近日，与一金融机构负责安全的主管客户交流，他说，现在对国密加密要求很高，现在这个目标怎么达成，很愁，没有想到好的办法。他讲，采用应用字段加密吧，很多数据都涉及敏感数据，开发改造工作量很大，投入成本大，还影响性能大，开发根本不愿意改。有些数据库厂商推荐全密态数据库，在客户端加密，但是只能等值查询，不能模糊查询，这样业务根本不同意，所以直到现在，加密也没有做，考核验收老是被扣分。还有数据库厂商推荐TDE透明加密，也要开发来改造，工作量也不小，也影响性能，投入也大。

我跟客户讲，的确，数据加密改造最近有很多政策监管要求，大家的确很困惑，经过一些机构评估，现在的要求有50%以上的敏感/重要数据字段需要加密，那工作量相比之前的5%的数据量，增长了10倍，从软件层面来做加密，改造工作量都很大，性能影响也很多。还有一个办法就是卸载到硬件来加密，即网络设备加密，存储系统支持国密加密，叠加计算侧TEE可信执行环境，提供一个安全隔离的OS环境。存储加密性能无损，全数据落盘就加密了，存储设备加密能力是具备国家密码管理局认证证书的。就不用应用/数据库来做软件改造了，节省了大量的改造成本。客户回应说，的确硬件加密方案如果能做，肯定更优，接下来考虑论证试点，之前客户也想存储系统来加密，一直没有找到合适的方案。

其实，很多时候软件方案来做，改造工作量大，影响性能大，往往可以考虑卸载到专业芯片硬件来做，不会增加成本，节省了很多投入。有应用软件加密，对应的就有硬件加密方案，满足监管要求，大家怎么看待这个事情呢？

文章来源：毕须说