多项专利技术加持,中安威士数据库加密系统新版

发布时间:2021-01-22

随着科技的日益进步,“信息”以一种无形资产的形式存在,而信息安全也越来越引起人们的重视。信息安全保护中,由于数据库作为信息聚集体,存储着系统中最有价值信息的数据,数据库安全保护成为了重中之重。所以越来越多的信息部门希望对库内的敏感数据进行加密以增加其安全性。但是数据库加密具有相对较高的技术门槛,令一部分人望而却步,也有一部分人徒劳无功。中安威士以其独有的技术优势,坚持数据库加密研究十几年,并不断在该领域攀登。

迎难而上解决关键性技术难题

对数据库系统进行加密,需要解决两大关键问题:

第一是应用透明性。因为数据库是一个通用组件,很多应用系统已经在上面开发完成,并运行了一段时间。这就需要第三方加密系统是对应用透明的。也就是说,不需要应用系统进行修改,就能够在安装了加密系统的数据库上运行。

第二是密文索引。加密解密肯定会降低性能,正常的性能降低是可以被接受的。但是对于加密字段的条件查询,会有严重的问题。当对敏感字段进行加密之后,数据之间原有的偏序关系将会丧失,因而无法通过原来的索引机制来加快对密文数据的条件查询,这极大的影响了数据库的使用效率。因此需要一种对加密字段的索引方法,来加速查询的执行。
针对这些问题公司进行了深入研究,并有效支撑了数据库加密产品的研发。同时在2020年相继获得《一种面向数据库加密的密文索引方法和库内加密系统》、《一种通用数据库透明加密系统》以及《一种面向数据库加密字段模糊检索的密文索引方法》三项专利。


始终如一“视触存”技术路线获成效

中安威士创始团队从2003年开始研究“视触存”(所谓的“视触存”路线,就是指基于数据库的视图、触发器、存储过程等自身机制,实现对数据库字段的透明加密)技术路线,至今已经坚持了18年时间。之所以如此坚持,是因为它有着其他方式不可比拟的优势。此次数据库加密软件升级版本也是坚持并深挖了“视触存”路线,并取得了喜人成绩。

几种市场可见的数据库加密技术路线的比较如下表所示:

综上所述,基于“视触存”的技术路线虽然最“古老”、最“难走”,但却是在多个方面平衡的最好的技术路线。

从上表中可知,视储存插件方式在性能、数据库特性兼容、密文索引支持性等方面与存储插件路线相比还有一定差距。所以本次版本升级的目标主要是:

第一,进一步提升性能,降低加密解密对性能的影响;

第二,解决对联合索引、位图索引、分区索引等复杂索引的支持,提高对密文索引的支持度,从而提高对数据库特性的兼容性。

乘“胜”追击数据加密新版本上线

基于最新的专利技术和正确的技术路线,中安威士产品研发团队历时一年多的时间,对原有数据库加密产品进行了重大技术升级。这次升级的主要内容有以下四个方面:

全新的密文索引模块:采用最新的专利技术对原有版本的密文索引模块进行了升级替换;

更严谨的数据库权限控制:基于过往的实施经验,对数据库的加密实施流程进行了重新梳理。更加严谨的过程不但确保在加密改造的过程中特权不会被泄漏,而且进一步加强了加密后敏感字段读取权限的控制。

代码的重构:采用最新的软件架构,对系统进行了重构,核心代码数量减少了四分之一。从而使得加密系统的运行效率、稳定性得到了进一步的提升。

更友好的用户界面:基于过往的实施经验和用户反馈,对产品的用户界面进行了大幅度的优化。

实际交付,产品性能获验证

新版本在2020年完成最终测试,正式发布。截止2020年末,共完成数十个案例的交付。在这些案例中,不乏电信运营商、政务大数据、电力、卫生、交通等重要行业的省部级客户。本文选择三个具有代表性的交付案例做简要描述。

案例1:某政务大数据项目数据库加密

客户:华中地区某省会城市大数据局

需求:在该政务大数据项目中,数据安全是核心痛点之一。其中敏感数据的加密又是痛点中的痛点。

需要满足三个核心需求:

1)透明加密,即加密不能导致应用程序的修改,不影响原有业务流程。

2)能够满足等保三级和国密检查。

3)满足性能要求。

4)产品需要进行移交,后续新增的加密实施由客户自己完成。

交付环境:Linux系统,Oracle12c数据库,达梦数据库。

交付困难:Oracle数据库实例数较多,目前已有近百个,且还在逐步增长之中。Oracle数据库中索引情况复杂,包括联合索引和表间连接。多个数据库采用主备双机模式。

交付过程:我司交付人员与客户运维工程师共同选定测试数据库后,先在测试环境中进行了实施测试。在性能和功能测试一切达到预期后转入生产环境进行上线试运行。在交付过程中,客户运维工程师全程参与。该交付过程同步完成了对客户的培训和赋能。整个过程耗时3天,后续根据需求进行远程支持。

交付结果:现在已经完成几十个库上百个表的敏感字段加密,性能和密文索引的兼容效果令客户满意。目前产品已经转交客户运维人员独立使用。性能方面,在某个具有上百个字段的数据表上,加密后数据的插入性能的降低不到5%,而查询性能与加密前相比几乎没有变化。

类似案例:西南某市政务大数据项目交付、华南某市政务大数据项目交付、卫生行业某部级单位数据库加密改造、西南某省人社局数据库加密、西南某市多个区卫健委数据库加密。

案例2:交通行业某客户数据库加密

客户:西南某省会城市交通局

需求:该项目中数据库加密除了满足业务透明、合规性满足、性能等要求外,对交付时间要求很高,要求在1天时间之内完成测试和上线。

交付环境:Linux系统,Oracle19c数据库RAC双机备份,需要加密的数据表5个。

交付困难:需要加密的表虽然数量不多,但是其中有联合索引、位图索引,同时表之间通过加密字段有连接关系,而且实施时间非常紧张。

交付过程:我司工程师与客户技术人员从早上9点开始工作,上午12点之前完成测试环境中的加密改造测试,测试结果显示具备生产环境上线条件。下午2点开始在生产环境中进行上线,晚上8点前,生产系统改造完成。

交付结果:在短短1天时间内完成测试和上线,性能方面客户完全能够接受,客户和集成商都感到满意。

类似案例:铁道部某系统数据库加密、西南某另一省会城市交通局、某国家级部门数据库加密改造。

案例3:电信行业某客户数据库加密

客户:华东地区某省联通公司

需求:电信运营商行业的数据安全是全国数据安全的示范工程,要求和核查都落实的非常到位。客户需要系统加密改造后,可以满足电信行业的合规检查,同时要保证原有业务系统的正常运行。特别地,需要满足生产库和备份库的同步。

交付环境:Linux系统,Oracle数据库,OGG同步系统。

交付困难:

1)数据量很大,需要加密的表中数据量在亿级。

2)数据表存在分区索引和联合索引。

3)生产库和备份库的同步。

交付过程:由于疫情影响不方便见面,加上数据量很大,双方技术人员在准备测试环境上花了较长时间,在测试环境中验证分区索引的兼容问题也花费了较长时间。在验证了分区索引的兼容性之后,进而又在生产环境中完成了上线。

交付结果:目前系统运行稳定,在没有改造应用系统的前提下,满足了工信部合规检查的要求,满足了生产库和备份库之间的同步要求。

类似案例:华北某省联通大数据加密、华中某电信行业专业公司数据库加密、某央企房地产公司的数据库加密。

通过对上述交付案例的分析,可以看出:中安威士2020年新版数据库加密产品达到了预期的升级目标。具体表现在:

1)有效的解决了交付中数据加密后性能降低的问题。加密前后数据对比显示,加密后数据的插入性能的降低最少可以控制在10%以内,查询性能几乎不受影响。

2)对数据库的密文索引支持更宽泛,完美的兼容了数据库原有的常规索引、位图索引、联合索引、分区索引等机制。

在国家日益重视数据安全,尤其是国内密码法、数据安全法、商密改造等要求越发密集和严格的趋势下,相信该产品将持续为客户带来完全合规、高效率、高安全性、高稳定性等核心价值。

中安威士:保护核心数据,捍卫网络安全


上一条: 看「鼠」于威士的2020,期待更「牛」的2021 下一条: 「关注」一封特殊的感谢信!