需求分类

具体要求

配置部署

标准机架式硬件设备，支持双电源，6个电口，可扩展万兆光卡。

支持代理、旁路部署等方式。

实施时不需要改变业务系统及数据库系统的网络拓扑结构，实施后不会影响业务系统对数据库系统的访问。

支持主、从互备，支持设备不可用时，自动切换到另外一台设备运行，主、从之间的切换应能在3秒之内完成。

存储加密

支持Oracle、SQL Server、MySQL、达梦等数据库加密。

支持以表空间为单位进行数据加密，加密的表空间的数据在数据库中以密文格式存储。

不限制加密数据的数据类型，支持数据库系统所有的内置数据类型。

支持DES、AES等国际密码算法，支持国密SM4算法。

支持密钥统一自动备份功能。

多级密钥体系，至少有根密钥和数据加密密钥两级，使用根密钥对数据加密密钥加密，以保证密钥的安全性。

提供图形化的数据加密操作和数据解密操作管理，使用简单。

加密数据对应用透明，业务系统及数据库访问工具（如：PL/SQL、JDBC、ODBC等）访问过程不受影响，不涉及业务系统的二次开发。

被保护数据表的权限控制应独立于数据库的权限控制，防止数据库用户的权限提升引起的数据泄密。

授权用户对受保护数据的访问能够限定到指定的IP，只有在指定的IP上才可以访问受保护数据，实现更加精确的授权和访问控制。

性能要求

表空间加密，数据库加密的平均吞吐量相比加密前损失不超过7%；单表千万（记录条数)级数据规模。

典型OLTP应用场景下，相同业务压力时加密后数据库服务整体性能损失相比加密前不超过20%。

典型OLAP应用场景下，加密后单表千万级数据规模下的全表扫描和统计分析操作的性能损失相比加密前不超过15%。

部署于数据库服务端的代理或插件占用的CPU资源不超过1%，占用的内存不超过32MB。

访问控制

能够通过设置实现只有指定的IP能够访问数据库而其它IP均无法访问数据库的功能。

能够限制DBA及超级管理员在数据库服务器本地登录到数据库访问敏感数据。

针对直接连接数据库的行为进行管控，防止违规登陆。