数据库安全
产品中心 数据库安全


安华金和数据库保险箱


一. 产品概述
安华金和数据库保险箱(简称DBCoffer) 是一款基于透明加密技术的数据防泄漏产品,该产品能够实现对数据库中的敏感数据加密存储、访问控制增强、应用访问安全、密文访问审计以及三权分立等功能。
DBCoffer突破传统列加密技术,再添数据表(表空间)透明加解密能力,并且可以兼容国密局认证、备案的加解密算法(SM4加密算法),具有极强的场景适应能力和合规性。

通过数据加密能够有效防止明文存储引起的数据内部泄密、高权限用户的数据窃取,从根源上防止敏感数据泄漏。DBCoffer通过三层透明视图、密文索引的专利技术和独创的应用绑定技术,突破传统数据库安全加固产品的技术瓶颈,真正实现应用完全透明、密文高效访问、数据高度安全。


二. 产品价值
2.1全方位主动预防数据泄密
2.1.1预防存储层明文泄密
威胁:硬件设备、备份磁盘丢失,数据文件、备份文件的拷贝,都可能引起敏感数据泄露。
防护:通过DBCoffer,对敏感数据进行加密存储,保证他人即使拿到了数据文件,也“看不懂”。
2.1.2防止数据库运维人员越权操作敏感数据
威胁:数据库的维护人员,一般拥有DBA权限,可获取数据库中的所有敏感信息,不符合安全管理要求。
防护:DBCoffer通过独立的、增强的权限控制、三权分立机制,确保任何用户在没有获得密文访问权限时无法访问敏感数据,同时不影响DBA的日常运维操作。
2.1.3预防开发人员绕过合法应用
威胁:业务系统的数据库帐户常被开发或运维人员掌握,其可以通过客户端工具或登录服务器后台直接访问数据库。
防护:DBCoffer的应用身份鉴别,能够确保开发人员无法绕开合法业务系统,直接访问敏感数据。
2.1.4自主可控安全
威胁:采用商密算法或数据库自身提供的加解密及密钥管理机制,既存在被破解的风险,又无法真正限制高权限用户。
防护:DBCoffer 采用国家密码局认证、备案的加密设备,支持国密局指定的SM4对称加密算法,具备独立于数据库的密钥管理体系,保证密钥不出设备,确保即使被拖库,数据依然安全。
2.1.5透明加密,应用无需改造
通过具有专利认证的透明加密技术,保证实施数据加密后应用系统无需改造。
2.2符合信息安全政策需求
网络安全法:要求采取数据分类、重要数据备份和加密等措施。
等级保护:要求三级以上系统应采用加密或其他有效措施;实现系统管理数据、鉴别信息和重要业务数据存储保密性。
分级保护:要求系统内的涉密信息存储应采取密码措施进行保护;数据库应采用安全加强措施。
互联网:《工业和信息化部关于近期部分互联网站信息泄漏事件的通告》,要求各互联网站采用加密方式存储用户信息。

军队:要求四级及以上系统中的核心业务数据必须加密保护。


三. 产品优势
3.1先进的专利技术
DBCoffer在透明性和密文访问性能上具备绝对的技术优势,在这两项上分别拥有自己的专利技术:
专利1. 《一种基于多级视图和触发器的数据库透明加解密方法》(专利号 201010169778.7);
该专利技术使得DBCoffer打破传统数据库加密产品应用不透明的瓶颈,确保应用无需改造。
专利2. 《一种无偏序关系的数据库密文索引方法》(专利号 201010169784.2) ;

该专利技术使得DBCoffer突破电信等高端应用的性能瓶颈,确保亿级数据规模下,性能几乎不下降。


3.2广泛的高端客户应用案例
DBCoffer是我国产品化成熟度较高的数据库加密产品。
DBCoffer是国内率先在电信级高端业务中成功应用的数据库加密产品, 在移动、联通等行业拥有多个亿级数据规模、上千并发量的大型复杂项目案例。
DBCoffer已在我国多个大型部委项目中得到应用,参与建设的国家某大型在线系统,能够有效防止公务人员信息泄漏,并实现7*24小时持续运行。
DBCoffer已广泛应用于我国军工军队核心系统中,提供数据安全保障。
3.3高安全性与高性能技术
DBCoffer支持国密局指定的SM4加密算法,支持国家密码局认证、备案的加密设备;密钥独立管理,与数据库服务器分离,具有高安全性。

DBCoffer采用应用字段级、表空间级等多种加密方式,广泛的适用各种应用场景,性能损失小于 7% 。


四. 功能特性
4.1存储加密
对简单场景,能以列为单位,只对敏感数据列进行加密。
对复杂场景,能以表/表空间为单位进行数据加密,无需纠结数据列的选择及有限的数据类型支持,省时省力。
支持国产加密设备和国密局指定的SM4对称加密算法。
支持对各种常用数据类型加密:CHAR,VARCHAR2,VARCHAR,LOB,NUMBER,DATE;支持GIS格式。数据加密支持随机盐加密策略,避免相同数据的加密结果相同。
4.2独立密钥管理
实现密钥单独管理,与数据库服务器分离,保证密钥安全。
4.3三权分立

实现DBA、安全管理员和审计管理员的三权分立,相互监督,相互制约。


4.4独立权限体系
实现基于密文的增强访问权限控制,防止DBA及高权限用户对敏感数据进行访问。
所有数据库用户想访问密文数据,必须经过授权。
4.5限定时间和IP
对于授权用户访问受保护数据的行为能够限定到指定的时间和IP,实现更加精确的授权和访问控制。
4.6应用身份鉴别
实现应用系统、应用用户和数据库用户的绑定,只有受信的应用通过授权的应用账户才具有密文访问权限,防止数据库用户口令泄漏后,绕开合法业务系统,对数据问库直接访。
4.7多级容灾机制
支持一主多从的部署方式,实现容灾和负载均衡。
支持本地应急服务,较大限度提供数据加解密服务保障。
支持异地容灾备份机制,十分钟即可完成异地容灾部署。
4.8产品部署
DBC安全服务器:产品的基础核心部件,完成数据加解密、权限校验、密钥管理和安全策略存储;接入数据库服务器所能连通的高速网络。
DBC安全代理:数据库服务器插件;实现对DBMS中加密数据的透明展现和高性能访问;安装在数据库服务器上。

DBC管理工具:高度易用的图形化管理工具,实现加密对象的选择、加密策略的制定、用户授权等,需安装在一台普通PC机或笔记本上。



五. 典型场景
个人隐私及身份信息加密保护,应用于电信运营商、金融、保险、医疗健康、教育、电商等领域。
关键基础设施重要数据加密保护,应用于政府、部委、央企等行业的重要数据保护。
地理位置信息加密保护,应用于石油、电力等能源领域。
生产配方、工艺信息、办公、财务信息加密保护,保护企业核心资产安全。