GaussDB全密态数据库应用案例：为华为公司流程IT ERP项目保驾护航

搜索关键词“数据库安全事件”，“史上十大数据泄露事件及其教训”、“2022年国内十大信息泄露事件”等字样就跳入了眼帘。

打开任意一个链接，以亿为计数单位的用户信息被泄露在网上，包括谷歌、万豪国际、西北工业大学等这些我们耳熟能详的知名校企，触目惊心的数字让人不寒而栗。

这些有着强大安全防御系统且被重点关注的校企，发生数据泄露能被大家看到的仅仅是冰山一角，更不要提那些没有被曝光出来、隐性的数据泄露的情况了，因此数据安全之路任重道远。

那如何避免数据被泄露？

数据的存储离不开数据库。

近年来，本地数据库向云上迁移成为一大发展趋势，云数据库成为数据库市场增长的最快的领域。

而相较于传统数据库，云数据库的部署网络由“私有环境”向“开放环境”转变，传输、存储、运维所处的运行态，都有可能遭受来自攻击者的攻击，面临的风险更加复杂和多元。

因此，保护数据在云上全生命周期的隐私安全，是整个云数据库面临的首要安全挑战。

解决方案的设想是：如果当数据离开客户端时，在用户侧对数据进行加密，且不影响服务端的检索与计算，从而实现敏感数据保护，此时即便数据库管理员也无法接触到用户侧的密钥，进而无法获取明文数据。这样就极大可能的降低了数据被泄露的风险。

俗话说，钥匙掌握在自己手里才是最安全的，这就是全密态数据库解决方案。

全密态数据库技术的优势

在全密态数据库方案中，用户自己持有数据加解密密钥，加解密过程仅在客户侧完成，数据在存储、传输、查询整个生命周期过程中均以密文形态存在，并在服务端完成查询运算。

因此，无论数据处于何种状态，攻击者都无法获取到有效信息，从而保障了企业数据全生命周期的隐私安全。

全密态数据库不仅继承普通数据库基本功能，还额外提供了在数据密文上进行查询和计算的能力，这也是全密态技术成为各大厂商去全力攻克的主要原因。

GaussDB全密态数据库技术

华为的GaussDB全密态数据库，不断突破软硬融合密态数据处理、可搜索加密等根技术，主要有三方面的优势：

一是，实现用户使用全密态数据库时完全的无感知，不需要修改他原有的SQL语句、数据类型等。

GaussDB可以做到语法自动解析，应用无感知，将语法解析内置到驱动中，这种实现方式投入大，较难实现，华为在这方面有专利。

二是，不依赖专有的加密硬件，靠纯软件的方式来实现。

GaussDB支持纯软方案，全程存储密文，通过数学算法在密文空间直接查询运算，属于安全领域的技术高精尖。

三是，加密必然导致性能的损耗，保障在全密态下性能牺牲在一个可控范围内。

GaussDB通过软硬结合可以将部分算法不进行加解密过程传递，减少硬件IO。通过数学算法，直接对密文进行查询，极大减少加解密时的性能损耗，华为在这方面已有专利。

GaussDB全密态数据库的应用

GaussDB密态数据库已经在华为公司流程IT ERP项目中投入应用，通过信息安全存储，实现核心账务数据的密文查询和计算。

GaussDB全密态数据库能够在华为公司流程IT ERP项目中使用，一方面是GaussDB 是华为重磅打造的企业级原生分布式关系型数据库，在华为公司内部经过了3年多的全密态技术的测试和迭代，针对价值数据的机密性保护这一点已经相当成熟。

另一方面是，华为公司跟信通院合作，发布了全密态数据库标准，并且100%全量完成了中国信通院组织的首批“全密态数据库”产品能力评测。

该评测依据《大数据 全密态数据库技术要求》进行，对标准中所有的四个能力域共计三十个能力项进行测试，全周期数据密态、密态数据处理、加密算法与密钥管理、以及数据库基本能力等。

目前，除了华为云的流程IT ERP项目以外，GaussDB全密态数据库项目已经在金融行业进行实践，相信在不久的将来，GaussDB全密态数据库将在各个行业遍地开花。