随着数字化时代的到来,数据已经成为企业的生命线和核心竞争力。一旦数据库中的数据丢失、破坏或泄露,将对企业的运营和声誉造成无法估量的损失。而数据加密是数据库安全的核心要素,企业必须采取有效措施来确保数据的保密性和完整性。
数据透明加密
所谓透明,是指对使用者来说是未知的。当使用者在打开或编辑指定文件时,系统将自动对未加密的文件进行加密,对已加密的文件自动解密。文件在硬盘上是密文,在内存中是明文。一旦离开使用环境,由于应用程序无法得到自动解密的服务而无法打开,从而起到保护文件内容的效果。
透明存储加密能够加密存储在表、表空间中的敏感数据。加密数据后,当授权用户或应用程序访问此数据时,将以透明方式解密此数据。透明存储加密有助于在存储介质或数据文件被盗时保护存储在介质上的静态数据。
KINGBASE
数据库透明加密能力PK
KingbaseES数据库的透明加密技术是前沿的数据加密方法,它可以在不改变应用程序和数据库现有操作的前提下,对数据进行自动、透明的加密和解密。这种技术可以有效地保护数据库中的敏感数据,防止数据泄露和非法访问。
与国外数据库相比,KingbaseES数据库更适合中国市场,在支持国内加密算法和与国内加密厂商的适配方面表现出色,为国内用户提供了更优质的选择。
KINGBASE
透明加密实用场景
表空间加密
KingbaseES的表空间加密是对表空间中的所有文件进行加密,因此能够加密表空间中存储的所有数据,包括各数据类型、约束、索引等,没有加密的限制。
表空间加密是在读取和写入操作期间对数据文件进行加密或解密,对内存中的数据是不会有加解密的操作的。
目前KingbaseES也支持将用户表在加密表空间和非加密表空间下进行移动,数据也会随之进行加密或者解密。
表加密
表加密功能是以数据库表为粒度,采用加密算法保护数据库表的数据文件在磁盘上存储不被非法获取,加密的对象目前包括表文件、及表的索引。
用户可以将加密表修改为非加密表,也可以将非加密表设置为加密表,在加密的配置上会更加灵活。
如下图所示中创建了一个加密表enctab后,可以通过系统视图来查看加密表的状态,在reloptions列中显示表已被加密,且采用的加密算法为SM4算法。
多加密引擎
用户可以自己编写加密引擎接口函数,来使用自己的加密库函数。为此,KingbaseES除了内置了加密库对数据库数据进行加解密,也提供了一些用于用户可以自适配一些加密卡接口,用户需要自己手动实现这个API接口,在编译时需要用到KingbaseES提供的sysengine.h头文件。
用户如果想使用自己编译的加密库,那么就需要在 initdb 时通过-e参数指定自己的加密设备名,并填写相关正确的加密设备相关信息,才能使用自适配的加密设备对数据库数据进行加解密。
KINGBASE
实战性能损耗对比
下表中列举了KingbaseES数据库在开启透明加密时,数据库的性能损耗。在测试时机器的内存大小为512G,使用了tpcc基准测试场景,加载了1000仓库,并开启100并发连接,而数据库的参数中shared_buffers为256G,每项对比测试的时间是30分钟。
从表中数据可以看出,开启加密后,全内存操作情况下,无论是软件加密的SM4,还是网络加密机,在TPCC的基准测试中性能损耗仅在3%-5%左右。
背后原理
在TPCC基准测试中,由于缓存命中率相对较高,因此在运行测试的过程中,也就相对较少会触发加解密,因此性能损耗很小。
同理,在正常的业务场景中,由于数据访问模式和缓存策略的优化,性能损耗同样较小。只要数据库设计和缓存策略合理,加解密对性能的影响是可以被控制在可接受的范围内的。
此外,对于使用硬件加密设备,还会受到其他因素的影响,例如加密机本身的加解密的算法性能,网络加密机的网络传输速度等,都会影响透明加密的性能损耗。
KINGBASE
企业信息安全的守护者
通过KingbaseES数据库的透明加密技术,企业能够确保其核心数据的安全和保密,有效防止数据泄露或篡改。KingbaseES数据库是企业信息安全的守护者,致力于保护数据安全,目前已广泛服务于金融、能源、央国企等用户,守护企业核心秘密,提供坚实可靠的数据保障。
未来,人大金仓将加强自主创新和研发投入,支撑数据要素安全流通,推动数字产业集群能级跃升,促进数字经济和实体经济深度融合。
供稿:产品研发中心
编辑:王堇
审核:日尧
190
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
