2017上半年,安華金和推出國內(nèi)首款MySQL TDE數(shù)據(jù)庫加密產(chǎn)品,采用數(shù)據(jù)庫引擎代碼改造技術(shù),通過替換原生MySQL中的執(zhí)行文件mysqld,實現(xiàn)數(shù)據(jù)在存儲層的加、解密功能,還能避免以往加密過程中數(shù)據(jù)庫文件導(dǎo)入導(dǎo)出的繁瑣程序,最大程度減少性能損失。
國內(nèi)數(shù)據(jù)庫安全領(lǐng)域在MySQL加密技術(shù)上常年空白,安華金和MySQL加密產(chǎn)品也是在收集調(diào)研了多個行業(yè)用戶的需求后,推出市場的,這一投石問路的創(chuàng)新之舉立刻吸引了眾多用戶關(guān)注,目前,安華金和已為政府、人社、教育、企業(yè)等多行業(yè)多個用戶完成MySQL TDE加密產(chǎn)品的成功部署,無論從加密效果還是性能影響上,首次發(fā)布的MySQL TDE加密產(chǎn)品均表現(xiàn)不俗,以案例充分體現(xiàn)產(chǎn)品價值。本文,以其中某教委用戶的MySQL加密項目為例,呈現(xiàn)MySQL TDE數(shù)據(jù)庫加密在實際應(yīng)用場景下的價值體現(xiàn)。
項目背景
隨著數(shù)據(jù)泄露事件全球范圍內(nèi)的頻繁爆發(fā),近些年每到年終泄露事件大盤點的時候,總能看到教育行業(yè)的影子。而在國內(nèi),近些年教育行業(yè)已經(jīng)發(fā)生多起數(shù)據(jù)庫泄露事件,案件相關(guān)人員隱私權(quán)益遭到嚴(yán)重?fù)p害,甚至危及生命健康,教育相關(guān)單位的聲譽受到嚴(yán)重挑戰(zhàn)。也正是因此,社會、各類院校、教育機構(gòu)、學(xué)生家長等對于教育行業(yè)的信息安全建設(shè)傾注了更多的關(guān)注,數(shù)據(jù)保護方面的安全教育也因此得到明顯的提升。與此同時,犯罪分子的也開始不斷提升作案手段,通過非法攻擊、違規(guī)操作等一系列手段竊取教育系統(tǒng)數(shù)據(jù)庫里的敏感數(shù)據(jù),頻頻發(fā)生的拖庫、刷庫現(xiàn)象使得教育行業(yè)的數(shù)據(jù)庫系統(tǒng)遭受嚴(yán)重的安全威脅。
某教委當(dāng)前業(yè)務(wù)系統(tǒng)中的核心業(yè)務(wù)數(shù)據(jù)需要進行安全保護,該教委業(yè)務(wù)系統(tǒng)采用了MySQL數(shù)據(jù)庫系統(tǒng),其作為某地方教育資源基礎(chǔ)設(shè)施,存儲了大量核心教育信息,擁有大量敏感數(shù)據(jù)。一旦數(shù)據(jù)丟失或被篡改,將對社會公共秩序造成較為嚴(yán)重的損害,因此該教委認(rèn)為數(shù)據(jù)安全的整體保障勢在必行。
用戶需求
該教委用戶對于本項目重點提出了兩大安全防護需求和業(yè)務(wù)正常運營需求:
1、操作管控需求
防止和限制數(shù)據(jù)庫管理員對數(shù)據(jù)庫的風(fēng)險操作及高危操作;
防止第三方運維人員對生產(chǎn)數(shù)據(jù)庫批量導(dǎo)出操作;
管理第三方數(shù)據(jù)分析員對數(shù)據(jù)庫的越權(quán)操作;
2、數(shù)據(jù)防泄漏需求
防止突破邊界防護的外部黑客攻擊;防止明文存儲引起的數(shù)據(jù)泄密;防止內(nèi)部高權(quán)限用戶的數(shù)據(jù)竊取,從根源上防止敏感數(shù)據(jù)泄漏的行為。
3、系統(tǒng)穩(wěn)定運行需求
保證數(shù)據(jù)安全的同時,確保業(yè)務(wù)系統(tǒng)無需進行改造,功能不受影響,性能損耗小,并可以持續(xù)在線運行,備份恢復(fù)等日志維護工作依然可正常進行。
解決方案
結(jié)合該項目提出的上述安全需求,安華金和從存儲層、數(shù)據(jù)庫訪問層、應(yīng)用訪問層三個層面對數(shù)據(jù)庫面臨的安全威脅進行分析,以該教委業(yè)務(wù)系統(tǒng)中的敏感數(shù)據(jù)的主動預(yù)防為目標(biāo),對教委核心數(shù)據(jù)庫部署了MySQL TDE加密產(chǎn)品,從而針對其教師檔案管理系統(tǒng)等數(shù)據(jù)庫中的核心數(shù)據(jù)安全進行防范,通過數(shù)據(jù)存儲加密、獨立的權(quán)限控制、三權(quán)分立、應(yīng)用安全訪問等核心能力,主動預(yù)防來自于內(nèi)部維護人員、第三方合作人員、內(nèi)部工作人員的各種數(shù)據(jù)竊取行為,將對數(shù)據(jù)庫系統(tǒng)進行有效地安全加固,彌補當(dāng)前教委業(yè)務(wù)系統(tǒng)數(shù)據(jù)庫安全“短板”。
網(wǎng)絡(luò)拓?fù)鋱D
通過在數(shù)據(jù)庫存儲層進行數(shù)據(jù)加密處理,MySQL TDE加密產(chǎn)品實現(xiàn)了即使數(shù)據(jù)遭到盜取也無法解密的效果,從根源上解決數(shù)據(jù)泄露問題。
客戶價值
總結(jié)下來,具體客戶價值如下:
1、完善核心系統(tǒng)的操作管控
針對該教委的業(yè)務(wù)系統(tǒng)進行數(shù)據(jù)庫加密,防范“越權(quán)使用、權(quán)限濫用、權(quán)限盜用”等安全威脅;將內(nèi)部高權(quán)限人員的風(fēng)險操作、高危操作、越權(quán)操作、批量操作進行有效的管理,其中,客戶端IP訪問控制和應(yīng)用關(guān)聯(lián)控制兩個功能點,實現(xiàn)細(xì)粒度的訪問對象識別,增強針對應(yīng)用側(cè)的權(quán)限控制能力。
2、實現(xiàn)數(shù)據(jù)加密存儲
防止該教委數(shù)據(jù)庫系統(tǒng)內(nèi)的數(shù)據(jù)明文存儲,不法分子通過拷貝數(shù)據(jù)文件引起的批量泄密。
3、三權(quán)分立
防高權(quán)限用戶導(dǎo)出數(shù)據(jù),防黑客安全攻擊進行拖庫,對不同列使用不同密鑰。
4、增強風(fēng)險防范能力
有效記錄來自非授權(quán)的訪問行為、數(shù)據(jù)庫入侵行為、違規(guī)操行進行及時防護和預(yù)警,并且對數(shù)據(jù)庫運行情況進行全面分析。
5、提升數(shù)據(jù)加密安全性
數(shù)據(jù)庫加密MySQL TDE產(chǎn)品采用國產(chǎn)SM4加密算法,缺省鹽方式進行數(shù)據(jù)加密,相較傳統(tǒng)AES等算法更安全可靠、合規(guī),最大程度保證數(shù)據(jù)安全。
6、低成本、高效率
部署數(shù)據(jù)庫加密MySQL TDE產(chǎn)品,對于現(xiàn)有應(yīng)用系統(tǒng)的SQL語句、開發(fā)接口,都無需改造,原有數(shù)據(jù)庫核心特性均可繼續(xù)使用;同時產(chǎn)品的集中控制模式,能夠更快地、無縫地融合到當(dāng)前信息管理系統(tǒng)中;采用的密文索引列創(chuàng)建,確保了性能優(yōu)化,保障高可用性。
結(jié)語
目前,憑借產(chǎn)品的高可用性和高安全性等優(yōu)勢,安華金和的數(shù)據(jù)庫加密MySQL TDE加密獲得多行業(yè)客戶應(yīng)用認(rèn)可,真正肩負(fù)起“用戶數(shù)據(jù)庫底線防守,用戶核心數(shù)據(jù)安全防護”的產(chǎn)品使命。
- 蜜度索驥:以跨模態(tài)檢索技術(shù)助力“企宣”向上生長
- 美媒聚焦比亞迪“副業(yè)”:電子代工助力蘋果,下個大計劃瞄準(zhǔn)AI機器人
- 微信零錢通新政策:銀行卡轉(zhuǎn)入資金提現(xiàn)免手續(xù)費引熱議
- 消息稱塔塔集團將收購和碩印度iPhone代工廠60%股份 并接管日常運營
- 蘋果揭秘自研芯片成功之道:領(lǐng)先技術(shù)與深度整合是關(guān)鍵
- 英偉達(dá)新一代Blackwell GPU面臨過熱挑戰(zhàn),交付延期引發(fā)市場關(guān)注
- 馬斯克能否成為 AI 部部長?硅谷與白宮的聯(lián)系日益緊密
- 余承東:Mate70將在26號發(fā)布,意外泄露引發(fā)關(guān)注
- 無人機“黑科技”亮相航展:全球首臺低空重力測量系統(tǒng)引關(guān)注
- 賽力斯發(fā)布聲明:未與任何伙伴聯(lián)合開展人形機器人合作
- 賽力斯觸及漲停,汽車整車股盤初強勢拉升
免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請進一步核實,并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏,概不負(fù)任何法律責(zé)任。任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時,應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實,溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。