4008916618
技术加码,加速赋能,中安星云数据库加密产品多技术融合版本发布
2023-06-05

近期,中安星云旗下数据库加密产品多技术融合版本DTE3000V5.0正式发布。融合版本发布后,该产品在数据库兼容性、应用场景和处理性能等方面得到了全面的提升。一直以来,中安星云依靠雄厚的技术实力和不懈的开拓精神,始终践行着“专注数据安全,护航数字经济”的企业使命。

2020年4月,中共中央、国务院发布了《关于构建更加完善的要素市场化配置体制机制的意见》,意见中明确将数据要素列为和土地、资本、技术、劳动力并列的五大生产要素之一。今年1月发布的《工业和信息化部等十六部门关于促进数据安全产业发展的指导意见》提出,到2025年,数据安全产业规模将超过1500亿元,年复合增长率超过30%。自此,数据安全行业进入了高质量快速发展期,同时也对数据安全技术提出了更高的要求。中国信息通信研究院发布的《数据安全技术与产业发展研究报告(2021年)》中指出,当前数据安全技术正处于快速发展阶段,技术领域不断细分,技术体系也在不断完善。报告中将数据安全技术分为基础安全技术、数据安全技术和数据安全技术应用三大层级,其中数据安全技术层是以数据为核心,围绕数据要素在全生命周期中的安全需求,对数据实施识别、变形、标记、计算等操作的技术集合,包括采集阶段的数据识别、分类分级标记,存储与应用阶段的加密、脱敏、去标识化,以及共享流通阶段的隐私计算、数据水印等。在数据安全领域,加密技术一般用于满足数据生命周期中的存储、应用、共享流通等环节的安全需求,同时需兼顾数据安全性与可用性的平衡。

中安星云作为一家专注于数据安全的高新技术企业,依托自主创新的技术和专利,基于可信计算和数据安全治理理念,从数据安全技术、数据安全服务、数据安全运营三个层面出发,形成了“数据全生命周期安全产品、场景化数据安全产品、数据安全综合治理和数据安全服务”三位一体的产品和服务体系。此次发布的数据库加密产品技术融合版本DTE3000V5.0,是中安星云结合了先前推出的基于后置代理加密技术的数据库加密V1.0版本、基于数据库自身TDE模块改造优化的数据库加密版本、以及基于文件系统加密技术的数据库加密版本,实现多种加密技术方案深度融合的综合全能型数据库加密产品,它能够兼容更多的数据库类型和部署方式,满足绝大部分数据库加密业务需求。

微信图片_20230522104827.png

多技术融合,优势互补

由于融合了多种数据库加密技术方案,DTE3000V5.0在设计时就重点考虑了不同方案间的优势互补,做到了在解决各方案技术短板的同时,还能够继承保留各方案的优势能力,如针对应用的透明加密、支持字段级粒度的加密策略、旁路无插件式部署等,真正实现了一种全场景通用的数据库加密方案。

技术提升,六大核心功能全面保障数据库安全

一、支持多种加密算法

DTE3000支持SM1、SM2、SM3、SM4国家商用密码高强标准加密算法,符合《中华人民共和国密码法》对商用密码的相关要求,同时还支持AES、3DES等国际加密算法,提供了高效的密码运算和加解密处理能力。在SM4、AES等对称加密场景中,DTE3000均采用GCM分组加密算法,充分保证了敏感数据的机密性、真实性和完整性。

二、数据库透明加密

DTE3000支持透明加密方式,能够做到在数据加密场景中应用系统、数据库等上层应用的无感知。对数据库而言,受DTE3000管理的加密存储空间与普通存储空间没有区别,能够确保数据的加解密操作对数据库服务透明,进而保留了数据库本身的一些功能特性,如主外键、索引的使用,全文检索,数据导入导出等。

三、三级密钥管理体系

DTE3000遵循了密钥和加密数据分离存储的设计原则,提供了独立于数据库系统之外的密钥管理体系,能够做到密钥不出设备,即使被入侵者拖库,数据依然安全。

DTE3000的密钥管理体系采用了三级密钥保护的设计方案,通过密钥加密密钥KEK、主密钥AMK和数据加密密钥DEK三重加密机制来保障密钥安全,防止密钥被破解和窃取。同时,DTE3000还提供了针对上述多种密钥的全生命周期管理能力。

四、细粒度访问控制

DTE3000提供了独立于数据库管理系统之外的数据库访问权限控制能力,能够要求数据库所有账户(包括特权账户)在访问敏感数据前均需通过DTE3000管理员的授权,从而防止因数据库用户的权限提升引起的数据泄露。

在数据库原有的权限控制基础上,通过配置规则来限制针对敏感数据的访问行为。这些规则的防护粒度可具体到字段级,且支持数据库账号、来源IP、访问时间、客户端工具等多种匹配条件。

五、支持多种高性能加密卡

DTE3000适配了多种高性能硬件加密卡,利用专有硬件来完成加解密运算,在释放系统自身计算资源的同时,还能获得更快的加解密处理能力。另外,系统还利用加密卡来生成和存储各级加密密钥,使得系统的密钥保护措施更加安全、可靠。

六、高可靠性

1.双机热备

DTE3000支持双机热备HA模式,防止主机故障、网络故障、程序故障引起的业务异常,确保数据库读写业务的稳定性。当系统出现故障时,能够自动识别和快速切换,且切换期间能够保证数据的一致性,避免数据损坏或丢失。

2.离线恢复工具

DTE3000还提供了用于应急恢复的离线数据恢复工具,当系统出现异常无法工作时,如掉电、网络断开等,可利用该工具对密文数据进行解密,恢复原始数据,防止发生因不能执行解密导致数据无法使用的情况。

微信图片_20230110100513.jpg

四大技术优势,满足数据库安全多种需求

一、良好的数据库兼容性

由于DTE3000融合了多种数据库加密方案,它具有良好的数据库扩展性,不依赖数据库自身的功能特性,也不依赖数据库协议解析,可扩展支持所有关系型数据库及常见的大数据组件(Hbase、Hive、ES等)。

二、应用透明

DTE3000在部署时,可做到不修改网络架构,不断开已有的网络连接。数据加密后对应用系统、数据库等上层应用透明,支持查询、插入、更新、删除等常见操作,也支持索引、约束、视图、触发器、存储过程、函数等功能特性。

三、高性能,低损耗

DTE3000拥有强悍的数据加解密处理性能,可达每秒2.5Gb。数据加密后读写访问时延,相较未加密情况下,性能损耗可控制在5%以内。

四、高容灾性

DTE3000的使用不会影响数据库自身的数据库恢复、备份、同步等操作。通过HA部署,可充分保障数据库业务的稳定性。离线数据恢复工具能够保证极端情况下的数据也能恢复到原始状态。

此次中安星云数据库加密DTE3000V5.0版本的发布,不仅是一款产品的自我蜕变,更是中安星云自身创新能力和研发能力的一次集中展示,未来,中安星云还将继续秉持可信、可靠、安全的经营理念,持续为用户提供更具价值的数据安全产品和服务。

中安星云是一家具有国资背景,旗下拥有北京研发中心、成都研发中心和数据安全研究院,分支覆盖华北、东北、华东、华南、华中和西部等省市地区。目前,中安星云已广泛服务了政府、电力、医疗、教育、金融和运营商等领域的千余家客户,以专业技术满足云、大数据、信创等领域的数据安全需求。