数据安全架构设计与实战~如何加密结构化数据
针对结构化数据(数据库、key-value等),加密主要有两种方式:
1、应用层字段加密,数据在入库前加密,直接向数据库中写入字段密文;
2、存储系统透明加密(静态加密),加密仅在存储系统内部自动完成,应用系统使用明文。
每种方式分别又有两种管理密钥的方式:
1、自管理密钥;
2、配合KMS(Key Management System,密钥管理系统)。
加密方式对比
加密方式 | 密钥管理方式 | 优缺点 |
字段加密 | KMS |
应用系统需要改进且改进难度较大; 最安全,可以防止DBA泄密 |
应用自管理 |
应用系统需要改进且改进难度较大; 可以防止DBA泄密,但入侵可能导致加密密钥泄露,安全性次之 |
|
静态加密 | KMS |
应用系统不需要改进,存储系统改进后适合大规模推广; 用于结构化数据加密时,不能防止DBA泄密; 用于非结构化数据(文件等)加密时,配合权限控制,安全性较好 |
存储自管理 |
应用系统不需要改进,存储系统改进后一般自用,不适合大规模推广; 安全性中等,不能防止DBA泄密 |
一个安全的加密系统,至少需要二级的加密机制。推荐的最低加密方式就是至少使用两种密钥:
DEK(Data Encryption Key,数据加密密钥):即对数据进行加密的密钥;
KEK(Key Encryption Key,密钥加密密钥):即对DEK进行加密的密钥。
对于DEK,应具备:
1、每条记录均使用不同的DEK(随机生成);
2、DEK不能明文存储,需要使用KEK再次加密;
3、DEK在加密后建议随密文数据一起存储,可用于大数据场景。当只有少量的DEK且预计不会增长时,才考虑存储KMS(不推荐)。
对于KEK,应具备:
1、每个应用或每个用户在每个应用中应该使用不同的KEK;
2、KEK加密存储在KMS系统中,不随密文数据一起存储。
数据安全架构设计与实战~如何加密结构化数据相关推荐
- 数据安全架构设计与实战~思维导图
#原图 System.out.println("https://www.processon.com/view/link/619cccede0b34d032a78237d");
- 结构化数据和非结构化数据的分析
结构化数据和非结构化数据的分析 一. 什么是数据 二. 数据的分类 1. 按性质分为 2. 按表现形式分为 3. 按表现形式分为 三. 结构化数据和非结构化数据 1. 什么是结构化数据 2. 什么是非 ...
- 结构化数据和非结构化数据的区别_中国天辰携手爱数AnyShare,共同探索非结构化数据治理...
近日,天辰公司智能数据中台-内容管理平台项目上线会圆满举行.基于爱数 AnyShare Family搭建的天辰内容管理平台,将帮助天辰统一管理并处理.分析非结构化数据,让数据赋能业务,进行数字资产管理 ...
- 海量数据持久层解决方案_爱数AnyBackup重磅发布海量非结构化数据超可用解决方案...
海量非结构化数据有三大备份恢复问题一直没有得到有效解决:备份慢.恢复慢.备份数据不可查询.这三大问题已经对行业数字化转型造成了重大阻碍. 今天,AnyBackup Family 7线上发布会--重磅发 ...
- ASP.NET Web Game 架构设计1--服务器基本结构
ASP.NET Web Game 架构设计1--服务器基本结构 1. 基本结构图 2. 系统组成与角色 整个系统大体上分为三个部分:1.网页客户端.2.IIS Web服务器.3.数据 ...
- Mellanox Infiniband 架构设计快速实战指南 - B
书接上回:Mellanox Infiniband 架构设计快速实战指南 - A 2. Infiniband协议类型 在 Mellanox Infiniband Topology Generator 中 ...
- Table Store: 海量结构化数据实时备份实战
Table Store: 海量结构化数据实时备份实战 数据备份简介 在信息技术与数据管理领域,备份是指将文件系统或数据库系统中的数据加以复制,一旦发生灾难或者错误操作时,得以方便而及时地恢复系统的有效 ...
- 网易马进:DDB从分布式数据库到结构化数据中心的架构变迁
导语: 本文根据马进老师在2018年5月10日[第九届中国数据库技术大会(DTCC)]现场演讲内容整理而成. 马进 网易 DDB项目负责人 来自网易杭研大数据平台组,入职以来先后参与了分布式数据库DD ...
- 结构化数据存储,如何设计才能满足需求?
阿里妹导读:任何应用系统都离不开对数据的处理,数据也是驱动业务创新以及向智能化发展最核心的东西.数据处理的技术已经是核心竞争力.在一个完备的技术架构中,通常也会由应用系统以及数据系统构成.应用系统负责 ...
最新文章
- ORB-SLAM2安装
- 用Netscaler的Variable和Assignment来实现计数控制
- 本地Windows远程桌面连接阿里云Ubuntu 16.04服务器:
- BZOJ2938:[POI2000] 病毒
- showModalDialog sesission丢失
- linux 内核参数 杨,Linux 内核参数
- java merge json出错删除相同的json
- 用Eclipse进行C/C++开发
- 【VMware vSAN 6.6】5.8.自动化:vSAN硬件服务器解决方案
- android studio占内存大小,极大精简android studio在C盘的内存
- Realsense安装使用过程问题汇总
- 【MySQL】新闻发布系统数据库设计
- 是潜意识音频优于催眠
- SEO与爱情,十字路口中的抉择
- springboot+vue+nodejs多用户网上图书商城系统-含卖家功能java
- 创建工作生活新范式 开拓经济增长新空间
- 静下心来看一看花花世界花花人.
- 我仿佛又看到了岳父亲坐在办公桌前孜孜不倦读书的情景
- 腾讯云双11服务器优惠报价表详细内容
- 用松鼠顺利地部署您的应用程序
热门文章
- 最新阿里内推高级Java面试题
- 论文浅尝 | SPARQL 语言的 ASK 查询表达性研究进展
- 热点事件发现、演化及时间线Timeline、故事线Storyline自动生成
- JQuery使用笔记
- linux 下环境变量设置
- ThinkPHP中的find和select的区别
- 在godaddy的空间上发布使用MySql 和 Entity Framework做的网站时遇到的Security Exception...
- 在ACCESS中使用Group By语句
- 从通用分页存储过程[ROWCOUNT方式]抽出适合自己需求的分页过程
- C++学习——set与map