关于在线教育行业MySQL数据库加密的安全事件案例

本文涉及的产品
RDS MySQL Serverless 基础系列,0.5-2RCU 50GB
云数据库 RDS MySQL,集群系列 2核4GB
推荐场景:
搭建个人博客
RDS MySQL Serverless 高可用系列,价值2615元额度,1个月
简介:

2017上半年,安华金和推出国内首款MySQL TDE数据库加密产品,采用数据库引擎代码改造技术,通过替换原生MySQL中的执行文件mysqld,实现数据在存储层的加、解密功能,还能避免以往加密过程中数据库文件导入导出的繁琐程序,最大程度减少性能损失。


国内数据库安全领域在MySQL加密技术上常年空白,安华金和MySQL加密产品也是在收集调研了多个行业用户的需求后,推出市场的,这一投石问路的创新之举立刻吸引了众多用户关注,目前,安华金和已为政府、人社、教育、企业等多行业多个用户完成MySQL TDE加密产品的成功部署,无论从加密效果还是性能影响上,首次发布的MySQL TDE加密产品均表现不俗,以案例充分体现产品价值。本文,以其中某教委用户的MySQL加密项目为例,呈现MySQL TDE数据库加密在实际应用场景下的价值体现。


项目背景

随着数据泄露事件全球范围内的频繁爆发,近些年每到年终泄露事件大盘点的时候,总能看到教育行业的影子。而在国内,近些年教育行业已经发生多起数据库泄露事件,案件相关人员隐私权益遭到严重损害,甚至危及生命健康,教育相关单位的声誉受到严重挑战。也正是因此,社会、各类院校、教育机构、学生家长等对于教育行业的信息安全建设倾注了更多的关注,数据保护方面的安全教育也因此得到明显的提升。与此同时,犯罪分子的也开始不断提升作案手段,通过非法攻击、违规操作等一系列手段窃取教育系统数据库里的敏感数据,频频发生的拖库、刷库现象使得教育行业的数据库系统遭受严重的安全威胁。


某教委当前业务系统中的核心业务数据需要进行安全保护,该教委业务系统采用了MySQL数据库系统,其作为某地方教育资源基础设施,存储了大量核心教育信息,拥有大量敏感数据。一旦数据丢失或被篡改,将对社会公共秩序造成较为严重的损害,因此该教委认为数据安全的整体保障势在必行。


用户需求

该教委用户对于本项目重点提出了两大安全防护需求和业务正常运营需求:


1、操作管控需求
  • 防止和限制数据库管理员对数据库的风险操作及高危操作;

  • 防止第三方运维人员对生产数据库批量导出操作;

  • 管理第三方数据分析员对数据库的越权操作;

2、数据防泄漏需求

  • 防止突破边界防护的外部黑客攻击;防止明文存储引起的数据泄密;防止内部高权限用户的数据窃取,从根源上防止敏感数据泄漏的行为。

3、系统稳定运行需求

  • 保证数据安全的同时,确保业务系统无需进行改造,功能不受影响,性能损耗小,并可以持续在线运行,备份恢复等日志维护工作依然可正常进行。


解决方案

结合该项目提出的上述安全需求,安华金和从存储层、数据库访问层、应用访问层三个层面对数据库面临的安全威胁进行分析,以该教委业务系统中的敏感数据的主动预防为目标,对教委核心数据库部署了MySQL TDE加密产品,从而针对其教师档案管理系统等数据库中的核心数据安全进行防范,通过数据存储加密、独立的权限控制、三权分立、应用安全访问等核心能力,主动预防来自于内部维护人员、第三方合作人员、内部工作人员的各种数据窃取行为,将对数据库系统进行有效地安全加固,弥补当前教委业务系统数据库安全“短板”。


ecd021f49474f5b07394196019c7301125442b16

网络拓扑图


通过在数据库存储层进行数据加密处理,MySQL TDE加密产品实现了即使数据遭到盗取也无法解密的效果,从根源上解决数据泄露问题。


客户价值

总结下来,具体客户价值如下:

1、完善核心系统的操作管控

针对该教委的业务系统进行数据库加密,防范“越权使用、权限滥用、权限盗用”等安全威胁;将内部高权限人员的风险操作、高危操作、越权操作、批量操作进行有效的管理,其中,客户端IP访问控制和应用关联控制两个功能点,实现细粒度的访问对象识别,增强针对应用侧的权限控制能力。

2、实现数据加密存储

防止该教委数据库系统内的数据明文存储,不法分子通过拷贝数据文件引起的批量泄密。

3、三权分立

防高权限用户导出数据,防黑客安全攻击进行拖库,对不同列使用不同密钥。

4、增强风险防范能力

有效记录来自非授权的访问行为、数据库入侵行为、违规操行进行及时防护和预警,并且对数据库运行情况进行全面分析。

5、提升数据加密安全性

数据库加密MySQL TDE产品采用国产SM4加密算法,缺省盐方式进行数据加密,相较传统AES等算法更安全可靠、合规,最大程度保证数据安全。

6、低成本、高效率

部署数据库加密MySQL TDE产品,对于现有应用系统的SQL语句、开发接口,都无需改造,原有数据库核心特性均可继续使用;同时产品的集中控制模式,能够更快地、无缝地融合到当前信息管理系统中;采用的密文索引列创建,确保了性能优化,保障高可用性。


宣传一个云安全的线下沙龙,17年12月12日北京3W咖啡。免费活动欢迎参加

886c9bc00350ea25cdd98aa787dbdca658f9fea1

活动专题:http://www.dbscloud.cn/cloudsecurity.html 

相关文章
|
16天前
|
监控 关系型数据库 MySQL
zabbix agent集成percona监控MySQL的插件实战案例
这篇文章是关于如何使用Percona监控插件集成Zabbix agent来监控MySQL的实战案例。
28 2
zabbix agent集成percona监控MySQL的插件实战案例
|
27天前
|
关系型数据库 MySQL Linux
在Linux中,新安装mysql后怎样提升mysql的安全级别?
在Linux中,新安装mysql后怎样提升mysql的安全级别?
|
1月前
|
存储 关系型数据库 MySQL
MySQL bit类型增加索引后查询结果不正确案例浅析
【8月更文挑战第17天】在MySQL中,`BIT`类型字段在添加索引后可能出现查询结果异常。表现为查询结果与预期不符,如返回错误记录或遗漏部分数据。原因包括索引使用不当、数据存储及比较问题,以及索引创建时未充分考虑`BIT`特性。解决方法涉及正确运用索引、理解`BIT`的存储和比较机制,以及合理创建索引以覆盖各种查询条件。通过`EXPLAIN`分析执行计划可帮助诊断和优化查询。
|
1月前
|
安全 关系型数据库 MySQL
揭秘MySQL海量数据迁移终极秘籍:从逻辑备份到物理复制,解锁大数据迁移的高效与安全之道
【8月更文挑战第2天】MySQL数据量很大的数据库迁移最优方案
195 17
|
26天前
|
算法 安全 数据安全/隐私保护
实战案例2:简单的文件加密解密程序。
实战案例2:简单的文件加密解密程序。
49 0
|
2月前
|
安全 关系型数据库 MySQL
MySQL装机全攻略:从下载到安全配置的详细指南
出于安全考虑,建议禁止root用户通过远程连接登录MySQL数据库。可以通过修改用户权限或配置防火墙规则来实现。 创建新用户并授权: 根据实际需求,创建具有不同权限的用户账户,并为他们分配必要的数据库和表权限。这样既可以满足业务需求,又可以降低安全风险。
|
2月前
|
缓存 监控 关系型数据库
MySQL PXC 集群死锁分析案例
前不久一个系统死锁导致部分业务受到影响,今次补上详细的节点日志分析过程。
55 1
|
1月前
|
数据库 数据安全/隐私保护
远程桌面CredSSP 加密数据库修正
远程桌面CredSSP 加密数据库修正
21 0
|
3月前
|
SQL Java 数据库连接
2万字实操案例之在Springboot框架下基于注解用Mybatis开发实现基础操作MySQL之预编译SQL主键返回增删改查
2万字实操案例之在Springboot框架下基于注解用Mybatis开发实现基础操作MySQL之预编译SQL主键返回增删改查
56 2
|
3月前
|
关系型数据库 MySQL 数据库
关系型数据库MySQL开发要点之多表设计案例详解代码实现
关系型数据库MySQL开发要点之多表设计案例详解代码实现
45 2