En
我的
突破应用场景
赋能行业发展

大数据(含敏感数据)加密解决方案

大数据(含敏感数据)加密解决方案

 

背景简介

/

BACKGROUND INTRODUCTION

 

>>>

随着数据时代的到来,,数据已经逐渐成为重要的生产要素之一。。近年来,,热议的“数字经济”正是对数据灵活运用、、、助力经济发展的典型示范。。。2015年9月,,,,国务院发布《促进大数据发展行动纲要》,,成为我国推动大数据运用、、、、发展、、、、为产业赋能的纲领性文件。。。然而,,大数据在通过对海量、、、、动态、、、高增长、、、多元化、、、多样化数据的高速处理,,,快速获得有价值信息的同时,,,,也面临着数据泄露和个人隐私暴露等带来的安全问题。。。

密码技术作为网络空间安全的基础科学,,,有效应用于数据的真实性、、完整性、、、机密性和不可否认性。。。在网络空间安全防护中发挥着重要的基础支撑作用,,,是维护网络安全最有效、、最可靠、、最经济的手段。。。2020年1月1日《中华人民共和国密码法》正式实施,,,,为全面推动密码技术的应用推广提供了法律保障。。

需求分析

/

REQUIREMENT ANALYSIS

 

>>>

大数据平台内部的数据包括数据传输、、使用和存储等阶段。。在未经防护的情况下,,,,数据的全生命周期都是以明文形式存在,,,一旦发生数据泄漏,,将会造成严重后果。。。。

大数据平台中数据在全生命周期的安全风险包括:

大数据平台安全机制缺陷

Hadoop生态架构在设计初期对用户身份鉴别、、、、访问控制、、、、密钥管理、、、安全审计等方面考虑较少,,,,缺乏有效的安全手段。。。

隐私数据量大,,泄漏危害高

大数据平台内部的数据动辄数亿条,,数百TB。。。面对如此海量的数据,,,,其中的敏感信息必须进行主动防护。。。。

传统的安全保护手段不足

传统加密手段仅应对数据的传输和存储的加密需求,,且主要采用TLS(Transport Layer Security)的传输加密和透明存储加密TDE(Transparent Database Encryption)。。存在数据保护过于底层,,,无法做到应用层加密,,,,权限不可控,,,,非国密算法等安全漏洞。。。。

缺乏独立的数据安全权限体系

大数据平台内的数据安全权限体系基本依赖平台自身对用户和管理员的权限控制。。缺乏对于敏感数据的独立权控,,容易造成高权限的滥用以及单层权控易被攻破的风险。。

方案架构

/

SCHEME ARCHITECTURE

 

>>>

针对前述数据安全风险,,,,慧优经过多年沉淀,,打造出基于密码技术的大数据全生命周期安全体系。。。该安全体系彻底把密码技术对敏感数据的防护提升到应用层,,摒弃“传输TLS,,存储TDE”的安全弊端,,,,有效解决密文对数据检索和计算带来的不便。。。同时,,构建独立的第三方数据安全权限体系。。。

图 大数据加密方案组件支持

 

技术架构

本方案采用安全平台和密码中间件组合的方式,,,,为大数据平台内的多个应用组件和数据库提供加密功能,,架构如下图所示:

图 大数据加密方案技术架构

 

安全平台:位于整个密码体系的核心,,负责为整个密码防护框架提供硬件级安全防护,,,,即硬件安全模块HSM(HardwareSecurityModule),,以及基于KMIP(KeyManagementInteroperabilityProtocol)的密钥安全管理,,,,同时提供身份认证和鉴权、、、、密文检索引擎和密码中间件的接入管理等。。。

密码中间件:密码中间层以应用端软件代理形态交付,,,,该组件透明地嵌入部署在应用内部,,通过与安全平台联动,,实现敏感数据的加密和密钥的安全管理。。。。密码算法种类丰富,,,,包括保留格式FPE加密(FormatPreserveEncryption)和同态加密等。。。

应用层:大数据平台国内多采用基于Hadoop生态的各类数据处理组件,,主要包括数据清洗和消息分发(ETL和KAFKA等)、、、数据存储和处理(HDFS、、Hive、、Hbase、、、Spark和Flink等)、、、分析和呈现(BI)三部分。。本方案可以根据实际需要,,,,扩展对应用组件类型的支持,,快速定制和适配。。。

 

产品部署图

安全平台包括HSM,,,密钥管理系统,,,密文检索引擎和管理终端等。。。这些服务器与大数据生产集群通过以太网络连接,,并独立部署在安全的子网内,,,,同时密码中间件部署在各类集群内部。。。

 

主要功能

1.高性能数据加密

支持采用自研的密码算法引擎和优化后的算法调用,,,,实现高性能的数据加密。。。。

2.密钥安全管理

通过采用HSM安全存储根密钥,,,,同时基于KMIP协议实现多客户端的密钥统一管理。。

3.敏感数据的独立权限控制

具备密码体系下的权限访问控制功能,,,在原生Hadoop的权限框架下,,,,实现独立第三方的敏感数据权限控制。。。。

4.密文检索和密文计算

实现密文精确、、、模糊和高频的查询功能,,,克服传统的密文仅能精确查询和有限制的模糊查询的技术瓶颈,,,,实现全场景、、、与明文无差别的密文检索能力。。。。此外,,,,密码引擎具备Pallier,,,Elgamal等同态算法功能。。

方案特色

/

PROGRAM FEATURES

 

>>>

应用层数据加密

数据在大数据平台内存储、、、、处理、、流转的全过程均为密文出现,,,仅在需要解密访问时给予解密权限,,,,杜绝加密保护过于底层引发的保护不足问题。。。

统一管理,,,,分布式加密

方案支持密钥、、权限等的集中管理,,,各个大数据组件独立加密的能力,,利用大数据集群自身的高性能算力,,,实现敏感数据保护。。。。

多平台支持

产品支持CDH、、、Apache Hadoop、、、、华为FusionInsight、、、、华三Dataengine等大数据平台。。

合规性

产品获得商用密码产品认证证书,,,采用国产加密算法,,,,符合国家政策法规要求。。

适用领域

/

APPLICABLE FIELDS

 

>>>

本方案适用于金融、、政务、、、、公安、、、、能源、、教育、、、医疗和企业等行业。。

应用案例

/

APPLICABLE FIELDS

 

>>>

用 密 码 技 术 守 护 数 字 世 界

全部
  • 全部
  • 产品管理
  • 新闻资讯
  • 介绍内容
  • 企业网点
  • 常见问题
  • 企业视频
  • 企业图册
站点地图