2017上半年���,安華金和推出國內(nèi)首款MySQL TDE數(shù)據(jù)庫加密產(chǎn)品���,采用數(shù)據(jù)庫引擎代碼改造技術(shù),通過替換原生MySQL中的執(zhí)行文件mysqld���,實現(xiàn)數(shù)據(jù)在存儲層的加��、解密功能�����,還能避免以往加密過程中數(shù)據(jù)庫文件導(dǎo)入導(dǎo)出的繁瑣程序�����,最大程度減少性能損失��。
國內(nèi)數(shù)據(jù)庫安全領(lǐng)域在MySQL加密技術(shù)上常年空白�����,安華金和MySQL加密產(chǎn)品也是在收集調(diào)研了多個行業(yè)用戶的需求后�����,推出市場的���,這一投石問路的創(chuàng)新之舉立刻吸引了眾多用戶關(guān)注,目前����,安華金和已為政府��、人社��、教育�、企業(yè)等多行業(yè)多個用戶完成MySQL TDE加密產(chǎn)品的成功部署�����,無論從加密效果還是性能影響上�����,首次發(fā)布的MySQL TDE加密產(chǎn)品均表現(xiàn)不俗����,以案例充分體現(xiàn)產(chǎn)品價值。本文�,以其中某教委用戶的MySQL加密項目為例,呈現(xiàn)MySQL TDE數(shù)據(jù)庫加密在實際應(yīng)用場景下的價值體現(xiàn)�。
項目背景
隨著數(shù)據(jù)泄露事件全球范圍內(nèi)的頻繁爆發(fā),近些年每到年終泄露事件大盤點的時候����,總能看到教育行業(yè)的影子�����。而在國內(nèi)�,近些年教育行業(yè)已經(jīng)發(fā)生多起數(shù)據(jù)庫泄露事件�,案件相關(guān)人員隱私權(quán)益遭到嚴重損害,甚至危及生命健康���,教育相關(guān)單位的聲譽受到嚴重挑戰(zhàn)�。也正是因此���,社會��、各類院校��、教育機構(gòu)�、學(xué)生家長等對于教育行業(yè)的信息安全建設(shè)傾注了更多的關(guān)注����,數(shù)據(jù)保護方面的安全教育也因此得到明顯的提升。與此同時�,犯罪分子的也開始不斷提升作案手段�����,通過非法攻擊、違規(guī)操作等一系列手段竊取教育系統(tǒng)數(shù)據(jù)庫里的敏感數(shù)據(jù)�����,頻頻發(fā)生的拖庫�、刷庫現(xiàn)象使得教育行業(yè)的數(shù)據(jù)庫系統(tǒng)遭受嚴重的安全威脅。
某教委當(dāng)前業(yè)務(wù)系統(tǒng)中的核心業(yè)務(wù)數(shù)據(jù)需要進行安全保護����,該教委業(yè)務(wù)系統(tǒng)采用了MySQL數(shù)據(jù)庫系統(tǒng),其作為某地方教育資源基礎(chǔ)設(shè)施��,存儲了大量核心教育信息��,擁有大量敏感數(shù)據(jù)���。一旦數(shù)據(jù)丟失或被篡改��,將對社會公共秩序造成較為嚴重的損害���,因此該教委認為數(shù)據(jù)安全的整體保障勢在必行。
用戶需求
該教委用戶對于本項目重點提出了兩大安全防護需求和業(yè)務(wù)正常運營需求:
1、操作管控需求
防止和限制數(shù)據(jù)庫管理員對數(shù)據(jù)庫的風(fēng)險操作及高危操作�;
防止第三方運維人員對生產(chǎn)數(shù)據(jù)庫批量導(dǎo)出操作;
管理第三方數(shù)據(jù)分析員對數(shù)據(jù)庫的越權(quán)操作�;
2、數(shù)據(jù)防泄漏需求
防止突破邊界防護的外部黑客攻擊����;防止明文存儲引起的數(shù)據(jù)泄密;防止內(nèi)部高權(quán)限用戶的數(shù)據(jù)竊取���,從根源上防止敏感數(shù)據(jù)泄漏的行為����。
3�����、系統(tǒng)穩(wěn)定運行需求
保證數(shù)據(jù)安全的同時��,確保業(yè)務(wù)系統(tǒng)無需進行改造��,功能不受影響�,性能損耗小,并可以持續(xù)在線運行���,備份恢復(fù)等日志維護工作依然可正常進行�����。
解決方案
結(jié)合該項目提出的上述安全需求����,安華金和從存儲層�����、數(shù)據(jù)庫訪問層�����、應(yīng)用訪問層三個層面對數(shù)據(jù)庫面臨的安全威脅進行分析�����,以該教委業(yè)務(wù)系統(tǒng)中的敏感數(shù)據(jù)的主動預(yù)防為目標�����,對教委核心數(shù)據(jù)庫部署了MySQL TDE加密產(chǎn)品�,從而針對其教師檔案管理系統(tǒng)等數(shù)據(jù)庫中的核心數(shù)據(jù)安全進行防范��,通過數(shù)據(jù)存儲加密�、獨立的權(quán)限控制��、三權(quán)分立��、應(yīng)用安全訪問等核心能力��,主動預(yù)防來自于內(nèi)部維護人員����、第三方合作人員、內(nèi)部工作人員的各種數(shù)據(jù)竊取行為�����,將對數(shù)據(jù)庫系統(tǒng)進行有效地安全加固�,彌補當(dāng)前教委業(yè)務(wù)系統(tǒng)數(shù)據(jù)庫安全“短板”。
網(wǎng)絡(luò)拓撲圖
通過在數(shù)據(jù)庫存儲層進行數(shù)據(jù)加密處理�����,MySQL TDE加密產(chǎn)品實現(xiàn)了即使數(shù)據(jù)遭到盜取也無法解密的效果���,從根源上解決數(shù)據(jù)泄露問題�����。
客戶價值
總結(jié)下來�,具體客戶價值如下:
1、完善核心系統(tǒng)的操作管控
針對該教委的業(yè)務(wù)系統(tǒng)進行數(shù)據(jù)庫加密��,防范“越權(quán)使用��、權(quán)限濫用����、權(quán)限盜用”等安全威脅����;將內(nèi)部高權(quán)限人員的風(fēng)險操作、高危操作���、越權(quán)操作���、批量操作進行有效的管理,其中���,客戶端IP訪問控制和應(yīng)用關(guān)聯(lián)控制兩個功能點��,實現(xiàn)細粒度的訪問對象識別���,增強針對應(yīng)用側(cè)的權(quán)限控制能力����。
2����、實現(xiàn)數(shù)據(jù)加密存儲
防止該教委數(shù)據(jù)庫系統(tǒng)內(nèi)的數(shù)據(jù)明文存儲,不法分子通過拷貝數(shù)據(jù)文件引起的批量泄密�����。
3��、三權(quán)分立
防高權(quán)限用戶導(dǎo)出數(shù)據(jù)�,防黑客安全攻擊進行拖庫,對不同列使用不同密鑰��。
4�����、增強風(fēng)險防范能力
有效記錄來自非授權(quán)的訪問行為、數(shù)據(jù)庫入侵行為�����、違規(guī)操行進行及時防護和預(yù)警�����,并且對數(shù)據(jù)庫運行情況進行全面分析�。
5、提升數(shù)據(jù)加密安全性
數(shù)據(jù)庫加密MySQL TDE產(chǎn)品采用國產(chǎn)SM4加密算法�����,缺省鹽方式進行數(shù)據(jù)加密��,相較傳統(tǒng)AES等算法更安全可靠���、合規(guī),最大程度保證數(shù)據(jù)安全�。
6、低成本�����、高效率
部署數(shù)據(jù)庫加密MySQL TDE產(chǎn)品���,對于現(xiàn)有應(yīng)用系統(tǒng)的SQL語句���、開發(fā)接口�,都無需改造���,原有數(shù)據(jù)庫核心特性均可繼續(xù)使用����;同時產(chǎn)品的集中控制模式����,能夠更快地、無縫地融合到當(dāng)前信息管理系統(tǒng)中�����;采用的密文索引列創(chuàng)建��,確保了性能優(yōu)化��,保障高可用性��。
結(jié)語
目前,憑借產(chǎn)品的高可用性和高安全性等優(yōu)勢�,安華金和的數(shù)據(jù)庫加密MySQL TDE加密獲得多行業(yè)客戶應(yīng)用認可,真正肩負起“用戶數(shù)據(jù)庫底線防守��,用戶核心數(shù)據(jù)安全防護”的產(chǎn)品使命����。
產(chǎn)品咨詢:4000 258 365 
