仅依靠访问控制保护系统存在风险目前数据库系统主要来用访问控制的方式保证系统的安全性,但是当访问控制被攻破时,包括因传统安全手段自身缺陷导致的无效防御和恶意攻击穿透,以及内部高权限用户直连数据库或直接对数据库文件进行读取等手段,整个数据库的安全体系也随之瓦解。而数据库加密可提供理论上无法被绕过的安全防御。
闪捷数据库加密产品介绍闪捷数据库加密产品(Secsmart SDE)是一款应用于数据加密的安全产品。将数据库侧的敏感数据由明文存储改为密文存储,并在此基础上增加基于操作源(用户、IP地址、时段等)和操作行为(增、删、改、查)等多元组合因素且独立于数据库的访问机制进行授权管理。任何访问被加密数据的人或应用事先必须经过授权才能访问加密数据,有效防止管理员越权访问及黑客拖库。
闪捷数据库加密系统运行机制闪捷数据库加密系统将数据库中已有数据加密后以密文格式存储在表中,加密颗粒度为列级。执行sql语句等操作时,网关加密基于语法解析技术进行目标列判断和授权合法判断,确认目标为加密列且授权合法时,调用加解密算法将目标数据加密或解密。
产品架构产品自下而上分为五层,分别为硬件层、代理层、解析层、加密层、管理层。
场景一:满足密码应用安全性评估满足关键信息基础设施必须使用经过认证的商用密码进行保护的相关要求
《商用密码管理条例》
满足非涉密的关键信息基础设施、网络安全等级保护第三级以上网络、国家政务信息系统等网络与信息系统,其运营者应当使用商用密码进行保护的要求。
GBIT 39786-2021《信息安全技术 信息系统密码应用基本要求》
场景二:应对黑客拖库攻击、数据库高权限账号泄露数据库加密通过数据加密和建立第三方独立的权限和访问控制系统,可以有效解决因DBA等高权限账号密码泄露所导致的数据泄露问题,同时也可防止因外部APT攻击或内部管理失当导致的数据库文件被下载、复制,存储硬件丢失等数据泄露风险导致大大提升数据库安全性。
产品优势:业务感知能力可感知业务运行和加密相关数据,并以图表形式展现,用户可更直观的观测到业务的运行情况,帮助用户及时发现业务异常和故障排查,并可按天、周、月输出相应的业务报表,支持用户进行业务汇报。
产品优势:保证机密性和完整性高机密性和完整性-采用国密算法保护,符合商用密码行业标准。
产品优势:高数据库扩展性、高设备兼容性闪捷数据库加密系统采用了全新的技术架构,具有高数据库扩展性,不依赖数据库自身特性,没有数据库支持的限制,可支持所有关系型数据库进行加密;具有高设备兼容性,可以对接第三方加密卡、加密机、QRNG量子密钥平台、Ukey等外部设备用于拓展硬件加密算法、密钥生成的随机算法和身份鉴权等功能。
产品优势:密文模糊查询数据库进行数据加密后,数据的特征发生变化,由原来的中英文变成了十六进制字串符。这样会导致原来可以正常执行的SQL在数据加密后无法执行。闪捷数据库加密系统通过密文字典技术,使得加密后的模糊查询可以正常执行。
产品优势:硬件计算加速闪捷数据库加密系统通过硬件加速技术,实现了加密算法性能的大幅提高。在公司实验室环境下加解密速率测试结果AES加密速率提升4倍,SM4加密速率提升9倍。
产品优势:密文索引加速闪捷数据库加密系统通过密文索引加速技术,实现了密文列作为查询条件的场景下查询速率的大幅提升,1000万量级数据表的密文列随机查询时间由21.7s
提速达到 6ms。
产品优势:低密文膨胀率闪捷数据库加密系统通过密文存储结构报文优化,大幅降低了数据加密后,加密后密文的膨胀率从一般的100%下降到了35%左右。大幅减少加密后存储所占空间。
产品优势:安全的密钥管理数据库加密系统采用标准的三级密钥管理机制:主密钥由系统管理员存储于加密卡中,通过查找索引号将其调用。库密钥被主密钥保护,由系统自动产生,并执行自动更新机制。列密钥由高度随机算法或量子密钥发生器生成,通过国密算法对数据进行加密处理目与密文进行数据封装被库密钥保护,多级密钥对数据进行了多重防护符合行业标准内对密钥管理的要求。
产品优势:支持国密浏览器兼容国密浏览器,只要客户端采用国密浏览器,可实现从客户端到网关服务器的全国密传输方案。
产品优势:业务架构全栈支持
产品优势:高可靠性设计产品支持单机业务bypass、双机热备高可用冗余设计,同时加解密过程中采用离线设备恢复、离线密文恢复工具等技术手段确保用户数据不丢失、不损坏。
产品优势:自动分析引擎辅助上线加密生产上线部署前的业务测试需要进行N轮反复测试,会消耗一线技术大量的时间和精力。新版本将集成业务分析引警自动进行业务分析。减少对应的人力投入时间精力。
产品优势:安全量子密钥闪捷数据库加密系统基于量子通信技术深度定制,支持基于量子QRNG的密钥生成安全和基于量子QKD的密钥分发安全。结合系统自身的多级密钥系统和多种密钥安全技术。确保密钥的生成、存储、分发、同步以及备份等全生命周期的安全。极大限度的提升系统安全级别。
产品部署闪捷数据库加密系统是基于加密网关的反向代理技术,其外置设备的部署方式相对简单,只需更改业务指向IP和端口即可其他设备均无需改动,应用系统的SQL数据连接请求转发到加密代理系统,由加密系统解析请求后,再将SQL语句转发到数据库服务器,数据库服务器返回的数据同样经过加密系统后由加密系统返回给应用服务器。
闪捷数据库加密产品资质
应用案例:某部委数据安全方案客户需求:对多个VPC下的多种应用数据库【MySQL,高斯DB,达梦】的敏感数据加密存储,密钥使用第三方密码平台。
解决方案:闪捷数据库加密产品将敏感数据高强度加密存储,透明加密合法用户无感知,密钥对接德安公司的密码管理平台,实现密钥与数据独立存储,防止数据被窃取。
用户收益:实现敏感数据的密文存储,密钥对接德安密码管理平台,与数据独立存储,最大限度保证数据安全。
应用案例:某省电网数据库加密客户需求:某省电力公司根据公司统一要求,对于管理信息大区中的营销、资产、财务、人资、审计、GIS、EIP、4A等8个系统,共236张表、1028个字段需要加密存储,以保障用户信息、个人信息以及其它企业重要信息的机密性。
解决方案:管理信息大区采用两台闪捷数据库加密设备做兄余布署,对于要求的数据库、表格以及敏感字段进行加密存储。
项目效果:通过布署闪捷数据库加密系统,实现了管理信息大区八大关键系统中敏感数据的密文存储;支持对于授权用户的透明访问,用户网络拓扑及设置无需改动;满足内外部合规性要求。
应用案例:智慧城市政务系统加密项目某市智慧城市政务系统加密项目,对用户认证相关表进行加密存储,既满足合规要求,同时实现了业务无感知的数据加密存储。
项目需求:
·合规要求:满足网络安全法、满足等级保护2.0三级和密评的防护要求。
·业务无感知,对业务表的数据做加密存储涉及10+张表,10万+行数据。
解决方案:使用加密网关的列加密方式,业务端无需进行代码改造工作,对分类分级后的敏感数据做存储加密,满足网络安全法采取重要数据备份和加密等措施的法规要求。搭配数据安全中心,可进行整体的策略配置同步。
客户价值:
·个人相关信息采用加密保存,安全级别进一步提升。
·与数据安全中心联动,有效保障政务数据安全流转、安全共享。
·满足业务合规和数据安全管控要求。
天空卫士数据安全治理自动化DSAG围绕着企业在数据安全的现状及痛点,天空卫士推出新的“数据安全治理自动化系统”支持“数据安全治理体系”的落实,协助企业在建立数据安全治理的制度后, 将制度更有效地实施。系统通过自动化的工作流,将不同的数据安全技术工具实践结合在一起,为数据安全治理提供了一个完整、并可落地的解决方案。
数据分类分级保护
分类分级定义及保护
AWP 自动化理念
协助实现数据安全治理的技术落地
阿里云敏感数据保护SDDP为客户提供敏感数据自动识别、分级分类、大数据安全审计与数据脱敏等数据安全能力,形成一体化的云上全域数据防泄漏与安全解决方案,在帮助客户实现等保2.0二级有关“安全审计”与三级有关“个人信息保护”的合规要求的同时,并满足《数据安全法》中提出的有关要求。
等保合规保障
大数据安全审计
降低数据泄露风险
全方位数据安全管控
熠智科技隐私保护解决方案,自研高性能数据分析框架,支持多级数据处理、多核并行优化、大规模集群部署,满足工业场景性能需求。依赖全盘加密技术对安全域中的数据加密。实现数据的“可用可信不可见”,连接数据、用户、开发者,以数据要素驱动企业创新。
网络效应
隐私保护
弹性交易
数据加密
领先的企业数字化服务平台
客服电话:400-0972-788
