安华⾦和数据库加密系统系统
⽩⽪书
⽬录
安华⾦和数据库加密系统 (1)
⽩⽪书 (1)
⼀. 安华⾦和数据库加密系统产品简介 (3)
⼆. 安华⾦和数据库加密系统应⽤背景 (3)
2.1数据库安全已经成为信息安全焦点 (3)
2.2数据库层⾯的泄密事件频发 (4)
2.3数据安全相关政策与法律法规 (4)
三. 安华⾦和数据库加密系统客户价值 (5)
3.2防⽌由于明⽂存储引起的泄密 (5)
3.3防⽌外部⾮法⼊侵窃取敏感数据 (6)
3.4防⽌内部⾼权限⽤户数据窃取 (6)
3.5防⽌合法⽤户违规数据访问 (6)
四. 安华⾦和数据库加密系统功能特点 (7)
4.1透明数据加密 (7)
4.2⾼效数据检索 (7)
4.3⾝份鉴别增强 (7)
4.4增强访问控制 (7)
4.5真正应⽤安全 (8)
4.6敏感数据审计 (8)
4.7⾼可⽤性 (8)
4.8可维护性 (9)
⼀. 安华⾦和数据库加密系统产品简介
安华⾦和数据库加密系统系统(简称DBCoffer)(以下称:安华⾦和数据库加密系统)是⼀款基于透明加密技术的数据库安全加固系统,该产品能够实现对数据库中对的加密存储、访问控制增强、应⽤访问安全、安全审计以及三权分⽴等功能。
安华⾦和数据库加密系统基于主动防御机制,可以防⽌明⽂存储引起的数据泄密、突破边界防护的外部⿊客攻击、来⾃于内部⾼权限⽤户的数据窃取、防⽌绕开合法应⽤系统直接访问数据库,从根本上解决数据库敏感数据泄漏问题。
安华⾦和数据库加密系统利⽤数据库⾃⾝扩展机制,通过独创的、已获专利的三层视图技术和密⽂索引等核⼼技术,突破了传统数据库安全加固产品的技术瓶颈,真正实现了数据⾼度安全、应⽤完全透明、密⽂⾼效访问。
安华⾦和数据库加密系统当前⽀持Windows、AIX、Linux、Solaris等多个平台,提供基于加密硬件的企业版和纯软件的标准
版,⽀持主、从、应急等⾃⾝⾼可⽤模式,可以满⾜⽤户的多种部署需求。安华⾦和数据库加密系统兼容主流加密算法和国产加密设备,提供可扩展的加密设备和加密算法接⼝。安华⾦和数据库加密系统的功能特性更适合于本⼟应⽤需求,性能领先5倍以上。
安华⾦和数据库加密系统产品适⽤于政府、军队、军⼯、机要、电信、电⼒、医疗、⾦融、互联⽹等各个领域,同时针对国家等级保护、分级保护、军队保密规定均具有很强的政策合规性。
⼆. 安华⾦和数据库加密系统应⽤背景
2.1 数据库安全已经成为信息安全焦点
政府机关、企事业单位的核⼼信息的80%是以结构化形式存储在数据库中的,数据库作为核⼼资产的载体,⼀旦发⽣泄密将会造成最为惨痛的损失。当前,数据库的安全防护作为信息安全防护任务的“最
后⼀公⾥”,其重要性已经被越来越多的部门所认可。据国际权威机构verizon2014统计报告分析,当前96%数据攻击⾏为是针对数据库进⾏的;就“核⼼数
据是如何丢失的”的市场调查表明,75%的数据丢失情况来⾃于数据库,数据库已经成为⼊侵者最主要的攻击⽬标和泄密源。
经过多年的发展,⽹络安全、主机安全等产品线不断丰富,已⾮常成熟。但市场上的专业的数据库安全防护产品却很缺乏,这也是数据库安全建设⾯临的⼀个重要问题。
2.2 数据库层⾯的泄密事件频发
在过去的若⼲年⾥,围绕着数据库或数据的计算机犯罪已经形成⼀个普遍现象,这些现象为数据库安全敲响了警钟。
●2005年,程序员程稚瀚四次侵⼊北京移动充值中⼼数据库盗取充值卡密码,获利达300
多万元。
●2005年12⽉25⽇,美国银⾏披露,2004年12⽉下旬,丢失了包括1200万信⽤卡信息的
磁带备份. ---Gartner Research;
●2006年,⽇本住友⽣命保险公司,该公司约8000名客户及员⼯的资料数据通过安装到
个⼈电脑上的软件被泄露到因特⽹上,包括联系⼈的姓名、所属分公司、地址和电话号码等。
●2007年,汇丰银⾏服务器丢失,致使16万客户信息遭受泄露。
●2007年,世界最⼤职业中介⽹站/doc/32433f1e91c69ec3d5bbfd0a79563c1ec4dad74b.html 遭到⼤规模攻击,⿊客窃取了在⽹站注册
的数百万求职者个⼈信息,并进⾏;
●2009年6⽉9⽇, ⼯程师程某利⽤给深圳福彩中⼼系统实施的⼯作之便,提前获知数据
库⼝令。通过植⼊⽊马程序,篡改中奖号码,⾮法获取5注⼀等奖,累计⾦额3600多万元。
●2010年,3.15晚会曝光了移动、联通及原中国⽹通三⼤电信运营商的3个“内⿁”多次
向“私家侦探”泄露客户信息、通话记录、⼿机定位信息共获利300万元。
●2011年,索尼公司遭遇“⿊客门”,全球7000万游戏玩家的姓名、住址、⽣⽇等⾝份
信息,以及1000万⽤户的信⽤卡信息被窃。
●据/doc/32433f1e91c69ec3d5bbfd0a79563c1ec4dad74b.html 2011年4⽉11⽇报道,北京著名的7天连锁酒店后台数据库被“刷库”,
多达600万的会员详细信息被⿊客盗取并在⽹上公开兜售。
2.3 数据安全相关政策与法律法规
针对以上问题,各国家和组织迅速制定法案法规,要求加强数据的安全保护,以对政府信息、企业信息和个⼈隐私信息进⾏有效保护。美国相继出台了Sarbanes-Oxley法案、HIPAA 法案、GLBA法案等,⽇本出台了个⼈信息保护法案,⽀付卡产业安全标准委员会制定了PCI
数据安全标准、欧盟出台了《隐私和电⼦通信指令》,⾹港特区也出台了政府安全规定。在这些法规中都对数据的安全,从管理和技术上都进⾏了有效约束,其中的关键就是数据加密。
⽽我国也相继出台了《信息系统安全等级保护基本要求》和《信息安全等级保护管理办法》要求政府部门和各个公共⾏业对信息系统进⾏等级划分,并对相应等级进⾏了管理和技术上的明确规定。其中数据防泄漏是⼀重要组成部分,要求三级以上系统的鉴别信息和重要业务数据存储要加密。
三. 安华⾦和数据库加密系统客户价值
通过安华⾦和数据库加密系统,可以有效防⽌由于明⽂存储引起的泄密、防⽌外部⾮法⼊侵窃取敏感数据、防⽌内部⾼权限⽤户数据窃取、防⽌合法⽤户违规数据访问。
图 3.1 数据库加密系统产品功能
3.2 防⽌由于明⽂存储引起的泄密
Oracle的底层存储实际上是未经加密处理的,数据⽂件、备份磁带的丢失都存在重⼤的泄密风险,⽬前已有很多类似于Aul、MyDul的成熟免费解析软件,可对明⽂存储的数据⽂件直接分析,输出清晰的、结构化的数据。
安华⾦和数据库加密系统通过数据存储加密功能,从根本上保证数据安全,即使反向解析数据⽂件仍是安华⾦和数据库加密系统加密过的乱码。
3.3 防⽌外部⾮法⼊侵窃取敏感数据
数据库是⼀个复杂的⼤型系统,以Oracle为例,其累计报告的安全漏洞已达1000多种,且在持续暴露,⼀旦被攻击者利⽤,很容易窃取到敏感数据。
安华⾦和数据库加密系统通过增强的⽤户⼝令校验强度,独⽴的密⽂权控体系,即使数据库权控体系被突破,也⽆法访问到敏感数据。
3.4 防⽌内部⾼权限⽤户数据窃取
受出⼝政策的限制,在C2安全级别的数据库系统中,以sys、sysdba或sa为代表的超级⽤户天然具备
数据访问、授权和审计的权限;在⼤型企业和政府机构中,除了系统管理员,以数据分析员、程序员、服务外包⼈员为代表的数据库⽤户,也可以访问到敏感数据。这些与业务⽆关的敏感数据访问权限,都成为数据泄密的极⼤隐患。
三权分⽴,对特权⽤户进⾏有效权⼒拆分。安华⾦和数据库加密系统增设了安全管理员(DSA),即使是DBA⽤户,在未经DSA 授权时照样⽆法访问到密⽂数据;安华⾦和数据库加密系统同时增设审计管理员(DSA),可以对DSA的授权⾏为和数据库⽤户的密⽂数据访问⾏为进⾏审计和追踪。
3.5 防⽌合法⽤户违规数据访问
对于应⽤系统使⽤的合法数据库⽤户,常由于⼈为因素或管理不善,⽤户名及⼝令很容易泄露给第三⽅,第三⽅则可以通过命令⾏或管理⼯具直接访问密⽂数据,批量窃取数据。
安华⾦和数据库加密系统具备真正应⽤安全能⼒,可以将合法⽤户与应⽤系统绑定,同⼀⽤户只能通过指定的应⽤系统访问密⽂数据,使⽤命令⾏等其他⽅式则⽆法访问密⽂数据。
四. 安华⾦和数据库加密系统功能特点
4.1 透明数据加密
安华⾦和数据库加密系统⽀持我国密码管理机构认定的加密算法,也⽀持国际先进的密码算法。对数据库可以指定列进⾏加密,保证敏感数据以密⽂形式存储,以实现存储层的安全加固。
透明的数据加密有两层含义:⼀是对应⽤系统透明,即⽤户或开发商不需要对应⽤系统进⾏任何改造;⼆是对有密⽂访问权限的⽤户显⽰明⽂数据,并且加、解密过程对⽤户完全透明。
4.2 ⾼效数据检索
安华⾦和数据库加密系统进⾏数据加密后,依然能够对密⽂数据提供索引能⼒,从⽽保持数据库的⾼效访问能⼒。
安华⾦和数据库加密系统通过专利的、⾼度安全的加密索引技术,突破了传统技术对密⽂列不能使⽤索引的限制;在保证索引数据的⾼度安全基础上,提供了对密⽂数据为检索条件的索引查询;在密⽂列上进⾏的等于、⼤于、⼩于和Like操作依然可以使⽤索引。
4.3 ⾝份鉴别增强
单⼀的静态⼝令认证⽅式,容易遭到他⼈窃取和冒名使⽤。安华⾦和数据库加密系统可以实现安全管
理员、审计管理员以及数据库⽤户的动态⼝令和双因素(ukey+pin码)⽅式的增强认证,并提供登录失败处理功能,可采取结束会话、限制⾮法登录次数和⾃动退出措施。
4.4 增强访问控制
安华⾦和数据库加密系统增设数据安全管理员(Data Security Administrator,DSA)。DBA和DSA相互独⽴,共同实现对敏感字段的强存取控制,实现真正的责权⼀致。DBA实现对普通字段的⼀般性访问权限控制,DSA实现对敏感字段的增、脱密处理和密⽂访问权限控制。
该功能在数据加密存储的基础上,实现密⽂访问权限体系,对数据库⽤户进⾏强制访问控制,有效防⽌特权⽤户对敏感数据的⾮法访问;
4.5 真正应⽤安全
安华⾦和数据库加密系统可以提供按⾓⾊、IP地址、时间范围的密⽂访问控制,并具备真正应⽤安全能⼒。安华⾦和数据库加密系统可以将合法⽤户与应⽤系统绑定,同⼀⽤户只能通过指定的应⽤系统访问密⽂数据,使⽤命令⾏、管理⼯具等其他任何⽅式均⽆法访问密⽂数据。
安华⾦和数据库加密系统通过对应⽤程序或系统进⾏摘要值和连接随机种⼦的判定,保证应⽤⾝份标识不可伪造,合法的连接不可重放。
4.6 敏感数据审计
安华⾦和数据库加密系统增设安全审计管理员(Data Audit Administrator,DAA),提供对数据库中安全授权⾏为和密⽂字段访问⾏为的审计能⼒,以便对DSA的授权⾏为和数据库⽤户的敏感数据的访问进⾏事后追踪。
传统的审计技术,由于审计的信息量⼤,审计功能的开启,将对性能造成极⼤的影响,基于⽹络的审计也会受到通讯加密的影响,造成审计信息不全⾯;⽽安华⾦和数据库加密系统在数据库内部实现审计,并且仅针对敏感数据审计,从⽽保障了审计信息完整性和数据库的性能。
安华⾦和数据库加密系统对于敏感数据的审计,不仅能审计到数据访问⾏为,还能审计敏感数据变更⾏为造成的变更前后的数据,为事后追责和数据恢复提供了依据。
4.7 ⾼可⽤性
安华⾦和数据库加密系统通过与数据库的数据集成存储、RAC⽀持、双机热备、应急模式、多进程冗余、透明故障切换、数据错误忽略、备份恢复等技术,使安华⾦和数据库加密系统提供与数据库相当
的⾼可⽤⽀持和异常故障处理能⼒。
4.8 可维护性
安华⾦和数据库加密系统产品稳定可靠,产品化程度⾼,图形化管理界⾯,简单易⽤。系统安装、部署在半⼩时内可以完成,安全加固实施(数据加密防护)⼀般可在⼀天内完成。安华⾦和数据库加密系统具备快速、准确地整体拆除能⼒,并且在线还原期间可以保正应⽤系统正常运⾏。
