当前，数据作为新型生产要素，正快速融入经济社会的方方面面。数据安全是保障数据要素资产有序开发利用，促进数字经济健康发展的关键，如果相关数据受到未经授权的访问、篡改、泄漏或破坏，将会对个人、组织和国家造成严重的损失。习近平总书记强调，要加强关键信息基础设施安全保护，强化国家关键数据资源保护能力，增强数据安全预警和溯源能力，党的二十大报告也对强化网络、数据等安全保障体系建设作出了明确部署。

保障数据安全的主要技术能力有数据分类分级，加密，审计，脱敏，访问控制等，其中数据加密作为数据安全防护的最后一公里，更是数据安全防护体系里的重中之重！

《中华人民共和国数据安全法》第三条，关于数据安全的官方定义，是指通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力。简言之是指保护数据不被非法、未经授权的访问、使用、修改、破坏或泄露的一系列措施和技术。

数据安全包括安全策略和过程的规划、建立与执行，为数据和信息资产提供正确的身份验证、授权、访问和审计。虽然数据安全的详细情况因行业和国家有所不同，但是数据安全的目标是相同的，即根据隐私和保密法规、合同协议和业务要求来保护信息资产。

当前数据库数据存储面临的安全风险主要表现为以下几个方面：

1.内部访问风险：有70%的数据库威胁是来自内部，如DBA、数据库开发人员、操作人员等；容易出现权限滥用、误操作、弱口令等问题，给管理带来了很大困难，更加无法进行有效的记录和预警。

2.外部访问风险：有30%的数据库威胁是来自外部，互联网访问者、外包人员通过互联网途径访问；容易出现越权操作、恶意访问、账号密码泄露等问题。甚至容易被黑客攻击，如SQL注入、零日攻击等，同样给管理带来了很大的难度。

3.传统安全防护手段欠缺：面对层出不穷的未知安全漏洞和高级入侵手段，传统技术手段组成的网络安全防御体系逐渐成为摆设。面对内部访问威胁，传统技术手段也无法有效控制或管理、告警。

4.数据存储合规要求：目前国内及国际的标准、法律法规都要求数据存储加密，这其中包括《网络安全法》、《网络安全等级保护》、《工业和信息化部关于近期部分互联网站信息泄漏事件的通告》等。

数据加密是防止数据库中的数据在存储或传输过程中被窃取的有效手段，它利用密码技术对信息进行加密，实现信息屏蔽，从而起到保护信息安全的作用。对数据库中的数据进行加密，可以防止数据在存储和传输过程中失密。

近日，中华人民共和国工业和信息化部发布2023年工业和信息化领域数据安全典型案例名单，由中国联合网络通信有限公司山东省分公司牵头、重庆数达信息安全技术有限公司联合申报的“数据脱敏类—敏感数据全场景安全脱敏实践”、“数据加密类—结构化数据高性能透明加密应用实践”两个项目成功入选该案例名单，印证了数达安全在数据安全领域领先技术优势和创新实力。

数达安全数据库加密系统

它是以加密算法保护数据库内的敏感数据。系统基于对数据库内核和存储文件结构的深入研究与分析，开发了字段级和表空间级加密引擎，使得敏感数据文件在落盘存储时可以按照产品设置的算法加密存储，同时该专用加密存储引擎还提供了独特的解密权限增强访问控制技术，可以有效控制数据库用户访问加密数据时的解密权限。

一. 产品功能

1.敏感数据发现：通过敏感数据扫描功能，可以识别多达上百种敏感数据，为数据库加密操作提供有意义的参考。

2.字段加密：可根据实际需求选择对敏感的字段进行加密，敏感字段以明文的方式在硬盘上保存。

3.表空间加密：将敏感字段所在表的表空间文件进行加密，保证数据库内部敏感数据的安全。

4.透明加密：无需改造应用系统，部署后可立即使用。

5.密钥管理：提供完善的密钥管理和保护机制，采用多级密钥管理方式。

6.密文索引：采用字段型加密时，系统提供专利的密文索引技术。

7.过程数据保护：加解密完成前作备份保护处理，保障原始数据的绝对安全。

8.增强访问控制：系统提供独立的加密解密的权限管理，从而降低数据库超级管理员权限过高造成的泄密风险。

9.双机热备：加密引擎可同时与两个旁路加密管理机通信，数据源引擎、参数配置与密钥均可以同步互备，确保整体系统的高可用性。

10.三权分立：根据等级保护等相关评测要求，系统设置安全员、审计员、系统管理员三种角色。

11.双因子认证：系统实现基于账号、手机应用程序和基于时间的动态码的多种要素的身份认证。

二. 产品优势

1.高性能：字段型加密方法可以提供近似于加密前的查询效率，表空间型加密提供接接近于加密前的读写性能，使得应用在访问数据库时基本透明无感。

2.高可靠性：

高可靠的工控设备，支持双机热备，确保运行可靠；

完善的密钥管理和备份机制，确保加密数据可以可靠的解密；

对于加解密过程数据的完善保护确保了原始数据的安全。

3.易用性：

加解密过程对应用程序访问过程完全透明，无需客户端做任何改动，最小化对其它系统的影响；

提供基于浏览器的简单、友好、便捷的操作界面；

支持多用户并发访问，支持数据的同步，支持事务机制。

4. 强大的兼容性：产品具有良好的兼容性，支持国内市场上主流的操作系统和数据库系统。

三. 典型部署

1.软加密部署：采用软件加密部署时，加密功能由软件实现。加解密发生在数据服务器上，由安装到数据库服务器上的加密函数完成。主密钥、工作密钥都保存在加密管理机中，密钥由加密管理机生成。

2.硬加密部署：采用硬件加密部署时，加密功能由硬件实现。加解密发生在硬件加密机上，由安装在数据库服务器上的加密插件调用。主密钥、工作密钥都保存在加密机中，密钥由加密机的硬件随机数发生器生成。

四. 产品价值

1.满足合规要求：通过部署数据库加密系统，可以轻松满足密评、等保、网安法、数安法、关键基础设施保护条例等国家级法律法规要求，也可以轻松满足电信行业、医疗卫生行业、政府行业等各种行业数据安全要求。

2.提升数据安全治理能力：数据库到应用系统这一段是信息安全的最后一公里，也是最后一道防线，涉及的是最直接的敏感数据安全管理，直接关系到敏感数据的安全。数据库透明加密系统通过控制加解密的权限，降低DBA权限过高造成的泄密风险，从而增强了数据库的安全性，完善了数据的纵深防御体系，提升了整体安全治理能力。

3.提升经济效益：信息系统最有价值的资产为数据，数据也是攻击者想偷窥、篡改、甚至删除的终极目标。核心数据被侵犯轻者导致业务中断，重者导致泄密和篡改，会造成严重的经济损失，并且严重影响企业的声誉乃至生存。本系统通过加密措施保护敏感数据的安全，且提供不同粒度的加密策略，实现降本增效，提升经济效益。