e-works数字化企业网  »  文章频道  »  基础信息化  »  网络与安全

CipherGateway数据加密技术白皮书

2017/12/7    来源:炼石        
关键字:CipherGateway  数据加密技术  
炼石CipherGateway数据加密技术可以按需对企业应用系统中重要的数据进行加密,对关键、重要、敏感数据从产生、使用到销毁的全生命周期以及在整个应用系统中流转的全过程提供持久的全方位保护。

传统加密技术难以应对应用系统加密新场景

    在国家战略支持下的企业信息化升级过程中,企业正在越来越多的使用ERPPLMMES等各类应用系统提升自己的核心竞争力,与此同时,应用系统中的数据资产正受到前所未有的安全挑战, 如何保护企业核心数据资产,已成为信息安全建设的重点。数据加密技术作为保障信息安全最基本、最核心的技术,是保护数据资产安全的最直接有效的手段。

    传统的数据加密产品大部分是针对应用系统中落盘存储的静态数据进行全部加密,致使数据加密后,不能正常使用应用系统的搜索、排序、报表等一系列功能。同时,传统的安全产品不能根据数据的重要性,使用不同强度的密码算法对不同密级数据进行加密,而是对全部数据的无差别加密,导致应用系统性能下降,延时增大,用户体验较差。

技术亮点

    支持国产商用密码算法;

    高强度密码算法、令牌化、格式保留加密、可搜索加密;

    高速加解密算法实现,不影响应用性能;

    对敏感数据提供字段级、文档级加密保护;

    用户可以灵活配置数据安全策略,包括加密、脱敏;

    字段级数据完整性保护,确保数据全程无篡改;

    提供细粒度密钥控制,可对不同字段,不同文件赋予不同密钥;

    核心密钥不出本地安全芯片,由用户掌控。

炼石数据加密技术的解决之道

    炼石CipherGateway数据加密技术可以按需对企业应用系统中重要的数据进行加密,对关键、重要、敏感数据从产生、使用到销毁的全生命周期以及在整个应用系统中流转的全过程提供持久的全方位保护,并且支持数据令牌化、高强度加密、格式保留加密、部分加密以及可搜索加密,以此做到从数据源头解决企业的数据安全、应用安全、业务安全问题,同时不影响使用体验。

    通过使用CipherGateway,企业用户可以根据敏感数据密级与类型配置相应的加密策略,敏感数据只有在企业用户用户端侧是明文状态,在进入应用系统之后便根据预先设置的加密策略变成密文状态,可以有效防止攻击者、内部未授权人员、应用系统服务商,以及其他恶意人员对数据的非法访问。同时,保护敏感数据安全的密钥同样在企业用户侧由企业自己掌控,从而自主灵活地控制这些数据以及应用的访问。

图1 炼石CipherGateway数据加密技术

图1 炼石CipherGateway数据加密技术

主要特性

    为应用系统提供內建的密码能力

    CipherGateway涉及到的核心密码算法,全部支持国产商用密码算法,针对需要保护商业秘密、以及要求商密合规的企业,可以不进行二次开发改造工作,只需使用CipherGateway即可为原有应用系统增加国密算法提供的各项安全防护能力。

    CipherGateway已经通过了国家密码管理局商用密码检测中心平台的检测,获得了业务数据代理加密网关(SJJ1717) 商用密码产品型号,是目前为止国内唯一通过国密局检测的此类产品。

    CipherGateway能够根据等级保护标准中对于应用安全方面的要求,针对企业内等级保护重点应用系统,在应用系统服务端和用户端不改造的前提下,对应用系统缺失的密码能力进行补足, 帮助企业通过等保涉及的合规性要求。

    高性能的密码算法实现

    CipherGateway可以根据应用中产生和使用的数据及文档特点, 灵活按需提供高强度加密、令牌化、格式保留加密、部分加密以及可搜索加密,并针对国密算法进行了针对性的性能优化,实现领先于业界同类产品数倍的处理性能,可以轻松应对大数据量场景下的数据加解密和签名验签等操作。

    针对敏感数据不能离开其组织范围的单位,CipherGateway可提供两种令牌化技术来满足用户的安全需求,既可以利用随机生成的令牌替换敏感字段,使令牌数据与原始数据没有任何数学相关性,也可以使用F P E算法来进行更高效的数据令牌化替换,确保敏感数据始终不会离开组织。

    同时CipherGateway还支持对数据进行部分加密,既可以确保加密后数据不再有意义,又能在提升加密效率的同时对业务系统服务端数据结构无破坏。

    结合业务的细粒度加密

    CipherGateway可以根据企业的个性化需求,支持用户自主选择配置加密策略,能够紧密结合业务场景和业务逻辑对应用系统中的敏感数据提供的全方位加密保护,加密粒度可以精细到字段级以及文件级, 做到一字段一密钥,一文件一密钥。

    同时,CipherGateway可以结合企业组织架构,对企业内不同角色、不同用户可访问的数据使用不同密钥加密,防止低权限用户访问高权限敏感数据明文,限制用户只能访问其权限内数据,有效防止数据泄露事件发生。

    CipherGateway同时对敏感数据提供字段级、文件级的完整性保护,保护企业核心数据在用户端与服务端之间的传输过程中不会被篡改。

    高可靠的密钥管理

    密钥的生命周期管理严格遵循密码行业标准,采用多层密钥管理体系,根密钥由双随机数芯片采集物理噪声源产生, 存储在本地安全芯片,任何情况下都不会以明文形式导出。数据加密密钥有上一层密钥派生而来,始终由用户自己掌控。

    密钥备份采用标准的密钥分散备份方案,只有您企业内特定人员授权才可进行密钥恢复操作,同时在原设备发生故障硬件损坏的情况下也可以在新设备中将密钥立即恢复。

    另外,企业可以结合自身业务特点根据密钥的使用频率以及重要性, 预设密钥更新策略,CipherGateway可定期对密钥进行更新,同时对弃用的密钥会及时彻底销毁。

责任编辑:郝秋红
本文为授权转载文章,任何人未经原授权方同意,不得复制、转载、摘编等任何方式进行使用,e-works不承担由此而产生的任何法律责任! 如有异议请及时告之,以便进行及时处理。联系方式:editor@e-works.net.cn tel:027-87592219/20/21。
e-works
官方微信
掌上
信息化
编辑推荐
新闻推荐
博客推荐
视频推荐