个人信息泄露、电信诈骗等网络安全事件的发生,让这个在以数据为王的大数据时代,更加凸显出数据安全的重要性。如何保证数据安全这个问题也是科研人员一直致力于研究的问题。由西安电子科技大学马建峰教授团队研发的“‘秦盾’云加密数据库系统”,对抗数据安全漏洞,为数据安全保驾护航。
“秦盾”云加密数据库系统诞生
“随着大数据、云计算的快速发展,很多数据在云端进行存储,其安全保障面临着严峻的挑战。数据库系统属于基础和支撑软件,广泛应用于政务商务、军事国防、航空航天、银行证券、医疗卫生等国家重大行业。在当今社会信息化、智能化的趋势下,数据是信息系统的核心与基础,数据安全是关系国家安全、社会稳定的关键因素。”马建峰说,目前,我国部署的主流数据库系统均来自国外,存在重大数据安全风险。
马建峰表示,一方面在这些数据库中,数据以明文形式存储,一旦系统被攻破,所有数据均将泄露;另一方面数据库系统自身也存在许多安全漏洞,甚至国外厂商可随意设置系统“后门”。数据管控权相分离,云计算平台作为数据库的管理者,对数据具有直接管理和控制权限,而资源使用者作为数据所有者,只能间接地通过云平台来管理数据,因此,管控权和所有权相分离的云服务提供模式使得云数据库系统面临更加严峻的安全挑战。
数据库系统作为数据的存储空间,是数据保护的最后一道防线,随着数据库系统由本地直连向着网络化和分布式的方向发展,并被网络上的众多用户所共享,使数据库系统变得更易受到攻击。研制具有可替代性的数据库系统,摆脱对国外数据库系统的安全依赖,是行业基本需求,正是在这种形势下,立足学科前沿,结合国家战略需求,技术与应用相结合,以马建峰教授为带头人的科研团队,针对政务、公安、机要、金融、医疗等国家重大行业对数据库系统安全的迫切需要,在国家863计划、973计划等课题的支撑下,研发了自主可控的“秦盾”云加密数据库系统,解决云数据库系统面临的信息安全问题。
保障数据全生命周期安全
“秦盾”云加密数据库系统采用数据加密和认证授权管理等技术,实现系统细粒度访问控制并保证数据加密后存储,从而实现数据库系统的高安全防护。它是一款拥有多种部署模式的数据库加固系统,该系统支持用户将数据加密存储到数据库中,具有数据库列分级加密、大数据批量上传加密、加密数据完整性验证等功能。
马建峰介绍,为解决云数据库面临的信息安全问题,“秦盾”系统主要实现的功能包括保障数据全生命周期安全、数据加密存储、数据库列安全分级加密、密钥管理、细粒度访问控制、云端数据完整性验证等。当用户通过“秦盾”系统对数据进行存储时,“秦盾”系统对数据进行加密,然后存储到数据库中,实现数据加密存储。当用户需要查询数据时,只需将查询请求发给“秦盾”系统,就能在加密的数据中实现密文查询,真正实现加密数据库的透明化访问。
“依据部署模式不同,可分为私有云版、服务器版和终端版加密数据库系统。”马建峰表示,简单地说私有云版加密数据库系统是指将“秦盾”系统部署到客户的私有云中,当客户内部用户通过私有云访问公有云时,其传输的数据均经过“秦盾”系统进行加解密,从而保证客户数据的安全。对于个人用户,无需搭建私有云或购买专用服务器,用户可以直接将“秦盾”系统作为应用程序安装到终端中。当用户通过终端对个人数据进行网络备份时,“秦盾”系统均可以将数据进行加密上传,从而保证用户数据的隐私性。
电子政务领域如何亮“盾”
马建峰以电子政务作为例子进行讲解,电子政务作为信息化产业中一个特殊的应用领域,其数据机密性和可控性是实现政府机关为社会公众提供信息服务的前提和保证。如果电子政务系统的安全性遭到破坏,造成的敏感数据泄露,必然会扰乱日常政务工作,危及其他重要生产生活领域,进而威胁国家安全。因此对于电子政务系统而言,数据安全已成为制约电子政务等国民信息化建设发展的关键问题。但主流数据库系统均来自国外,无法实现自主可控,可能存在“后门”等数据泄露威胁。
“由于地区政府的分级性,访问入口和管理人员众多,造成非法访问、越权访问等风险。”马建峰说,针对电子政务信息系统中数据库系统面临的安全风险、核心安全需求,“秦盾”云加密数据库系统提出了细粒度访问控制、数据列分级加密和数据完整性验证等安全方案,实现数据库系统全生命周期的安全防护,以满足对国内外数据库的安全加固要求。
实现“人无我有人有我优”
“秦盾”作为国外数据库系统的替代产品,马建峰认为有四个创新点:提出云数据库加密参考结构,有效防止数据泄露和非法访问;提出基于明文索引结构的密钥管理方法,降低密钥管理代价,解决云数据库存取访问的密钥协商问题;设计自适应可定制的数据库列分级加密方法,在保证数据安全性的前提下,提高密文数据操作的效率;设计基于属性的细粒度访问控制机制,保障多用户并发访问时数据的安全性。
马建峰说,相比于其他的安全数据库,“秦盾”云加密数据库系统的优势是可以对加密数据库中密文数据实现数据库基本操作。其他安全数据库产品对加密的数据只支持部分查询功能,在实际场景中应用受限。相比于其他的加密数据库产品,“秦盾”云加密数据库系统拥有访问控制、完整性验证、数据共享等一系列安全功能,帮助用户应对可能出现的安全威胁,实现了“人无我有,人有我优”的优势。“它不仅可以在数据上传、数据使用、数据存储、数据共享等各阶段对数据进行保护,实现数据库系统的全生命周期安全防护,而且支持大规模的并发操作,百万条数据中查询响应时间在毫秒级。”
已成果转化多家单位在应用
马建峰说,“秦盾”云加密数据库系统已经授权了10多项国家技术发明专利,获得了第十八届全国科技工作者创新创业大赛金奖、“最佳商业投资价值奖”和中国发明协会“金奖”等奖项。目前已成立了南京西军电网络科技研究院有限公司进行成果转化,并在建设银行、招商银行、中国兵器、济南政务云等单位和系统进行应用。
“在保障数据安全方面能做的事情很多,系统数据规模大了,加密模式就提出了新的挑战,怎么升级?怎么进行数据更新?既然是加密过的,对用户的授权、权限管理等都面临一系列的挑战,这些既是技术应用需求,也是学术的前沿。其次,在数据分析方面,数据加密以后,仅仅是让云端存储管理,明显没有将云的能力发挥出来,云有很强大的计算功能,把云的潜能发挥出来,充分利用云计算能力。”马建峰笑着说,这些都是很有意思的,也从中找到了乐趣。
昨日来自省科协消息,像马建峰教授这样从“第十八届中国科协年会全国科技工作者创新创业大赛”被人熟知科研项目的科研工作者还有很多,2018年陕西省科技工作者创新创业大赛即将开赛,为了激发更多科研工作者,大赛设立20亿元以上的投资资金池,投资基金支持50万-1000万/项。对于落户沣东的优秀项目,将享受沣东新城提供的项目落地扶持及资源礼包,包括项目启动资金、办公场地补贴、科技成果转化服务、项目投融资对接、项目推广等。