產品定位
資料庫系統安全網關(即M2-S5100 DBSecurity GW),是一款專業保護資料庫安全的產品,它採用了一種全球首創的資料庫安全“主動防護”技術,為資料庫構建了一個全新的安全保護體系。
該產品廣泛套用於政府、金融、電信、安全、軍工等企事業單位。產品背景(資料庫安全隱患)
資料庫系統作為信息的聚集體,是計算機信息系統的核心部件,其安全性至關重要,小則關係企業興衰、大則關乎國家安全。
在涉密單位或者大型企事業單位中,已廣泛實施了安全防護措施,包括機房安全、物理隔離、防火牆、入侵檢測、加密傳輸等等,但就套用系統本身和資料庫安全問題卻一直未得到應有的重視。同時,之前的市場上也缺乏有效的套用系統和資料庫安全統一解決方案,這就致使資料庫及其套用系統在安全方面普遍存在一些安全隱患,其中比較嚴峻的幾個方面表現在:
1. 資料庫中的數據明文存儲
目前在涉密單位或者大型企事業單位中,數據基本上都是以明文方式存儲在資料庫當中,一旦資料庫或存儲介質被盜,就會導致大量數據泄漏。
2.現有安全產品和防護措施只能保護邊界安全
現有安全產品和解決方案採用被動防禦技術,用防、堵、截的手段試圖保護數據安全,實屬徒勞。對已知的攻擊技術和病毒採用防火牆只能檢測網路攻擊,IPS、防病毒產品只能檢測已知的攻擊特徵,無法防禦新的攻擊。
3. 審計產品
審計產品只能事後追責,無法真正保護數據安全。
總之,現有安全產品,無法了解數據使用者對資料庫的訪問細節:誰(Who)、用什麼方法(What)、在什麼地方(Where)、什麼時間(When)、對資料庫做什麼事情(How)的問題。
產品簡介
資料庫系統安全網關M2-S5100 DBSecurity GW(以下簡稱DBSecurity GW)是目前我國首例基於資料庫防火牆技術推出的一款資料庫安全主動防禦整體解決方案的產品。該產品採用先進的資料庫縱深防禦體系,能夠在數據透明加密和禁止的基礎上,完全獨立於資料庫本身安全體系對資料庫細粒度的訪問控制,實時監控整個資料庫環境裡的活動,主動識別並阻止攻擊、防止信息泄密、惡意欺詐,並對資料庫審計自動化,對數據及資料庫安全提供立體化的保護。
產品功能及特點
1. 密文存取資料庫中的數據用密文存取,數據不可破譯(加密算法為國家密碼局指定),完全杜絕數據泄密事件。
支持數據類型,包括varchar、VARCHAR2、CHAR、NUMBER、DATE、CLOB、BLOB 類型的加密。
套用系統不要做任何修改,設備安裝在機架上,方便快捷(類似於交換機),立馬可用。
3. 主動防禦對資料庫的訪問自動監控,對異常訪問事件主動攔截、阻斷,防止資料庫入侵事件的發生。
4. 惡意追蹤提供資料庫詳細的操作記錄,主動跟蹤、定位對資料庫進行攻擊的來源及攻擊類型,同時可滿足合規性要求,防止合法授權用戶濫用數據資源。
5. 平滑遷移信息系統可以正常運行工作,初始加密無需停機,數據保持同步。
6. 跨平台可以在複雜的系統環境下運行。支持各種主流作業系統上面的主流資料庫(Oracle、DB2、SQL server、Mysql等)。
7. 自主產權國產安全產品產品包含七項發明專利,已獲國家公安部、國家密碼局、國家保密局資質,無安全漏洞,無後門。
8. 定製專用數據解秘機每一客戶,定製的數據解密機,本用戶獨享使用。
產品主要安全策略概要
安全策略 | 功能 | 說明 |
許可策略 | 數據透明加密 | ① 能夠基於資料庫實現數據存儲加密。防止明文存儲引起的數據泄密。 ② 可根據需要選擇數據列加密保護,加密列的數據在資料庫中以密文格式存儲。 ③ 支持對各種常用數據類型加密。 ④ 支持隨機加密策略,防止相同的數據的加密結果一致而導致的數據泄密。 ⑤ 提供對密鑰的備份恢復機制。 ⑥ 提供基於web方式的數據加密配置和快速恢復策略。 |
DBA許可權控制增強 | ① 被保護欄位的許可權控制應獨立於資料庫的許可權控制,根據訪問策略可限制DBA訪問敏感數據,防止資料庫用戶的許可權提升引起的數據泄密,但不影響DBA對資料庫系統的正常維護。 ② 所有資料庫用戶想訪問密文數據,必須經過密文授權。 ③ 不同的受保護列可以設定不同的授權許可權,避免出現單點許可權漏洞。 | |
訪問控制 | ① 按照IP、用戶、時間對用戶訪問DB進行控制。 ② 通過設定IP組、用戶組對DB的訪問進行控制。 ③ 通過對安全策略分組進行訪問控制。 ④ 應用程式訪問控制。 | |
許可權控制 | ① 按照對資料庫的對象(Table, View)分類 進行許可權控制。 ② 按照SQL 命令(DML,DDL ,DCL)進行許可權控制。 ③ 按照SQL 語句進行許可權控制。 | |
Profile | ① 通過對SQL query的自我學習(Self Learning)自動生成並應 用安全策略。 ② 通過基於根據許可策略的DML Profile和Form Profile自動應 用安全策略。 | |
禁用策略 | Pattern規則 | 根據管理員的設定,對禁止特定的query pattern訪問(日誌分析後設定策略)。 |
Column規則 | 對於Table或者View內的特定Column禁止訪問。 | |
審計 | 保存及分析 | ① 對於訪問DB的所有SQL Query進行保存。 ② 保存禁用及監測日誌並對其進行分析。 ③ 審計日誌分析。 |
關聯WEB和DB防火牆 | 關聯web防火牆獲取的數據信息。 | |
個人信息保護 | 對於回響數據中的個人信息進行making處理。 | |
管理 | ① 可以集中同一管理多個M2-S5100 DBFIREWALL設備。 ② 分析數據流量以及網路流量。 ③ 監測M2-S5100 DBFIREWALL系統(CPU Memory等)使用率。 ④ 通過管理日誌進行自我檢查。 ⑤ 日誌管理。 |
性能
使用DBSecurity GW硬體加密,既能夠加快加密速度,又能夠保證操作安全,同時不會占用資料庫伺服器的資源。數據加解密速度可達100000列/秒。
運行環境
操作溫度:0℃-40℃;濕度:0%-90%;無冷凝。