公司要求用户敏感数据加密存储，大伙有什么建议吗？

对称加密

这不是应该限制查询吗？ 在查询的时候脱敏

@sun522198558 #2 这边的等保测试要求落地到数据库里面的时候就要加密

要发短信就选能解密的，要验证你把参数也加密一次然后去数据库搜不就好了

每个字符做一个映射，比如 1->a 2->b ，查询 12 时候转换为查询 ab
要加密的数据一共就那么多，自己做一套映射词典就好了

同态加密

@Pythondr #1 对称加密后如何模糊搜索手机号？

@cccssss #5 这样的加密力度好像很低，不过好像可行，本来就是应付上级检查的

如果只是为了过等保，我是说『如果』，那简单，预配置一个 key 做对称加密，这样系统改动最小，历史数据迁移也最简单。如果是为了从系统设计层面做的更优雅，那就需要一个权限系统，读写的时候从系统取 key ，取 key 的时候做用户验证等等。

严格来说，开发系统的人拿到数据库应该是没办法解密的，数据库管理员拿到数据也是没办法解密的，权限系统管理员拿到 key 是没办法读取到数据库的，等等，这些都是系统设计的时候就要规划好的。

等保就是笑话，不用完全遵守的，查的时候他们基本不看，随随便便就过了

如果因为业务需要做不到字段级加密就只需要做到数据库和其访问程序的相对安全就可以了，或者你看看有没有支持字段级加密查询的数据库系统。

之前做过缺点是支持加密模糊搜索的字段会很长

如果就是为了应付检查，做个脱敏库吧。
开发和线上用还是正常数据，给检查的是某个表敏感数据处理的库。

@xuelu520 #14 哈哈，很机智

@liyunyang #7 手机号模糊查询，是在什么应用场景呢。一般手机号都是作为唯一约束存在，不太可能需要模糊查询。

@liyunyang 如果觉着这种方案没有对称加密力度低，那就每个字符都对称加密呗。这样力度大

搜索下，前几个月内有讨论

4 级等保吗？ 3 级的也不用做数据库加密

无需做查询条件的敏感字段，直接找知名的加密算法加密就行了。
需要做查询条件的敏感字段（如手机号、身份证），建议采用映射的方法，自己写一个简单的方法，做一些简单逻辑设计、字符映射，不要想太多安不安全！不要想太多安不安全！不要想太多安不安全！我们没做这个之前，你手机号还是明文存进去的呢，你说是不是呢？何必想那么多为难自己呢