系统数据加密方案

最新推荐文章于 2024-11-04 23:24:03 发布
最新推荐文章于 2024-11-04 23:24:03 发布
阅读量975 收藏 12
点赞数 32
文章标签: java mybatis
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/migo_/article/details/139046093
版权

背景

随着公司业务发展,用户量越来越多,数据的安全性也会提升到一个公司级别的问题。

特别是公司上市前,都有专门的机构评估系统的安全级别,其中有一项就是专门针对数据安全性的评估。

我们公司是垂直领域的电子商务公司,用户近400w,系统内的订单数据超过1亿,如此多的数据,我们都要根据数据安全级别改造,对数据进行加密保存。

确认需要加密的字段

不允许反向解密的字段:用户登录密码、支付密码等

允许方向解密的字段:用户手机,姓名,身份证号,地址,银行卡信息等

方案介绍

1、传输过程中字段可以按统一规范使用通用的加密算法;

2、在系统通过mybatis保存数据的时候,通过拦截器重写字段后,再进行保存;

3、查询的时候mybatis返回也需要进行拦截,进行解密;

4、存量数据需要进行初始化,通过定时任务,对指定表,指定字段,指定范围进行加密;

方案计划

密钥申请

根据公司情况,如果有KMS或本地密钥需求,可以接入并从这些系统里面获取加密数据需要的密钥。

表结构调整

因为加密会使原有字段的长度变长,根据自己所使用的加密算法对各种类型的字段做加密并评估扩容大小。

加密方式字段类型字段示例加密结果
本地AES手机号/1118576667676{secret}xxxxxxx
KMS-AES手机号/1118576667676{secret}xxxxxxx3343

历史表

历史表,通常是明文保存,此时我们会新增一个加密字段,先保证加密字段数据正常加密后,验证功能,如果可用,再通知上下游开始切换使用新的加密字段。

搜索字段

在确定好加密字段后,需要确认上下游使用方,并要求对该字段的整改,特别是确认是否还要使用该字段进行搜索,是否需要模糊搜索等。(建议,上线前通过与业务交流,下线模糊搜索功能,因为实现起来繁琐,需要加映射表)

数据转换

对象字段加密

@SenstiveEntity 在实体类上添加该注解,标明该实体有待加解密的字段

@SenstiveField 在字段上添加该注解,标明该字段是需要进行加解密的字段

实现方案可以参考 ,后面我可以单独写一篇分析mybatis插件原理的文章,讲解下实现原理。mybatis-plus-encrypt: mybatis-plus-encrypt 是一款针对mybatis 的数据加密工具,原理基于mybatis的拦截器实现 - Gitee.com

历史数据处理

利用动态sql来实现,

    <update id="updateBizTable">
        update ${tableName}
            set ${columnName} = #{fileId}
        where id = #{id}
    </update>
 
    <select id="selectVoFromBizTableById" resultType="FileVo">
        select
            id,
            ${columnName} as test,
            "${columnName}" as columnName,
            "${tableName}" as tableName
        from ${tableName}
            where id = #{id}
    </select>

总结

该方案,主要问题在于:

1、梳理全量的敏感字段,通常可以通过2种方法,

技术手段:让dba或安全团队,通过技术手段查询生产环境中各个表对应的字段和数据,是否有满足条件的敏感字段;

管理手段:让项目经理或系统负责人,统一对系统进行一次大排查,整理出来所有敏感字段;

2、对应存量数据,要提供通用加密方案,并在更新过程中不能影响正常业务功能;

如果对方案有任何问题,欢迎留言区留言。

Jimmy_架构师
关注
数据传输加密设计方案1
08-08
基于AES算法的解决思路:前后端保存相同秘钥AES_key,每次传输数据时,调用加密函数,生成密文发送给对方,对方接收后使用相同秘钥AES_key解密,获得内容
企业电脑数据加密系统数据防泄密系统数据防泄漏解决方案的选择
10-01
本文将深入探讨企业如何选择适合的数据加密系统数据防泄密系统以及数据防泄漏解决方案。 首先,数据加密系统(DSM)通过在文件创建时进行加密,使文档本身变得不可读,只有拥有正确密钥的合法用户才能解密并访问...
数据传输过程加密方案
热门推荐
ITLYL的博客
08-19 1万+
文章目录前言数据加密方案数据加密细节AES加解密RSA公钥加密总结 前言 从前一篇网络安全基础要点知识介绍中可以知道,在网络通信中,通信传输数据容易被截取或篡改,如果在传输用户隐私数据过程中,被不法分子截取或篡改,就可能导致用户受到伤害,比如被诈骗,所以对客户端与服务端的传输数据加密,是网络通信中必不可少的。 数据加密方案 首先,客户端与服务端商量好数据加密协议,对传输数据做到安全保护。 安全保护...
数据加密解析:实现安全的数据传输和存储
AI天才研究院
12-29 1335
1.背景介绍 数据加密在现代信息时代具有重要的作用,它是一种将数据转换成不可读形式的技术,以保护数据的安全性和隐私。随着互联网和数字技术的发展,数据加密已经成为了我们日常生活、企业运营和国家安全等多个领域的不可或缺的一部分。 数据加密的核心目标是确保数据在传输和存储过程中不被未经授权的实体访问和篡改。为了实现这一目标,数据加密技术利用了一些数学原理和算法,这些算法可以确保数据的安全性和完整性。...
敏感数据如何加密
半亩方塘立身
03-05 1685
敏感数据加密数据安全的重要方面,尤其是对于手机号和身份证号这类个人信息。如果这些信息以明文形式存储在数据库中,一旦数据库被黑客攻破,大量的个人信息就会泄露,可能被用于不法活动。数据加密可以在不同的层面上实现,例如应用层、数据库层或传输层。这里,我们将讨论在业务中如何加密敏感数据
聊聊灾备业务中的数据加密
haishuilengque的博客
04-20 334
  数据灾备往往依托于多部门、多单位甚至是跨系统的综合平台,因此数据在传输过程或存储介质上的安全性问题也会格外突出。在灾备工作的具体实践中,我们主要采用的是基于端的以及基于传输通道的加密方式进行数据的安全保护,但以往的数据灾备更多的企业自主行为,不管是源端、备端还是传输网络都是企业自有资源,安全性有所保证,所以很多灾备系统往往只将注意力集中在可用性和完整性上,对机密性缺乏关注。     现在...
Windows加密数据保护
Kali与编程
01-31 1314
在使用Windows数据加密时,用户需要根据不同的场景和需求选择合适的加密算法、加密方法和加密工具,同时注意保护密钥的安全性,并及时进行更新和维护,以确保数据的安全性和保密性。在使用这些加密工具时,用户需要注意保护密钥的安全性,并及时进行更新和维护,以确保数据的安全性和保密性。通过选择合适的备份和恢复工具,制定合理的备份和恢复策略,并定期测试和维护备份数据,可以有效地保护重要数据,防止数据丢失和损坏。在本文中,我将向你介绍Windows数据加密的基本概念,包括数据加密的类型、加密算法、加密方法和加密工具。
常见的七种加密算法及实现
linzhongshu的专栏
05-09 2245
数字签名、信息加密是前后端开发都经常需要使用到的技术,应用场景包括了用户登入、交易、信息通讯、oauth等等,不同的应用场景也会需要使用到不同的签名加密算法,或者需要搭配不一样的签名加密算法来达到业务目标。这里简单的给大家介绍几种常见的签名加密算法和一些典型场景下的应用。
数据加密方案
ourLang
10-24 7125
1 什么是数据加密 1.1 数据加密的定义 数据加密又称密码学,它是一门历史悠久的技术,指通过加密算法和加密密钥将明文转变为密文,而解密则是通过解密算法和解密密钥将密文恢复为明文。数据加密目前仍是计算机系统对信息进行保护的一种最可靠的办法。它利用密码技术对信息进行加密,实现信息隐蔽,从而起到保护信息的安全的作用。 1.2 加密方式分类 数据加密技术要求只有在指定的用户或网络下,才能解除密码而获得原来的数据,这就需要数据发送方和接受方以一些特殊的信息用于加解密,这就是所谓的密钥。其密钥的值是从大量的随
数据库敏感数据加密技术
demonson的专栏
06-20 6235
数据时代的到来,数据成为企业最重要的资产之一,数据加密的也是保护数据资产的重要手段。本文主要在结合学习通过MySQL/Oracle/SQL server函数及Python加密方法来演示数据加密的一些简单方式。 ...............
综合门禁系统全程加密方案.pdf
10-23
3.数据加密解决方案:使用数据加密技术对门禁系统中的数据进行加密,确保数据的安全和可靠性。 综门禁系统全程加密方案的优点: 1.确保门禁系统的安全和可靠性。 2.保护用户身份信息和隐私。 3.防止数据泄露和非法...
数据加密方案.docx
10-11
数据加密是网络安全领域中的核心组成部分,它的主要目的是保护信息的安全,防止未经授权的访问、窃取或篡改。数据加密通过加密算法和密钥...对于企业和个人来说,理解并合理应用数据加密方案是保护自身利益的重要步骤。
MySQL数据库对敏感数据加密及解密的实现方式
09-08
在大数据时代,数据是企业宝贵的资产,而数据加密能有效防止数据泄露。本文主要探讨了两种在MySQL数据库中实现敏感数据加密的方法:MySQL内置的加密函数和Python的base64加密。 首先,准备工作涉及创建三个数据表:...
HashMap为什么线程不安全?
rnnf_yyds的博客
11-03 382
HashMap底层是基于数组 + 链表(在 Java 8 以后,当链表长度超过一定阈值时会转换为红黑树)的数据结构。在多线程环境下,当多个线程同时对HashMap进行put操作时,可下面这种情况:假设两个线程 A 和 B 同时执行put操作,它们计算出的插入位置相同(假设为index线程 A 先获取到了当前index位置的节点,在它还没来得及将新节点插入链表(或树)时,线程 B 也获取到了这个位置的节点。
[自用,更新自day5]瑞吉外卖代码及笔记
lapiii的博客
11-01 899
当使用ThreadLocal维护变量时,ThreadLocal为每个使用该变量的线程提供独立的变量副本,所以每一个线程都可以独立地改变自己的副本,而不会影响其它线程所对应的副本。Mybatis Plus公共字段自动填充,也就是在插入或者更新的时候为指定字段赋予指定的值,使用它的好处就是可以统一对这些字段进行处理,避免了重复代码。因为在分页查询的Dish的records(菜品记录中),只有这个菜品所属的categoryId,但是我们需要分页的时候展示的是菜品名字。
服务器虚拟化
Hellc007的博客
10-30 949
服务器虚拟化是一种将物理服务器的计算资源分割为多个独立虚拟环境的技术,通过软件层将底层硬件资源抽象化并在上层构建多个虚拟机(Virtual Machine, VM)。每个虚拟机运行独立的操作系统和应用程序,相互之间不受干扰,具备类似于物理服务器的功能。这种技术使得一台物理服务器能够承担多台虚拟服务器的角色,从而极大地提升了硬件资源的利用率。服务器虚拟化的概念最早可追溯到20世纪60年代IBM大型机时代,当时虚拟化被用来将大型机的资源分配给多个任务,使得企业在有限的资源下能够同时运行多个应用。
spring循环依赖解决方式
qq_36400213的博客
11-04 472
字段注入和setter注入则提供了更多的灵活性,但需要更谨慎地管理对象的状态。方法注入和注解注入则适用于特定的场景。在Spring框架中,依赖注入(Dependency Injection,DI)是一种实现控制反转(Inversion of Control,IoC)的机制,用于将对象的依赖关系自动注入到对象中。这种方式不如构造器注入严格,但比字段注入更灵活,因为它可以在不创建新实例的情况下改变对象的依赖。这种方式是推荐的,因为它可以保证对象在创建时就处于完全初始化的状态,并且可以使得bean不可变。
SpringSession源码分析
lkr_lkr的博客
11-01 321
默认对常规Session的理解和使用,如何使用Set-Cookie。
每日OJ题_牛客_相差不超过k的最多数_滑动窗口_C++_Java
最新发布
参考书籍:《C语言程序设计》《数据结构》《C++ Primer》《Effective C++》《STL源码剖析》《现代操作系统》《UNIX环境高级编程》《图解TCP/IP》《图解HTTP》《Linux高性能服务器编程》《剑指Offer》《算法导论》
11-04 184
每日OJ题_牛客_相差不超过k的最多数_滑动窗口_C++_Java(排序容易想,但是滑动窗口不容易想到,核心思想:使用滑动窗口算法通过动态调整窗口的大小,遍历所有符合条件的连续子序列,求得最大连续子序列的长度。)
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值