炼石数据加密存储系统_政企应用数据存储脱敏审计工具

立即咨询

立即试用

商务合作

炼石数据加密存储系统

炼石数据加密存储系统，整合政企应用数据存储脱敏审计与密评合规功能。提供数据加密存储、脱敏处理及审计追踪，集成密评合规检测、风险预警及全流程防护，适配政企数据安全管理需求。是数据安全优选方案。

立即咨询

70分密改套餐

数据存储加密、使用解密/脱敏 icon

存储、使用、加工、传输、提供

免改造落地“应用和数据”存储机密性和完整性 icon

高性能且满足三级合规的“软硬结合加密”

应用侧部署AOE模块，无需开发改造原应用系统
AOE模块将需要加解密的数据，直接利用应用服务器CPU的算力在本地执行基于SM4的加解密以及SM3-HMAC计算，向数据库存入密文，向客户端返回明文

AOE模块与管理平台之间有安全认证机制，交互密钥和加密策略

满足更高级合规的“纯硬加密”

应用侧部署AOE-Lite模块，无需开发改造原应用系统
AOE-Lite模块将需要加解密的数据摆渡至服务器密码
机中，由服务器密码机算力执行基于SM4的加解密以及
SM3-HMAC计算，再将结果返回向数据库存入密文，
向客户端返回明文
AOE-Lite模块与AOE模块的区别在于，前者对数据加
解密是通过硬件密码机实现

轻改造落地“应用和数据”传输机密性完整性 icon

轻改造落地“应用和数据”身份鉴别 icon

密码资质：专业认证保障加密“合规、正确、有效” icon

高性能：PCT专利保护的高速国密实现，不影响业务效率 icon

高可靠：专业密钥管理、实时离线解密，保障高可用 icon

密管设备支持双机热备、两地三中心等高可用模式，根密钥明文不出密
码卡，模块密钥明文不出密管设备
工作密钥安全从平台分发到数据控制面模块，模块可缓存工作密钥后独
立运行，平台不需要实时在线
保守策略下，当重启应用服务后，模块才需从平台更新密钥查

密码算法是标准，密钥管理机制可靠，只要密文数据还在，一定可解密
常态状态下，支持应用系统解密、支持DBA运维工具直接解密
应急情况下，支持刷库还原明文、支持实时解密明文到备用库
极端情况下，用运维工具或程序可以兜底解密

高可用：模块健壮可诊断、平台“两地三中心”构 icon

工业级：加密实现机制兼容复杂场景 icon

明密文标识确保加解密可靠

炼石产品加密后，会在密文中添加密文标识，可保证明文不会被二次解密，密文不会被二次加密
在加密功能上线过程中，不可避免会出现明密文混合的情况，可通过明密文标识将明文和密文区分开

支持数据加密后的密文态查询

支持密态数据库的模糊查询操作。对加密字段做特定处理，先将加密字段按照规则拆解，然后对拆解后部分分别加密处理，之后将各部分密文合成一个字段（拆解的规则可由应用定制化，通过策略管理来进行配置）
限制条件：

支持应用对加密策略进行定制，但加密策略确定后原则上不建议更改
为支持模糊查询会对加密字段的长度进行扩张能

好用好管：集中式管控，分布式保护，分阶段上线 icon

一站式支持多技术路线，结合业务场景交付最优组合 icon

复杂业务案例-某集团公司敏感数据保护 icon

项目背景介绍

客户行业:现代服务业
项目名称：E-HR等10个应用数据保护项目
项目需求：
E-HR系统以用友NC为主体进行建设，内含有重要敏感的员工个人信息及集团组织信息。E-HR等10个应用系统需要进行加密保护，经论证采用国密算法来实现这些敏感数据的机密性和完整性保护，在能够满足法律法规以及标准合规要求的同时，也可有效防范敏感信息泄露威胁。
项目建设内容及方案：
完成三地三中心的高可用部署；
支持从集团到省端的数据调用及流转；
涉及近200个应用节点，数亿条敏感数据的加密保护；
采用了免应用开发改造的AOE插件模式实现,分布式地在应用服务端部署插件，无需改动原应用的代码，即实
现了入库数据的加密;服务端采用“三地三中心”的高可用集群及灾备部署模式，集中管理加密策略和密钥，保持管理端提供持续的服务。
项目收益：
1、保护了几十万内部员工、数千万外部用户的敏感信息。
2、满足国家对重要网络与信息系统的国密合规要求。

复杂业务案例-本期10个应用实施重点难点 icon

应用系统异构的复杂度

1、编程语言
Java,C/C++,Python等
2、异构数据库
xxDB，xxPG，Mysql，Oracle,Elasticsearch,
Hana，Hive,HBase，MatricDB，GreenPlum,
MariaDB等
3、异构操作系统
Linux，Windows,AIX等
4、多种中间件
Tomcat,Springboot，用友NC，用友BIP等
5、多种行业模块适配
udal，idc，zcbus,4A等。

数据处理流程的复杂度

1、上下游交互
多个中心（中心1，中心2，中心3）间的数据共享
同中心多种应用系统间的数据流转（集团人力与统一目录，HANA系统，集团经营分析，人才云等），
集团和多个省端系统间的数据共享（集团人力与GD省端、FJ省端，SC省端，ZJ省端等）
2、系统内多种数据处理流间的数据共享
如集团人力系统中，云上系统与云下系统间的数据流转;
统一目录系统中，存储数据流，报文数据流间的数据共享
3、多种数据类型间的数据共享
如司库系统中，结构化数据与非结构化数据流间的数据共享。

业务管理视角的复杂度

1、管理域
关注数据流转及数据共享，加密影响范围广，及运行时故障修复等
2、业务域
关注系统稳定性，并发处理可靠性，及上线实施的无影响等
3、运维域
关注业务操作的无影响，实例加载状态监控等
4、跨部门协调
涉及众多应用项目组（80+沟通群），多业务部门（安全部门，数据中心，机房，网络，工单，规划部门等）
5、存量系统及新建系统叠加
存量系统的加密实施，涉及多家开发厂商，以及无厂商维护的情形，系统现状调研复杂，实施推动中阻力大新建系统反复迭代，配合回归测试，耗时长。

规模部署案例：免改造保护企业全场景数据，并实现国密合规 icon

案例-国家重大活动关键应用：2022某国际综合体育赛事数据加密 icon

客户需求

某国际综合体育赛事组委会建立的招聘应用系统，是面向全球招聘工作人员的网站，其中涉及到应聘者的个人信息，比如手机号、身份证号、护照信息、宗教信仰等。随着GDPR和中国《网络安全法》实施，无论从风险驱动还是合规层面，保护这些个人信息迫在眉睫。
经过分析，总结出应聘者相关的14项个人信息是关键、敏感信息，需要对这些敏感字段加密保护，并选用国密算法。

客户痛点

应聘系统为国外开发，对应用系统进行二次开发成本高昂系统部署在腾讯公有云，无法部署加密机等国密硬件产品需选择软件形态的解决方案，同时具备国密局认可的产品型号证书密钥需要安全保护，由组委会掌控网站访问量大，加密执行不能影响系统的正常使用。

解决方案

① 将数据安全模块部署在应用系统内，配置加解密规则
② 用独立KMS管理根密钥，根密钥由组委会掌控。
③ 应用服务在向数据库保存个人信息之前，通过模块对敏感字段进行加密。在显示应聘者的个人敏感信息时，应用服务将密文读出并通过模块进行解密，再将明文信息返回给前台展示。

案例-金融关键应用：某交易所重要数据保护 icon

项目背景介绍

客户行业：金融
项目名称：某大型证券交易所数据安全项目
项目需求：
行情经营、网站等相关的多个系统中均存在大量的会员相关信息，如会员账号、股东账号、个人邮箱、真实姓名等敏感数据，数据需要在日常业务中高速流转。依据行业及国家相关规定，需要对敏感数据进行保护。需要实现密钥的统一管理、策略的统一管理、加解密元数据的统一管理，实现“分布式加密、集中式管控”的保护体系。

项目实施痛点

生产应用使用信创环境，需要完全适配当前信创环境;需要使用国密算法，对系统中存放的敏感数据进行加密;
需要通过国家密码管理部门核准，符合密评审核要求;
应用存在批量数据导入场景，单次导入数据千万量级，需要在执行批量导入时加密数据不影响系统使用;
新增解决方案在部署过程中无需应用系统进行代码改造，上线变更需要操作快，周期短;。

项目建设方案

在数据中心机房部署两套数据安全管理平台，平台旁路部署，使用高可用部署模式。在应用侧部署免改造加密插件实现对业务系统中结构化（AOE插件）和非结构化(TFE 插件)数据的存储加密，提供有效且易于实施的数据安全保护。

案例-央企商业秘密保护：“某综合性国有资本投资集团”数据保护 icon

项目背景介绍

客户行业：资产管理
项目名称：央企商业秘密保护
项目需求：
集团OA含有重要敏感信息，需保证签批流转过程中需要针对综合人员和运维人员信息保密
纪检监察系统包含极为敏感的特殊数据，需要高
级别的内外部防护。

项目建设内容

基于国密合规的加密模块实现数据加密;提供应用
系统免改造方案，可防拔盘攻击，加解密执行只在目标应用服务器上完成;基于国密SM4的格式保留加密的高性能算法，对业务效率影响降到更低。

项目收益

1、实现结构化和非结构化数据加密需求，保护用户各类隐私数据安全，提升系统安全水平。
2、满足国家关于政策合规、商用密码信息系统密码应用规范要求。

密评要点解析