逐步完善,《数据安全法》、《个人信息保护法》相继出台,利用相关技术手段实现数据安全防护水平能力提升,是各行业信息安全建设的重要任务,在这其中,对数据进行加密存储是重要的解题方式之一:
一方面,数据加密存储满足安全业务诉求:
利用合规的密码技术对数据库中的敏感数据进行加密,能有效解决数据库敏感数据泄漏问题,如防止明文存储风险、外部黑客拖库、内部高权限用户数据窃取、缺乏数据销毁机制引发的数据泄漏等。
另一方面,数据加密存储符合安全合规要求:
1.《网络安全法中》要求“采取数据分类、重要数据备份和加密等措施”;
2.《密码法》要求“关键信息基础设施的运营者应当使用商用密码进行保护,委托商用密码检测机构开展商用密码应用安全性评估”;
3.《商用密码应用安全性评估管理办法(试行)》要求关键信息基础设施、网络安全等级保护第三级及以上信息系统,每年至少评估一次。
4.GB/T 39786—2021《信息安全技术信息系统密码应用基本要求》在“应用和数据安全”中明确:“宜采用密码技术保证信息系统应用的重要数据在存储过程中的机密性和完整性”;
5. 等级保护第三级安全要求明确“应支持云服务客户部署密钥管理解决方案,保证云服务客户自行实现数据的加解密过程。”
·······
中国密码学会密评联委会发布的《信息系统密码应用高风险判定指引》中指出,“重要数据存储机密性中面临的安全问题可能引发高等级安全风险,且无缓解措施可替代”;《商用密码应用安全性评估量化评估规则》测评指标权重表中,“应用和数据安全层面共计30分,其中重要数据存储机密性权重为1,仅单项占分就达4分”;中国人民银行颁发140号文《金融领域信息系统国产密码改造基线要求》和《金融领域国产密码改造评价指标体系》也均明确“通过密码技术实现基本保护对象的加密存储保护”。
应用现状
毫无疑问,外防拖库、内防越权、遵从合规,存储加密发挥重要作用,但组织单位在落地存储加密技术时常常会因为以下问题考量犹豫不前:
1.市面上大多数数据存储加密技术实施复杂,是否涉及业务系统改造?
2.存储加密技术实施后,是否影响业务系统对数据库系统的访问,造成严重的性能损耗?
3.所采用加密产品是否获得商用密码产品认证,满足密评密改要求?
美创数据库透明加密系统
应用完全透明、密文高效访问、安全合规遵从
美创科技自主研发的数据库透明加密系统,是一款基于透明加密技术的安全加密产品,该产品能够有效解决数据库敏感数据泄漏问题,具备数据高度安全、应用完全透明、密文高效访问等技术特点,同时产品获得商用密码产品认证证书,可满足等保2.0以及商用密码应用安全性评估的对应用和数据机密性和完整性保护的合规要求。
美创数据库透明加密系统能够实现对存量、增量敏感数据的密文存储。产品支持闪电加密、通用加密、原生加密三种加密模式,并支持业务在线加密场景,用户可根据实际业务需求进行灵活加密,包括敏感数据表、列等不同细粒度的数据加密,同时加密系统能够提供细粒度的明文、密文访问权限管控措施、运维行为审计等功能。
目前产品已支持达梦、神通、瀚高等国产数据库,Oracle、MySQL、SQL Server、PostgreSQL、DB2、Elasticsearch、Hive等主流数据库的存储加密能力。
数据库透明加密产品特点及优势
一.无需改变应用,业务透明访问
1、无需改变任何业务逻辑、业务代码,即部署过程对应用完全透明;
2、业务程序访问加密数据时,对加解密过程无感知,即对业务访问过程完全透明;
3、透明加密无需改变数据库索引策略、数据库Schema设计结构,保证业务程序性能几乎零损伤
二.不中断业务,性能损耗低
1、创新的闪电加密模式,无需业务停机,保障业务连续性,实现快速加解密;
2、区别于逻辑层的加密方式,透明加密采用内核级别加密方式,加密后的数据不产生额外存储容量消耗。
三.满足商密合规要求
1、支持国产SM4密码算法,3DES、AES128、AES192、AES256等国际标准算法;
2、支持对接加密卡、第三方加密平台;
3、具有国家密码管理局商用密码检测中心颁发的《商用密码产品认证证书》。
应用实践
某省高速公路联网运营有限公司
背景:随着该省高速公路通车里程的不断增加,以ETC电子不停车收费基础设施为代表的信息系统逐渐成为高速公路运营管理的重要手段。这一过程中,收费业务数据、收费监控图像、及系统运行参数等海量数据随之产生。收费管理系统涉及大量的资金往来数据,因此数据安全建设至关重要。为进一步保护数据安全,提升整体数据安全防护水平,具体需求如下:
方案:美创数据库透明加密采用存储层加密,被加密的数据以密文的形态存储在磁盘上,在缺乏密钥的情况下即使数据库文件失窃也不会导致敏感数据泄露。数据库透明加密在字段层面支持对各种常用数据类型,如CHAR、VARCHAR2、VARCHAR、RAW、LOB、NUMBER、DATE等,同时支持表、列等级别加密。在应用中,为了有效保证数据的安全性,防止相同数据的加密结果一致,同时也能保障加密数据的结果更加随机化。
目前数据库透明加密系统已在政府、金融、医疗、交通等行业中应用,守护数据安全防线的最后一公里。
浙公网安备 33010502006954号 
