随着網際網路技術的興起和繁榮,以資料庫為代表的資訊安全已成為很多企業的共識。《網絡安全法》《資訊安全等級保護》等法律也都對資料安全保護設定了明确條款,并對資料存儲加密提出了具體要求。例如,達到等保三級及以上級别的系統,其鑒權資訊(如使用者名和密碼)及核心業務資料均需實行加密存儲。
在“動态資料安全,資料全生命周期管控”的理念下,需在資料全生命周期的各個重要環節建立防護,組成多層聯合防護體系。資料庫加密是多層防護體系中最核心的一層,基于主動防禦機制,通過對資料加密存儲,可有效防止内部違規操作下載下傳或複制資料庫檔案、以及直接分析資料檔案導緻的資料洩露;可以應對外部黑客拖庫攻擊,未被授權的加密敏感資訊不會被洩露;可以通過增強的通路控制,讓DBA或者高權限賬号無法獲得明文的敏感資料。
PART 1
資料庫加密既要滿足合規要求,又要滿足使用者的業務需求。
1
合規要求
敏感資料加密存儲
秘鑰單獨存儲和管理
支援國密算法
增強的通路控制,無權限不能通路明文資料
2
業務需求
業務系統改動少或者業務系統無需改造
存量資料加密
保證加密資料不丢失
PART 2
資料庫加密理論上可以有多種技術實作方式,目前業内資料庫加密采用比較廣泛的方式是資料庫原生加密和應用改造加密,明朝萬達的資料庫加密同時支援這兩種方式。
1
資料庫原生TDE加密
采用資料庫自身的TDE加密功能,資料庫加密後對外部保持透明特性,支援查詢、插入、更新、删除等操作、支援SQL語句通路、存儲過程、觸發器、使用者自定義函數、主鍵、外鍵、各種限制等特性,支援密文索引。資料庫運維工具及通用的SQL語句、存儲過程、開發接口完全透明通路,無需任何改造。
明朝萬達資料庫原生TDE加密可以支援的加密方式有以下三種:
▷ 庫級加密:整個資料庫作為一個加密機關,使用統一的加密算法和資料加密密鑰。
▷ 表空間級加密:以表為加密機關,也可以多個表合并為一個空間組作為一個加密機關,每一個表(或者一個表空間組)使用一個資料加密密鑰和加密算法。
▷ 列級加密:以資料列為加密機關,每一列有自己的資料加密密鑰和加密算法。
資料庫原生TDE加密的一個效果是對資料存儲檔案做了加密處理。直接檢視加密前的資料存儲檔案,能看到明文資訊,敏感資訊容易洩露;加密後的資料存儲檔案,就不能直接看到明文資訊。這樣即使檔案被洩露也不會引起敏感資料洩露。
資料庫原生TDE加密的另外一個效果是對應用透明,即原來的業務系統直接通路資料庫,加密與否是無感覺的。是以需要通過增強的通路控制機制,防止無權限通路敏感資料行為。明朝萬達資料庫原生TDE加密通過動态脫敏代理服務方式,實作增強的通路控制機制。
2
應用改造加密
應用改造加密需改造應用系統,由應用系統自主調用加密引擎接口實作對資料的加密和解密。
明朝萬達資料庫加密通過建立資料加密任務,針對資料庫中的存量敏感資料完成加密,這是一次性工作。
▷ 資料加密:業務系統先調用加密系統接口,實作對明文資料加密,最後由業務系統存入資料庫中;
▷ 資料解密:業務系統從資料庫中讀取到密文資料,然後調用加密系統接口,得到明文資料。
明朝萬達資料庫加密支援保真加密,這樣能讓業務系統某些查詢業務不需要改造;支援和第三方加密卡內建,實作一些硬加密算法,例如SM1國密算法,滿足密評要求。同時,資料庫運維人員直接通路資料庫檢視到的是加密後的密文資料,可以達到防止敏感資料洩露目的。
明朝萬達應用改造加密通過任務訂閱模式對外開放資料加密和解密能力。
可以根據不同的加解密需求,訂閱不同的引擎任務,每一個引擎任務有獨立的http ret 調用接口,同時提供單獨的sdk調用內建包下載下傳。使用者業務應用系統可以通過調用引擎任務的ret接口或者內建sdk調用接口,實作單純的資料加密和解密處理。系統可以挂載硬體加密卡或加密機,實作硬體加密算法例如SM1國密算法的內建。
加密引擎接口的資料結構可配置成和業務系統的資料庫表和字段一樣的結構,業務系統隻需要在資料庫jdbc接口調用的地方,插入調用加密引擎接口實作資料加密解密,不需要調整原有應用功能的業務邏輯,達到對應用系統改造最小化的目的。