你知道么？

2024年1-8月全球累计乘用车销量4494.5万辆

中国销量约为1361.37万辆

你知道么？

一辆智能网联汽车每天至少收集10TB的数据

数量庞大

涉及车身状态、出行轨迹、语音、视频...

这还不包括汽车制造产业链、内部管理...

你知道么？

2023年全国发生20余起重大车企数据泄露事件

2020-2023年汽车行业安全攻击超过280万次

大型车企  数据透明加解密方案

某大型车企作为一家国有企业、汽车制造业的领军企业，已建设整车合格证系统、一卡通系统、制造品质信息系统等20多个重要业务系统。拥有数百个重要数据库，存储了大量用户隐私数据，为防止敏感数据的泄露、遵循数据安全合规要求，明确要求快速建设加密系统，实现数据存储机密性安全保障。

背景&需求

本案例项目需要进行存储加密保障的重要数据库近200个，其中多以主从、集群模式部署在云平台，数据库环境相对复杂，且存储了海量的数据。

对数据加密有明确的诉求：

1、 实现数据加密存储；

2、 加密产品部署无需改造业务应用及数据库程序代码；

3、 要求数据加解密过程无感知、对业务性能无影响；

4、 数据存储安全保障，防止非原生数据库的访问行为产生的数据拖库风险；

5、 海量数据快速加解密；

数据透明加解密“四折叠”

为响应该车企对数据加密的需求，美创采用业务透明、数据存储加密、存储安全保障、密钥安全管理的“四折叠”存储层数据透明加解密方案，实现加密能力全库覆盖。

产品部署图

第一折  业务透明

·业务无改造

美创提供存储层透明加解密方案，选用旁路部署方式，在该车企的数据库服务器上安装轻量级的加密服务模块，标配使用美创新一代 数据安全管理平台（DSC）的云平台集中管理管理加密资产、策略配置、事件处置响应等。业务程序无需改变任何业务逻辑，即可实现自动加解密数据。

·数据库索引透明

项目方案采用存储层加密机制，安全管理和信息科室人员无需针对字段存储的长度、存储的类型进行变更，即无需改变数据库索引，对索引完全透明。

第二折  数据存储加密

·数据加密存储

该车企的数据库众多，且存储在不同的介质中。美创采用透明数据加密技术，自动检测数据文件存储路径，可灵活选择国际/国密算法，对写入磁盘的数据进行自动加密，实现对数据落盘加密存储，整个加密过程自动进行、速度快、对于业务完全无感知。

目前，美创提供多种存储层透明加密模式，不同数据库可根据客户环境和客户实际诉求进行的灵活选择。

·主从复制，密文自动同步

该车企的 MySQL 数据库为主从部署模式，方案以 MySQL 主从拓扑的自动检测能力，实现从机的自动解密。当检测到其中两个数据库资产为主从关系时，主库的密钥和加解密策略会自动同步至从库，实现从机在数据访问时的自动解密。

第三折  存储安全保障

为了解决该车企运维人员众多、权责分离不清晰而导致的数据访问风险，美创在透明加解密的基础上，新增进程识别和访问控制机制，实现对一切非法访问的阻断。

存储安全保障机制

第四折  密钥安全管理

本项目还引入主密钥机制，重点对密钥进行安全管理。采用主密钥加密工作密钥，形成加密密钥，此外还提供密钥备份、密钥更新、密钥恢复能力。

重点收益

·透明加密敏感数据，零感知、免泄漏

本数据透明加密项目做到了不改造业务程序代码、不改变数据库设计、加解密流程对业务访问无影响和索引透明，为该车企20多个业务系统涉及的近200个数据库的敏感数据进行全面加密和安全保护。在多起攻击事件中及时阻断了入侵者访问、获取敏感数据，有效管理运维人员越权访问。在数据库物理文件和备份文件失窃的情况下，也做到了保证敏感数据的安全性。

·满足安全合规要求

满足网络安全法、数据安全法、信息安全等级保护、个人信息安全规范等对于敏感数据加密的要求。

其他应用场景

场景一：密评、国密算法改造

银行、政府用户需要过密评或进行国密改造，如关键信息基础设施、等保三级以上等系统，每年至少需进行一次密评。

场景二：数据上云存储安全

数据存储依赖第三方，如医疗Pacs上云、各类云化，防止第三方运维人员越权操作。

场景三：第三方数据共享交换

如银行数据共享至第三方企业，经常检查第三方的数据安全管控措施，对数据接收方的数据存储安全措施有要求。