敏感数据物理隔离、敏感数据透明加密等数据库安全技术

技术简介

本系统具有高安全、高可靠等特点，主要技术包括敏感数据物理隔离技术、透明数据加密技术等。

敏感数据物理隔离技术是基于物理层次的数据拆卸。不仅能彻底消除这些数据的滞留痕迹，还能保证数据库的正常运行。与此同时，对于拆卸下来的数据，也能保证其完整性以及相关约束信息，以便获得许可后能够再次合并到数据库中。敏感数据，在实际需要使用时，再将这些移动存储设备和数据库系统通过“热插拔”的方式进行合并。整个过程中，数据库依旧能够按照原有的状态正常使用，应用系统中相应的高密级功能将被激活，用以操纵这些从移动介质中合并而来的敏感数据，而对于低密级用户，这些数据则完全不可见。
透明数据加密技术，解决了原有的通过密文的形式向客户端发送数据，解密过程同数据库服务器进行多次数据交互的方式，既实现数据的保密存储，提供满足军用要求的敏感数据加密功能，又兼顾了安全功能的易用性，保证了数据库系统查询处理能力。该技术使用对称加密算法对持久化存储的用户数据文件和日志文件进行加密保护。

技术特点

敏感数据物理隔离技术的核心是基于物理层次的数据拆卸。提供数据的物理隔离和数据的逻辑隔离两种方式。

数据的物理隔离，即实现数据在物理层次上与数据库分离，分离出的敏感数据由高级别用户保密保管，同时不影响数据库对普通用户继续提供正常访问，实现关键用户对于敏感数据的“热插拔”，从根本上保障了数据的安全。
数据的逻辑隔离，针对某些保密级别较低的数据可以提供一种逻辑上的数据隔离为用户提供基于软件的数据拆卸功能。当保密级别较高的用户希望隐藏数据库中的某些数据时，可以将这些数据在数据库中封存，数据本身并没有从数据中物理删除，但是其它用户通过数据库将无法访问和发现这些数据，仅当高级用户将这些数据解冻后才重新可用。
透明加密技术最主要的特点就是数据存储在磁盘时为密文态，而加载到内存缓存后变为明文态。数据库系统在存储层的表现为在进行磁盘数据I/O时完成数据的加解密过程，因此敏感数据的加解密对用户来说是透明的。这样的机制既保证了对合法用户的使用完全无影响，同时密钥的生成、更换、销毁，以及敏感数据的加解密过程均由集成国产硬件加密卡完成，以保证密钥及加解密过程自身的安全性。

技术指标

提供实用易用的基于物理插拔的数据安全等级分区功能。
提供对应用透明的存储加密，提供SQL层加解密函数。
数据加密对系统性能的影响不超过20%。
安全等级达到“GB/T－20273数据库安全等级第四级要求”。

技术水平

国内领先

可应用领域和范围

对数据安全有较高要求产业，如政务、金融、电力等。

专利状态

已取得专利1项

技术状态

小批量生产、工程应用阶段

合作方式

许可使用合作开发技术服务融资需求