安华金和数据库加密系统(DES)

安华金和数据库加密系统(DES)

©2019安华金和

■版权声明

本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属安华金和所有，受到有关产权及版权法保护。任何个人、机构未经安华金和的书面授权许可，不得以任何方式复制或引用本文的任何片断。

目录

安华金和数据库加密系统(DES) (1)

目录 (2)

一. 关于安华金和 (3)

1.1发展历史 (3)

1.2产品路标 (4)

二. 数据库加密系统(DES) (5)

2.1产品概述 (5)

2.2客户价值 (5)

2.2.1 防止由于明文存储引起的泄密 (5)

2.2.2 防止外部非法入侵窃取敏感数据 (5)

2.2.3 防止内部高权限用户数据窃取 (6)

2.2.4 防止合法用户违规访问数据 (6)

2.3产品优势 (6)

2.3.1 透明数据加密 (6)

2.3.2 高效数据检索 (7)

2.3.3 增强访问控制 (7)

2.3.4 应用身份安全 (7)

2.3.5 高可用易维护 (7)

2.4适用场景 (8)

一. 关于安华金和

1.1 发展历史

北京安华金和科技有限公司（以下简称安华金和），2009年3月2日成立，长期专注于数据安全领域，是中国专业的数据安全产品及解决方案提供商。安华金和由长期致力于数据处理和信息安全的专业人士共同创造，作为中国“数据安全治理”体系框架的提出者，安华金和提供涵盖人员组织、安全策略、流程制定及技术支撑全方位的整体数据安全思路与方案；同时，安华金和作为独立的第三方云数据安全服务商（CDSP），为国内外各大云平台用户提供专业的数据安全保障；安华金和也是中国最大的公有云平台——阿里云在数据安全领域的战略合作方。

安华金和总部位于北京，分设北京营销中心与天津研发中心，下设11大分支机构，业务覆盖华北、东北、华东、华中、华南、西南等全国省市地区。在政府、军工、金融、能源、教育、医疗、企业等各大行业建立多个标杆案例，并取得了良好的信誉口碑。

安华金和以“让数据使用更安全”为最高使命，立志成为世界级数据安全厂商。

围绕该愿景，安华金和主营业务方向分为三大部分：

1、围绕数据库的安全，安华金和推出全线数据库安全产品及解决方案；

2、以整体数据库安全产线为技术支撑，安华金和推出数据安全治理解决方案，面向重点行业推广与实践；

3、基于公有云和私有云环境特征，安华金和推出公有云数据安全服务和私有云数据安全解决方案。

1.2 产品路标

二. 数据库加密系统(DES)

2.1 产品概述

安华金和数据库加密系统(简称DES)，是一款基于透明加密技术的数据库安全产品，该产品能够实现对数据库中敏感数据的加密存储、访问控制增强、应用访问安全及三权分立等功能。

DES基于底层加密存储与独立权限控制两大核心机制，可以防止明文存储引起的数据泄密，防止外部非法入侵窃取敏感数据，防止来自内部高权限用户的数据滥用，防止绕开合法应用系统直接解密读取数据，在数据安全“最后一公里”处解决敏感数据泄露问题。

DES可根据用户不同场景及不同安全需求，提供列加密、表加密、表空间加密等多种手段，结合已获专利的透明加解密及密文索引等核心技术，具有良好的适应性与实用性，实现了数据高度安全、应用完全透明、密文高效访问。

DES当前支持Windows、AIX、Linux、Solaris等多个平台，支持Oracle、SQL Server、Mysql等多种国际主流数据库以及达梦等国产数据库。产品支持主、从、应急等自身高可用模式，可以满足用户的多种部署需求。DES提供符合国密标准的加解密算法，同时兼容多种国际商用算法，提供可扩展的加密设备和加密算法接口，可与多种加密卡及加密机对接。DES产品适用于政府、教育、军工、机要、电力等各个领域，同时针对国家等级保护、分级保护、军队保密规定均具有很强的政策适应性。

2.2 客户价值

2.2.1 防止由于明文存储引起的泄密

数据库底层存储的未经加密处理的数据文件、日志文件、备份文件丢失都存在重大的泄密风险。以Oracle为例，目前已有很多类似于Aul、MyDul的成熟免费解析软件可对明文存储的数据文件直接分析，输出清晰的、结构化的数据。

DES通过存储加密功能，从根本上保证数据安全，即使反向解析文件仍是乱码形式。

2.2.2 防止外部非法入侵窃取敏感数据

数据库是一个复杂的大型系统，以Oracle为例，其累计报告的安全漏洞已达1000多种，且在持续暴露，一旦被攻击者利用，很容易窃取敏感数据。

DES通过增强用户口令校验强度，独立的密钥管理与密文权控体系，即使数据库权控体系被突破，也无法访问到敏感数据。

2.2.3 防止内部高权限用户数据窃取

受出口政策的限制，在C2安全级别的数据库系统中，以sys、sysdba、sa为代表的超级用户天然具备数据访问、授权的权限；在大型企业和政府机构中，除了系统管理员，以数据分析员、程序员、服务外包人员为代表的数据库用户，也可以访问到敏感数据。这些与业务无关的敏感数据访问权限，都成为数据泄密的极大隐患。数据库源生加解密技术，均无法从根本上解决高权限用户访问敏感数据的权限问题。

DES提供三权分立机制，对特权用户进行有效权力拆分。产品增设了安全管理员(DSA),即使是DBA用户，在未经DSA授权时照样无法访问到密文数据；DES同时增设审计管理员(DAA),可以对DSA的授权行为进行审计和追踪。

2.2.4 防止合法用户违规访问数据

对于应用系统使用的合法数据库用户，常由于人为因素或管理不善，用户名及口令很容易泄露给第三方，第三方则可以通过命令行或管理工具直接访问敏感数据，批量窃取数据。DES具备应用安全能力，可以将合法数据库用户与应用系统绑定，同一用户只能通过指定的应用系统访问密文，使用命令行等其他方式则无法访问密文数据。

2.3 产品优势

2.3.1 透明数据加密

DES支持我国密码管理机构认定的加密算法，也支持国际主流加密算法。对数据库可以按照列、表、表空间三种粒度提供加密配置，保证敏感数据以密文形式存储。DES不仅对数据文件进行存储加密，对日志文件，索引文件均进行加密，以实现存储层的安全加固。

透明数据加密有两层含义：一是对应用系统及运维工具透明，即用户或开发商不需要对应用系统进行任何改造，用户原有的备份、恢复等运维行为不需改变；二是对有密文访问权限的用户显示明文数据，并且加、解密过程对用户完全透明。