安华金和数据库加密系统技术白皮书
安华金和数据库保险箱(DBCoffer for Mysql)用户手册说明书
安华金和数据库保险箱(DBCofferfor Mysql)用户手册■文档编号MySQL_TDE_Cloud_20170907■密级完全公开■版本编号V 1.2■日期2017.09.07©2017安华金和■版权声明本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属安华金和所有,受到有关产权及版权法保护。
任何个人、机构未经安华金和的书面授权许可,不得以任何方式复制或引用本文的任何片断。
■适用性声明本模板用于撰写安华金和公司介绍、项目方案、商业计划书等目录安华金和数据库保险箱(DBCOFFER FOR MYSQL) (1)用户手册 (1)一.产品简介 (4)1.1概述 (4)1.2术语定义 (4)二.特别说明 (4)三.产品部署 (5)3.1W EB管理端配置 (5)3.2安全服务初始化 (8)3.3获取主机ID (9)3.4导入LICENSE (11)3.5启动安全服务 (12)3.6备份密钥库 (13)3.7添加M YSQL实例 (14)3.8DBC OFFER-MYSQL部署 (16)3.9数据表加解密 (17)3.9.1数据表加密 (17)3.9.2数据表解密 (21)3.10权限设置 (25)3.10.1客户端IP限定 (25)3.10.2权限设置 (27)3.10.3应用关联 (30)四.三权分立 (33)4.1系统管理员 (33)4.1.1网络管理 (33)4.1.2配置管理 (34)4.1.3用户管理 (36)4.2安全管理员 (38)4.3审计管理员 (39)五.加密数据文件离线还原工具 (40)一.产品简介1.1概述安华金和针对客户对MySQL数据库的高安全性需求,提供安华金和数据库保险箱(简称DBCoffer)产品。
安华金和数据库保险箱系统使用透明加密技术,在不影响MySQL原有功能的基础上,实现对高敏感及重要数据的加密保护。
能够主动保护内部的数据安全,对数据库系统进行有效的安全加固。
安华金和数据库脱敏系统白皮书
安华金和数据库脱敏系统白皮书目录安华金和数据库脱敏系统 (1)白皮书 (1)一. 产品简介 (3)二. 应用背景 (3)2.1数据库安全已经成为信息安全焦点 (3)2.2企业需要安全的使用隐私数据 (4)2.3越发复杂的敏感数据使用场景 (4)2.4数据安全相关政策与法律法规 (4)三. 客户价值 (5)3.1保护隐私数据,满足合规性 (5)3.2保证业务可靠运行 (5)3.3实时动态保护生产系统数据 (6)3.4敏感数据统一管理 (8)四. 功能特点 (8)4.1自动识别敏感数据 (8)4.2灵活的策略和方案管理 (8)4.3内置丰富脱敏算法 (9)4.4数据子集管理 (9)4.5脱敏任务管理 (9)4.6脱敏数据验证 (10)4.7动态数据脱敏 (10)五. 联系我们 ............................................................................................................. 错误!未定义书签。
一. 产品简介安华金和数据库脱敏系统(简称DBMasker)是一款高性能、高扩展性的数据屏蔽和脱敏产品,采用专门的脱敏算法对敏感数据进行变形、屏蔽、替换、随机化、加密,将敏感数据转化为虚构数据,隐藏了真正的隐私信息,为数据的安全使用提供了基础保障。
同时脱敏后的数据可以保留原有数据的特征和分布,无需改变相应的业务系统逻辑,实现了企业低成本、高效率、安全的使用生产的隐私数据。
安华金和数据库脱敏系统脱敏产品,实现了自动识别敏感数据和管理敏感数据,提供灵活的策略和脱敏方案配置,高效可并行的脱敏能力,帮助企业快速实施敏感数据脱敏处理,同时保证数据的有效性和可用性,使脱敏后的数据能够安全的应用于测试、开发、分析,和第三方使用环境中。
安华金和数据库脱敏系统脱敏产品提供了具有极高附加价值的数据动态脱敏功能,该功能在数据库通讯协议层面,通过SQL代理技术,实现了完全透明的、实时的敏感数据掩码能力;在不需要对生产数据库中的数据进行任何改变的情况下,依据用户的角色、职责和其他IT定义规则,动态的对生产数据库返回的数据进行专门的屏蔽、加密、隐藏和审计,确保业务用户、外包用户、兼职雇员、合作伙伴、数据分析、研发和测试团队及顾问能够恰如其分地访问生产环境的敏感数据。
安华金和数据库加密系统(DBCoffer)
安华金和数据库加密系统系统(DBCoffer)一. 产品概述安华金和数据库加密系统(简称DBCoffer) 是一款基于透明加密技术的数据库防泄漏产品,该产品能够实现对数据库中的敏感数据加密存储、访问控制增强、应用访问安全、安全审计以及三权分立功能。
安华金和数据库加密系统能够防止明文存储引起的数据泄密、防止突破边界防护的外部黑客攻击、防止内部高权限用户的数据窃取,从根源上防止敏感数据泄漏。
安华金和数据库加密系统通过独创的、专利的三层透明视图技术、密文索引技术和应用绑定技术,突破传统数据库安全加固产品的技术瓶颈,真正实现数据高度安全、应用完全透明、密文高效访问。
二. 产品价值2.1 全方位主动预防数据泄密预防外部黑客窃取数据威胁:数据库权限提升是当前数据库漏洞中黑客使用率最高的攻击手段,通过该手段黑客直接获得DBA身份,任意访问敏感数据。
防护:安华金和数据库加密系统的密文访问控制体系,可以保证即使数据库自身的权限被突破,非授权用户仍然无法访问密文数据。
防止开发人员绕过合法应用威胁:业务系统的数据库账户常被开发或运维人员掌握,通过该账户这些人员可以直接访问数据库。
防护:安华金和数据库加密系统的应用身份鉴别,确保第三方人员无法绕开合法的业务系统,直接访问敏感数据。
预防存储层明文泄密威胁:硬件设备、备份磁盘丢失,数据文件、备份文件的拷贝,都将引起机密数据泄漏。
防护:通过安华金和数据库加密系统,将关键信息进行加密,加密后的数据在存储层以密文形态存在,保证他人即使拿到数据文件,也“看不懂”。
防止数据库运维人员操作敏感数据威胁:数据库的运维人员,往往有最高范围权限,一般为DBA,可看到数据库中的所有敏感信息,不符合安全管理要求。
防护:安华金和数据库加密系统通过独立的二次权限控制、三权分立,保证即使是高权限运维用户,在得不到特殊授权时也无法访问敏感数据,同时不会影响其日常运维工作。
2.2 符合信息安全政策需求等级保护:要求三级以上系统应采用加密或其他有效措施实现系统管理数据、鉴别信息和重要业务数据存储保密性。
安华金和保险行业数据安全防护方案
■版权声明本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属安华金和所有,受到有关产权及版权法保护。
任何个人、机构未经安华金和的书面授权许可,不得以任何方式复制或引用本文的任何片断。
保险行业数据库安全解决方案■文档编号■密级■版本编号v1.0■日期2019.1©2019安华金和目录保险行业数据库安全 (1)解决方案 (1)一.背景概述 (4)二.保险业务与威胁分析 (6)2.1系统分析 (6)2.1.1外网业务系统 (6)2.1.2内网业务系统 (6)2.2人员分析 (6)2.3安全威胁分析 (7)2.3.1数据库系统具有脆弱性 (7)2.3.2敏感信息存在泄密威胁 (8)2.3.3外部SQL注入攻击威胁 (8)2.3.4违规操作非法篡改风险 (8)2.3.5安全职责无法准确界定 (8)2.3.6管理流程缺乏有效手段 (9)2.3.7出现安全事件取证困难 (9)三.数据库安全防护方案 (9)3.1主动防御 (9)3.1.1细粒度访问控制 (9)3.1.2网络可信接入 (10)3.1.3应用身份识别 (10)3.1.4抵御SQL注入 (10)3.1.5阻断漏洞攻击 (11)3.1.6行为有效监控,违规无法抵赖 (11)3.2底线防守 (11)3.2.1防止明文存储引起的数据泄密 (11)3.2.2防止高权限用户进行数据泄密 (11)3.2.3防止利用合法用户的身份,进行违规数据访问 (12)四.方案优势 (12)4.1周期防护构建纵深 (12)4.2主动防御减少威胁 (12)4.3权限控制解决拖库 (13)4.4透明部署零改应用 (13)4.5政策合规满足标准 (13)一.背景概述2016年12月,保监会《网络与安全通报》第五期对保险行业相关单位存在的问题进行了通报:某外资寿险公司核心业务系统和保单系统存在漏洞,涉及大量车险用户详细数据和证件照信息泄露;某寿险公司存在高危漏洞,上千万交易记录和数百万用户信息,保单记录和支付信息存在泄露的风险;某互联网保险公司网站存在源码泄露,可直接访问数据库,大量敏感信息泄露的风险;某小型寿险公司系统存在命令执行漏洞,可能泄露数百万客户信息等。
智能、高效、稳健丨安华金和构建数据库安全运维体系
智能、高效、稳健丨安华金和构建数据库安全运维体系运维部门大概是企业中最忙碌的部门之一,在人们眼中“他们几乎忙的没空坐下”。
近年来,随着IT架构升级、应用繁杂多变,IT运维环境变得越来越复杂,用智能化管理手段实现高效运维”成了IT运维管理发展的必然要求,同时,另一个不可或缺的关键点:安全,永远是运维工作中不可或缺的责任。
如何能够两者兼得,安华金和产品总监孙铮在11月1日“2016年(第七届)中国IT运维大会”发表演讲:如何构建安全稳健的数据库运维体系”,针对当前愈加复杂的运维环境,向现场嘉宾深度剖析潜藏在运维侧的各类数据库安全隐患,并提出智能高效的数据库安全运维思路。
数据泄露原因更多指向数据库威胁和攻击据Verizon《2015年数据泄露调查报告》显示,数据泄露的绝大多数原因是因为数据库遭受到了威胁和攻击,该比例占到了90%,其他泄露渠道如WEB应用、FTP、邮件等所占比例则没有想象的那么大。
由此可见,在数据库层面进行防护最为有效。
数据库安全防护的三大误区目前很多机构和单位之所以遭遇数据库安全威胁,主要是因为陷入一些误区:认为自身的数据库安全保障已经足够。
大多数用户认为现有的数据库系统本身安全性已足够,数据库自有的安全控制手段可以达到预期的防护效果。
认为内部人员是可信的。
传统安全方案中往往缺失对内部人员的安全管控环节。
过去,一提到数据泄露的罪魁祸首,多数人往往第一反应是认为外部黑客所为。
事实上,内部人员及第三方运维人员的安全风险指数正在上升,具有高权限的内部用户有意无意的非法操作、违规访问、恶意操作、误操作等都会对数据库安全造成威胁。
网络层防护手段足够保证数据库不被非法访问。
随着IT环境越来越复杂,传统安全方案的缺陷日益凸显,比如网络防火墙不对数据库通讯协议进行控制;IPS/IDS无法准确防御针对数据库的攻击;外部攻击会直接绕过WAF攻击数据库;业务系统本身存在安全威胁等等。
基于对数据库运维侧的安全问题进行总结,显然,传统的网络层防护产品已经远远不够,加强数据库层面的安全保护势在必行。
安华金和数据库脱敏系统(DBMasker)
安华金和数据库脱敏系统(DBMasker)一. 产品概述安华金和数据库脱敏系统(简称DBMasker)是一款面向生产数据进行数据抽取、数据漂白和动态掩码的专业数据脱敏产品。
DBMasker可以满足测试、开发、培训和数据共享场景的敏感数据保护需求。
DBMasker符合金融、运营商、能源、政府等行业敏感数据防护的政策合规性需求。
二. 产品价值2.1 防止生产库中敏感数据泄露DBMasker通过对生产库中的身份、地址、银行卡号、电话号码等敏感数据进行混淆、扰乱后再提供给第三方使用,防止生产库中的敏感数据泄露;DBMasker通过对生产或漂白后的数据进行局部数据抽取,实现非生产环境下数据集合最小化。
2.2 提升测试、开发和培训数据质量DBMasker通过内置策略和算法,保证脱敏数据有效性(保持原有数据类型和业务格式)、完整性(保证长度不变、数据内涵不丢失)、关系性(保持表间、表内数据关联关系),以提升在测试、开发和培训环节的真实有效性。
2.3 提高数据维护和数据共享安全性DBMasker通过对生产数据库访问者用户名、IP、工具类型、时间等多个身份维度,控制对生产数据访问结果的差异化;返回结果可以为真实数据或掩码数据,或进行阻断、返回行数限定。
通过对访问者的不同策略,满足细粒度的生产数据访问需求。
比如:DBA可维护,但看不到敏感数据;业务系统访问真实数据,BI系统看到扰乱后用户身份信息。
2.4 实现隐私数据管理的政策合规性通过DBMasker脱敏产品,可以帮助组织满足国际标准、行业监管政策中,对测试和开发环节的敏感数据保护需求。
三. 产品优势3.1 漂白只是开始,完备脱敏解决方案DBMasker具备全面的数据漂白能力,同时DBMasker具备以下能力:1)数据间关系保持:实现表间关系、同表列间关系、数据分布关系保持;2)数据子集抽取:实现基于百分比、时间或其它条件的数据抽取;3)实时动态数据脱敏:不需要数据转换存储,实时数据掩码或访问控制。
安华金和数据库安全评估系统(DSAS)
安华金和数据库安全评估系统(DSAS)©2019安华金和■版权声明本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属安华金和所有,受到有关产权及版权法保护。
任何个人、机构未经安华金和的书面授权许可,不得以任何方式复制或引用本文的任何片断。
目录安华金和数据库安全评估系统(DSAS) (1)目录 (2)一. 关于安华金和 (3)1.1发展历史 (3)1.2产品路标 (4)二. 数据库安全评估系统(DSAS) (5)2.1产品概述 (5)2.2客户价值 (5)2.2.1 满足合规安全检测 (5)2.2.2 发现数据库自身漏洞 (5)2.2.3 发现使用中安全隐患 (5)2.2.4 数据库安全状态监控 (6)2.3产品优势 (6)2.3.1 风险级别准确 (6)2.3.2 数据库安全检查范围全面 (6)2.3.3 数据库安全检查技术先进 (6)2.3.4 独特的数据库安全状况监控 (6)2.3.5 自身安全性高 (6)2.4适用场景 (7)一. 关于安华金和1.1 发展历史北京安华金和科技有限公司(以下简称安华金和),2009年3月2日成立,长期专注于数据安全领域,是中国专业的数据安全产品及解决方案提供商。
安华金和由长期致力于数据处理和信息安全的专业人士共同创造,作为中国“数据安全治理”体系框架的提出者,安华金和提供涵盖人员组织、安全策略、流程制定及技术支撑全方位的整体数据安全思路与方案;同时,安华金和作为独立的第三方云数据安全服务商(CDSP),为国内外各大云平台用户提供专业的数据安全保障;安华金和也是中国最大的公有云平台——阿里云在数据安全领域的战略合作方。
安华金和总部位于北京,分设北京营销中心与天津研发中心,下设11大分支机构,业务覆盖华北、东北、华东、华中、华南、西南等全国省市地区。
在政府、军工、金融、能源、教育、医疗、企业等各大行业建立多个标杆案例,并取得了良好的信誉口碑。
安华金和数据库监控与审计系统(DBAudit)
安华金和数据库监控与审计系统(DBAudit)一. 产品概述安华金和数据库监控与审计系统(简称DBAudit),是一款面向数据库运维和安全管理人员,提供安全、诊断与维护能力为一体的安全管理工具;DBAudit实现了数据库访问的全面精确审计,100%准确应用用户关联审计;DBAudit具备风险状况、运行状况、性能状况、语句分布的实时监控能力。
DBAudit通过数据库化的界面语言、智能化的协议识别、可视化的运行状况呈现、可交互可下钻的风险追踪能力,完美实现免实施、免培训、免维护的二代数据库审计产品。
二. 产品价值2.1 安全事件追查提供语句、会话、IP、数据库用户、业务用户、响应时间、影响行等多种维度的数据库操作记录和事后分析能力,成为安全事件后最为可靠的追查依据和来源。
通过SQL行为与业务用户的准确关联,使数据库访问行为有效定位到业务工作人员,可有效追责、定责。
2.2 数据库性能诊断实时显示数据库的运行状况、数据库访问流量、并发吞吐量、SQL语句的响应速度;提供最慢语句、访问量最大语句的分析,帮助运维人员进行性能诊断。
2.3 发现程序后门系统提供SQL学习和SQL白名单能力,实现对业务系统的SQL建模;通过合法系统行为的建模,使隐藏在软件系统中的后门程序在启动时,提供实时的告警能力,降低数据泄漏损失。
2.4 数据库攻击响应系统提供数据库风险告警能力,对于SQL注入、数据库漏洞攻击、过量数据下载、危险SQL语句(如No where delete)等风险行为的策略制定能力,提供实时告警能力。
提供短信、邮件、SNMP、Syslog等多种告警方式。
三. 产品优势3.1 全面审计(全)挑战:基于网络流量镜像的数据库审计产品,无法有效实现加密通道下的审计、无法实现对数据库主机上的操作行为的审计、在网络流量过载时容易丢包,从而导致审计信息缺失,给入侵者提供了绕开审计设备的途径。
优势:DBAudit在网络镜像技术基础上,通过可配置的主机探针技术实现了数据库主机的流量捕获,从而实现了对数据库访问流量的全捕获。
安华金和数据库脱敏系统(DBMasker)
安华金和数据库脱敏系统(DBMasker)一. 产品概述安华金和数据库脱敏系统(简称DBMasker)是一款面向生产数据进行数据抽取、数据漂白和动态掩码的专业数据脱敏产品。
DBMasker可以满足测试、开发、培训和数据共享场景的敏感数据保护需求。
DBMasker符合金融、运营商、能源、政府等行业敏感数据防护的政策合规性需求。
二. 产品价值2.1 防止生产库中敏感数据泄露DBMasker通过对生产库中的身份、地址、银行卡号、电话号码等敏感数据进行混淆、扰乱后再提供给第三方使用,防止生产库中的敏感数据泄露;DBMasker通过对生产或漂白后的数据进行局部数据抽取,实现非生产环境下数据集合最小化。
2.2 提升测试、开发和培训数据质量DBMasker通过内置策略和算法,保证脱敏数据有效性(保持原有数据类型和业务格式)、完整性(保证长度不变、数据内涵不丢失)、关系性(保持表间、表内数据关联关系),以提升在测试、开发和培训环节的真实有效性。
2.3 提高数据维护和数据共享安全性DBMasker通过对生产数据库访问者用户名、IP、工具类型、时间等多个身份维度,控制对生产数据访问结果的差异化;返回结果可以为真实数据或掩码数据,或进行阻断、返回行数限定。
通过对访问者的不同策略,满足细粒度的生产数据访问需求。
比如:DBA可维护,但看不到敏感数据;业务系统访问真实数据,BI系统看到扰乱后用户身份信息。
2.4 实现隐私数据管理的政策合规性通过DBMasker脱敏产品,可以帮助组织满足国际标准、行业监管政策中,对测试和开发环节的敏感数据保护需求。
三. 产品优势3.1 漂白只是开始,完备脱敏解决方案DBMasker具备全面的数据漂白能力,同时DBMasker具备以下能力:1)数据间关系保持:实现表间关系、同表列间关系、数据分布关系保持;2)数据子集抽取:实现基于百分比、时间或其它条件的数据抽取;3)实时动态数据脱敏:不需要数据转换存储,实时数据掩码或访问控制。
揭秘国内唯一成熟的数据库加密产品
揭秘国内唯一成熟的数据库加密产品作者:安华金和孙峥近年来,伴随数据泄露事件频发,人们对于数据库安全的重视程度与日俱增。
在政府、机关部委、金融、能源等行业的信息安全建设中,数据库审计、数据库防火墙等安全设备纷纷被定义为“必需品”,然而部署于网络层的安全设备终究鞭长莫及,面对来自存储层的数据文件泄密,依然无能为力。
在对数据库的纵深安全防护体系中,对存储层进行加密的数据库加密产品作为数据库“底线防守”的最有效手段,从存储层对敏感数据进行有效加密保护。
这样,从根本上解决了诸如数据文件窃取、高权限特权用户直接登录数据库主机批量检索篡改数据等安全问题。
一. 成熟而可靠的数据库加密产品应当安全而无感既然作为数据库存储层加密的数据库加密产品如此重要,为什么大多数用户只是选择部署数据库数据库审计、数据库防火墙等网络防护手段,却没有真正实施数据库加密呢?举例来说:如果说网络层数据库安全防护产品是给裸露的数据库穿上衣服,那么数据库加密就是为存在安全漏洞的数据库进行一场精密的心脏搭桥手术,如同病人大多对心脏手术的风险存在疑虑,用户对于数据库加密可能造成的业务风险同样担心。
除去加密强度和权限划分这些基本要素之外,用户的担心来自以下几个方面1. 数据库加密后,我的应用程序和运维习惯会不会被迫大幅度更改。
2. 数据库加密后,性能会不会产生大幅度下降3. 加密后会否引入新的故障点,产品的稳定性和容灾机制是否值得信赖这种担心透露出用户对于数据库加密产品的要求,那就是安全提升的同时,不应以牺牲性能和可用性为代价,好的数据库加密产品,要足够成熟可靠,尽可能做到安全但无感,不对用户产生任何额外负担。
二. 何为国内唯一真正成熟的数据库加密产品在目前国内的数据库加密市场中,普遍是基于网络层、应用层加密技术或前置代理方案衍生的各类产品,而真正成熟可靠的产品应当满足以下几点:1. 完美解决数据库使用者的透明性问题2. 能充分利用数据库自身功能特性做到性能无损、安全无感。
DBCoffer产品技术白皮书_标准版
2.5. DBCoffer 产品性能优势................................................................................................. 11
2.5.1.
测试结论.......................................................................................................... 11
安华金和数据库保险箱系统— DBCoffer 技术白皮书
北 京 安 华 金 和 科 技 有 限 公 司.
版权所有(©2010)
北京公司:北京市海淀区百花科技苑 A 座 201 电 话:010-88571665 传 真:010-88571665 邮 编:100081
安华金和数据库保险箱系统—DBCoffer 技术白皮书
1.2.4.
系统安全............................................................................................................ 4
1.2.5.
维护管理功能.................................................................................................... 4
2.1. Oracle 加密产品基本状况............................................................................................... 6
安华金和数据库加密系统(DES)
安华金和数据库加密系统(DES)©2019安华金和■版权声明本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属安华金和所有,受到有关产权及版权法保护。
任何个人、机构未经安华金和的书面授权许可,不得以任何方式复制或引用本文的任何片断。
目录安华金和数据库加密系统(DES) (1)目录 (2)一. 关于安华金和 (3)1.1发展历史 (3)1.2产品路标 (4)二. 数据库加密系统(DES) (5)2.1产品概述 (5)2.2客户价值 (5)2.2.1 防止由于明文存储引起的泄密 (5)2.2.2 防止外部非法入侵窃取敏感数据 (5)2.2.3 防止内部高权限用户数据窃取 (6)2.2.4 防止合法用户违规访问数据 (6)2.3产品优势 (6)2.3.1 透明数据加密 (6)2.3.2 高效数据检索 (7)2.3.3 增强访问控制 (7)2.3.4 应用身份安全 (7)2.3.5 高可用易维护 (7)2.4适用场景 (8)一. 关于安华金和1.1 发展历史北京安华金和科技有限公司(以下简称安华金和),2009年3月2日成立,长期专注于数据安全领域,是中国专业的数据安全产品及解决方案提供商。
安华金和由长期致力于数据处理和信息安全的专业人士共同创造,作为中国“数据安全治理”体系框架的提出者,安华金和提供涵盖人员组织、安全策略、流程制定及技术支撑全方位的整体数据安全思路与方案;同时,安华金和作为独立的第三方云数据安全服务商(CDSP),为国内外各大云平台用户提供专业的数据安全保障;安华金和也是中国最大的公有云平台——阿里云在数据安全领域的战略合作方。
安华金和总部位于北京,分设北京营销中心与天津研发中心,下设11大分支机构,业务覆盖华北、东北、华东、华中、华南、西南等全国省市地区。
在政府、军工、金融、能源、教育、医疗、企业等各大行业建立多个标杆案例,并取得了良好的信誉口碑。
数据库加密系统技术白皮书
博睿勤数据库安全保密支撑平台(BR-SDB V2.0)技术白皮书军用信息安全产品(军密认字第0194号)商用密码产品(国密证第0129号)博睿勤技术发展有限责任公司目录1. 概述 (1)1.1. 数据库安全在信息安全中的地位 (1)1.2. 基于应用的数据库安全解决办法及弱点 (1)1.3. 博睿勤数据库安全保密支撑平台 (1)1.4. 适用领域 (2)2. 系统架构与工作原理 (2)2.1. 安全的数据库应用系统架构 (2)2.2. 总体结构与工作原理 (3)2.3. 安全子系统结构与工作原理 (4)2.4. 系统组成 (5)3. 系统功能 (5)3.1. 增强的身份鉴别过程 (5)3.2. 数据库存储加密 (6)3.3. 数据库访问通信加密 (6)3.4. 备份与恢复 (6)3.5. 其它安全功能 (6)4. 特点 (6)4.1. 安全功能应用无关 (6)4.1.1. 标准接口 (6)4.1.2. 标准SQL支持 (6)4.1.3. 加密内容可管理和配置 (7)4.2.高安全性 (7)4.2.1. 强调整体安全 (7)4.2.2. 高强度加密算法及专用芯片 (7)4.2.3. 安全的数据库加密密钥管理 (7)4.2.4. 一次一密的通信加密 (7)4.2.5. 安全的运行管理 (7)4.3. 高效率 (8)4.4.广泛的平台支持 (8)4.5.丰富的产品形态 (8)5. 性能与技术指标 (8)5.1. 硬件密码装置技术与性能指标 (8)5.2. 数据库加密总体性能指标 (9)6. 应用系统开发与移植 (9)6.1. 应用系统接口技术 (9)6.2. 已有系统移植方法和过程 (10)6.3. 应用系统开发方法和过程 (10)1.概述1.1. 数据库安全在信息安全中的地位“信息化是我国加快实现工业化和现代化的必然选择”,而信息安全问题是影响信息化进程的重要因素之一。
近年来,业界对信息安全的重要性有了很深的认识,采取了大量积极有效的措施,但都偏重于对网络和操作系统的保护,真正对数据库中的信息实施直接保护的并不多。
安华金和数据库平安银行行业解决方案4.doc
安华金和数据库安全银行行业解决方案4 安华金和数据库安全银行行业解决方案一. 客户需求与挑战某商行信息化高速发展的时代背景下,各银行积累的客户数据、交易记录、管理数据等呈爆炸性增长,海量数据席卷而来,海量的业务数据不但成为金融业的命脉,也成为不法分子窥探的目标,因此也意味着面临了海量的风险。
目前国家和商行内部对数据的安全管控提出了以下要求:1) 随着客户的增加,数据库信息价值不断提升,使得数据库面对来自内部和外部的安全风险大大增加;2) 内部违规越权操作、外部恶意入侵等行为,事后却无法有效追溯和审计;3) 业务访问数据库过程过慢,SQL访问性能无法了解并改善;4) 国家等级保护相关标准中要求等保二级以上信息系统中的网络层面、主机层面和应用层面均要求进行安全审计、安全控制,同时也明确要求了审计和控制的范围、内容等,粒度要求到用户级、数据表、字段级。
5) 银监会19号文中也明确提出“控制所有生产系统的活动日志,以支持有效的审计、安全论证分析和预防欺诈”。
6) 国外信息安全方面的标准或最佳实践(如ISO13335、ISO27001、SP800)等也要求对用户行为、系统、数据操作行为进行控制和审计。
特别是2014年9月银监会39号文,《关于应用安全可控信息技术加强银行业网络安全和信息化建设的指导意见》(简称意见),特别在操作系统、数据库等领域要加大探索和尝试力度;从2015年起,各银行业金融机构对安全可控信息技术的应用以不低于15%的比例逐年增加,直至2019年达到不低于75%的总体占比该指导意见的发布是我国进一步重视银行业数据安全的表现。
二. 解决方案概述及要点描述某商行核心数据库在全行范围内是负责银行数据存储和处理核心设施,经过评估一旦核心数据机密性、完整性、可用性遭受损失,将会给社会秩序甚至国家安全造成严重损害。
银行因此委托了专业的数据库安全厂商,提出了以下4点安全目标:1)向合法用户提供可靠信息服务;2)拒绝非法用户对数据库的访问;3)拒绝对数据库执行高危操作4)跟踪数据库使用记录,为合规性、安全责任审查提供证据。
数据库加密系统技术白皮书
数据库加密存取及强权限控制系统技术白皮书Oracle版目录1.产品背景 (1)2.解决的问题 (3)3.系统结构 (6)4.部署方案 (7)5.功能与特点 (9)6.支持特性 (10)7.性能测试数据 (11)1.产品背景随着计算机技术的飞速发展,数据库的应用十分广泛,深入到各个领域。
数据库系统作为信息的聚集体,是计算机信息系统的核心部件,其安全性至关重要。
小则关系到企业兴衰、大则关系到国家安全。
在重要单位或者大型企业中,涉及大量的敏感信息。
比如行政涉密文件,领导批示、公文、视频和图片,或者企业的商业机密、设计图纸等。
为了保障这些敏感电子文件的安全,各单位广泛的实施了安全防护措施,包括:机房安全、物理隔离、防火墙、入侵检测、加密传输、身份认证等等。
但是数据库的安全问题却一直让管理员束手无策。
原因是目前市场上缺乏有效的数据库安全增强产品。
数据库及其应用系统普遍存在一些安全隐患。
其中比较严峻的几个方面表现在:(1)由于国外对高技术出口和安全产品出口的法律限制,国内市场上只能购买到C2安全级别的数据库安全系统。
该类系统只有最基本的安全防护能力。
并且采用自主访问控制(DAC)模式,DBA角色能拥有至高的权限,权限可以不受限制的传播。
这就使得获取DBA角色的权限成为攻击者的目标。
而一旦攻击者获得DBA角色的权限,数据库将对其彻底暴露,毫无任何安全性可言。
(2)由于DBA拥有至高无上的权利,其可以在不被人察觉的情况下查看和修改任何数据(包括敏感数据)。
因此DBA掌控着数据库中数据安全命脉,DBA的任何操作、行为无法在技术上实施监管。
而DBA往往只是数据的技术上的维护者,甚至可能是数据库厂商的服务人员,并没有对敏感数据的查看和控制权。
现阶段并没有很好的技术手段来约束DBA 对数据的访问权限,因此存在巨大安全隐患,特别是在DBA权限被非法获取的情况下,更是无法保证数据的安全。
(3)由于C2级的商业数据库对用户的访问权限的限制是在表级别的。
安华金和数据库防火墙(DBFirewall)
安华金和数据库防火墙系统(DBFirewall)一. 产品概述安华金和数据库防火墙系统(简称DBFirewall),是一款基于数据库协议分析与控制技术的数据库安全防护系统。
DBFirewall基于主动防御机制,实现数据库的访问行为控制、危险操作阻断、可疑行为审计。
二. 产品价值2.1 防止外部黑客攻击威胁:黑客利用Web应用漏洞,进行SQL注入;或以Web应用服务器为跳板,利用数据库自身漏洞攻击和侵入。
防护:通过虚拟补丁技术捕获和阻断漏洞攻击行为,通过SQL注入特征库捕获和阻断SQL 注入行为。
2.2 防止内部高危操作威胁:系统维护人员、外包人员、开发人员等,拥有直接访问数据库的权限,有意无意的高危操作对数据造成破坏。
防护:通过限定更新和删除影响行、限定无Where的更新和删除操作、限定drop、truncate 等高危操作避免大规模损失。
2.3 防止敏感数据泄漏威胁:黑客、开发人员可以通过应用批量下载敏感数据,内部维护人员远程或本地批量导出敏感数据。
防护:限定数据查询和下载数量、限定敏感数据访问的用户、地点和时间。
2.4 审计追踪非法行为威胁:业务人员在利益诱惑下,通过业务系统提供的功能完成对敏感信息的访问,进行信息的售卖和数据篡改。
防护:提供对所有数据访问行为的记录,对风险行为进行Syslog、邮件、短信等方式的告警,提供事后追踪分析工具。
三. 产品优势3.1 全面的入侵防御技术提供业界最为全面的数据库攻击行为检测和阻断技术:虚拟补丁技术:针对CVE公布的漏洞库,提供漏洞特征检测技术。
高危访问控制技术:提供对数据库用户的登录、操作行为,提供根据地点、时间、用户、操作类型、对象等特征定义高危访问行为。
SQL注入禁止技术:提供SQL注入特征库。
返回行超标禁止技术:提供对敏感表的返回行数控制。
SQL黑名单技术:提供对非法SQL的语法抽象描述。
3.2 应用“零”误报技术对于IPS类产品最重要的是在保持“低漏报率”的同时维护“低误报率”;对于数据库而言这点更为关键,一点点“误报”可能就会造成重大业务影响。
安华金和数据安全产品手册
安华金和数据安全产品手册©2019安华金和■版权声明本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属安华金和所有,受到有关产权及版权法保护。
任何个人、机构未经安华金和的书面授权许可,不得以任何方式复制或引用本文的任何片断。
目录安华金和数据安全产品手册 (1)目录 (2)一. 关于安华金和 (4)1.1发展历史 (4)1.2产品路标 (5)二. 数据库安全产品系列 (6)2.1数据库安全评估系统(DSAS) (6)2.1.1 产品概述 (6)2.1.2 客户价值 (6)2.1.3 产品优势 (7)2.1.4 适用场景 (8)2.2数据资产梳理系统(DACS) (8)2.2.1 产品概述 (8)2.2.2 客户价值 (9)2.2.3 产品优势 (10)2.2.4 适用场景 (10)2.3数据库安全审计系统(DAS) (11)2.3.1 产品概述 (11)2.3.2 客户价值 (11)2.3.3 产品优势 (12)2.3.4 适用场景 (13)2.4数据库安全防护系统(DPS) (14)2.4.1 产品概述 (14)2.4.2 客户价值 (14)2.4.3 产品优势 (15)2.4.4 适用场景 (17)2.5数据库运维管理系统(DOMS) (17)2.5.1 产品概述 (17)2.5.2 客户价值 (18)2.5.3 产品优势 (19)2.5.4 适用场景 (19)2.6数据脱敏系统(DMS) (20)2.6.1 产品概述 (20)2.6.2 客户价值 (20)2.6.3 产品优势 (21)2.6.4 适用场景 (22)2.7数据库加密系统(DES) (23)2.7.1 产品概述 (23)2.7.2 客户价值 (24)2.7.3 产品优势 (25)2.7.4 适用场景 (26)2.8数据水印系统(DWS) (26)2.8.1 产品概述 (26)2.8.2 客户价值 (27)2.8.3 产品优势 (27)2.8.4 适用场景 (28)一. 关于安华金和1.1 发展历史北京安华金和科技有限公司(以下简称安华金和),2009年3月2日成立,长期专注于数据安全领域,是中国专业的数据安全产品及解决方案提供商。
安华金和数据库安全等保行业解决方案
安华金和数据库安全等保行业解决方案一. 方案概述在等级保护中,数据库安全建设的总体目标,一是要保证核心数据库自身的安全性,确保数据库不会受到攻击造成业务系统的瘫痪;二是要求保证数据的保密性和完整性,对核心数据库中的敏感数据进行有效的安全防护,确保关键数据不泄密,不被违规篡改;三是在数据库使用过程中及时发现安全问题,防患于未然,按修复建议进行安全加固。
信息系统的核心数据存在数据库中的,数据库作为核心数据资产载体,一旦发生无意识危险操作、信息泄露、恶意篡改,都将造成最为惨痛的损失。
据Verizon 2012数据泄露调查报告,数据库服务器占泄露记录总数的96%,成为头号可能的泄露数据源。
随着当前业务系统及数据库的部署规模、访问人员和密集度的不断增加,来自于外部攻击者、第三方运维和开发人员、内部维护人员的威胁访问,给企业数据安全带来了严峻的挑战。
安华金和等保数据库安全解决方案对应等保安全要求的数据库防护思路如下表:1.1 安全威胁分析◆外部威胁目前已知的来自外部黑客常见的攻击手段和漏洞包括:SQL注入、缓冲区溢出、拒绝服务、提权等,也有利用未及时安装补丁、缺省安装漏洞、程序后门和危险代码破坏权限体系,导致数据库服务终止和敏感数据泄密;◆内部运维人员和DBA明文存储的安全威胁,使得数据文件、备份文件被拷贝后,可以轻易恢复。
DBA等高权限用户可以随时任意地访问门能干数据;弱口令的存在,使得容易被人暴力破解或尝试成功,访问敏感数据导致泄密和篡改;◆第三方运维和开发人员知道数据库管理员账号,主要威胁在于假冒正常应用账户、合法DB用户绕过应用程序使用命令行工具访问数据库、通过数据库客户端批量导出敏感信息导致泄密。
◆管理内部人员、第三方维护人员的误操作、维护操作、越权操作和恶意操作,多人共用一个账号,责任难以分清,超级管理员操作难以监管和审计。
1.2 等级保护对数据库安全的要求在等级保护《基本要求》中的位置数据库安全是主机安全的一个部分,数据库的测评指标是从“主机安全”和“数据安全及备份恢复”中根据数据库的特点映射得到的。
安华金和数据库安全防护系统(DPS)
安华金和数据库安全防护系统(DPS)©2019安华金和■版权声明本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属安华金和所有,受到有关产权及版权法保护。
任何个人、机构未经安华金和的书面授权许可,不得以任何方式复制或引用本文的任何片断。
目录安华金和数据库安全防护系统(DPS) (1)目录 (2)一. 关于安华金和 (3)1.1发展历史 (3)1.2产品路标 (4)二. 数据库安全防护系统(DPS) (5)2.1产品概述 (5)2.2客户价值 (5)2.2.1 防止外部黑客攻击 (5)2.2.2 防止内部高危操作 (5)2.2.3 防止敏感数据泄露 (6)2.2.4 防止应用违规操作 (6)2.2.5 防止频次攻击 (6)2.3产品优势 (6)2.3.1 全面入侵检测 (6)2.3.2 高度应用兼容 (7)2.3.3 业务保持能力 (7)2.3.4 敏感数据防护 (7)2.3.5 应用关联防护能力 (7)2.3.6 学习期行为建模 (8)2.4适用场景 (8)一. 关于安华金和1.1 发展历史北京安华金和科技有限公司(以下简称安华金和),2009年3月2日成立,长期专注于数据安全领域,是中国专业的数据安全产品及解决方案提供商。
安华金和由长期致力于数据处理和信息安全的专业人士共同创造,作为中国“数据安全治理”体系框架的提出者,安华金和提供涵盖人员组织、安全策略、流程制定及技术支撑全方位的整体数据安全思路与方案;同时,安华金和作为独立的第三方云数据安全服务商(CDSP),为国内外各大云平台用户提供专业的数据安全保障;安华金和也是中国最大的公有云平台——阿里云在数据安全领域的战略合作方。
安华金和总部位于北京,分设北京营销中心与天津研发中心,下设11大分支机构,业务覆盖华北、东北、华东、华中、华南、西南等全国省市地区。
在政府、军工、金融、能源、教育、医疗、企业等各大行业建立多个标杆案例,并取得了良好的信誉口碑。
安华金和数据库加密系统技术白皮书
安华金和数据库加密系统系统白皮书目录安华金和数据库加密系统 (1)白皮书 (1)一. 安华金和数据库加密系统产品简介 (3)二. 安华金和数据库加密系统应用背景 (3)2.1数据库安全已经成为信息安全焦点 (3)2.2数据库层面的泄密事件频发 (4)2.3数据安全相关政策与法律法规 (4)三. 安华金和数据库加密系统客户价值 (5)3.2防止由于明文存储引起的泄密 (5)3.3防止外部非法入侵窃取敏感数据 (6)3.4防止内部高权限用户数据窃取 (6)3.5防止合法用户违规数据访问 (6)四. 安华金和数据库加密系统功能特点 (7)4.1透明数据加密 (7)4.2高效数据检索 (7)4.3身份鉴别增强 (7)4.4增强访问控制 (7)4.5真正应用安全 (8)4.6敏感数据审计 (8)4.7高可用性 (8)4.8可维护性 (9)一. 安华金和数据库加密系统产品简介安华金和数据库加密系统系统(简称DBCoffer)(以下称:安华金和数据库加密系统)是一款基于透明加密技术的数据库安全加固系统,该产品能够实现对数据库中对的加密存储、访问控制增强、应用访问安全、安全审计以及三权分立等功能。
安华金和数据库加密系统基于主动防御机制,可以防止明文存储引起的数据泄密、突破边界防护的外部黑客攻击、来自于内部高权限用户的数据窃取、防止绕开合法应用系统直接访问数据库,从根本上解决数据库敏感数据泄漏问题。
安华金和数据库加密系统利用数据库自身扩展机制,通过独创的、已获专利的三层视图技术和密文索引等核心技术,突破了传统数据库安全加固产品的技术瓶颈,真正实现了数据高度安全、应用完全透明、密文高效访问。
安华金和数据库加密系统当前支持Windows、AIX、Linux、Solaris等多个平台,提供基于加密硬件的企业版和纯软件的标准版,支持主、从、应急等自身高可用模式,可以满足用户的多种部署需求。
安华金和数据库加密系统兼容主流加密算法和国产加密设备,提供可扩展的加密设备和加密算法接口。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
安华金和数据库加密系统系统白皮书目录安华金和数据库加密系统 (1)白皮书 (1)一. 安华金和数据库加密系统产品简介 (3)二. 安华金和数据库加密系统应用背景 (3)2.1数据库安全已经成为信息安全焦点 (3)2.2数据库层面的泄密事件频发 (4)2.3数据安全相关政策与法律法规 (4)三. 安华金和数据库加密系统客户价值 (5)3.2防止由于明文存储引起的泄密 (5)3.3防止外部非法入侵窃取敏感数据 (6)3.4防止内部高权限用户数据窃取 (6)3.5防止合法用户违规数据访问 (6)四. 安华金和数据库加密系统功能特点 (7)4.1透明数据加密 (7)4.2高效数据检索 (7)4.3身份鉴别增强 (7)4.4增强访问控制 (7)4.5真正应用安全 (8)4.6敏感数据审计 (8)4.7高可用性 (8)4.8可维护性 (9)一. 安华金和数据库加密系统产品简介安华金和数据库加密系统系统(简称DBCoffer)(以下称:安华金和数据库加密系统)是一款基于透明加密技术的数据库安全加固系统,该产品能够实现对数据库中对的加密存储、访问控制增强、应用访问安全、安全审计以及三权分立等功能。
安华金和数据库加密系统基于主动防御机制,可以防止明文存储引起的数据泄密、突破边界防护的外部黑客攻击、来自于内部高权限用户的数据窃取、防止绕开合法应用系统直接访问数据库,从根本上解决数据库敏感数据泄漏问题。
安华金和数据库加密系统利用数据库自身扩展机制,通过独创的、已获专利的三层视图技术和密文索引等核心技术,突破了传统数据库安全加固产品的技术瓶颈,真正实现了数据高度安全、应用完全透明、密文高效访问。
安华金和数据库加密系统当前支持Windows、AIX、Linux、Solaris等多个平台,提供基于加密硬件的企业版和纯软件的标准版,支持主、从、应急等自身高可用模式,可以满足用户的多种部署需求。
安华金和数据库加密系统兼容主流加密算法和国产加密设备,提供可扩展的加密设备和加密算法接口。
安华金和数据库加密系统的功能特性更适合于本土应用需求,性能领先5倍以上。
安华金和数据库加密系统产品适用于政府、军队、军工、机要、电信、电力、医疗、金融、互联网等各个领域,同时针对国家等级保护、分级保护、军队保密规定均具有很强的政策合规性。
二. 安华金和数据库加密系统应用背景2.1 数据库安全已经成为信息安全焦点政府机关、企事业单位的核心信息的80%是以结构化形式存储在数据库中的,数据库作为核心资产的载体,一旦发生泄密将会造成最为惨痛的损失。
当前,数据库的安全防护作为信息安全防护任务的“最后一公里”,其重要性已经被越来越多的部门所认可。
据国际权威机构verizon2014统计报告分析,当前96%数据攻击行为是针对数据库进行的;就“核心数据是如何丢失的”的市场调查表明,75%的数据丢失情况来自于数据库,数据库已经成为入侵者最主要的攻击目标和泄密源。
经过多年的发展,网络安全、主机安全等产品线不断丰富,已非常成熟。
但市场上的专业的数据库安全防护产品却很缺乏,这也是数据库安全建设面临的一个重要问题。
2.2 数据库层面的泄密事件频发在过去的若干年里,围绕着数据库或数据的计算机犯罪已经形成一个普遍现象,这些现象为数据库安全敲响了警钟。
●2005年,程序员程稚瀚四次侵入北京移动充值中心数据库盗取充值卡密码,获利达300多万元。
●2005年12月25日,美国银行披露,2004年12月下旬,丢失了包括1200万信用卡信息的磁带备份. ---Gartner Research;●2006年,日本住友生命保险公司,该公司约8000名客户及员工的资料数据通过安装到个人电脑上的软件被泄露到因特网上,包括联系人的姓名、所属分公司、地址和电话号码等。
●2007年,汇丰银行服务器丢失,致使16万客户信息遭受泄露。
●2007年,世界最大职业中介网站遭到大规模攻击,黑客窃取了在网站注册的数百万求职者个人信息,并进行勒索;●2009年6月9日, 工程师程某利用给深圳福彩中心系统实施的工作之便,提前获知数据库口令。
通过植入木马程序,篡改中奖号码,非法获取5注一等奖,累计金额3600多万元。
●2010年,3.15晚会曝光了移动、联通及原中国网通三大电信运营商的3个“内鬼”多次向“私家侦探”泄露客户信息、通话记录、手机定位信息共获利300万元。
●2011年,索尼公司遭遇“黑客门”,全球7000万游戏玩家的姓名、住址、生日等身份信息,以及1000万用户的信用卡信息被窃。
●据 2011年4月11日报道,北京著名的7天连锁酒店后台数据库被“刷库”,多达600万的会员详细信息被黑客盗取并在网上公开兜售。
2.3 数据安全相关政策与法律法规针对以上问题,各国家和组织迅速制定法案法规,要求加强数据的安全保护,以对政府信息、企业信息和个人隐私信息进行有效保护。
美国相继出台了Sarbanes-Oxley法案、HIPAA 法案、GLBA法案等,日本出台了个人信息保护法案,支付卡产业安全标准委员会制定了PCI数据安全标准、欧盟出台了《隐私和电子通信指令》,香港特区也出台了政府安全规定。
在这些法规中都对数据的安全,从管理和技术上都进行了有效约束,其中的关键就是数据加密。
而我国也相继出台了《信息系统安全等级保护基本要求》和《信息安全等级保护管理办法》要求政府部门和各个公共行业对信息系统进行等级划分,并对相应等级进行了管理和技术上的明确规定。
其中数据防泄漏是一重要组成部分,要求三级以上系统的鉴别信息和重要业务数据存储要加密。
三. 安华金和数据库加密系统客户价值通过安华金和数据库加密系统,可以有效防止由于明文存储引起的泄密、防止外部非法入侵窃取敏感数据、防止内部高权限用户数据窃取、防止合法用户违规数据访问。
图 3.1 数据库加密系统产品功能3.2 防止由于明文存储引起的泄密Oracle的底层存储实际上是未经加密处理的,数据文件、备份磁带的丢失都存在重大的泄密风险,目前已有很多类似于Aul、MyDul的成熟免费解析软件,可对明文存储的数据文件直接分析,输出清晰的、结构化的数据。
安华金和数据库加密系统通过数据存储加密功能,从根本上保证数据安全,即使反向解析数据文件仍是安华金和数据库加密系统加密过的乱码。
3.3 防止外部非法入侵窃取敏感数据数据库是一个复杂的大型系统,以Oracle为例,其累计报告的安全漏洞已达1000多种,且在持续暴露,一旦被攻击者利用,很容易窃取到敏感数据。
安华金和数据库加密系统通过增强的用户口令校验强度,独立的密文权控体系,即使数据库权控体系被突破,也无法访问到敏感数据。
3.4 防止内部高权限用户数据窃取受出口政策的限制,在C2安全级别的数据库系统中,以sys、sysdba或sa为代表的超级用户天然具备数据访问、授权和审计的权限;在大型企业和政府机构中,除了系统管理员,以数据分析员、程序员、服务外包人员为代表的数据库用户,也可以访问到敏感数据。
这些与业务无关的敏感数据访问权限,都成为数据泄密的极大隐患。
三权分立,对特权用户进行有效权力拆分。
安华金和数据库加密系统增设了安全管理员(DSA),即使是DBA用户,在未经DSA授权时照样无法访问到密文数据;安华金和数据库加密系统同时增设审计管理员(DSA),可以对DSA的授权行为和数据库用户的密文数据访问行为进行审计和追踪。
3.5 防止合法用户违规数据访问对于应用系统使用的合法数据库用户,常由于人为因素或管理不善,用户名及口令很容易泄露给第三方,第三方则可以通过命令行或管理工具直接访问密文数据,批量窃取数据。
安华金和数据库加密系统具备真正应用安全能力,可以将合法用户与应用系统绑定,同一用户只能通过指定的应用系统访问密文数据,使用命令行等其他方式则无法访问密文数据。
四. 安华金和数据库加密系统功能特点4.1 透明数据加密安华金和数据库加密系统支持我国密码管理机构认定的加密算法,也支持国际先进的密码算法。
对数据库可以指定列进行加密,保证敏感数据以密文形式存储,以实现存储层的安全加固。
透明的数据加密有两层含义:一是对应用系统透明,即用户或开发商不需要对应用系统进行任何改造;二是对有密文访问权限的用户显示明文数据,并且加、解密过程对用户完全透明。
4.2 高效数据检索安华金和数据库加密系统进行数据加密后,依然能够对密文数据提供索引能力,从而保持数据库的高效访问能力。
安华金和数据库加密系统通过专利的、高度安全的加密索引技术,突破了传统技术对密文列不能使用索引的限制;在保证索引数据的高度安全基础上,提供了对密文数据为检索条件的索引查询;在密文列上进行的等于、大于、小于和Like操作依然可以使用索引。
4.3 身份鉴别增强单一的静态口令认证方式,容易遭到他人窃取和冒名使用。
安华金和数据库加密系统可以实现安全管理员、审计管理员以及数据库用户的动态口令和双因素(ukey+pin码)方式的增强认证,并提供登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出措施。
4.4 增强访问控制安华金和数据库加密系统增设数据安全管理员(Data Security Administrator,DSA)。
DBA和DSA相互独立,共同实现对敏感字段的强存取控制,实现真正的责权一致。
DBA实现对普通字段的一般性访问权限控制,DSA实现对敏感字段的增、脱密处理和密文访问权限控制。
该功能在数据加密存储的基础上,实现密文访问权限体系,对数据库用户进行强制访问控制,有效防止特权用户对敏感数据的非法访问;4.5 真正应用安全安华金和数据库加密系统可以提供按角色、IP地址、时间范围的密文访问控制,并具备真正应用安全能力。
安华金和数据库加密系统可以将合法用户与应用系统绑定,同一用户只能通过指定的应用系统访问密文数据,使用命令行、管理工具等其他任何方式均无法访问密文数据。
安华金和数据库加密系统通过对应用程序或系统进行摘要值和连接随机种子的判定,保证应用身份标识不可伪造,合法的连接不可重放。
4.6 敏感数据审计安华金和数据库加密系统增设安全审计管理员(Data Audit Administrator,DAA),提供对数据库中安全授权行为和密文字段访问行为的审计能力,以便对DSA的授权行为和数据库用户的敏感数据的访问进行事后追踪。
传统的审计技术,由于审计的信息量大,审计功能的开启,将对性能造成极大的影响,基于网络的审计也会受到通讯加密的影响,造成审计信息不全面;而安华金和数据库加密系统在数据库内部实现审计,并且仅针对敏感数据审计,从而保障了审计信息完整性和数据库的性能。
安华金和数据库加密系统对于敏感数据的审计,不仅能审计到数据访问行为,还能审计敏感数据变更行为造成的变更前后的数据,为事后追责和数据恢复提供了依据。