数据安全:数据库保险箱(简称DBCoffer)

2019-06-27 21:41:31 81

数据库保险箱(简称DBCoffer) 

产品概述

数据库保险箱(简称DBCoffer) 是一款基于透明加密技术的数据防泄漏产品,该产品能够实现对数据库中的敏感数据加密存储、访问控制增强、应用访问安全、密文访问审计以及三权分立等功能。

DBCoffer突破传统列加密技术,再添数据表(表空间)透明加解密能力,并且可以兼容国密局认证、备案的加解密算法(SM4加密算法),具有极强的场景适应能力和合规性。

通过数据加密能够有效防止明文存储引起的数据内部泄密、高权限用户的数据窃取,从根源上防止敏感数据泄漏。DBCoffer通过三层透明视图、密文索引的专利技术和独创的应用绑定技术,突破传统数据库安全加固产品的技术瓶颈,真正实现应用完全透明、密文高效访问、数据高度安全。


产品价值

全方位主动预防数据泄密


 预防存储层明文泄密

威胁:硬件设备、备份磁盘丢失,数据文件、备份文件的拷贝,都可能引起敏感数据泄露。

防护:通过DBCoffer,对敏感数据进行加密存储,保证他人即使拿到了数据文件,也看不懂

防止数据库运维人员越权操作敏感数据

威胁:数据库的维护人员,一般拥有DBA权限,可获取数据库中的所有敏感信息,不符合安全管理要求。

防护:DBCoffer通过独立的、增强的权限控制、三权分立机制,确保任何用户在没有获得密文访问权限时无法访问敏感数据,同时不影响DBA的日常运维操作。

预防开发人员绕过合法应用

威胁:业务系统的数据库帐户常被开发或运维人员掌握,其可以通过客户端工具或登录服务器后台直接访问数据库。

防护:DBCoffer的应用身份鉴别,能够确保开发人员无法绕开合法业务系统,直接访问敏感数据。

自主可控安全

威胁:采用商密算法或数据库自身提供的加解密及密钥管理机制,既存在被破解的风险,又无法真正限制高权限用户。

防护:DBCoffer 采用国家密码局认证、备案的加密设备,支持国密局指定的SM4对称加密算法,具备独立于数据库的密钥管理体系,保证密钥不出设备,确保即使被拖库,数据依然安全。

透明加密,应用无需改造

通过具有专利认证的透明加密技术,保证实施数据加密后应用系统无需改造。

符合信息安全政策需求

网络安全法:要求采取数据分类、重要数据备份和加密等措施。

等级保护:要求三级以上系统应采用加密或其他有效措施;实现系统管理数据、鉴别信息和重要业务数据存储保密性。

分级保护:要求系统内的涉密信息存储应采取密码措施进行保护;数据库应采用安全加强措施。

互联网:《工业和信息化部关于近期部分互联网站信息泄漏事件的通告》,要求各互联网站采用加密方式存储用户信息。

军队:要求四级及以上系统中的核心业务数据必须加密保护。


产品优势

先进的专利技术

DBCoffer在透明性和密文访问性能上具备绝对的技术优势,在这两项上分别拥有自己的专利技术:

§  专利1. 《一种基于多级视图和触发器的数据库透明加解密方法》(专利号 201010169778.7;

该专利技术使得DBCoffer打破传统数据库加密产品应用不透明的瓶颈,确保应用无需改造。

§  专利2. 《一种无偏序关系的数据库密文索引方法》(专利号 201010169784.2 

该专利技术使得DBCoffer突破电信等高端应用的性能瓶颈,确保亿级数据规模下,性能几乎不下降。


广泛的高端客户应用案例

DBCoffer是我国产品化成熟度最高的数据库加密产品。

DBCoffer是国内率先在电信级高端业务中成功应用的数据库加密产品, 在移动、联通等行业拥有多个亿级数据规模、上千并发量的大型复杂项目案例。

DBCoffer已在我国多个大型部委项目中得到应用,参与建设的国家某大型在线系统,能够有效防止公务人员信息泄漏,并实现7*24小时持续运行。

DBCoffer已广泛应用于我国军工军队核心系统中,提供数据安全保障。

高安全性与高性能技术

DBCoffer支持国密局指定的SM4加密算法,支持国家密码局认证、备案的加密设备;密钥独立管理,与数据库服务器分离,具有高安全性。

DBCoffer采用应用字段级、表空间级等多种加密方式,广泛的适用各种应用场景,性能损失小于 7% 



功能特性

存储加密

对简单场景,能以列为单位,只对敏感数据列进行加密,确保加密量最小化。

对复杂场景,能以表/表空间为单位进行数据加密,无需纠结数据列的选择及有限的数据类型支持,省时省力。

支持国产加密设备和国密局指定的SM4对称加密算法。

支持对各种常用数据类型加密:CHARVARCHAR2VARCHARLOBNUMBERDATE;支持GIS格式。数据加密支持随机盐加密策略,避免相同数据的加密结果相同。

独立密钥管理

实现密钥单独管理,与数据库服务器分离,保证密钥安全。

三权分立

实现DBA、安全管理员和审计管理员的三权分立,相互监督,相互制约。

 

独立权限体系

实现基于密文的增强访问权限控制,防止DBA及高权限用户对敏感数据进行访问。

所有数据库用户想访问密文数据,必须经过授权。

限定时间和IP

对于授权用户访问受保护数据的行为能够限定到指定的时间和IP,实现更加精确的授权和访问控制。

 应用身份鉴别

实现应用系统、应用用户和数据库用户的绑定,只有受信的应用通过授权的应用账户才具有密文访问权限,防止数据库用户口令泄漏后,绕开合法业务系统,对数据问库直接访。

多级容灾机制

n  支持一主多从的部署方式,实现容灾和负载均衡。

n  支持本地应急服务,最大限度提供数据加解密服务保障。

n  支持异地容灾备份机制,十分钟即可完成异地容灾部署。

产品部署

DBC安全服务器:产品的基础核心部件,完成数据加解密、权限校验、密钥管理和安全策略存储;接入数据库服务器所能连通的高速网络。

DBC安全代理:数据库服务器插件;实现对DBMS中加密数据的透明展现和高性能访问;安装在数据库服务器上。

DBC管理工具:高度易用的图形化管理工具,实现加密对象的选择、加密策略的制定、用户授权等,需安装在一台普通PC机或笔记本上。


典型场景        

n  个人隐私及身份信息加密保护,应用于电信运营商、金融、保险、医疗健康、教育、电商等领域。

n  关键基础设施重要数据加密保护,应用于政府、部委、央企等行业的重要数据保护。

n  地理位置信息加密保护,应用于石油、电力等能源领域。

n  生产配方、工艺信息、办公、财务信息加密保护,保护企业核心资产安全。