站内搜索:
咨询电话:024-23493879
首页 > 产品 > 信息安全产品 > 数据库保险箱
数据库保险箱
产品简介

数据库保险箱是一款基于透明加密技术的数据库安全加固系统,该产品能够实现数据存储加密、访问控制增强、三权分立以及安全审计,系统基于主动防御理念,防止突破边界防护的外部黑客攻击、内部高权限用户数据窃取,以及由于明文存储引起的数据泄密,从根本上解决数据库敏感数据泄漏问题。

产品功能

存储加密

能够基于Oracle数据库实现数据存储加密,防止明文存储引起的数据泄密;

支持按指定记录行方式的部分数据加密;

以列为单位进行数据加密,加密列数据在Oracle中以密文格式存储;

支持前缀明文方式的数据加密;

支持对各种常用数据类型加密:CHAR,VARCHAR,VARCHAR2,RAW,LOB,NUMBER,DATE;

支持随机盐加密策略,防止相同的数据的加密结果一致而导致的数据泄密;

支持密文水印,防止数据记录级的行间篡改;

支持国家密码管理局批准的加密算法;

提供对密钥的备份恢复机制。

权限控制增强

实现基于密文的、独立于Oracle进程的独立权限控制,防止DBA及高权限用户对敏感数据进行访问、防止利用Oracle的安全漏洞进行权限提升引起的数据泄密;

所有数据库用户要访问密文数据,必须经过密文授权。具备密文读权限的用户,才可以执行密文的查询操作,具备密文写权限的用户,才可以执行密文的插入、更新操作;

对于授权用户对受保护数据的访问能够限定到指定的时间和IP,实现更加精确的授权和访问控制;

能实现应用系统和数据库用户的绑定,只允许该数据库用户通过指定的应用系统访问敏感数据,从而防止数据库用户口令泄露后,绕开业务系统,对数据库直接访问。

身份鉴别增强

实现对数据库现有系统身份认证体系的兼容;实现独立于现有数据库的身份鉴别信息的控制,防止通过对合法用户鉴别信息的暴力重置,实现对受保护数据的非法访问。

三权分立

实现DBA、安全管理员和审计管理员的三权分立;

安全管理员通过使用安全管理器,完成日常的加密数据配置、数据库用户的密文权限控制等安全维护和管理操作;

审计管理员则通过审计管理工具,对安全管理员的授权行为和包含DBA在内的数据库管理员的密文操作行为进行审计、监督。

安全审计

支持审计的总体开关控制以及各个密文表的审计开关控制;

支持对SELECT、UPDATE、INSERT、DELETE语句的审计开关控制;

审计内容包含事件发生的主体、客体、时间、IP、以及结果(成功与失败)等信息;

提供审计记录数阈值设置,自动告警,并支持审计记录归档、及按最早时间进行覆盖的策略。

性能

支持密文索引技术;

支持分区索引技术;

能够基于密文索引实现数据的相等和范围查询;密文索引能够被数据库系统自动识别;

实现密文保护后的系统整体性能下降不超过10%;

透明性

对SQL语言,PL/SQL开发语言完全透明,功能无损;

对JDBC、ODBC、OCI、ADO.NET等主流开发接口的透明性,不需要改造;

支持现有Oracle维护工具的透明性,数据库管理员依然可以使用IMPORT、EXPORT、RMAN等现有工具实现备份恢复和数据库维护;

对Oracle的MVCC、分区等高端特性透明。

高可用性

支持Oracle的RAC高可靠特性;

支持错误数据忽略模式,对于已经被破坏的密文数据记录可以忽略,不影响业务系统对其他正常密文数据的使用

应急能力

支持主、从互备,应急以及异地灾备等多级容灾能力,防止主机故障、网络故障、程序故障引起的业务损失。同时各种容灾手段应能快速启用、自动切换,且切换期间能保证数据一致性,业务不受损失;

主、从服务之间的切换应能在3秒之内完成;

应急服务的启动应能在3分钟之内完成;

异地灾难的恢复能在30分钟之内完成。

持续运行能力

安装、部署环节期间业务系统不受影响,实现在线方式的数据加密、权限设置、数据解密等安全加固手段,确保业务系统持续在线运行。

兼容性

支持Oracle 9i/10g/11g版本;

支持SQL Server 2005/2008版本;

支持Windows、Linux、AIX、Solaris、Unix操作系统。


应用效果



防止由于明文存储引起的泄密

Oracle的底层存储实际上是未经加密处理的,数据文件、备份磁带的丢失都存在重大的泄密风险,目前已有很多类似于DulMyDul的成熟免费解析软件,可对Oracle数据文件直接分析,输出清晰, , , 的、结构化的数据。

该系统通过数据存储加密功能,从根本上保证数据安全,即使反向解析数据文件仍是系统加密过的乱码。

防止外部非法入侵窃取敏感数据

Oracle是一个复杂的数据库系统,其累计报告的安全漏洞已达1000多种,且在持续暴露,一旦被攻击者利用,很容易窃取到敏感数据。

该系统通过增强的用户口令校验强度,独立的密文权控体系,即使Oracle权控体系被突破,也无法访问到敏感数据。

 防止内部高权限用户数据窃取

受出口政策的限制,在C2安全级别的Oracle数据库系统中,以syssystem为代表的超级用户天然具备数据访问、授权和审计的权限;在大型企业和政府机构中,除了系统管理员,以数据分析员、程序员、服务外包人员为代表的数据库用户,也可以访问到敏感数据。这些与业务无关的敏感数据访问权限,都成为数据泄密的极大隐患。

三权分立,对特权用户进行有效权力拆分。该系统增设了安全管理员(DSA),即使是DBA用户,在未经DSA授权时照样无法访问到密文数据;系统同时增设审计管理员(DSA),可以对DSA的授权行为和数据库用户的密文数据访问行为进行审计和追踪。

 防止合法用户违规数据访问

对于应用系统使用的合法数据库用户,常由于人为因素或管理不善,用户名及口令很容易泄露给第三方,第三方则可以通过命令行或管理工具直接访问密文数据,批量窃取数据。

该系统具备真正应用安全能力,可以将合法用户与应用系统绑定,同一用户只能通过指定的应用系统访问密文数据,使用命令行等其他方式则无法访问密文数据。



了解更多请联系优构科技:
024-23493869  23493879
                                    Support@ugo.com.cn