数据库加密 – 作者:数据库安全专家

产品概述

中安威士数据库透明加密系统基于加密算法和合理的密钥管理，有选择性地加密敏感字段内容，保护数据库内部敏感数据的安全。敏感数据以密文的形式存储，能保证即使在存储介质被窃取或数据文件被非法复制的情况下，敏感数据仍是安全的。并通过密码技术实现三权分立，避免DBA密码泄漏带来的批量数据泄漏风险。本加密系统具有卓越的安全性和处理能力，并能在不修改原有应用程序的情况下透明的接入系统中。

产品性能

  基于内容列级加密性能≥5万次/秒，数据加载性能≥50Mbps；

  分析型数据库表加密性能≥300Mbps，数据加载性能≥30万条/秒；

  数据库实例数≥20。

产品功能

敏感字段加密

用户可以根据实际需求有选择性地对敏感的字段进行加密。即使数据库文件被非法复制或者存储文件丢失，也不会导致真实敏感数据的泄露。

  密文索引

基于国内较先进的密文索引专利技术，避免了全表解密，加密前后性能无明显差别。

 
 增强访问控制

通过控制加密解密的密钥权限，增设安全管理员，只有同时经过DBA和安全管理员联合授权的用户才能以明文的形式看到加密后的数据，从而降低DBA权限过高造成的泄密风险。

  增强审计

系统设置审计管理员，监视安全管理员的行为。同时，系统对加密后的敏感数据提供精确细致的访问情况审计。

  多因子认证

为弥补数据库认证方式安全性较低的缺点，本系统实现了基于IP、应用程序等多种要素的多因子认证。

  密钥管理

基于主密钥、工作密钥等多级密钥方案，以及对称密钥和非对称密钥的混合密钥方案，实现密钥的管理。

特性优势

高安全性

  根据分级保护原则，对敏感信息进行字段级细粒度的加密，实现敏感信息与非敏感信息的逻辑分离存储

  根据防护需要灵活设置敏感数据列的加密算法和密钥强度

  进程内加密，很大程度的提高了系统的安全性

  为防止密文索引泄密，对索引进行加密，相同记录内容的索引项不同

  备份文件中敏感内容被加密，不会在备份环节泄漏敏感数据

  完善的密钥备份和策略备份机制，确保数据在任何时候可以正常恢复

  支持敏感内容的脱敏功能

  DBA在没有得到解密授权的情况下，不能访问敏感数据，也不能通过修改密码并冒用合法用户来读取敏感数据

高性能

  支持多种字段类型的密文索引，很大限度降低对性能的影响

  精确查询、模糊查询、范围查询能够获得和未加密相近的性能

运行特性

  加密解密过程对应用程序访问过程完全透明，无需客户端做任何改动，将对其他系统影响最小化

  提供基于浏览器的简单、友好、便捷的操作界面

  支持多用户并发访问，支持数据的同步，支持事务机制

  支持模糊查找

高可靠性

  对数据库零侵入，完全基于数据库自身的机制实现透明加密和解密，实现密文索引

  高可靠的工控设备，支持双机热备，确保运行可靠

支持的加密算法

  支持公开加密算法：3DES、AES、RSA等

  支持MD5、SHA1等摘要算法

  支持经国家批准的国密算法

支持的字段类型

典型部署

数据库加密系统部署简单，与被加密的目标数据库服务器路由可达即可。

产品价值

》保护核心数据资产，防止内外部攻击造成的数据泄密

  防止外部黑客攻击，窃取数据：SQL注入、缓冲区溢出、权限盗用等

  防止内部人员泄密：违规备份、权限滥用、误操作等

  防止运维人员和第三方人员违规访问敏感数据

  防止存储介质丢失造成的数据泄密

》安全性与可用性的完美结合，对合法应用和用户透明

  高可用性与高性能，保障正常业务的连续性

  不需要对应用程序作任何修改，不改变应用程序的使用环境

  对于授权用户的数据加（解）密、数据库操作与管理等过程无需改变

客户案例

案例1：数据库加密系统保护高校敏感信息

  背景介绍和需求

高等学校的敏感信息包括学籍信息、教务信息、财务信息等。近年来已经多次出现高校敏感信息泄漏导致的学生被骗、考分被改等事件。因此有必要在不增加系统管理难度的前提下，对敏感信息进行加密，确保敏感信息不泄露。

  解决方案

通过部署中安威士数据库透明加密系统实现对敏感数据的加密，将学生信息、教职员工信息、财务数据等数据库中的敏感字段进行加密，并设置白名单和实时脱敏。实现数据库透明加密系统对多个加密数据库进行统一管理。

  有益结果

某高校通过部署中安威士数据库透明加密系统，对多个敏感数据库实施了加密，显著提升了敏感数据的安全性，有效保护了学生信息等敏感内容，降低了诈骗发生的可能性，有利于保护学校师生的财产安全和维护学校的声誉。

案例2：数据库加密系统保护运营商管理系统

  背景介绍和需求

某通信公司有大量以明文形式存储的客户信息资源，为了保证业务能正常开展，要实现对敏感数据的保护，保证客户信息及公司内部信息即使在内部人员违规操作盗取或者黑客攻击窃取后不会造成信息被非法利用的情况。

  解决方案

选择合适的数据库加密产品型号，旁路部署数据库加密产品，在数据存储介质被窃取之前就对数据库中的敏感数据进行加密，保证了敏感数据的安全性，同时也保证了正常授权用户在应有的权限下访问真实数据。

  有益结果

某运营商管理系统通过部署中安威士数据库透明加密系统，在不改变现有应用的情况下，显著提升了数据安全管理能力。

来源：freebuf.com 2019-07-18 16:20:21 by: 数据库安全专家