访问控制类
数据库防火墙
静态脱敏
数据库安全运维
数据库加密
x
在线咨询
您当前的位置:
安全产品 > 访问控制类
数据库防火墙系统系统(DS-FW),该系统通过独特的访问控制和虚拟补丁等防护手段,能及时发现并阻断SQL注入攻击和违反企业规范的数据库访问请求。同时,可通过实时分析用户对数据库的访问行为,自动建立合法访问数据库的特征模型。主要功能包括多因子认证、访问控制、攻击检测、虚拟补丁、自动建模和审计等。该产品能有效阻断危险访问、性能高和报表丰富等优势,帮助企业有效保护核心数据,保障业务运营安全,并快速满足合规要求。
↓ 资料下载
产品功能
产品优势
典型部署
产品价值
多因子认证
基于IP地址、MAC地址、用户、应用程序、时间等因子对访问者进行身份认证,形成多因子认证,弥补单一口令认证方式安全性的不足。应用程序对数据库的访问,必须经过数据库防火墙和数据库自身两层身份认证。
屏蔽直接访问数据库的通道
数据库防火墙部署于数据库服务器和应用服务器之间,屏蔽直接访问数据库的通道,防止数据库隐通道对数据库的攻击。
攻击检测和保护
实时检测用户对数据库进行SQL注入和缓冲区溢出的攻击,并报警或者阻止攻击行为,同时详细记录攻击操作发生的时间、来源IP、用户名、攻击代码等信息。
虚拟补丁
数据库系统是个复杂的系统,自身存在很多漏洞,容易被攻击者利用从而导致数据泄漏或致使系统瘫痪。由于需要保证业务连续性等多种原因,用户通常不会及时对数据库进行补丁安装。数据库防火墙通过内置的多种漏洞特征库防止已知漏洞被扫描和利用,并有效降低数据库被0Day攻击的风险。
报表
提供丰富的报表模板,包括各种审计报表、安全趋势等。
连接监控
实时监控数据库的连接信息、风险状态等,及时进行风险访问控制。
行为基线——自动建立访问模型
系统将自动学习每一个应用的访问语句,进行模式提取和分类,自动生成行为特征模型,并可以对学习结果进行编辑。系统通过检查访问行为与基线的偏差来识别风险。
安全审计
系统能够记录对数据库服务器的访问情况,包括用户名、程序名、IP地址、请求的数据库、连接断开的时间、风险等信息,并提供灵活的查询分析功能。
技术优势
全自主技术体系∶形成高技术壁垒;
高速分析技术∶特殊数据包分析和转发技术,实现高效的网络通信内容过滤;
多线程技术和缓存技术∶支持高并发连接;
基于BigTable和MapReduce的存储∶单机环境高效、海量存储;
基于倒排索引的检索∶高效、灵活日志检索,报表生成。
高性能
连续处理能力∶4000~8万条以上SQL/s;
日志检索速度∶1亿条记录,带通配符模糊检索,<30s;
日志存储能力∶30亿~100亿条SQL/TB。
高安全性
细粒度的访问控制;
可以灵活的对每个应用程序的访问权限进行配置;
支持黑名单、白名单规则。
高可用性
基于硬件的Bypass功能,防止单点失败;
支持双机热备功能,保证连续服务能力;
支持自动日志备份;
支持SNMP、Syslog等日志外发;
支持时间同步;
多种部署方式可选择,支持纯透明部署。
双机热备模式
将两台数据库防火墙设备接入用户网络,设备之间基于HA心跳线进行探测监控与切换。当单台设备出现异常,可以快速地将业务流量切换到对端设备。系统基于会话同步和策略同步机制,保障两台设备之间的信息同步。
直路透明模式
将数据库防火墙直连在数据库之前,所有对数据库的访问流量都流经该设备进行过滤和转发。防火墙可以不设IP地址,客户端看到的数据库的IP地址和MAC地址均不变。
旁路代理模式
将数据库防火墙接入数据库所在网络,客户端逻辑连接防火墙设备地址,所有对数据库的访问流量都流经该设备进行过滤和转发。
混合部署模式
将数据库防火墙接入数据库所在网络,客户端逻辑连接防火墙设备地址,所有对数据库的访问流量都流经该设备进行过滤和转发。同时将日志发给审计系统,与审计系统配合使用,对数据库进行审计与防护。
保护核心数据资产, 防止内外部攻击造成的数据泄露
防止外部黑客攻击,窃取数据∶SQL注入、缓冲区溢出、权限盗用等;
防止内部人员泄密,违规备份、权限滥用、误操作等;
防止运维人员和第三方人员违规访问敏感数据。
安全性与可用性的完美结合, 对合法应用和用户透明
智能学习,自动生成安全基线,无需手动配置规则;
高稳定性与高性能,支持双机热备,保障正常业务的连续性;
不需要对应用程序作任何修改,不改变应用程序的使用环境;
对于授权用户的数据库操作与管理等过程无需改变。
数据静态脱敏系统(DS-DM),是高性能、高安全性的脱敏产品。集成了丰富的敏感数据扫描规则和专业的脱敏规则,满足各个行业对于隐私数据的脱敏需求。V3系列产品是敏感(隐私)数据脱敏产品的升级版本,增加了实用且重要的功能,扩展了脱敏产品的使用场景和范围。
↓ 资料下载
产品功能
产品优势
典型部署
产品价值
数据源管理
能够对源和目标进行配置与管理, 采用多种数据抽取方式,面向所有的数据库应用环境提供通用的数据处理模式,针对部分数据库应用环境提供了极速的数据处理模式。
数据浏览
对源和目标进行数据浏览操作,支持查看基本信息、表信息、列信息以及数据对象等。
敏感数据定级
V3系列产品率先推出了敏感数据定级功能,提供了高敏感度、中敏感度、低敏感度三个等级,对敏感数据进行分类和分级。
分类分级梳理
V3系列产品引入了以敏感数据定级为依据的分类分级梳理方式,让敏感数据定级和数据梳理相辅相成,提供可以落地的隐私数据脱敏标准和依据。
数据子集
V3系列产品在对单个表进行数据脱敏的基础上,通过表与表之间的主外键关联关系,可以对多个表的任意列进行组合脱敏。并根据已设定的数据(跨表的多列组合)范围,可自动完成子集数据抽取、脱敏,然后将数据写入到一张新表中。
增量脱敏
为了满足持续增长的业务数据脱敏需求,增量脱敏可以帮助用户保持测试库中脱敏后的数据总量和生产库中的原始数据总量相同,通过自增主键或者时间戳列等方式获取新增数据的位置以及行数,由定时的脱敏任务对这部分新增的数据进行脱敏,然后通过追加数据的方式写入测试环境。
数据水印
V3系列产品能够对所有已脱敏的数据增加数据水印标记,通过脱敏任务装载至目标数据库或者文件服务器上。
数据脱敏
用户可以根据实际的业务需要选择:数据遮蔽、数据仿真、关键部分替换、随机字符串、重置固定值等多种多样的脱敏方式,隐藏真实有效的敏感数据信息。所有的数据均在内存中进行处理,提高数据使用的安全性。脱敏后的数据仍然保留原有的语义、长度和关联关系。支持数据的可逆脱敏。
数据对比
提供脱敏前后数据校验功能。任务完成后,可以直接查看源和目标的结构、数据对象类型和数量、表的结构和数量、表内的数据量等。通过多个角度进行分析对比,帮助用户检查脱敏任务运行的完整性,以及脱敏后的数据质量是否满足预期要求。
敏感管理
主要对内置的扫描规则、脱敏规则和正则表达式进行配置和管理。还提供数据字典管理、自定义函数和混合函数等自定义规则,方便用户根据实际需求进行配置。
数据同步
能够自动获取数据库的结构变更,保持测试环境的表数量和生产环境一致。
脱敏审批流程
V3系列产品提供了基于脱敏流程的审批机制,将脱敏流程划分为多个角色。通过多个角色的相互配合,能够帮助用户完成跨越多个部门的数据使用申请、脱敏方案审核、脱敏任务审核、数据分发等操作。
多租户模式
V3系列产品提供了基于数据源的隔离(多租户)模式,将数据源和用户进行绑定,绑定后的用户才能对数据源进行脱敏业务操作。
丰富的敏感数据识别能力
针对多个行业提供了丰富的数据识别特征,包含有:电子邮箱、中文地址、公司名称、单位名称、中文姓名等上百种敏感数据特征的识别算法。还提供了正则表达式、自定义函数等多种方式的规则接口,以及基于多种敏感数据的混合类型规则配置和独有的数据特征字典配置。用户可以根据实际的业务需要,灵活的制定符合自身数据特点的扫描规则。
专业的脱敏规则
面对不同的数据类型、长度等情况,静态脱敏系统提供了适用于大多数字符型数据的:按位遮蔽、随机字符串、固定值和Hash(加盐)等四种通用的脱敏规则,结合数据方向、起始位置等参数设置,满足通用类型数据的脱敏要求。在通用的脱敏规则基础上,针对每种敏感数据均提供了:仿真、遮蔽、可逆三种专有规则。使用可逆规则脱敏后的数据,再次经过脱敏设备处理后,可以将指定范围内的数据还原为原数据。以上每种脱敏效果均提供默认的参数可以调整,当以上的所有的规则仍然不能满足要求时,通过开放的规则接口,用户可以灵活定制脱敏规则,提升产品在实际业务运用过程中的实用性和专业性。
详细的敏感数据定级统计报表
敏感数据定级,能够帮助用户将发现敏感数据类型进行分级分类,为制定有针对性的脱敏规则和规范提供依据。通过敏感数据定级的统计报表,用户可以非常直观的查看整体的敏感数据等级分布情况,以及每个敏感等级包含的敏感数据类型和占比。敏感数据定级还可以和数据库审计产品进行信息共享,对隐私数据进行全面的追踪和监控,及时发现隐私数据的访问异常行为。
完善的脱敏方式和规范
通过分级分类梳理视角自动为每个敏感等级提供了默认的脱敏规则和参数,使用分级分类梳理能够为用户带来以下效益:隐私数据的脱敏方式有章可循,有标准可用;使用敏感类型作为梳理视角,从容应对万张表以上的敏感数据梳理,快速完成全库全量数据的脱敏任务配置;降低了用户在数据脱敏使用过程中对于专业人员的依赖。
灵活的数据范围选择机制
支持根据各类数据的应用场景如系统开发、测试、数据分析等,制定不同的脱敏方案,对需要脱敏的数据范围进行多角度的数据过滤选择,满足使用者对数据范围的精细化定义要求。
强大兼容能力
支持市场上主流的数据库类型(ORACLE、MYSQL、MSSQL、SYBASE、POSTGRESQL等);
支持金融行业常用的数据库类型(DB2、INFORMIX等);
支持医疗行业常用的数据库类型(CACHE等);
支持多个国产化数据库类型;
支持多个数据仓储;
支持主流的大数据平台;
支持多种格式化数据文件;
支持DUMP文件直接脱敏;
支持多种文件读写方式
支持多种数据库的异构脱敏场景;
支持多种脱敏流程(库到库、库到文件、本地脱敏、文件到文件、文件到库)。
高效的软硬件架构
高性能:支持单机或者集群部署方式,有效的提升多任务的并行数据处理能力;
可靠性高:基于服务器平台打造,LINUX系统,运行更稳定;
易操作:多种功能交互视角,操作更流畅,更简单、更高效;
易扩展:软件层面提供标准API接口,方便后期和其他平台对接。
单机部署
单服务器部署模式是直接连接生产与开发测试环境,将我们的系统直接对接生产库和开发测试库,进行库到库处理,这种方式运维比较简单。
集群部署
为了应对超大规模数据量的生产数据的脱敏需要,提供了多机分布式的部署方式。能够充分利用多台硬件设备的计算能力,有效的提升TB级数据量的脱敏效率。
保护隐私数据,满足法规要求
通过对静态脱敏系统的使用,能够帮助用户杜绝生产环境中的核心数据在未经处理的情况下,被复制、分发到其他的开放环境中,有效的防止敏感数据泄露的事件发生。提高企业核心数据的治理和防护能力,提升整体的安全等级,满足合规性要求。
多方位保证业务的安全、正常运行
通过合理的规则设置,脱敏后数据的真实性完全满足大数据分析环境下的严苛要求。在避免敏感数据外泄的前提下,保证了各类需要使用生产数据的相关业务的正常推进。
数达安全数据库安全运维系统(DS-DSOM),是一款专业的数据库安全运维产品,由数达安全公司独立开发,并拥有完整的自主知识产权。通过独立和统一的身份认证、权限控制、脚本审核和管理、交互式脱敏,以及数据运维操作台,构建安全的数据运维环境。
↓ 资料下载
产品功能
产品优势
典型部署
产品价值
敏感发现
敏感发现可以自动扫描数据源,依据内置的敏感数据识别规则,对数据源的内部数据进行自动随机抽样,识别解析,发现敏感数据,并对敏感数据进行分类标记的过程。敏感发现可以为数据运维策略设置提供有意义的参考,简化策略设置的过程。
统一身份
当运维用户需要登录数据库进行运维操作时,无需记住多个数据库复杂的各类密码,只需要使用被分配的运维账号密码登录本系统,即可查看被授权的数据源并对其进行运维操作。使统一身份认证完全替代分散的数据库账号密码,可以简化数据库登录账号管理,同时避免运维账号共享带来的各种未知风险。
统一运维操作台
针对各种各样不同类型的数据库开发了统一的操作台页面,参考数据库运维人员常用的主流数据库客户端功能设计,提供了图形化和SQL编辑器两种操作方式。
运维权限管控
从数据对象、数据访问量等维度提供独立于数据库自身的授权管理机制,可以形成更加细粒度的访问控制,更有利于实现最小权限控制。
交互式脱敏
基于SQL改写技术,将包含敏感字段的查询语句进行改写,采用函数运算的方式,让数据库自行返回不包含敏感数据的改写后的结果,保证对于各类运维语句实时的进行动态脱敏,防止敏感数据从高敏感级别向低敏感级别流动。
操作审批
提供SQL与脚本审核功能,脚本的执行必须经过审核员审核通过后,才可以上线执行,避免SQL纰漏或者操作失误,造成事故。
多租户
能够满足云场景或大型组织的安全业务需求,为每个租户提供独立的管理空间,实现多租户统一管理,每个租户保证运维合规,租户间数据隔离,从而使运维管理界限清晰,而无需为每个租户部署单独的产品。
行为审计
能够对所有用户的登录日志、系统操作日志和运维操作自动留痕并进行智能审计。并可根据审计内容生成报表。也可以将审计日志发送给其他审计系统进行统一分析和展示。
高安全性
细粒度的运维权限控制、敏感数据动态脱敏、精确的运维行为审计、统一身份认证、丰富的操作审批类型、多租户隔离模式。
强大的兼容性
支持主流的进口、国产数据库,以及各种大数据、NOSQL数据库的安全运维。
高易用性
提供统一的账号管理方式,能够批量的管理各类运维账号;
多租户模式能够满足云场景和多部门场景下的安全运维需求,使运维管理界限清晰,简化了设备需求量,减少了管理工作量;
内置了丰富的敏感数据识别规则,能够自动发现数据库中存在的各类敏感数据,增加了策略设置的便利性;
采用B/S架构,客户端无需安装任何程序,直接使用网页操作数据库,避免安装各种程序,避免记忆多个数据库的众多密码。
多租户模式能够满足云场景和多部门场景下的安全运维需求,使运维管理界限清晰,简化了设备需求量,减少了管理工作量;
内置了丰富的敏感数据识别规则,能够自动发现数据库中存在的各类敏感数据,增加了策略设置的便利性;
采用B/S架构,客户端无需安装任何程序,直接使用网页操作数据库,避免安装各种程序,避免记忆多个数据库的众多密码。
联合部署
数据库设置为只接收防火墙的访问,数据库防火墙成为数据库的唯一入口。通过防火墙设置,所有的运维操作必须经过安全运维系统,通过防火墙提供额外的攻击保护功能。
物理串联部署
采用串联的方式部署于数据库访问运维侧与数据库服务器之间,所有数据运维的访问均需要经过SD-DSOM。
逻辑串联部署
安全运维系统单臂接入网络,以代理的方式接收所有的运维流量,分析和处理后转发到数据库。
提升安全性
独立的身份认证和访问权限控制、细粒度的访问控制、操作审批机制、运维审计能力和实时动态的交互式脱敏等安全特性提高了数据运营者对核心数据的治理和防护能力,提升整体的安全等级,保障业务数据安全。
提升效率
能够实现不同数据库的统一身份认证和单点登录,并且支持各种数据库的统一运维管理界面,大大提升了运维的效率,帮助用户更好的运维数据库。而多租户模式则适应了大型组织的组织架构,提升大型组织的数据运维效率。
提高合规性
多维度的账号管理、安全访问控制、脱敏和审计等安全特性,很好的解决运维过程中账户共享、临时账号、账号管理混乱、运维操作不透明、数据从高敏感级流向低敏感级等数据安全风险问题,使得组织对《网安法》《数安法》《个保法》《关基条例》《等级保护2.0》等法规的合规满足度更高。
数达安全数据库加密系统(DS-EC)基于对数据库内核和存储文件结构的深入研究与分析,开发了字段级和表空间级加密引擎,使得敏感数据文件在落盘存储时可以按照产品设置的算法加密存储,同时该专用加密存储引擎还提供了独特的解密权限增强访问控制技术,可以有效控制数据库用户访问加密数据时的解密权限。
↓ 资料下载
产品功能
产品优势
典型部署
产品价值
敏感数据发现
通过敏感数据扫描功能,可以识别多达上百种敏感数据,为数据库加密操作提供有意义的参考。
增强访问控制
对于加密后的敏感数据,系统提供独立的加密解密的权限管理,只有同时经过数据库自身和加密系统联合授权的用户才能对敏感数据进行解密和查看,从而降低数据库超级管理员权限过高造成的泄密风险。
系统安全
(1)双机热备:加密引擎可以同时与两个旁路加密管理机通信,数据源引擎、参数配置与密钥均可以同步互备,确保一个系统出现故障时不影响数据块加密引擎的正常使用,确保整体系统的高可用性。
(2)三权分立:根据等级保护等相关评测要求,系统设置安全员、审计员、系统管理员三种角色。安全员负责设置和执行加密策略,加密参数等;系统管理员负责设置系统自身设置,比如系统端口设置、系统时间等;审计员对包括安全员、系统管理员在内的所有角色的行为进行审计。
(3)双因子认证:为避免基于账号、口令的单一认证方式安全性较低的问题,本系统实现了基于账号、手机应用程序和基于时间的动态码的多种要素的身份认证。
加密和解密
(1)字段加密:可对敏感的字段进行加密,敏感字段以明文的方式在硬盘上保存。即使数据库文件被非法复制或者存储文件丢失,也不会导致真实敏感数据的泄露。
(2)表空间加密:可以选择将敏感字段所在表的表空间文件进行加密,表空间文件以加密方式存储,使得即使数据库本地文件或者存储介质被盗依然能保证数据库内部敏感数据的安全。
(3)密钥管理:提供了完善的密钥管理和保护机制。采用多级密钥管理方式,所有的工作密钥做二次加密处理;每个文件的不同数据块采用不同的密钥;密钥异地保存在加密管理机上,以防止数据库服务器硬盘丢失连同密钥一起丢失的风险;可在产品中设置多个密钥灾备服务器并自动备份密钥,以确保密钥的安全可靠存储。
(4)密文索引:当采用字段型加密时,系统提供专利的密文索引技术,借助数据库自身的索引机制为密文建立起索引结构。密文索引避免了操作数据时的全表解密,把敏感字段的加密对数据库访问性能造成的损失降到和加密前没有明显区别。
(5)过程数据保护:在加解密过程中,对每一个加解密的数据块单元,均在加解密完成前作备份保护处理,以确保在加解密任务执行发生意外时,数据可以回滚。
强大的兼容性
产品具有良好的兼容性,支持国内市场上主流的操作系统和数据库系统。
产品支持的操作系统:WINDOW/LINUX/UNIX;
支持字段型加密的数据库有Oracle;
支持表空间加密的数据库种类有Oracle、Db2、SQL Server、GBASE 8a/8t/8s、Hive、MySQL等多种不同的加密算法。
产品支持的操作系统:WINDOW/LINUX/UNIX;
支持字段型加密的数据库有Oracle;
支持表空间加密的数据库种类有Oracle、Db2、SQL Server、GBASE 8a/8t/8s、Hive、MySQL等多种不同的加密算法。
高安全性
字段型加密方法可以提供近似于加密前的查询效率,表空间型加密提供接接近于加密前的读写性能,使得应用在访问数据库时基本透明无感。
高可靠性
高可靠的工控设备,支持双机热备,确保运行可靠;
完善的密钥管理和备份机制,确保加密数据可以可靠的解密;
对于加解密过程数据的完善保护确保了原始数据的安全。
完善的密钥管理和备份机制,确保加密数据可以可靠的解密;
对于加解密过程数据的完善保护确保了原始数据的安全。
易用性
加解密过程对应用程序访问过程完全透明,无需客户端做任何改动,最小化对其它系统的影响;
提供基于浏览器的简单、友好、便捷的操作界面;
支持多用户并发访问,支持数据的同步,支持事务机制。
提供基于浏览器的简单、友好、便捷的操作界面;
支持多用户并发访问,支持数据的同步,支持事务机制。
软加密部署
采用软件加密部署时,加密功能由软件实现。加解密发生在数据服务器上,由安装到数据库服务器上的加密函数完成。主密钥、工作密钥都保存在加密管理机中,密钥由加密管理机生成。
硬件加密部署
采用硬件加密部署时,加密功能由硬件实现。加解密发生在硬件加密机上,由安装在数据库服务器上的加密插件调用。主密钥、工作密钥都保存在加密机中,密钥由加密机的硬件随机数发生器生成。
满足合规要求
通过部署数据库加密系统,可以轻松满足密评、等保、网安法、数安法、关键基础设施保护条例等国家级法律法规要求,也可以轻松满足电信行业、医疗卫生行业、政府行业等各种行业数据安全要求。
提升数据安全治理能力
数据库到应用系统这一段是信息安全的最后一公里,也是最后一道防线,涉及的是最直接的敏感数据安全管理,直接关系到敏感数据的安全。数据库透明加密系统通过控制加解密的权限,降低DBA权限过高造成的泄密风险,从而增强了数据库的安全性,完善了数据的纵深防御体系,提升了整体安全治理能力。
提升经济效益
信息系统最有价值的资产为数据,数据也是攻击者想偷窥、篡改、甚至删除的终极目标。核心数据被侵犯轻者导致业务中断,重者导致泄密和篡改,会造成严重的经济损失,并且严重影响企业的声誉乃至生存。本系统通过加密措施保护敏感数据的安全,且提供不同粒度的加密策略,实现降本增效,提升经济效益。
Copyright © 重庆数达信息安全技术有限公司 渝ICP备2022011801号-1 技术支持:Wanhu