云安全新闻播报

< 返回最近报道列表

数据库加密的TDE技术分析

调查显示,政府机关、企事业单位80%的核心信息是以结构化形式存储在数据库中的,一旦发生泄露势必导致严重后果及重大损失。因此,通过数据库加密技术,防范外部黑客非法入侵、内部高权限用户或合法用户违规访问、窃取数据,避免敏感信息以明文形式外泄,已成为政府机关和企事业单位开展信息化建设、安全有效使用数据的前提和基础。

十年专注,引领行业

近年来,随着客户对数据库加密产品功能需求的不断提高,国内市场形成了以“前置代理及加密网关技术、应用层改造加密技术、基于文件级的加解密技术、基于视图及触发器的后置代理技术”为代表的一系列数据库加密技术(点击阅读《四种常见数据库加密技术分析》)

安华金和早在2009年公司成立之初,就已开始对数据库加密技术进行持续攻坚;公司推出的第一代数据库加密产品DBCoffer汇集“透明访问与密文索引”两大专利技术,一经面世即凭借“后置代理加解密技术”在业内建立起技术壁垒,并在此后多年引领数据库加密技术风潮。

随着时间的推移,互联网、大数据时代的到来,对数据库加密技术提出了更高的需求。对厂商而言,完成自身新一轮的“进化”势在必行,却始终没有一种加密手段能够兼具“透明性足够好、兼容性足够好、性能足够好、安全性足够好”的能力。

1 副本.jpg

安华金和十年磨一剑,凭借对数据库内核技术的积累,开发TDE(透明数据加密)技术,所推出的安华金和数据库加密系统(DES)正是一款基于透明加密技术的数据库数据安全加固产品——通过在数据库主程序启动时加载扩展的TDE插件,替换数据库原生TDE组件的加密算法及密钥管理逻辑,并植入独立的权限控制体系等方式,使DES不仅拥有不弱于原生TDE的透明性与兼容性,同时在独立权控、算法兼容、密钥管理等关键环节进行创新性改进,为数据库加密技术适应大规模、复杂的应用场景做出了突破。

创新改良,持续进化

1、DES的TDE对数据库可以指定表空间级进行加密——通过将表移动到密文表空间进行加密;通过将表从密文表空间移动到明文表空间进行解密。

2、DES的TDE同时支持“在线+离线”两种加解密方式:以Oracle为例,在线机制主要利用数据库自身的Online Redefinition在线重定义对象机制;而离线加解密则利用move table等表迁移方式实现。

3、DES的TDE具有区别于数据库原生TDE之外的独立权控体系,可对数据库中所有用户(包括sys等特权用户)一视同仁,避免特权用户进行不可控操作——通过在数据库中植入插件,在用户访问时进行拦截,并根据用户访问信息对其进行权限判定,只有符合权限配置的操作可进行后续处理,不符合的将被直接阻断。

4、DES的TDE与原生TDE的密钥管理及算法机制不同:后者通过Wallet或内部密钥库机制进行密钥管理,需要依托于数据库本身、缺乏独立性,且只支持AES等国际商密算法;而DES的TDE可通过驻留在数据库服务器上的守护进程与外部KMS密钥及权限管理机制进行通讯,以获取密钥及权限信息,具备独立管理密钥的安全性;加密算法上,DES的TDE更支持国密SM1与SM4对称算法,在安全性与合规性上均做了提升。

2 副本.jpg

由此可见,DES真正实现了“透明性、兼容性、性能、安全性”四个关键要素的平衡。截止目前,安华金和数据库加密系统(DES)的TDE技术已被引入包括国家部委及能源行业客户在内的多个具有代表性的大型数据安全建设场景之中。

十年磨剑,自我革命!在“数据安全治理”理念为行业、客户逐渐认知与认可的今天,一款高性能、全透明、高适应性的自主数据库加解密产品,将在核心位置守护敏感数据的安全根基;安华金和技术团队也将肩负使命、探索不止,让数据使用更安全。