国家级|美创、徐医附院共建项目入选工信部《2024年网络安全技术应用典型案例拟支持项目名单》
2024-12-20
全球数据跨境流动合作倡议
2024-11-22
世界互联网大会|美创数据库保险箱(DBSafe)发布!
2024-11-21
世界互联网大会|美创数据认知与分类分级系统(AICogniSort)重磅发布!
2024-11-21
美创案例|盐城公积金管理中心数据安全创新实践
2024-11-15
存储域
数据库加密 诺亚防勒索访问域
数据库防水坝 数据库防火墙 数据库安全审计 动态脱敏流动域
静态脱敏 数据水印 API安全 医疗防统方运维服务
数据库运维服务 中间件运维服务 国产信创改造服务 驻场运维服务 供数服务安全咨询服务
数据出境安全治理服务 数据安全能力评估认证服务 数据安全风险评估服务 数据安全治理咨询服务 数据分类分级咨询服务 个人信息风险评估服务 数据安全检查服务
2020-2023年汽车行业安全攻击超过280万次
大型车企
某大型车企作为一家国有企业、汽车制造业的领军企业,已建设整车合格证系统、一卡通系统、制造品质信息系统等20多个重要业务系统。拥有数百个重要数据库,存储了大量用户隐私数据,为防止敏感数据的泄露、遵循数据安全合规要求,明确要求快速建设加密系统,实现数据存储机密性安全保障。
背景&需求
本案例项目需要进行存储加密保障的重要数据库近200个,其中多以主从、集群模式部署在云平台,数据库环境相对复杂,且存储了海量的数据。
对数据加密有明确的诉求:
1、 实现数据加密存储;
2、 加密产品部署无需改造业务应用及数据库程序代码;
3、 要求数据加解密过程无感知、对业务性能无影响;
4、 数据存储安全保障,防止非原生数据库的访问行为产生的数据拖库风险;
5、 海量数据快速加解密;
数据透明加解密“四折叠”
为响应该车企对数据加密的需求,美创采用业务透明、数据存储加密、存储安全保障、密钥安全管理的“四折叠”存储层数据透明加解密方案,实现加密能力全库覆盖。
产品部署图
业务透明
·业务无改造
美创提供存储层透明加解密方案,选用旁路部署方式,在该车企的数据库服务器上安装轻量级的加密服务模块,标配使用美创新一代 数据安全管理平台(DSC)的云平台(点击了解更多)集中管理管理加密资产、策略配置、事件处置响应等。业务程序无需改变任何业务逻辑,即可实现自动加解密数据。
·数据库索引透明
项目方案采用存储层加密机制,安全管理和信息科室人员无需针对字段存储的长度、存储的类型进行变更,即无需改变数据库索引,对索引完全透明。
数据存储加密
·数据加密存储
该车企的数据库众多,且存储在不同的介质中。美创采用透明数据加密技术,自动检测数据文件存储路径,可灵活选择国际/国密算法,对写入磁盘的数据进行自动加密,实现对数据落盘加密存储,整个加密过程自动进行、速度快、对于业务完全无感知。
目前,美创提供多种存储层透明加密模式,不同数据库可根据客户环境和客户实际诉求进行的灵活选择。
·主从复制,密文自动同步
该车企的 MySQL 数据库为主从部署模式,方案以 MySQL 主从拓扑的自动检测能力,实现从机的自动解密。当检测到其中两个数据库资产为主从关系时,主库的密钥和加解密策略会自动同步至从库,实现从机在数据访问时的自动解密。
存储安全保障
为了解决该车企运维人员众多、权责分离不清晰而导致的数据访问风险,美创在透明加解密的基础上,新增进程识别和访问控制机制,实现对一切非法访问的阻断。
存储安全保障机制
密钥安全管理
本项目还引入主密钥机制,重点对密钥进行安全管理。采用主密钥加密工作密钥,形成加密密钥,此外还提供密钥备份、密钥更新、密钥恢复能力。
重点收益
·透明加密敏感数据,零感知、免泄漏
本数据透明加密项目做到了不改造业务程序代码、不改变数据库设计、加解密流程对业务访问无影响和索引透明,为该车企20多个业务系统涉及的近200个数据库的敏感数据进行全面加密和安全保护。在多起攻击事件中及时阻断了入侵者访问、获取敏感数据,有效管理运维人员越权访问。在数据库物理文件和备份文件失窃的情况下,也做到了保证敏感数据的安全性。
·满足安全合规要求
满足网络安全法、数据安全法、信息安全等级保护、个人信息安全规范等对于敏感数据加密的要求。
其他应用场景
场景一:密评、国密改造
银行、政府用户需要过密评或进行国密改造,如关键信息基础设施、等保三级以上等系统,每年至少需进行一次密评。
场景二:数据上云存储安全
数据存储依赖第三方,如医疗Pacs上云、各类云化,防止第三方运维人员越权操作。
场景三:第三方数据共享交换
如银行数据共享至第三方企业,经常检查第三方的数据安全管控措施,对数据接收方的数据存储安全措施有要求。