🔥 热搜 🔥
百度今日热点微信公众平台贴吧opggdnf私服百度贴吧知乎dnf公益服百度傻逼
分类
社会娱乐国际人权科技经济其它
🔥 热搜 🔥
百度今日热点微信公众平台贴吧opggdnf私服百度贴吧知乎dnf公益服百度傻逼
分类
社会娱乐国际人权科技经济其它
查看原文
其他

安华金和数据库加密系统

专注数据安全 安华金和 2022-07-03

1、产品概述
安华金和数据库加密系统(简称DES),是一款基于透明加密技术的数据库安全产品,该产品能够实现对数据库中敏感数据的加密存储、访问控制增强、应用访问安全及三权分立等功能。

DES基于底层加密存储与独立权限控制两大核心机制,可以防止明文存储引起的数据泄密,防止外部非法入侵窃取敏感数据,防止来自内部高权限用户的数据滥用,防止绕开合法应用系统直接解密读取数据,在数据安全“最后一公里”处解决敏感数据泄露问题。

DES可根据用户不同场景及不同安全需求,提供列加密、表加密、表空间加密等多种手段,结合已获专利的透明加解密及密文索引等核心技术,具有良好的适应性与实用性,实现了数据高度安全、应用完全透明、密文高效访问。

DES当前支持Windows、AIX、Linux、Solaris等多个平台,支持Oracle、SQL Server、Mysql等多种国际主流数据库以及达梦等国产数据库。产品支持主、从、应急等自身高可用模式,可以满足用户的多种部署需求。DES提供符合国密标准的加解密算法,同时兼容多种国际商用算法,提供可扩展的加密设备和加密算法接口,可与多种加密卡及加密机对接。

DES产品适用于政府、教育、军工、机要、电力等各个领域,同时针对国家等级保护、分级保护、军队保密规定均具有很强的政策适应性。

2、客户价值
(1)防止由于明文存储引起的泄密
数据库底层存储的未经加密处理的数据文件、日志文件、备份文件丢失都存在重大的泄密风险。以Oracle为例,目前已有很多类似于Aul、MyDul的成熟免费解析软件可对明文存储的数据文件直接分析,输出清晰的、结构化的数据。

DES通过存储加密功能,从根本上保证数据安全,即使反向解析文件仍是乱码形式。

(2)防止外部非法入侵窃取敏感数据
数据库是一个复杂的大型系统,以Oracle为例,其累计报告的安全漏洞已达1000多种,且在持续暴露,一旦被攻击者利用,很容易窃取敏感数据。

DES通过增强用户口令校验强度,独立的密钥管理与密文权控体系,即使数据库权控体系被突破,也无法访问到敏感数据。

(3)防止内部高权限用户数据窃取
受出口政策的限制,在C2安全级别的数据库系统中,以sys、sysdba、sa为代表的超级用户天然具备数据访问、授权的权限;在大型企业和政府机构中,除了系统管理员,以数据分析员、程序员、服务外包人员为代表的数据库用户,也可以访问到敏感数据。这些与业务无关的敏感数据访问权限,都成为数据泄密的极大隐患。数据库源生加解密技术,均无法从根本上解决高权限用户访问敏感数据的权限问题。

DES提供三权分立机制,对特权用户进行有效权力拆分。产品增设了安全管理员(DSA),即使是DBA用户,在未经DSA授权时照样无法访问到密文数据;DES同时增设审计管理员(DAA),可以对DSA的授权行为进行审计和追踪。

(4)防止合法用户违规访问数据
对于应用系统使用的合法数据库用户,常由于人为因素或管理不善,用户名及口令很容易泄露给第三方,第三方则可以通过命令行或管理工具直接访问敏感数据,批量窃取数据。

DES具备应用安全能力,可以将合法数据库用户与应用系统绑定,同一用户只能通过指定的应用系统访问密文,使用命令行等其他方式则无法访问密文数据。

3、产品优势
(1)透明数据加密
DES支持我国密码管理机构认定的加密算法,也支持国际主流加密算法。对数据库可以按照列、表、表空间三种粒度提供加密配置,保证敏感数据以密文形式存储。DES不仅对数据文件进行存储加密,对日志文件,索引文件均进行加密,以实现存储层的安全加固。

透明数据加密有两层含义:一是对应用系统及运维工具透明,即用户或开发商不需要对应用系统进行任何改造,用户原有的备份、恢复等运维行为不需改变;二是对有密文访问权限的用户显示明文数据,并且加、解密过程对用户完全透明。

(2)高效数据检索
DES进行数据加密后,依然能够对密文数据提供索引能力,从而保持数据库的高效访问能力。

DES通过密文索引技术,突破了应用改造加密及网络设备加密在密文索引查询方面的限制;在保证索引数据的高度安全基础上,提供了对密文数据为检索条件的索引查询;在密文列上进行的等于、大于、小于和Like操作依然可以使用索引。

(3)增强访问控制
DES增设数据安全管理员(DataSecurity Administrator, DSA)。DSA与数据库管理员DBA相互独立,共同实现对敏感字段的强存取控制,实现真正的责权一致。DBA实现对普通字段的一般性访问权限控制,DSA实现对敏感字段的增、脱密处理和密文访问权限控制。

该功能在加密存储的基础上,通过独立的密钥管理体系和权控机制,对数据库用户进行强制访问控制,有效防止特权用户对敏感数据的非法访问,即使是sys、sysdba、sa等特权用户,也无法在未经DES授权的情况下访问加密数据。

(4)应用身份安全
DES可提供按角色、IP地址、时间范围的密文访问控制,并具备应用身份识别能力。DES可以将合法用户与应用系统绑定,同一用户只能通过指定的应用系统访问密文数据,使用命令行、管理工具等其他任何方式均无法访问密文数据。

DES通过对应用程序或系统进行摘要值和连接随机种子的判定,保证应用身份标识不可伪造,合法的连接不可重放。

(5)高可用易维护
DES通过与数据库的数据集成存储、RAC支持、双机热备、应急模式、多进程冗余、透明故障切换、数据错误忽略、备份恢复等技术,使DES提供与数据库相当的高可用支持和异常故障处理能力。

DES产品稳定可靠,产品化程度高,图形化管理界面,简单易用。系统安装部署在半小时内即可完成,安全加固实施(数据加密防护)一般可在一天内完成。DES具备快速、准确地整体拆除能力,解密后可确保应用系统仍然正常运行。

4、适用场景
l  贵单位最近一次分保检查是什么时候?测评人员是否提出过数据库中敏感信息明文存储存在安全隐患?
l  贵单位数据库运维人员在日常数据库操作过程中,对敏感数据访问是否遵循分保中的三权分立的安全管理要求?
l  受出口政策限制的要求,国外数据库Oracle、SQL Server的安全等级评定是C2级,斯诺登事件证明国外数据库有后门漏洞存在,您如何保护数据库中存储的敏感信息?
l  等保三级以上业务系统在数据安全中要求对数据库中的敏感信息加密存储,您有什么安全防护措施?
l  网安法对敏感数据提出了较高的安全防护要求,除了常规的网络手段外,是否希望从根本上解决存储数据丢失引发的泄密问题?
l  数据库管理员具有最高权限,您有什么技术手段保证他们在正常的数据库运维中不导出或非法篡改重要数据?
l  当数据库中的敏感信息加密存储了,能否保证前台应用程序不改造即可兼容,同时查询性能不下降?



您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存