为贯彻落实《中华人民共和国数据安全法》《工业和信息化领域数据安全管理办法(试行)》《工业和信息化部等十六部门关于促进数据安全产业发展的指导意见》,充分挖掘工业和信息化领域数据安全防护典型经验做法,切实提升行业数据安全保障水平,工业和信息化部组织开展了2023年工业和信息化领域数据安全典型案例遴选工作。此次典型案例遴选经申报推荐、形式审查、专业初审、专家评审和网上公示,在全国300余项申报方案中挖掘出38项电信和互联网领域广泛认可、企业应用效果良好的典型案例,为指导工信领域数据处理者提高数据安全防护能力,促进数据安全技术、产品和服务产业化应用提供了重要参考。
数达安全「结构化数据高性能透明加密应用实践」解决方案,凭借以数据加密为核心的数据安全全面建设能力,成功入选2023年工业和信息化领域数据安全典型案例。同期入选的优秀案例还有数达安全「敏感数据全场景安全脱敏实践」。
下面通过「结构化数据高性能透明加密应用实践」的分享,看数达安全如何使用高性能结构化加密技术,实现对重要核心数据的加密防护,满足对标对表的合规要求!
1、方案背景
某运营商公司一直以来十分重视数据安全能力建设和考核响应。自《网络安全法》《数据安全法》以及两部委考核要求等法律法规颁布以来,一直努力完善自身网络安全防护水平和数据安全防护水平,建立了以网络边界防护、日志审计和文档加密,数据防泄漏产品在内的一系列防护手段。但由于数据安全保护面临的形势与网络安全有极大的不同,以及受数据安全供应侧缺乏成熟供应源的影响,在本方案建设前该公司虽然建设了包括数据操作行为审计在内的部分数据安全防护能力,取得了不错效果,但是存在一个明显的短板就是缺乏对重要核心数据的加密防护。这不仅是对标对表的合规短板,也是客观存在的重大风险点。
2、整体架构
本方案以数据安全能力的全面建设为重要内容,以结构化数据的透明加密为主要目的。针对数据库明文存储导致数据泄露风险较大的重大风险点,通过高性能结构化数据加密的应用,实现了OSS域4个业务系统所有敏感业务数据的针对性加密,并通过加密实现了特权账号的分权管理,从源头上消除了特权账号带来的安全风险。
本方案采用的高性能结构化数据加密系统,按照功能的不同可分为管理区、工作区、数据区和备份区四个部分。产品架构如下图所示。
3、主要建设内容
本方案的主要内容是对业务系统数据库进行加密能力建设,主要涉及敏感数据发现、数据透明加密、密钥管理、密文索引、过程数据保护、特权账号的分权管理等方面。
(1)敏感数据发现
通过对敏感数据进行扫描,自动识别上百种敏感数据,也可以导入现有的资产梳理和分类分级清单,为数据库加密操作提供依据。
(2)数据透明加密
字段型加密和表空间型加密两种方式,实现纯透明加密。建设前,敏感字段以明文的方式在硬盘上保存,当发生拔硬盘、下载复制数据库文件攻击时,存在极大泄露风险。建设后,数据存储文件被分块加密后保存于硬盘上。即使数据库文件被非法复制或者存储文件丢失,也不会导致敏感数据泄露。同时,应用系统无需改造,不需要做任何修改和编译,就能直接连接和访问加密后的数据库。运维人员和应用系统的用户对于加密前后感受都是零区别。
(3)高性能加密
基于OS内核态驱动技术,实现高效的加解密性能。对性能的综合影响低于1%,基本不影响现有系统的性能。
(4)密钥管理
采用多级密钥管理技术,所有的工作密钥做二次加密处理,能够根据实际的合规和业务需求灵活选择配置。密钥异地生成并保存在加密机上,在数据库本地不保存,以防止数据库服务器硬盘丢失连同密钥一起丢失的风险。可在产品中设置多个密钥灾备服务器并自动备份密钥,以确保密钥的安全可靠存储。
(5)密文索引
使用先进的密文索引技术,借助数据库自身的索引机制为密文建立起索引结构。密文索引避免了操作数据时的全表解密,安全性和性能很高,同时避免加密导致的性能大幅降低。
(6)过程数据保护
在加解密过程中,对每一个加解密的数据块单元,均在加解密完成前做备份保护处理,以确保在加解密任务执行发生意外时,支持数据双向回滚,从而保障原始数据的绝对安全。
(7)增强身份验证和分权管理
提供独立的加密解密的权限管理,只有同时经过数据库自身和加密系统联合授权的账号才能对敏感数据进行加密和解密和查看。防止DBA或高权限账号密码泄露导致的数据泄漏和破坏,从根本上消除由特权账号权限过高造成的泄密风险。
4、方案优势
• 多层次加密策略
提高了数据的安全性和可管理性,为数据提供更灵活的保护。
• 安全审计和日志记录
对数据加密解密过程进行全面审计和追溯。
• 高度可扩展性
系统能够适应不同规模和负载的需求,确保系统的稳定性和性能。
• 极高的用户友好性
加密和解密操作被尽量简化,对用户来说几乎是透明的,不需要额外的培训或操作。降低了使用门槛,提高了系统的可用性。
• 性能优化
通过并行计算、高效的密钥管理和缓存机制,保证了系统的可用性和响应速度。
5、实施成果
该运营商公司已完成上述能力的建设部署,实现了数据隐私保护、合规性满足、数据传输安全、数据完整性保护和用户信任维护等方面的效益。高性能结构化加密系统累计识别3725项数据表、21336个数据字段,设定了50余个数据加密策略,实现了对敏感数据存储机密性和完整性的保护。数据高性能透明加密解决方案成为日常运维管理和数据安全的有力助手,成功构建了可见、可管、可控的终端安全防线。
目前,云南移动、山东联通、贵州联通等越来越多的运营商公司开始采用我司的数据安全解决方案,投入测试或用于解决实际业务中的数安问题,充分凸显了数达安全在运营商行业的方案价值与技术优势。数达安全凭借深厚的技术积累和行业优势,正助力运营商用户构建一套完整的数据安全防护能力体系,从容面对数据安全风险与威胁,全面支撑运营商数字化建设!
案例回顾:2023年工信部数据安全典型案例 数达安全「敏感数据全场景安全脱敏实践」
