多項專利技術加持,中安威士數據庫加密系統新版

發布時間:2021-01-22

隨著科技的日益進步,“信息”以一種無形資產的形式存在,而信息安全也越來越引起人們的重視。信息安全保護中,由于數據庫作為信息聚集體,存儲著系統中最有價值信息的數據,數據庫安全保護成為了重中之重。所以越來越多的信息部門希望對庫內的敏感數據進行加密以增加其安全性。但是數據庫加密具有相對較高的技術門檻,令一部分人望而卻步,也有一部分人徒勞無功。中安威士以其獨有的技術優勢,堅持數據庫加密研究十幾年,并不斷在該領域攀登。

迎難而上解決關鍵性技術難題

對數據庫系統進行加密,需要解決兩大關鍵問題:

第一是應用透明性。因為數據庫是一個通用組件,很多應用系統已經在上面開發完成,并運行了一段時間。這就需要第三方加密系統是對應用透明的。也就是說,不需要應用系統進行修改,就能夠在安裝了加密系統的數據庫上運行。

第二是密文索引。加密解密肯定會降低性能,正常的性能降低是可以被接受的。但是對于加密字段的條件查詢,會有嚴重的問題。當對敏感字段進行加密之后,數據之間原有的偏序關系將會喪失,因而無法通過原來的索引機制來加快對密文數據的條件查詢,這極大的影響了數據庫的使用效率。因此需要一種對加密字段的索引方法,來加速查詢的執行。
針對這些問題公司進行了深入研究,并有效支撐了數據庫加密產品的研發。同時在2020年相繼獲得《一種面向數據庫加密的密文索引方法和庫內加密系統》、《一種通用數據庫透明加密系統》以及《一種面向數據庫加密字段模糊檢索的密文索引方法》三項專利。


始終如一“視觸存”技術路線獲成效

中安威士創始團隊從2003年開始研究“視觸存”(所謂的“視觸存”路線,就是指基于數據庫的視圖、觸發器、存儲過程等自身機制,實現對數據庫字段的透明加密)技術路線,至今已經堅持了18年時間。之所以如此堅持,是因為它有著其他方式不可比擬的優勢。此次數據庫加密軟件升級版本也是堅持并深挖了“視觸存”路線,并取得了喜人成績。

幾種市場可見的數據庫加密技術路線的比較如下表所示:

綜上所述,基于“視觸存”的技術路線雖然最“古老”、最“難走”,但卻是在多個方面平衡的最好的技術路線。

從上表中可知,視儲存插件方式在性能、數據庫特性兼容、密文索引支持性等方面與存儲插件路線相比還有一定差距。所以本次版本升級的目標主要是:

第一,進一步提升性能,降低加密解密對性能的影響;

第二,解決對聯合索引、位圖索引、分區索引等復雜索引的支持,提高對密文索引的支持度,從而提高對數據庫特性的兼容性。

乘“勝”追擊數據加密新版本上線

基于最新的專利技術和正確的技術路線,中安威士產品研發團隊歷時一年多的時間,對原有數據庫加密產品進行了重大技術升級。這次升級的主要內容有以下四個方面:

全新的密文索引模塊:采用最新的專利技術對原有版本的密文索引模塊進行了升級替換;

更嚴謹的數據庫權限控制:基于過往的實施經驗,對數據庫的加密實施流程進行了重新梳理。更加嚴謹的過程不但確保在加密改造的過程中特權不會被泄漏,而且進一步加強了加密后敏感字段讀取權限的控制。

代碼的重構:采用最新的軟件架構,對系統進行了重構,核心代碼數量減少了四分之一。從而使得加密系統的運行效率、穩定性得到了進一步的提升。

更友好的用戶界面:基于過往的實施經驗和用戶反饋,對產品的用戶界面進行了大幅度的優化。

實際交付,產品性能獲驗證

新版本在2020年完成最終測試,正式發布。截止2020年末,共完成數十個案例的交付。在這些案例中,不乏電信運營商、政務大數據、電力、衛生、交通等重要行業的省部級客戶。本文選擇三個具有代表性的交付案例做簡要描述。

案例1:某政務大數據項目數據庫加密

客戶:華中地區某省會城市大數據局

需求:在該政務大數據項目中,數據安全是核心痛點之一。其中敏感數據的加密又是痛點中的痛點。

需要滿足三個核心需求:

1)透明加密,即加密不能導致應用程序的修改,不影響原有業務流程。

2)能夠滿足等保三級和國密檢查。

3)滿足性能要求。

4)產品需要進行移交,后續新增的加密實施由客戶自己完成。

交付環境:Linux系統,Oracle12c數據庫,達夢數據庫。

交付困難:Oracle數據庫實例數較多,目前已有近百個,且還在逐步增長之中。Oracle數據庫中索引情況復雜,包括聯合索引和表間連接。多個數據庫采用主備雙機模式。

交付過程:我司交付人員與客戶運維工程師共同選定測試數據庫后,先在測試環境中進行了實施測試。在性能和功能測試一切達到預期后轉入生產環境進行上線試運行。在交付過程中,客戶運維工程師全程參與。該交付過程同步完成了對客戶的培訓和賦能。整個過程耗時3天,后續根據需求進行遠程支持。

交付結果:現在已經完成幾十個庫上百個表的敏感字段加密,性能和密文索引的兼容效果令客戶滿意。目前產品已經轉交客戶運維人員獨立使用。性能方面,在某個具有上百個字段的數據表上,加密后數據的插入性能的降低不到5%,而查詢性能與加密前相比幾乎沒有變化。

類似案例:西南某市政務大數據項目交付、華南某市政務大數據項目交付、衛生行業某部級單位數據庫加密改造、西南某省人社局數據庫加密、西南某市多個區衛健委數據庫加密。

案例2:交通行業某客戶數據庫加密

客戶:西南某省會城市交通局

需求:該項目中數據庫加密除了滿足業務透明、合規性滿足、性能等要求外,對交付時間要求很高,要求在1天時間之內完成測試和上線。

交付環境:Linux系統,Oracle19c數據庫RAC雙機備份,需要加密的數據表5個。

交付困難:需要加密的表雖然數量不多,但是其中有聯合索引、位圖索引,同時表之間通過加密字段有連接關系,而且實施時間非常緊張。

交付過程:我司工程師與客戶技術人員從早上9點開始工作,上午12點之前完成測試環境中的加密改造測試,測試結果顯示具備生產環境上線條件。下午2點開始在生產環境中進行上線,晚上8點前,生產系統改造完成。

交付結果:在短短1天時間內完成測試和上線,性能方面客戶完全能夠接受,客戶和集成商都感到滿意。

類似案例:鐵道部某系統數據庫加密、西南某另一省會城市交通局、某國家級部門數據庫加密改造。

案例3:電信行業某客戶數據庫加密

客戶:華東地區某省聯通公司

需求:電信運營商行業的數據安全是全國數據安全的示范工程,要求和核查都落實的非常到位??蛻粜枰到y加密改造后,可以滿足電信行業的合規檢查,同時要保證原有業務系統的正常運行。特別地,需要滿足生產庫和備份庫的同步。

交付環境:Linux系統,Oracle數據庫,OGG同步系統。

交付困難:

1)數據量很大,需要加密的表中數據量在億級。

2)數據表存在分區索引和聯合索引。

3)生產庫和備份庫的同步。

交付過程:由于疫情影響不方便見面,加上數據量很大,雙方技術人員在準備測試環境上花了較長時間,在測試環境中驗證分區索引的兼容問題也花費了較長時間。在驗證了分區索引的兼容性之后,進而又在生產環境中完成了上線。

交付結果:目前系統運行穩定,在沒有改造應用系統的前提下,滿足了工信部合規檢查的要求,滿足了生產庫和備份庫之間的同步要求。

類似案例:華北某省聯通大數據加密、華中某電信行業專業公司數據庫加密、某央企房地產公司的數據庫加密。

通過對上述交付案例的分析,可以看出:中安威士2020年新版數據庫加密產品達到了預期的升級目標。具體表現在:

1)有效的解決了交付中數據加密后性能降低的問題。加密前后數據對比顯示,加密后數據的插入性能的降低最少可以控制在10%以內,查詢性能幾乎不受影響。

2)對數據庫的密文索引支持更寬泛,完美的兼容了數據庫原有的常規索引、位圖索引、聯合索引、分區索引等機制。

在國家日益重視數據安全,尤其是國內密碼法、數據安全法、商密改造等要求越發密集和嚴格的趨勢下,相信該產品將持續為客戶帶來完全合規、高效率、高安全性、高穩定性等核心價值。

中安威士:保護核心數據,捍衛網絡安全


上一條: 看「鼠」于威士的2020,期待更「?!沟?021 下一條: 「關注」一封特殊的感謝信!
洪晓芸张萱图片