中安比特数据库透明加密技术白皮书V3.0
安华金和数据库脱敏系统白皮书
安华金和数据库脱敏系统白皮书目录安华金和数据库脱敏系统 (1)白皮书 (1)一. 产品简介 (3)二. 应用背景 (3)2.1数据库安全已经成为信息安全焦点 (3)2.2企业需要安全的使用隐私数据 (4)2.3越发复杂的敏感数据使用场景 (4)2.4数据安全相关政策与法律法规 (4)三. 客户价值 (5)3.1保护隐私数据,满足合规性 (5)3.2保证业务可靠运行 (5)3.3实时动态保护生产系统数据 (6)3.4敏感数据统一管理 (8)四. 功能特点 (8)4.1自动识别敏感数据 (8)4.2灵活的策略和方案管理 (8)4.3内置丰富脱敏算法 (9)4.4数据子集管理 (9)4.5脱敏任务管理 (9)4.6脱敏数据验证 (10)4.7动态数据脱敏 (10)五. 联系我们 ............................................................................................................. 错误!未定义书签。
一. 产品简介安华金和数据库脱敏系统(简称DBMasker)是一款高性能、高扩展性的数据屏蔽和脱敏产品,采用专门的脱敏算法对敏感数据进行变形、屏蔽、替换、随机化、加密,将敏感数据转化为虚构数据,隐藏了真正的隐私信息,为数据的安全使用提供了基础保障。
同时脱敏后的数据可以保留原有数据的特征和分布,无需改变相应的业务系统逻辑,实现了企业低成本、高效率、安全的使用生产的隐私数据。
安华金和数据库脱敏系统脱敏产品,实现了自动识别敏感数据和管理敏感数据,提供灵活的策略和脱敏方案配置,高效可并行的脱敏能力,帮助企业快速实施敏感数据脱敏处理,同时保证数据的有效性和可用性,使脱敏后的数据能够安全的应用于测试、开发、分析,和第三方使用环境中。
安华金和数据库脱敏系统脱敏产品提供了具有极高附加价值的数据动态脱敏功能,该功能在数据库通讯协议层面,通过SQL代理技术,实现了完全透明的、实时的敏感数据掩码能力;在不需要对生产数据库中的数据进行任何改变的情况下,依据用户的角色、职责和其他IT定义规则,动态的对生产数据库返回的数据进行专门的屏蔽、加密、隐藏和审计,确保业务用户、外包用户、兼职雇员、合作伙伴、数据分析、研发和测试团队及顾问能够恰如其分地访问生产环境的敏感数据。
安全认证平台TongSEC白皮书
安全认证平台TongSEC技术白皮书东方通科技中间件技术白皮书(9)(国家密码管理委员会办公室批复文号:国密办字〔2004〕12号)TongSEC技术白皮书安全认证平台TongSEC已纳入国家商用密码管理,国家密码管理委员会办公室批复文号:国密办字〔2004〕12号。
《安全认证平台TongSEC技术白皮书》由北京东方通科技有限责任公司编撰,仅赠送给TongSEC用户和其他合作伙伴使用。
和“TongSEC”是北京东方通科技有限责任公司在中国境内的注册商标,北京东方通科技有限责任公司保留对本手册的所有版权,任何单位和个人未经允许,不得擅自使用或转载本书中内容。
北京东方通科技公司保留对本手册进行重新修订的权利。
随着产品版本的更新,本公司将对手册中与新版本不符的部分做必要的修订。
这些改动恕不再另行通知,但会编入新版手册内。
本手册主要为安全认证平台TongSEC产品的技术和功能描述,适合以下读者:?安全认证平台TongSEC产品系统管理员;?安全认证平台TongSEC产品最终用户;?其他所有对信息安全和TongSEC平台产品感兴趣的读者。
目录目录 (i)前言 (1)第1章TongSEC的基本概念 (3)1.1信息安全 (3)1.2安全技术 (4)1.3数字证书 (5)1.4公钥基础设施(PKI-Public-key Infrastructure) (6)1.5轻量级目录访问协议(LDAP) (9)第2章TongSEC产品功能与特点 (11)2.1系统功能 (11)2.1.1证书和身份认证 (11)2.1.2密钥备份及恢复 (12)2.1.3支持防抵赖数据签名 (12)2.1.4密钥及证书的更新 (12)2.1.5密钥历史资料管理 (12)2.1.6证书储存库与证书分发 (13)2.1.7证书撤销 (13)2.1.8证书交叉认证 (13)2.1.9最终用户端安全套件(安全APIs) (13)2.2TongSEC的系统特点 (14)2.2.1自主开发,自主版权 (14)2.2.2开放性 (14)2.2.3可移植性 (15)2.2.4透明性 (15)2.2.5安全和可信性 (16)2.2.6高性能、高可靠性 (16)2.2.7支持LDAP协议 (16)2.2.8支持交叉CA (16)2.2.9提供二次开发工具 (16)2.2.10对智能卡、加密机的支持 (17)2.2.11提供智能卡开发平台 (17)2.2.12多级日志及报表 (17)2.2.13可整合性 (17)2.2.14良好的适用性 (17)第3章TongSEC产品组成 (18)3.1TongCA (18)3.2TongRA (19)3.3TongCARD (19)3.4TongToolkit (20)3.5TongTLS (21)3.6TongOCSP (21)3.7TongLog (22)第4章TongSEC体系结构 (23)4.1简单、易用的层次结构 (23)4.2灵活的模块构件 (24)4.2.1PKI-enabled应用 (25)第5章TongSEC应用范畴与示例 (26)5.1应用范畴 (26)5.2应用示例 (26)5.2.1江西省建设银行金融业务系统安全增强 (26)5.2.2对WEB浏览器的支持 (27)5.2.3电子商务 (28)5.2.4TongToolkit使用 (28)第6章怎样建立符合电子商务要求的安全体系 (30)6.1CA中心运行管理的策略 (30)6.2SSL协议与电子签名及信息传输的安全性 (31)6.3SET和SSL协议的比较及其他协议 (31)6.4CA、RA的协议之间的内在关系 (31)6.5考虑所用安全平台的易扩展性及应用开发的快速性 (31)6.5.1认证中心的职责 (32)6.5.2义务 (32)6.5.3责任 (33)前言当前,数字证书和基于PKI(Public Key Infrastructure)的安全系统正越来越快地被部署到新的互联网(e-business)应用、企业信息安全系统和分布式网络中,基于数字证书的安全系统被看作当前快速改变的市场环境的有力保障和核心技术。
SNS天网防火墙白皮书V3.0
天网防火墙技术白皮书目录1.天网防火墙系列产品简介 (1)1.1.天网防火墙简介 (1)1.2.技术特征 (2)2. 主要特性与性能 (4)2.1.基本系统功能 (4)2.1.1.一体化硬件设计 (4)2.1.2.自行开发的高性能系统内核SNOS (5)2.1.3.支持各类标准网络服务和协议 (5)2.1.4.支持DMZ区可增加管理区域 (6)2.1.5.基于状态检测的包过滤 (6)2.1.6.完善的访问控制 (6)2.1.7.包过滤功能的透明网桥 (7)2.1.8.TCP标志位检测 (7)2.1.9.网络接口可绑定多个IP地址 (8)2.1.10.IP地址与MAC地址绑定 (8)2.1.11.实时系统监控系统和网络状态 (8)2.1.12.系统操作记录 (8)2.1.13.支持巨量并发连接数和NAT连接数 (9)2.1.14.增强型加密中文WEB管理界面 (9)2.1.15.支持非标准标志位 (9)2.1.16.网络数据记录 (10)2.1.17.VPN虚拟专网 (10)2.2.安全应用控制功能 (10)2.2.1.基于单个IP或者IP组为对象的网络管理功能 (10)2.2.2.管理大量IP的能力 (11)2.2.3.防止恶意占用带宽 (11)2.2.4.对大量数据包的攻击防御 (12)2.2.5.动态带宽调节功能 (12)2.2.6.根据端口的连接数限制功能 (12)2.2.7.有效过滤大量IP的防火墙机制 (13)2.2.8.管理内部网聊天工具 (13)2.2.9.精确到单个主机和连接信息记录功能 (13)2.2.10.域名信息缓存 (14)2.2.11.用户上网认证 (14)3. 天网防火墙的典型应用 (15)3.1.中小型企业 (15)3.2.政府及大型企业 (16)3.3.ICP网站 (16)3.4.总部与分支机构互联 (17)4. 天网防火墙技术发展 (19)4.1.客户需求 (19)4.2.技术发展 (19)1.天网防火墙系列产品简介1.1. 天网防火墙简介I nternet 技术带领信息科技进入新的时代,企事业单位都纷纷建立与互联网相连的Intranet,使用户可以通过网络查询信息。
GFA CA3.0技术白皮书
电子证书认证系统GFA CA 3.0技术白皮书White Paper公司:北京国富安电子商务安全认证有限公司GFA E-commerce Security CA CO.,Ltd.地址:中国北京经济技术开发区荣华中路11号本白皮书的内容是北京国富安电子商务安全认证有限公司关于电子证书认证系统的技术说明书。
本材料的相关权力归北京国富安电子商务安全认证有限公司所有,白皮书中的任何部分未经本公司事先书面同意,不得增删、改编、转印、影印、复印及传播。
如欲获取最新相关信息,请访问本公司网站,您的意见和建议请发送到本公司邮箱。
国富安网站:电子邮箱:gfasupport@All rights reserved.2目录1产品简介 (5)2产品结构 (6)3工作原理 (8)3.1证书签发系统设计 (8)3.2证书注册系统设计 (9)3.3密钥管理系统设计 (13)3.4证书在系统间的安全传输 (15)3.5技术标准 (16)4系统流程设计 (18)4.1系统初始化流程 (18)4.2系统角色的建立 (19)4.3系统工作流程介绍 (20)4.4证书管理工作流程 (21)4.4.1证书申请与审核 (21)4.4.2签发下载 (22)4.4.3证书更新 (23)4.4.4证书注销流程 (24)4.5密钥管理工作流程 (24)4.5.1密钥生成流程 (25)4.5.2密钥分发流程 (25)4.5.3密钥更新流程 (26)4.5.4密钥注销流程 (27)4.5.5密钥恢复流程 (28)5产品功能设计 (30)5.1认证中心(CA Server) (30)5.1.1证书管理 (30)5.1.2模板管理 (31)5.1.3权限管理 (32)35.1.4机构管理 (33)5.1.5证书归档和证书统计 (33)5.2注册中心(RA Server) (34)5.2.1证书管理 (34)5.2.2用户管理 (35)5.2.3DN规则管理 (35)5.2.4模板管理 (35)5.3密钥管理中心(KM Server) (35)5.3.1密钥管理 (36)5.3.2机构管理 (36)5.3.3权限管理 (37)5.3.4密钥恢复和司法取证 (38)6产品主要技术特点 (40)7系统配置要求 (43)7.1硬件环境 (43)7.2软件环境 (43)7.3技术指标 (43)8产品部署方式 (44)41产品简介国富安数字证书认证系统(简称GFA CA系统)是对生命周期内的数字证书进行申请、审核、签发、注销、更新、查询的综合管理系统。
中安威士数据库安全加固方案之公有云解决方案
中安威士数据库安全加固方案之公有云解决方案一、背景当前,云计算成为流行的IT系统解决方案。
它的可扩展、可伸缩的弹性计算能力,极大的减小了IT建设和管理的难度。
并且其以租代购的方式极大的减少了投资。
公有云是最重要的一种云计算方式,可以为全球的用户建立起应用系统。
但是在公有云中,应用系统和支撑其运转的数据库都迁移到云端,数据的安全是十分重要的问题。
越来越多的云端数据泄漏事件,比如最近的部署于云端的某游戏160多万用户数据的泄漏,给云中数据库的安全拉响警钟。
相比于传统计算环境,云计算的开放性和虚拟化的特性,传统的数据安全方案变得复杂甚至无能为力,给云端的数据库的防护带来了更大的挑战。
二、中安威士简介中安威士是北京中安比特科技有限公司专属品牌和注册商标。
中安比特专注于数据安全管理领域,经过十余年技术积累,已拥有国内最全面的数据库安全加固产品线-—中安威士数据库安全加固系列产品,包括数据库审计、数据库防火墙、数据库加密、数据库脱敏等,能帮助客户降低数据安全风险并轻松满足合规要求。
中安威士面向云计算的数据安全管理方案可为云计算和大数据环境中的数据资产提供全面的安全保护。
三、技术方案1、传统技术方案的限制为解决数据的安全管理,中安威士提供数据库审计、防火墙、透明加密、脱敏等产品,形成数据在其生命周期中的产生、使用、存储、备份等阶段的安全解决方案。
其中,对数据库系统部署数据库审计和防火墙,实现对数据的访问状况的监控和访问控制,是最基本的安全需求.在传统网络环境中,通常采用旁路镜像、直连、OS代理等方式实现。
在公有云环境中,仍然有必要部署数据库安全加固产品,对数据生命周期中的各个阶段的安全加固。
并且部署数据库审计和防火墙仍然是最基础和最必要的防护手段。
在公有云环境中,数据库审计和防火墙的旁路镜像、直连、OS代理等实现方式理论上都是可行的,但是在实际的场景中会受到具有各种限制.1)镜像方式。
在传统环境中,在交换机上配置端口镜像,将数据库访问流量镜像到数据库审计设备即可。
大数据标准化白皮书
中安星云数据库透明加密
中安星云数据库透明加密产品介绍⏹产品概述随着计算机网络的不断发展和普及,信息安全问题日益突出。
各企事业单位在构建信息网络时,都非常重视网络安全问题,如建立网络防火墙和入侵检测等防护系统。
但是,对数据的核心部分——数据库本身的安全,却没有引起足够的重视。
数据库系统担负着存储和管理信息的任务,集中存放着大量敏感数据,而且又为众多用户直接共享。
一旦这些信息被泄露或破坏将会造成企业瘫痪,给国家带来巨大的损失,甚至危及国家安全,所以必须要采取适当的措施进行数据库内数据的防护。
事实证明,保证数据安全性的最好方法之一是数据加密。
数据库透明加密系统以其灵活的部署方式,高效的加解密处理能力,为企事业单位、政府甚至是国家的安全,提供了很好的数据安全解决方案。
⏹产品优势●领先的加解密性能采用专业的硬件平台借助多路并行总线技术,实现高速的数据包转发和底层通信协议的解析,可提供国内领先的加解密性能,并实现毫秒级的延迟。
●丰富的加密方式数据库加密级别分为整库加密、表加密、字段加密等多种方式。
在数据的安全性与数据库性能之间找到最佳平衡点,采用以字段为单位的加密方式。
用户可以根据实际需求对任意表中的敏感字段进行加密。
在保证敏感数据安全的同时,最大程度的保证了数据库的性能。
●灵活的权限控制数据加密的目的就是保证数据的机密性,防止未经授权的人员查看敏感数据。
系统提供对加密数据的访问授权功能,在保证不会因为存储介质的丢失、被盗等因素造成泄密的同时,也保证内部或外部人员未经授权查看敏感数据。
加密后的数据需要对应用或人员进行授权。
被授权的应用或人员可以访问相应的加密数据,未经授权的应用或人员无法访问任何加密数据,强行访问也只能看到乱文或空白。
●完善的行为审计加密后的数据对非授权的应用和人员是不开放的,但是授权的应用和人员可以访问,这就也可能因为人员的误操作等原因造成数据的泄露和篡改。
针对此种情况系统提供对加密数据访问行为的审计功能。
全面记录授权应用与人员的访问加密数据的行为。
爱数AnyShare 3.0产品白皮书
III
4.1 基于 FLMP 私有协议的共享数据管理和访问技术........................................................15 4.2 全文检索...........................................................................................................................15 4.3 消息通知...........................................................................................................................16 5 销售模块...................................................................................................................................... 17 基础模块................................................................................................................................. 17 模块代理................................................................................................................................. 17 6 产品型号...................................................................................................................................... 17
亿赛通磁盘全盘加密系统技术白皮书
亿赛通科技
终端数据安全:保障任意文件格式的核心信息(数据源头)在合法终端上的生成、 存储和使用安全,防止核心信息通过终端、网络、介质和其他途径非法泄露; 网络数据安全:保障核心信息在网络应用和数据传输时的安全,防止核心信息通 过旁路、上传/下载欺骗、仿冒、篡改、非法接入/外联等途径非法泄露; 存储数据安全:保障核心信息在大型存储设备和介质载体中的存储和使用安全, 防止集中化管理和存储的核心信息通过非法复制、篡改、盗窃、遗失等途径非法 泄露。
按需构建·安全可控
亿赛通数据防泄露 DLP 系统系列
磁盘全盘加密系统 DiskSEC 产品白皮书
北京亿赛通科技发展有限责任公司 2010 年 8 月
亿赛通科技
版权声明
DiskSEC 产品白皮书 V1.0
支持信息
本文的内容是亿赛通数据防泄漏 DLP 系统系列 DiskSec 产 品白皮书。文中的资料、说明等相关内容归北京亿赛通科技 发展有限责任公司所有。本文中的任何部分未经北京亿赛通 科技发展有限责任公司(以下简称“亿赛通”)许可,不得 转印、影印或复印。
公司电话:+86 1051282080 公司传真:+86 1051282080-1008 I
目录
第 1 章 亿赛通数据防泄漏 DLP 简介 ........................................................................1 第 2 章 DiskSEC 产品简介..........................................................................................2
2.2 产品应用需求
数据库加密系统技术白皮书
数据库加密存取及强权限控制系统技术白皮书Oracle版目录1.产品背景 (1)2.解决的问题 (3)3.系统结构 (6)4.部署方案 (7)5.功能与特点 (9)6.支持特性 (10)7.性能测试数据 (11)1.产品背景随着计算机技术的飞速发展,数据库的应用十分广泛,深入到各个领域。
数据库系统作为信息的聚集体,是计算机信息系统的核心部件,其安全性至关重要。
小则关系到企业兴衰、大则关系到国家安全。
在重要单位或者大型企业中,涉及大量的敏感信息。
比如行政涉密文件,领导批示、公文、视频和图片,或者企业的商业机密、设计图纸等。
为了保障这些敏感电子文件的安全,各单位广泛的实施了安全防护措施,包括:机房安全、物理隔离、防火墙、入侵检测、加密传输、身份认证等等。
但是数据库的安全问题却一直让管理员束手无策。
原因是目前市场上缺乏有效的数据库安全增强产品。
数据库及其应用系统普遍存在一些安全隐患。
其中比较严峻的几个方面表现在:(1)由于国外对高技术出口和安全产品出口的法律限制,国内市场上只能购买到C2安全级别的数据库安全系统。
该类系统只有最基本的安全防护能力。
并且采用自主访问控制(DAC)模式,DBA角色能拥有至高的权限,权限可以不受限制的传播。
这就使得获取DBA角色的权限成为攻击者的目标。
而一旦攻击者获得DBA角色的权限,数据库将对其彻底暴露,毫无任何安全性可言。
(2)由于DBA拥有至高无上的权利,其可以在不被人察觉的情况下查看和修改任何数据(包括敏感数据)。
因此DBA掌控着数据库中数据安全命脉,DBA的任何操作、行为无法在技术上实施监管。
而DBA往往只是数据的技术上的维护者,甚至可能是数据库厂商的服务人员,并没有对敏感数据的查看和控制权。
现阶段并没有很好的技术手段来约束DBA 对数据的访问权限,因此存在巨大安全隐患,特别是在DBA权限被非法获取的情况下,更是无法保证数据的安全。
(3)由于C2级的商业数据库对用户的访问权限的限制是在表级别的。
数据库访问控制安全中间件白皮书模板
数据库安全访问中间件技术白皮书目录1.产品简介 (1)2.产品安全特性 (2)3.性能与易用性 (6)4.产品体系结构 (7)5.部署方案 (9)6.支持平台 (12)7.性能测试数据 (13)1.产品简介随着计算机技术的飞速发展,数据库的应用十分广泛,深入到各个领域。
但随之而来产生了数据的安全问题。
数据库系统作为信息的聚集体,是计算机信息系统的核心部件,其安全性至关重要。
小则关系到企业兴衰、大则关系到国家安全。
在涉密单位或者大型企业中,广泛的实施了安全防护措施,包括机房安全、物理隔离、防火墙、入侵检测、加密传输身份认证系统等等。
但是数据库的安全问题却一直得不到应有的重视。
同时,之前的市场上也缺乏有效的数据库安全增强产品。
这就致使数据库及其应用系统在安全方面普遍存在一些安全隐患。
其中比较严峻的几个方面表现在:(1)由于国内只能购买到C2安全级别的数据库安全系统,该类系统采用自主访问控制(DAC)模式,DBA角色能拥有至高的权限,权限可以不受限制的传播。
这就使得获取DBA角色的权限成为攻击者的目标。
一旦攻击者获得DBA角色的权限,数据库将对其彻底暴露,毫无任何安全性可言。
(2)数据库系统是一个复杂的系统,根据已经公布的资料,数据库存在许多漏洞,其中不少是致命的缺陷和漏洞。
举例来说,号称拥有全球最安全的数据库产品的Oracle 公司在2006 年1 月发布了其季度安全补丁包,该补丁包修补了多个产品中的80多个漏洞。
其中不少漏洞可以非常容易地被黑客利用,一旦遭到攻击将给用户造成严重影响。
(3)数据库及其应用系统每天都可能受到包括SQL注入攻击在内的广泛的攻击。
攻击者利用应用程序设计中的漏洞,对数据库系统发起攻击,获得不应该具有的权限,甚至下载整个数据库文件,给数据库的安全造成严重威胁。
(4)C2级数据库采用基于口令的认证方式。
本身缺乏有效的登录口令管理机制,口令更换周期长,使用复杂口令很困难,口令泄露的风险大。
安华金与数据库加密系统技术白皮书
安华金和数据库加密系统系统白皮书目录安华金和数据库加密系统 (1)白皮书 (1)一. 安华金和数据库加密系统产品简介 (3)二. 安华金和数据库加密系统应用背景 (3)2.1数据库安全已经成为信息安全焦点 (3)2.2数据库层面的泄密事件频发 (4)2.3数据安全相关政策与法律法规 (4)三. 安华金和数据库加密系统客户价值 (5)3.2防止由于明文存储引起的泄密 (5)3.3防止外部非法入侵窃取敏感数据 (6)3.4防止内部高权限用户数据窃取 (6)3.5防止合法用户违规数据访问 (6)四. 安华金和数据库加密系统功能特点 (7)4.1透明数据加密 (7)4.2高效数据检索 (7)4.3身份鉴别增强 (7)4.4增强访问控制 (7)4.5真正应用安全 (8)4.6敏感数据审计 (8)4.7高可用性 (8)4.8可维护性 (9)一. 安华金和数据库加密系统产品简介安华金和数据库加密系统系统(简称DBCoffer)(以下称:安华金和数据库加密系统)是一款基于透明加密技术的数据库平安加固系统,该产品能够实现对数据库中对的加密存储、访问操纵增强、应用访问平安、平安审计和三权分立等功能。
安华金和数据库加密系统基于主动防御机制,能够避免明文存储引发的数据泄密、冲破边界防护的外部黑客解决、来自于内部高权限用户的数据窃取、避免绕开合法应用系统直接访问数据库,从全然上解决数据库灵敏数据泄漏问题。
安华金和数据库加密系统利用数据库自身扩展机制,通过独创的、已获专利的三层视图技术和密文索引等核心技术,冲破了传统数据库平安加固产品的技术瓶颈,真正实现了数据高度平安、应用完全透明、密文高效访问。
安华金和数据库加密系统当前支持Windows、AIX、Linux、Solaris等多个平台,提供基于加密硬件的企业版和纯软件的标准版,支持主、从、应急等自身高可用模式,能够知足用户的多种部署需求。
安华金和数据库加密系统兼容主流加密算法和国产加密设备,提供可扩展的加密设备和加密算法接口。
亿赛通文档透明加密系统DLP-SmartSec3[1].0产品技术白皮书
![亿赛通文档透明加密系统DLP-SmartSec3[1].0产品技术白皮书](https://img.taocdn.com/s3/m/d80e5ad676a20029bd642d96.png)
2. 设计理念
核心信息的加密保护,已经成为企业信息资产保护的一个必要手段。为了配 合企业人性化管理的特点,亿赛通公司贯彻先进的设计理念,结合丰富的实施经 验,并吸收广大客户建议,设计出符合企业安全现状和发展需要的数据防泄露解 决方案-亿赛通智能动态加解密系统 V3.0(简称 SmartSecV3.0)。 2.1. 事前主动防御 企业对于信息资产的保护,传统保护模式均为被动式防御:出现泄密事件后 才引起信息资产的保护重视,紧急调整管理制度并采用硬屏蔽手段来约束泄 密 再 次发生,无法快 速锁定泄密对象和途径 来降低泄密损失。亿赛通 SmartSecV3.0 将打破传统的保护思路,采用对企业信息资产主动设防的理 念,一旦设定保护策略,将对核心信息进行全生命周期强制加密保护,有效 规避员工由于有意识或无意识导致的信息泄密,让企业变被动为主动。 2.2. 事中灵活控制 亿赛通 SmartSecV3.0 拥有强大的策略设定平台和密钥定制平台, 能够根据企 业各种复杂应用和业务需求定制出个性化的管理策略,并通过管理策略的调
图 2 亿赛通 SmartSecV3.0 动态加解密的实现 4.2. 连接支持 亿赛通 SmartSecV3.0 系统服务器端与客户端间采用 IP 可达的连接原则,可 以适用于各种网络环境,在确保不改变企业内部网络构造的基础上,满足企业的 不同的连接需求。亿赛通 SmartSecV3.0 能够在包括域结构、内部专线、VPN、 拨号连接、Internet、VLAN 以及各种内部隔离网络间进行部署和正常连接,如 图 3 所示:
ESAFENET CONFIDENTIAL: This document contains proprietary information of ESAFENET Corporation and is not to be disclosed or used except in accordance with applicable agreements.
数据库审计产品技术白皮书
——安全审计系统HD-SAS白皮书V3.0省海峡信息技术重要声明➢本书为【黑盾安全审计系统】技术白皮书。
其容将随着产品不断升级而改变,恕不另行通知。
如有需要,请从省海峡信息技术下载本手册最新版本。
➢在法律法规的最大允许围,省海峡信息技术除就本手册和产品应负的瑕疵担保责任外,无论明示或默示,不作其他任何担保,包括(但不限于)本手册中推荐使用产品的适用性和安全性、产品的适销性和适合某特定用途的担保。
➢在法律法规的最大允许围,省海峡信息技术对于您的使用或不能使用本产品而发生的任何损害(包括,但不限于直接或间接的个人损害、商业利润的损失、业务中断、商业信息的遗失或其他损失),不负任何赔偿责任。
省海峡信息技术省市北环西路108号邮编:350003:086-591-87303706传真:086-591-87303709E-mail:所有翻录必究目录1.1 数据库安全面临几个主要的风险 (4)1.1.1 管理风险 (4)1.1.2 技术风险 (4)1.1.3 审计风险 (5)1.2数据库安全审计需求概述 (5)1.2.1 为什么需要数据库审计 (5)1.2.2 客户需求什么样的数据库审计产品 (5)二黑盾安全审计系统介绍 (6)2.1 产品概述 (6)2.2 产品主要功能介绍 (9)2.2.1灵活接入部署 (9)2.2.2审计支持 (10)2.2.2.1细料度审计分析 (10)2.2.2.2会话审计 (11)2.2.2.3 Telnet审计 (11)2.2.2.4 绑定变量审计 (12)2.2.2.5 http审计 (12)2.2.3 灵活的数据采集 (12)2.2.4 审计结果展示 (13)2.2.4.1 丰富的查询条件与方法 (13)2.2.4.2 专业化报表输出 (15)2.2.4.3 审计预警展示 (19)2.2.4.4 实时审计功能 (19)2.2.5 审计数据管理 (19)2.2.5.1 高压缩率存储 (20)2.2.5.2 历史数据备份与导入 (20)2.2.5.3 缓存安全机制 (21)2.2.6 数据库攻击检测 (22)2.2.7告警配置 (22)2.2.8系统自身安全性机制 (23)2.2.8.1 用户权限 (23)2.2.8.2 自身审计记录 (24)2.2.8.3 通讯加密与告警 (25)2.2.8.4 容灾机制免维护 (26)3.1 应用类型一:典型部署 (27)3.2 应用类型二:分布式部署 (27)3.3 应用类型三:多路部署 (28)四服务支持 ................................................................... 错误!未定义书签。
2023-区块链与数据安全治理白皮书-1
区块链与数据安全治理白皮书近年来,区块链技术已经成为互联网行业发展的重要驱动力之一。
随着数字化时代的到来,个人隐私数据的泄露和网络安全问题日益成为人们关注的焦点。
因此,区块链技术在保障数据安全治理方面发挥着越来越重要的作用。
1、背景介绍随着互联网的普及,人们越来越多地依赖数字化技术。
因此,个人隐私变得越来越难以保护。
此外,数据泄露、黑客攻击等安全问题也在不断增加。
为了保障个人数据的安全,保护交易的可信性,区块链技术应运而生。
因其去中心化、分布式的特点,区块链可以为数字安全保障提供很好的解决方案。
2、区块链对数据安全的贡献区块链技术的去中心化特点可以有效保护交易数据的安全。
在区块链中,每个节点都有一个完整的账本,每笔交易都必须得到其他节点的验证才能被加入到链中。
这种去中心化的方式确保了账本的安全性。
此外,区块链技术本身的加密和不可篡改的特性,保证了数据的真实性和不可被篡改性。
因此,区块链技术为数据安全治理提供了一种新的解决方案。
3、白皮书中的治理机制区块链与数据安全治理白皮书提出了一些关于区块链治理的重要理论。
首先,白皮书提出了“分权与协作治理”的概念。
这一理念强调了区块链技术的去中心化和分权化特点,通过区块链节点参与共识机制的方式,实现分权治理。
另外,白皮书还提出了“自主选择、信任机制”等治理机制,强调了区块链节点间互相信任的重要性。
这些治理机制有助于建立起良好的区块链治理框架,保障数据安全和交易可信。
4、结论随着数字化时代的到来,数据安全和隐私保护变得越来越重要。
区块链技术作为一种去中心化、分布式的解决方案,在保障数据安全和交易可信方面发挥着越来越重要的作用。
该白皮书中提出的治理机制,可以建立起可靠的区块链治理框架,为数据安全和隐私保护提供更好的技术保障。
今后,随着更多行业逐渐认识到区块链技术的优势,我们有理由相信,区块链技术将在未来发挥更为广泛而深刻的影响。
RSAS产品白皮书
绿盟远程安全评估系统产品白皮书【绿盟科技】■文档编号产品白皮书■密级完全公开■版本编号■日期2015-10-19■撰写人尹航■批准人李晨2020 绿盟科技■版权声明本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属绿盟科技所有,受到有关产权及版权法保护。
任何个人、机构未经绿盟科技的书面授权许可,不得以任何方式复制或引用本文的任何片断。
目录插图索引一. 攻防威胁的变化利用安全漏洞进行网络攻击的互联网安全问题,好像阳光下的阴影,始终伴随着互联网行业的应用发展。
近些年,网络安全威胁的形式也出现了不同的变化,攻击方式从单个兴趣爱好者随意下载的简单工具攻击,向有组织的专业技术人员专门编写的攻击程序转变,攻击目的从证明个人技术实力向商业或国家信息窃取转变。
新攻击方式的变化,仍然会利用各种漏洞,比如:Google极光攻击事件中被利用的IE浏览器溢出漏洞,Shady RAT攻击事件中被利用的EXCEL程序的FEATHEADER远程代码执行漏洞。
其实攻击者攻击过程并非都会利用0day漏洞,比如FEATHEADER远程代码执行漏洞,实际上,大多数攻击都是利用的已知漏洞。
对于攻击者来说,IT系统的方方面面都存在脆弱性,这些方面包括常见的操作系统漏洞、应用系统漏洞、弱口令,也包括容易被忽略的错误安全配置问题,以及违反最小化原则开放的不必要的账号、服务、端口等。
在新攻击威胁已经转变的情况下,网络安全管理人员仍然在用传统的漏洞扫描工具,每季度或半年,仅仅进行网络系统漏洞检查,无法真正达到通过安全检查事先修补网络安全脆弱性的目的。
网络安全管理人员需要对网络安全脆弱性进行全方位的检查,对存在的安全脆弱性问题一一修补,并保证修补的正确完成。
这个过程的工作极为繁琐,传统的漏洞扫描产品从脆弱性检查覆盖程度,到分析报告对管理人员帮助的有效性方面,已经无法胜任。
二. 环境变化带来的问题随着IT建设的发展,很多政府机构及大中型企业,都建立了跨地区的办公或业务网络,系统安全管理工作由不同地区的安全运维人员承担,总部集中监管。
安全渗透测试技术白皮书
安全渗透测试技术白皮书2008年8月17日目录第1章渗透测试服务概述 (4)1.1 渗透测试概述 (4)1.2 渗透测试能为客户带来的收益 (4)2. 渗透测试涉及的技术 (5)2.1.预攻击阶段 (5)2.2.攻击阶段 (6)2.3.后攻击阶段 (8)2.4.其它手法 (9)3. 操作中的注意事项 (10)3.1.测试前提供给P EN-T ESTER的资料 (10)3.1.1. 黑箱测试 (10)3.1.2. 白盒测试 (10)3.1.3. 隐秘测试 (10)3.2.攻击路径 (10)3.2.1. 内网测试 (10)3.2.2. 外网测试 (11)3.2.3. 不同网段/Vlan之间的渗透 (11)3.3.实施流程 (12)3.3.1. 实施方案制定、客户书面同意 (12)3.3.2. 信息收集分析 (12)3.3.3. 内部计划制定、二次确认 (12)3.3.4. 取得权限、提升权限 (12)3.3.5. 生成报告 (13)3.4.风险规避措施 (13)3.4.1. 渗透测试时间与策略 (13)3.4.2. 系统备份和恢复 (13)3.4.3. 工程中合理沟通的保证 (14)3.4.4. 系统监测 (14)3.5.其它 (15)4. 实战演练及报表输出 (16)4.1.实践操作过程 (16)4.1.1. 预攻击阶段的发现 (16)4.1.2. 攻击阶段的操作 (16)4.1.3. 后攻击阶段可能造成的影响 (22)5.附录: (23)第1章渗透测试服务概述1.1渗透测试概述渗透测试(Penetration Test)是指安全工程师尽可能完整地模拟黑客使用的漏洞发现技术和攻击手段,对目标网络/系统/主机/应用的安全性作深入的探测,发现系统最脆弱的环节的过程。
渗透测试能够直观的让管理人员知道自己网络所面临的问题。
渗透测试是一种专业的安全服务,类似于军队里的“实战演习”或者“沙盘推演”的概念,通过实战和推演,让用户清晰了解目前网络的脆弱性、可能造成的影响,以便采取必要的防范措施。
CFCA安全代理_技术白皮书
CFCA数据安全网关技术白皮书Version 1.2中国金融认证中心2007年7月本白皮书中的内容是中国金融认证中心开发的数据安全网关产品的技术说明书。
本材料的所有权归中国金融认证中心所有。
白皮书中的任何部分未经本公司许可,不得转印、影印或复印及传播。
© 2007中国金融认证中心All rights reserved.地址:北京市宣武区右安门内大街新安南里甲1号电话:86-10-83526655传真:86-10-63555032邮编:100054网址:目录1技术背景 (3)2产品概述 (4)2.1安全需求 (4)2.2产品概述 (4)2.3网络拓扑结构 (5)2.4产品结构图 (5)2.5产品性能 (6)3产品功能列表 (6)4产品特点 (7)4.1.. 安全性 (7)4.2.. 标准性 (7)4.3.. 易用性 (7)4.4.. 稳定性 (8)4.5透明性与兼容性 (8)5产品运行环境 (8)5.1硬件环境 (8)5.2软件环境 (8)1技术背景⏹PKI技术PKI(Pubic Key Infrastructure)是遵循一系列标准的利用公钥密码技术为基础的一整套安全基础设施的通称。
PKI必须具有权威认证机构CA在公钥密码技术基础上对证书的产生、管理、存档、发放以及作废进行管理的功能,包括实现这些功能的全部硬件、软件、人力资源、相关政策和操作程序,以及为PKI体系中的各成员提供全部的安全服务。
如:实现通信中各实体的身份认证、保证数据的完整、抗否认性和信息保密等。
⏹数字证书数字证书是各类实体(持卡人/个人、商户/企业、网关/银行等),在网上进行信息交流及商务活动的身份证明,在电子交易的各个环节,交易的各方都需验证对方证书的有效性,从而解决相互间的信任问题。
简单的说,数字证书是一段包含用户身份信息、用户公钥信息以及身份验证机构数字签名的数据。
身份验证机构的数字签名可以确保证书信息的真实性,证书格式及证书内容遵循X.509标准。
优炫数据库安全审计系统-技术白皮书
并未对操作系统漏洞加以弥补,如系统用户权限
审计类
审计措施不力 开启了数据库自身审计,但是其详细度,可信度不足
加密类
缺乏加密措施
ห้องสมุดไป่ตู้
对于敏感数据依然采用明文存储,并未进行加密
存储、备 缺少安全备份措施
份类
采用简单复制的手段进行备份
1.4. 与传统防火墙的技术区别
传统意义上的防火墙是限制内部网与外部网通信的设备,针对边界防护,对于内部 网络访问数据库的行为或者来自外部绕过防火墙访问数据库的行为无法进行阻断、替 换、报警、审计等操作,无法有效的保护数据库系统的安全。而北京优炫软件股份有限 公司的 Uxsino RS CDPS 数据库安全审计系统(简称 Uxsino RS CDPS)正是专门针对此 种情况而设计的防火墙。
在攻击方式中sql注入攻击是黑客对数据库进行攻击的常用手段之一而且表面看起来跟一般的web页面访问没什么区别所以市面的防火墙都不会对sql注入发出警报如果管理员没查看iis日志的习惯可能被入侵很长时间都不会发觉
Uxsino RS CDPS 数据库安全审计系统
技 术 白 皮 书
北京优炫软件股份有限公司
越来越多的关键业务系统运行在数据库平台上。同时也成为不安定因素的主要目 标。如何确保数据库自身的安全,已成为现代数据库系统的主要评测指标之一。数据库 是信息技术的核心和基础,广泛应用在电信、金融、政府、商业、企业等诸多领域,当 我们说现代经济依赖于计算机时,我们真正的意思是说现代经济依赖于数据库系统。数 据库中储存着诸如银行账户、医疗保险、电话记录、生产或交易明细、产品资料等极其 重要和敏感的信息。尽管这些系统的数据完整性和安全性是相当重要的,但对数据库采 取的安全检查措施的级别还比不上操作系统和网络的安全检查措施的级别。许多因素都 可能破坏数据的完整性并导致非法访问,这些因素包括复杂程度、密码安全性较差、误 配置、未被察觉的系统后门以及数据库安全策略的缺失等。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
2.2. 功能模块概述
针对基于数据库的访问安全,VS-TDE 提供的主要功能包括:
功能模块
功能概述
系统管理
对 VS-TDE 本身进行配置,可以对系统用户的三权分立、操作权限 等进行配置
引擎管理
添加并管理目标数据库服务器的加解密引擎
数据库透明加密
有选择性的、以字段级别对数据库敏感信息进行加密
实时监控数据库运行状态,在状态异常时进行预警,防止业务瘫痪, 数据库状态监控
2. 产品概述 ....................................................................................................................... 3 2.1. 产品目标 ............................................................................................................ 3 2.2. 功能模块概述 ..................................................................................................... 3 2.3. 产品架构 ............................................................................................................ 4
1.3. 风险分析
当前数据库系统的安全形势严峻,主要面对如下两类风险,如下表所示:
分类
风险名称
风险说明
越权滥用
账号授权不合理,特权用户越权查看、操作敏感数据
授权管理 身份认证薄弱
拥有数据库的口令即可无限制的对数据库进行操作
存储介质丢失 人为或非人为的造成存储数据的介质丢失,导致泄密
攻击类
直接访问数据库
保障业务系统的可用性
全面扫描数据库与宿主操作系统的漏洞并告警,分析数据库与宿主 数据库风险扫描
操作系统的配置风险并提出整改方案
3
北京中安比特科技有限公司
2.3. 产品架构
本产品为数据库系统提供“加密”的安全防护。产品的内部有多个模块组成,整体 上可以分为三层,如下图所示:
数据获取与存储层:该层完成数据的获取和存储。数据获取功能主要实现对访问数 据库的数据分析、过滤、秘钥的存储、生成等底层功能。
本模块提供对敏感数据加密的功能。在对数据进行加密的基础上增加访问授权机制。 任何访问被加密数据的人或应用事先必须经过授权,拥有合法访问权限才能访问加密数 据,非授权用户访问加密数据只能看到乱文或者为空字段。同时系统对访问数据库中机 密数据的行为进行审计,达到提高数据库安全性的目的。
(1)字段级别加密 数据库加密级别分为整库加密、表加密、字段加密等多种方式。VS-TDE 系列是在数 据的安全性与数据库性能之间找到最佳平衡点,采用以字段为单位的加密方式。用户可 以根据实际需求对任意表中的敏感字段进行加密。在保证敏感数据安全的同时,最大程 度的保证了数据库的性能。 (2)访问控制功能 数据加密的目的就是保证数据的机密性,防止未经授权的人员查看敏感数据。系统 提供对加密数据的访问授权功能,在保证不会因为存储介质的丢失、被盗等因素造成泄 密的同时,也保证内部或外部人员未经授权查看敏感数据。加密后的数据需要对应用或 人员进行授权。被授权的应用或人员可以访问相应的加密数据,未经授权的应用或人员 无法访问任何加密数据,强行访问也只能看到乱文或空白。 (3)加密数据访问行为审计 加密后的数据对非授权的应用和人员是不开放的,但是授权的应用和人员可以访问, 这就也可能因为人员的误操作等原因造成数据的泄露和篡改。针对此种情况系统提供对 加密数据访问行为的审计功能。全面记录授权应用与人员的访问加密数据的行为。
通过攻击手段绕过前端应用和其他设备直接访问数据 库,操作敏感数据
权限盗用
通过攻击手段盗取权限,访问敏感数据
2
北京中安比特科技有限公司
2. 产品概述 2.1. 产品目标
为增强数据库系统的安全,中安比特在多年从事数据库安全技术研究积累基础上, 研发了数据库透明加密系统,该产品的目标为:
(1)满足数字资产等级化的安全防护要求,有选择性的保护数据库内部敏感数据 的安全性,本产品通过在数据库管理系统的内核中嵌入自主研发的安全防护系统,通过 字段级别的加密来达到对敏感数据的防护目的。
3. 功能模块 ....................................................................................................................... 5 3.1. 数据库透明加密 ................................................................................................. 5 3.2. 数据库状态监控 ................................................................................................. 6 3.3. 数据库风险扫描 ................................................................................................. 8
(2)敏感数据以乱码的形式存在,保证存储介质丢失和数据库文件被非法复制的 情况下,数据的机密性。
(3)通过授权实现访问控制,非授权用户(包含 DBA)查看到的数据为空或者乱码, 从而在一定程度上削弱 DBA 的权利,降低 DBA 权限外泄带来的危险。而授权用户的使用 则不受任何限制。
(4)本产品对于应用系统来说是完全透明的,不需要基于数据库的应用系统做任 何改动。且不明显降低数据库的性能。
数据处理层:该层实现数据处理逻辑。包括对访问数据库行为的审计、敏感数据的 加解密处理、访问权限的授予等功能。
展示与接口层:该层实现用户接口,为用户提供引擎管理、日志查询、访问授权等 功能的操作界面。
4
北京中安比特科技有限公司
3. 功能模块
VS-TDE 提供三个功能模块,具体功能分述如下:
3.1. 数据库透明加密
事实证明,保证数据安全性的最好方法之一是数据加密。欧美国家虽然提供了一些 加密产品,但很难保证其中没有陷阱和后门,国内目前也没有真正有效的数据库加密软 件。现在流行的大型数据库系统虽然提供了一些安全技术,能够满足一般性的数据库应 用需求,但对稍高一些的安全需求,它们提供的安全技术还是不够完备的。因此,为了 企事业单位、政府甚至是国家的安全,开发一套安全、可靠的数据库加密系统已迫在眉 睫。
据有关资料报道,80%的计算机犯罪来自系统内部。在传统的数据库系统中,数据 库管理员的权力至高无上,他既负责各项系统管理工作,例如资源分配、用户授权、系 统审计等,又可以查询数据库中的一切信息。为此,不少系统以种种手段来削弱系统管
1
北京中安比特科技有限公司
理员的权力。实现数据库加密以后,数据库管理员获得的信息无法进行正常脱密,从而 保证了用户信息的安全。另外,通过加密,数据库的备份内容成为密文,从而能减少因 备份介质失窃或丢失而造成的损失。由此可见,数据库加密对于企事业单位内部的安全 管理,是不可或缺的。
4. 部署方案 ....................................................................................................................... 9 5. 产品特点 ..................................................................................................................... 10
5.1. 兼容性 .............................................................................................................. 10 5.2. 产品特点 .......................................................................................................... 10 5.3. 产品优势 .......................................................................................................... 10 6. 客户收益 ..................................................................................................................... 12 7. 技术支持 ..................................................................................................................... 13
北京中安比特科技有限公司正是在这样的背景下,研发并推出了数据库透明加密系 统(VS-TDE 系列)。
1.2. 数据库加密的必要性
大型数据库管理系统的运行平台一般是 Windows NT、Linux、Unix,这些操作系统 的安全级别通常为 C1、C2 级。它们具有用户注册、识别用户、任意存取控制(DAC)、 审计等安全功能。虽然 DBMS 在 OS 的基础上增加了一些安全措施,例如基于权限的访 问控制等,但 OS 和 DBMS 对数据库文件本身仍然缺乏有效的保护措施,有经验的网上 黑客会“绕道而行”,直接利用 OS 工具窃取或篡改数据库文件内容。