icon仅依靠访问控制保护系统存在风险icon

目前数据库系统主要采用访问控制的方式保证系统的安全性,但是当访问控制被攻破时,包括因传统安全手段自身缺陷导致的无效防御和恶意攻击穿透,以及内部高权限用户直连数据库或直接对数据库文件进行读取等手段,导致整个数据库的安全体系也随之瓦解。而数据库加密可提供理论上无法被绕过的安全防御。

icon产品介绍icon

闪捷数据库加密与访问控制系统 (以下简称闪捷数据库加密系统)是一款应用于数据加密的安全产品。将数据库侧的敏感数据由明文存储改为密文存储,并在此基础上增加基于操作源(用户、IP地址、时段等)和操作行为(增、删、改、查)等多元组合因素且独立于数据库的访问机制进行授权管理。任何访问被加密数据的人或应用事先必须经过授权才能访问加密数据,有效防止管理员越权访问及黑客拖库。

icon产品介绍icon

闪捷数据库加密系统作为数据加解密类产品于2020年9月获得二级《商用密码产品认证》。商用密码是指采用密码技术对不涉及国家秘密内容的信息进行加密保护或者安全认证的产品。

icon运行机制icon

闪捷数据库加密系统将数据库中已有数据加密后以密文格式存储在表中,加密颗粒度为列级。执行sql语句等操作时,网关加密基于语法解析技术进行目标列判断和授权合法判断,确认目标为加密列且授权合法时,调用加解密算法将目标数据加密或解密。

icon保证机密性和完整性icon
支持多种商用密码算法
闪捷数据库加密系统内置AES国际标准算法以及SM4商用密码算法,同时具有优秀的算法兼容性,通过外接加密卡等拓展商用算法,适配SM3、SM4等多种商用密码算法。
支持SM3杂凑密码算法
采用支持HMAC-SM3技术保证加密数据在解密前的完整性,能够识别加密数据是否被篡改
icon高数据库扩展性、高设备兼容性icon

闪捷数据库加密系统采用了全新的技术架构,具有高数据库扩展性,不依赖数据库自身特性,理论上没有数据库支持的限制,可支持所有关系型数据库进行加密;具有高设备兼容性,可以对接第三方加密卡、加密机、 QRNG量子密钥平台、Ukey等外部设备用于拓展硬件加密算法、密钥生成的随机算法和身份鉴权等功能。

icon适配生产环境多种特性icon
分布式数据库支持

闪捷数据库加密系统不受数据库形式的限制,支持分布式数据库,例如hotdb等分布式事务型数据库,支持vertica等MPP型架构数据库。

运维场景支持

闪捷数据库加密系统于数据库前置部署,将应用系统客户端的端口与网管代理实际查询的端口进行逻辑绑定,当业务查询受阻时可快速排查网络连接情况。

读写分离、RAC场景支持

闪捷数据库加密系统对数据库的读写分离、oracle数据库rac场景提供支持。

icon高可靠性设计icon

闪捷数据库加密系统支持HA高可用冗余设计,同时加解密过程中采用策略备份、离线密文恢复工具等技术手段确保用户数据不丢失、不损坏。

HA高可用

系统支持HA高可用冗余设计,通过心跳检测实现主备切换,有效应对数据库加密系统单点故障问题。

策略备份

系统支持定期备份至FTP服务器,将加密策略、系统配置等信息上传,实现系统快速恢复正常状态。

离线密文恢复工具

系统支持独立可靠的离线密文工具,即使加密系统因为不可预测原因宕机,密文数据可以离线恢复成明文数据并导入到源库中。

icon支持密钥管理icon

闪捷数据库加密系统采用标准的三级密钥管理机制:主密钥由系统管理员存储于加密卡中,通过查找索引号将其调用。库密钥被主密钥保护,由系统自动产生,并执行自动更新机制。列密钥由高度随机算法或量子密钥发生器生成,通过国密算法对数据进行加密处理且与密文进行数据封装被库密钥保护。多级密钥对数据进行了多重防护符合行业标准内对密钥管理的要求。

icon支持国密浏览器icon

闪捷数据库加密系统兼容国密浏览器,只要客户端采用国密浏览器,就可实现从客户端到网关服务器的全国密传输方案。

icon产品优势:监控数据库运行状态,闲时加密icon

闪捷数据库加密系统独有的队列式分批次加密机制,系统加密过程中自动监控数据库运行状态,根据数据库主机CPU/IO/内存/网络等各项资源占用情况自动启停加解密任务,不影响业务的开展流畅性。

icon支持横向拓展icon

闪捷数据库加密系统的加解密不依赖数据库硬件,支持横向扩展,组成分布式加解密集群。当数据库系统的数据量增大时,分布式网关可做好支撑,解决数据量并发时加密业务拥堵问题。

icon安全量子密钥icon

闪捷数据库加密系统基于量子通信技术深度定制,支持基于量子QRNG的密钥生成安全和基于量子QKD的密钥分发安全。结合系统自身的多级密钥系统和多种密钥安全技术。确保密钥的生成、存储、分发、同步以及备份等全生命周期的安全。极大限度的提升系统安全级别。

icon产品部署icon

闪捷数据库加密系统是基于加密网关的的反向代理技术,其外置设备的部署方式相对简单,只需更改业务指向IP和端口即可,其他设备均无需改动。应用系统的SQL数据连接请求转发到加密代理系统,由加密系统解析请求后,再将SQL语句转发到数据库服务器,数据库服务器返回的数据同样经过加密系统后由加密系统返回给应用服务器。

icon场景一:满足密码应用安全性评估icon

《密码法》满足关键信息基础设施必须使用经过认证的商用密码进行保护的相关要求。《商用密码管理条例》满足非涉密的关键信息基础设施、网络安全等级保护第三级以上网络、国家政务信息系统等网络与信息系统,其运营者应当使用商用密码进行保护的要求。GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》满足对应用和数据安全中采用密码技术保证信息系统的重要数据在存储过程中的机密性和完整性要求。

icon场景二:应对黑客拖库攻击、数据库高权限账号泄露icon

数据库加密通过数据加密和建立第三方独立的权限和访问控制系统,可以有效解决因DBA等高权限账号密码泄露所导致的数据泄露问题,同时也可防止因外部APT攻击或内部管理失当导致的数据库文件被下载、复制,存储硬件丢失等数据泄露风险,大大提升数据库安全性。

数据库文件泄露
密文存储,可有效防止数据库文件被下载或者复制、以及直接分析数据文件导致的数据泄漏。
APT攻击:拖库
SQL注入攻击者通过拖库获取全部数据库内容,但是只能获取到攻击时所使用的用户所对应的明文权限,敏感数据仍为密文。
 
 
系统访问控制
现有数据库系统对于时间、IP地址、用户名等多种因子的身份认证和授权管理仍然较为薄弱,需要加密系统继续强化。
高权限账号泄露
DBA或者高权限账号被攻击者获取后,虽然能够得到数据库中的全部数据,但无法获得明文。
icon应用案例:国家应急管理部数据安全方案icon

客户需求:对多个VPC下的多种应用数据库【MySQL,高斯DB,达梦】的敏感数据加密存储,密钥使用第三方密码平台。 解决方案:闪捷数据库加密系统将敏感数据高强度加密存储,透明加密合法用户无感知,密钥对接德安公司的密码管理平台,实现密钥与数据独立存储,防止数据被窃取。 用户收益:实现敏感数据的密文存储,密钥对接德安密码管理平台,与数据独立存储,最大限度保证数据安全。

icon应用案例:南网广东省公司数据库加密icon

客户需求:南网广东电力公司根据公司统一要求,对于管理信息大区中的营销、资产、财务、 人资、审计、GIS、EIP、4A等8个系统,共236张表、1028个字段需要加密存储,以保障用户信息、个人信息以及其它企业重要信息的机密性。 解决方案:管理信息大区采用两台闪捷数据库加密设备做冗余部署,对于要求的数据库、表格以及敏感字段进行加密存储; 项目效果:通过部署闪捷数据库加密系统,实现了管理信息大区八大关键系统中敏感数据的密文存储;支持对于授权用户的透明访问,用户网络拓扑及设置无需改动;满足内外部合规性要求。

icon应用案例:北京党建平台icon

客户需求:北京党建平台核心关键数据高度机密,数据的安全防护和三数据中心的安全备份问题亟待解决。 解决方案:1、 三数据中心分别部署:一套数据库加密、一台量子密钥生成器和一台量子路由器。2、 主数据中心A实现数据量子加密后的密文存储;备份数据中心B备份密文数据;备份数据中心C备份密钥。3、在主数据中心发生数据或密钥损毁,可随时通过B或C数据中心恢复。4、B、C数据中心分别仅有密文或者密钥,任何一点都无法获取明文信息。 用户收益:闪捷数据库量子加密方案,将核心密文存储,用量子密钥铸造无条件安全加固,杜绝第三方非法侵入引发的数据泄露问题。密钥和加密数据独立备份,保障了数据的安全性和可用性。

产品推荐 查看更多>>
    McAfee Change Control

    McAfee Change Control 能够避免服务器环境中出现可能会导致安全违规、数据丢失和服务中断的更改活动。 McAfee Change Control 让您能够轻松地满足监管合规要求。

    性价比高

    安全可靠

    中安威士数据资产管理系统

    企业实现数据资产管理的基础服务平台,立足数据治理的起点和重要环节。以资产发现-资产梳理为核心,以资产可视-资产可管为目标,致力于提升企业对数据资产的整体管控能力和运维效率。

    安全可靠

    使用便捷

    云信达ecGuard数据防勒索软件

    云信达eCloud Data Guard防勒索软件是基于行为分析来检测高级威胁攻击的新一代主机安全防护系统,同时支持对主机行为进行监控审计,由管控中心和轻量级客户端共同组成,帮助客户提供一套终端安全的全面解决方案。

    对终端用户零影响

    易于部署和维护

    零系统维护

    完整的攻击可视化