x
在线咨询
刷新
您当前的位置: 资讯中心 > 产品资料
数据库加密系统
发布时间:2022.05.25 浏览数量:1233人

 

数达安全数据库加密系统白皮书V4.0




数达安全公司基于多年数据安全产品研发经验,凭借自有研发力量,针对现阶段国内数据保护市场的需求特征,在原有数据库加密产品的基础上推出了数达安全数据库加密系统V4.0(简称DS-EC)。该系统基于加密算法和合理的密钥管理,实现了字段级和表空间级的加密。同时通过独特的解密权限控制技术,使得用户只能够读取已被授权访问的加密表和字段。

产品功能

敏感数据发现


通过敏感数据扫描功能,可以识别多达上百种敏感数据,为数据库加密操作提供有意义的参考。


字段加密

可根据实际需求选择对敏感的字段进行加密,敏感字段以明文的方式在硬盘上保存。即使数据库文件被非法复制或者存储文件丢失,也不会导致真实敏感数据的泄露。


表空间加密

可以选择将敏感字段所在表的表空间文件进行加密,表空间文件以加密方式存储,使得即使数据库本地文件或者存储介质被盗依然能保证数据库内部敏感数据的安全。


透明加密

无论字段加密还是表空间加密,初始加密过程对数据库用户都是完全透明的,不需要改造应用系统,部署后可立即使用。当完成初始加密后,在数据的使用过程中,新的数据都按照设置即时加密与解密,无需额外二次处理与部署。系统提供完善的加解密任务管理机制,可以使得用户对整个加解密任务做到高效管理与有效控制。在加解密发生异常中断后,可以重新启动任务以重试,也可以建立反向任务,实现可逆操作。


密钥管理

本产品提供了完善的密钥管理和保护机制。采用多级密钥管理方式,所有的工作密钥做二次加密处理;每个文件的不同数据块采用不同的密钥,以防止一个密钥解密所有文件的风险;密钥异地保存在加密管理机上,在数据库本地不保存,以防止数据库服务器硬盘丢失连同密钥一起丢失的风险;可在产品中设置多个密钥灾备服务器并自动备份密钥,以确保密钥的安全可靠存储。

   

密文索引

当采用字段型加密时,系统提供专利的密文索引技术,借助数据库自身的索引机制为密文建立起索引结构。密文索引避免了操作数据时的全表解密,把敏感字段的加密对数据库访问性能造成的损失降到和加密前没有明显区别。


过程数据保护

在加解密过程中,对每一个加解密的数据块单元,均在加解密完成前作备份保护处理,以确保在加解密任务执行发生意外时,数据可以回滚,从而保障原始数据的绝对安全。


增强访问控制

对于加密后的敏感数据,系统提供独立的加密解密的权限管理,只有同时经过数据库自身和加密系统联合授权的用户才能对敏感数据进行解密和查看,从而降低数据库超级管理员权限过高造成的泄密风险。数据库加密系统通过内置的安全管理员来设置用户对加密数据的访问权限。


双机热备

加密引擎可以同时与两个旁路加密管理机通信,数据源引擎、参数配置与密钥均可以同步互备,确保一个系统出现故障时不影响数据块加密引擎的正常使用,确保整体系统的高可用性。


三权分立

根据等级保护等相关评测要求,系统设置安全员、审计员、系统管理员三种角色。安全员负责设置和执行加密策略,加密参数等;系统管理员负责设置系统自身设置,比如系统端口设置、系统时间等;审计员对包括安全员、系统管理员在内的所有角色的行为进行审计。


双因子认证

为避免基于账号、口令的单一认证方式安全性较低的问题,本系统实现了基于账号、手机应用程序和基于时间的动态码的多种要素的身份认证。


产品优势

高性能

字段型加密方法可以提供近似于加密前的查询效率,表空间型加密提供接接近于加密前的读写性能,使得应用在访问数据库时基本透明无感。


高可靠性

  • 高可靠的工控设备,支持双机热备,确保运行可靠;

  • 完善的密钥管理和备份机制,确保加密数据可以可靠的解密;

  • 对于加解密过程数据的完善保护确保了原始数据的安全。


易用性

  • 加解密过程对应用程序访问过程完全透明,无需客户端做任何改动,最小化对其它系统的影响;

  • 提供基于浏览器的简单、友好、便捷的操作界面;

  • 支持多用户并发访问,支持数据的同步,支持事务机制。


强大的兼容性

  • 产品具有良好的兼容性,支持国内市场上主流的操作系统和数据库系统。

  • 产品支持的操作系统:WINDOW/LINUX/UNIX;

  • 支持字段型加密的数据库有Oracle;

  • 支持表空间加密的数据库种类有Oracle、Db2、SQL Server、GBASE 8a/8t/8s、Hive、MySQL、达梦、Treadata、PostgreSQL、Greenplum、Sybase、Cache、Informix、MariaDB、Hbase、mongoDB、人大金仓、神州通用、星环tdh、Redis、Impala。

  • 支持SM4(国密)、DES、3DES、AES128、AES192、AES256、BF、CAST、IDEA、RC2、RC4、RC5和SEED等多种不同的加密算法。



典型部署

软加密部署

采用软件加密部署时,加密功能由软件实现。加解密发生在数据服务器上,由安装到数据库服务器上的加密函数完成。主密钥、工作密钥都保存在加密管理机中,密钥由加密管理机生成。

软加密部署



硬加密部署

采用硬件加密部署时,加密功能由硬件实现。加解密发生在硬件加密机上,由安装在数据库服务器上的加密插件调用。主密钥、工作密钥都保存在加密机中,密钥由加密机的硬件随机数发生器生成。

硬加密部署



产品价值

满足合规要求

通过部署数据库加密系统,可以轻松满足密评、等保、网安法、数安法、关键基础设施保护条例等国家级法律法规要求,也可以轻松满足电信行业、医疗卫生行业、政府行业等各种行业数据安全要求。


提升数据安全治理能力

数据库到应用系统这一段是信息安全的最后一公里,也是最后一道防线,涉及的是最直接的敏感数据安全管理,直接关系到敏感数据的安全。数据库透明加密系统通过控制加解密的权限,降低DBA权限过高造成的泄密风险,从而增强了数据库的安全性,完善了数据的纵深防御体系,提升了整体安全治理能力。


提升经济效益

信息系统最有价值的资产为数据,数据也是攻击者想偷窥、篡改、甚至删除的终极目标。核心数据被侵犯轻者导致业务中断,重者导致泄密和篡改,会造成严重的经济损失,并且严重影响企业的声誉乃至生存。本系统通过加密措施保护敏感数据的安全,且提供不同粒度的加密策略,实现降本增效,提升经济效益。