案例丨教育行业MySQL数据库加密安全实践（二）

解决方案

结合该项目提出的上述安全需求，安华金和从存储层、数据库访问层、应用访问层三个层面对数据库面临的安全威胁进行分析，以该教委业务系统中的敏感数据的主动预防为目标，对教委核心数据库部署了MySQL TDE加密产品，从而针对其教师档案管理系统等数据库中的核心数据安全进行防范，通过数据存储加密、独立的权限控制、三权分立、应用安全访问等核心能力，主动预防来自于内部维护人员、第三方合作人员、内部工作人员的各种数据窃取行为，将对数据库系统进行有效地安全加固，弥补当前教委业务系统数据库安全“短板”。

通过在数据库存储层进行数据加密处理，MySQL TDE加密产品实现了即使数据遭到盗取也无法解密的效果，从根源上解决数据泄露问题。

客户价值

总结下来，具体客户价值如下：

1、完善核心系统的操作管控

针对该教委的业务系统进行数据库加密，防范“越权使用、权限滥用、权限盗用”等安全威胁；将内部高权限人员的风险操作、高危操作、越权操作、批量操作进行有效的管理，其中，客户端IP访问控制和应用关联控制两个功能点，实现细粒度的访问对象识别，增强针对应用侧的权限控制能力。

2、实现数据加密存储

防止该教委数据库系统内的数据明文存储，不法分子通过拷贝数据文件引起的批量泄密。

3、三权分立

防高权限用户导出数据，防黑客安全攻击进行拖库，对不同列使用不同密钥。

4、增强风险防范能力

有效记录来自非授权的访问行为、数据库入侵行为、违规操行进行及时防护和预警，并且对数据库运行情况进行全面分析。

5、提升数据加密安全性

数据库加密MySQL TDE产品采用国产SM4加密算法，缺省盐方式进行数据加密，相较传统AES等算法更安全可靠、合规，最大程度保证数据安全。

6、低成本、高效率

部署数据库加密MySQL TDE产品，对于现有应用系统的SQL语句、开发接口，都无需改造，原有数据库核心特性均可继续使用；同时产品的集中控制模式，能够更快地、无缝地融合到当前信息管理系统中；采用的密文索引列创建，确保了性能优化，保障高可用性。