数据库透明加密系统

2022-07-08

安企神数据库加密产品是一款基于透明加密技术的数据库安全加密系统，该产品能够实现数据加密存储、访问控制增强、应用访问安全、安全审计以及三权分立等功能数据库加密基于主动防御机制，可以防止明文存储引起的数据泄密、突破边界防护的外部黑客攻击、来自于内部高权限用户的数据窃取、防止绕开合法应用系统直接访问数据库，从根本上解决数据库敏感数据泄漏问题。

功能/效果

加密敏感数据，避免接触敏感数据

入侵者会有意识的访问敏感数据，运维DBA或者其他内部人员可能会无意识的访问敏感数据。

阻断入侵者访问敏感数据 | 阻断运维人员无意识地访问敏感数据，避免犯错 | 阻断物理文件流失导致的数据泄漏

无需改变应用，业务程序透明访问加密数据

当需要改变业务的时候，所有的一切都变得复杂。数据库透明加密无需改变应用，业务程序透明访问加密数据。

业务程序无需改变任何业务逻辑，透明访问业务 | 加解密过程透明，简化管理 | 透明加密的索引支持，业务性能几乎无损

满足合规性需求，轻松实现法规遵循

很多合规性需求强制敏感数据加密，比如PCI-DSS明确要求持卡人数据加密存储以避免绕过业务安全组件的持卡人数据访问。

隔离特权账号与敏感数据

为避免运维过程中涉及的敏感数据泄漏，数据库中的特权账户（DBA运维人员）应避免接触敏感数据，并与敏感数据相隔离。

隔离DBA特权 | 隔离Schema User特权 | 隔离其他any权限特权

危险性操作访问控制

危险性操作，比如Drop Table，Truncate Table等操作是数据库面临的巨大安全风险。如何防御误操作的发生以及发生误操作之后如何进行快速恢复，是本产品的主要目标之一。

隔离敏感数据 | 隔离业务表格危险性操作 | 敏感操作时的临时性授权

监控和告警

系统提供安全事件WEB监控功能，基于规则的方位控制识别违规行为或者操作，并且提供灵活的规则配置聚焦高风险行为。同时，还能提供智能检测未知风险功能：对于首次或者长时间未进入数据库的相关身份特征进行风险告警，第一时间发现潜在数据库高风险行为，智能化主动防御，检测未知风险。

三权分立

实现DBA、安全管理员和审计管理员的三权分立。其中安全管理员通过使用安全管理工具，完成日常的加密数据配置、数据库用户的密文权限控制等安全维护和管理操作。审计员则通过审计管理工具，进行审计开关的控制，检索、分析密文访问操作的审计信息工作。

身份鉴别

实现对数据库现有系统身份认证体系的兼容；实现独立于现有数据库的身份鉴别信息的控制，防止通过对合法用户鉴别信息的暴力重置，实现对受保护数据的非法访问。

部署图

产品优势/特色

存储加密

能够基于Oracle数据库实现数据存储加密，防止明文存储引起的数据泄密。以列为单位进行数据加密，加密列的数据在Oracle中以密文格式存储，支持按指定记录行方式的部分数据加密，支持对各种常用数据类型加密：CHAR，VARCHAR2，VARCHAR，RAW，LOB，NUMBER，DATE，对密钥备份恢复机制，图形化数据加密配置和快速恢复策略。

一致性存储加密

重做日志文件以密文形式存在数据库rman备份以密文形式存在索引数据以密文形式存在。

透明加密

支持SQL、PL/SQL、JDBC、ODBC的透明性，不需要改造；支持现有Oracle维护工具的透明性，数据库管理员依然可以使用RMAN等现有工具实现备份恢复和数据库维护。支持Oracle的MVCC、分区等高端特性。

权限控制增强

实现基于密文的、独立于 Oracle 权限体系的独立权限控制，防止 DBA 及高权限用户对敏感数据进行访问、防止利用 Oracle 的安全漏洞进行权限提升引起的数据泄密；所有数据库用户想访问密文数据，必须经过密文授权。能实现应用系统和数据库用户的绑定。只允许该数据库用户通过指定的应用系统访问敏感数据，从而防止数据库用户口令泄漏后，绕开业务系统，对数据库直接访问。

性能损耗极低

支持密文索引技术，支持分区索引技术。能够基于密文索引实现数据的相等和范围查询；密文索引能够被数据库系统自动识别。实现密文保护后的系统整体性能下降不超过10%。

高可用性

支持Oracle的RAC高可靠特性。安全管理服务器故障不影响透明加密的运行。

持续运行能力

保证安装、部署环节期间业务系统不受影响，实现在线方式的数据加密、权限设置、数据解密等安全加固手段，确保业务系统持续在线运行。

快速拆除能力

具备快速、准确地整体拆除能力。系统在整体拆除期间应用系统仍正常运行。

兼容性强

支持Oracle 10g/11g/12c等版本。支持Windows、Linux、AIX、Solaris、Unix操作系统。