随着政府部门、金融机构、企事业单位、商业组织等对重要数据库业务系统和数据库应用系统依赖程度的日益增强,数据库安全及数据安全的问题受到普遍关注。由于信息化建设、业务增长、系统上云等因素,在各系统中的数据库服务器也不断增加,对数据库管理的方式和通道也日趋复杂多样。在如此繁杂的情况下,引发了如滥用特权账号、滥用合法权限、身份验证不规范、备份数据暴露、审计记录不足等各类安全问题,并加大了IT内控审计的难度。
与此同时,数据安全问题日益突出,如系统和数据库的通信协议存在漏洞、SQL注入攻击、拒绝服务攻击、权限和账号被盗、弱口令等,给攻击者留下了可趁之机,也给管理者带来了管理层面的麻烦与困难。
随着计算机网络的不断发展和普及,信息安全问题日益突出。各企事业单位在构建信息网络时,都非常重视网络安全问题,如建立网络防火墙和入侵检测等防护系统。但是,对数据的核心部分——数据库本身的安全,却没有引起足够的重视。
数据库系统担负着存储和管理信息的任务,集中存放着大量敏感数据,而且又为众多用户直接共享。泄露或破坏这些信息非常容易,而一旦这些信息被泄露或破坏将会造成企业瘫痪,给国家带来巨大的损失,甚至危及国家安全,所以必须要采取适当的措施进行数据库内数据的防护。
事实证明,保证数据安全性的最好方法之一是数据加密。欧美国家虽然提供了一些加密产品,但很难保证其中没有陷阱和后门。现在流行的大型数据库系统,虽然提供了一些安全技术,包括数据库加密与访问控制,能够满足一般性的数据库应用需求。但对稍高一些的安全需求,它们提供的安全技术还是不够完备的。因此,为了企事业单位、政府甚至是国家的安全,研发安全、可靠的数据库加密与访问控制系统已迫在眉睫。新华三正是在这样的背景下,研发并推出了H3C SecPath DE2000系列数据库加密与访问控制系统。
H3C SecPath DE2000系列数据库加密与访问控制系统包括DE2010、DE2020两个型号,广泛适用于“政府、财政、教育、能源、工商、社保、医疗、国土、金融、运营商、企业”等所有涉及数据库应用的各个行业。
H3C SecPath DE2000系列数据库加密与访问控制系统在传统的软件(伪随机生成)和硬件加密卡算法生成的基础上,可以支持量子QRNG(Quantum Random Number Generator量子随机数发生器)密钥生成,保证密钥生成的随机性(传统的密钥生成是算法生成的伪随机——理论上是可被预测的)和高速率,保证密钥的生成安全。
H3C SecPath DE2000系列数据库加密与访问控制系统是一个支持量子密钥分发QKD(英语:quantum key distribution,简称QKD)的数据库加密与访问控制系统。QKD能够保障密钥分发过程的“无条件安全”。采用基于量子力学中的量子不可分割特性,以及量子态不可克隆定理来建立的量子信道,保证了基于量子QKD的密钥传输、密钥备份,保证密钥及分发传输的高可靠性能。
H3C SecPath DE2000系列数据库加密与访问控制系统在传统加密产品列(字段)级加密的基础上,在业界首次实现了一行一密的加密方式,可极大的提升系统安全性,为客户敏感数据提供更安全的保障。
支持密钥轮询机制,用户可以自定义密钥轮换周期,根据设定自动定期更换密钥。
系统通过用户口令保护主密钥,加密后的主密钥衍生出各个随机加密密钥,加密密钥由主密钥加密保护,通过国密算法和随机加密密钥对数据进行加密处理。将加密密钥的密钥与密文进行数据封装,对数据进行多重防护。
新华三通过多年对密码领域的探索和研究,有别于传统密钥管理,研发出高安全性的信封加密密钥管理技术。通过将列密钥、密钥密文、密文格式等信息进行多级信封封装,运用层级管理的机制保证密钥和密文数据的安全性。
表1-1 H3C SecPath DE2000 系列数据库加密与访问控制产品规格
属性 | DE2010 | DE2020 | |
数据库协议支持 | Oracle、mysql、sqlserver、Postgresql、达梦、金仓、GaussDB、db2 | ||
首页 | 首页 | 对加密配置概览 1.数据源分布 2.加解密任务情况 3访问阻断情况 4.主机告警情况 5.加密表情况 6. 加密字段情况 | |
告警管理 | 告警配置 | 邮件告警配置:邮箱服务器信息,告警接收者,告警模板 | |
告警查看 | 告警信息的确认处理 | ||
数据源管理 | 数据源查看及操作 | 支持数据库的查看、添加、修改、删除。 | |
支持数据库的连通性测试。 | |||
支持对主机四个指标配置(aix,centos,redhat,windows); | |||
支持数据库运行日志配置 | |||
数据库插件状态查看,安装及卸载 | |||
加密队列配置 | 加密队列配置 | 选定要加密的表, | |
配置用户访问密文表的权限 | |||
选定加密算法,加密方式 | |||
解密队列配置 | 解密队列配置 | 对选定的密文表进行解密队列配置 | |
任务队列管理 | 加/解密任务队列配置 | 支持查看加解密队列简要列表信息 | |
支持按条件过滤显示加解密队列简要信息 | |||
支持查看加解密队列详细信息 | |||
支持队列启停操作 | |||
支持队列分批次加密条目数更新 | |||
支持设置业务执行缓冲时间,保持甲方业务连续性; | |||
支持实时查看队列相关的数据库日志和设备日志; | |||
批量日志下载 | 打包下载队列关联三种日志 | 支持配置日志项目信息,以及项目公司对应的联系人的支持信息 | |
支持对所有队列任务运行/错误日志打包下载 | |||
回滚表/列结构 | 回滚表/列结构 | 支持对已解密的数据表回滚为业务系统原结构 | |
支持对检查需回滚的表结构相关联的队列运行情况 | |||
支持回滚完成后的状态显示 | |||
授权管理 | 用户授权 | 支持对数据库指定用户授权 | |
客户端授权 | 支持对客户端连接工具授权 | ||
IP段授权 | 根据到期时间及ip段授权 | ||
密文表列变更 | 密文表数据列变更 | 对密文表进行新增明文列操作 | |
Oracle表空间加密 | 表空间信息 | 列表显示指定数据库下的表空间信息 | |
表空间加密 | 对指定数据库下的数据表进行加密 | ||
支持指定到具体加密表空间 | |||
支持指定索引重建 | |||
表空间解密 | 对指定数据库下的密文数据表进行解密 | ||
支持指定到具体明文表空间 | |||
支持指定索引重建 | |||
分区表加密 | 支持分区表(含子分区)的数据表进行加密 | ||
支持指定分区/子分区到不同表空间 | |||
支持对索引(含分区索引)指定到特定表空间的重建 | |||
分区表解密 | 支持分区表(含子分区)的数据表进行解密 | ||
支持指定分区/子分区到不同表空间 | |||
支持对索引(含分区索引)指定到特定表空间的重建 | |||
权限控制 | 支持对密文表的访问权限设置 | ||
mysql表加密 | 数据表加密 | 对指定数据库下的数据表进行加密 | |
数据表解密 | 对指定数据库下的明文数据表进行解密 | ||
权限控制 | 支持对密文表的访问权限设置 | ||
sqlserver库加密 | 数据库实例 | 查看/编辑密钥保存路径 | |
插件状态的查看及配置 | |||
库加密 | 配置指定数据源下数据库的加密 | ||
支持配置不同算法 | |||
库解密 | 配置指定数据源下加密数据库的解密 | ||
Kingbase表加密 | 表加解密 | 支持对数据表指定到密文表空间实现数据加密 | |
支持对数据表指定到明文表空间实现数据解密 | |||
密钥管理 | 密钥安全 | 支持密钥保护口令配置及密钥轮换周期配置 | |
密钥配置 | 支持对算法标识,算法名称,密钥长度,密钥来源进行配置 | ||
密钥管理 | 密钥的手动和自动备份,手动备份可至本地及FTP,自动备份至FTP | ||
审计管理 | 操作审计 | 支持查看所有系统操作行为的日志信息 | |
日志展示形式:包含操作时间、操作用户、操作IP、操作对象、操作内容 | |||
支持根据检索条件检索过滤操作行为日志 | |||
系统管理 | 基础设置 | 查看系统的版本号、授权信息 | |
下载系统授权所需要的机器码 | |||
支持导入系统授权文件 | |||
网卡管理 | 支持展示系统所有的网卡信息 | ||
支持网卡设置,支持配置IP、掩码、网关,支持DNS配置 | |||
支持ping、tracert、nslookup、telnet的连通性检测 | |||
平台维护 | 支持查看系统的CPU、内存使用负载 | ||
支持查看磁盘空间使用情况 | |||
高可用配置-HA配置 | |||
系统升级 | |||
系统诊断【内核】【cpu&内存】【磁盘】【网卡】 | |||
帐号管理 | 内置系统管理员、安全管理员、审计管理员3种角色 | ||
支持用户简要信息展示 | |||
支持创建、编辑、删除帐号信息,支持帐号与角色关联 | |||
支持对帐号进行密码初始化 | |||
支持根据帐号信息进行检索 | |||
安全配置 | 平台登录安全设置 | ||
账号密码安全设置 | |||
网络访问安全设置 | |||
备份恢复 | 系统备份【手动】【自动】 | ||
系统恢复 | |||
组织架构 | 配置内部组织架构 | ||
用户审核 | 对新增操作用户的审核 |
H3C SecPath DE2000系列数据库加密与访问控制系统是基于数据库扩展的后置代理式系统,其外置设备的布署方式相对简单,与用户数据库系统路由可达即可,现有系统及网络拓扑均无需改动。外置设备部署完毕之后,系统功能开启后会自动在用户数据库系统中安装代理程序,无需人工干预,布署简便快速。
H3C SecPath DE2000系列数据库加密与访问控制系统是新华三技术有限公司自主开发的产品,用户可以根据实际需求按照型号进行选购。
表1-1 选购一览表
主机 | 描述 | 备注 |
H3C SecPath DE2010 | H3C SecPath DE2010数据库加密与访问控制 | 必配 |
H3C SecPath DE2020 | H3C SecPath DE2020数据库加密与访问控制 | 必配 |
表1-2 选购一览表
配件 | 描述 | 备注 |
扩展插卡 | H3C SecPath IPC 4端口千兆以太网电接口(RJ45)+4端口千兆以太网光接口(SFP)模块 | 选配 |
扩展插卡 | H3C SecPath IPC 8端口千兆以太网电接口模块(RJ45) | 选配 |
扩展插卡 | H3C SecPath IPC 8端口千兆以太网光接口模块(SFP) | 选配 |
扩展插卡 | H3C SecPath IPC 4端口万兆以太网光接口模块(SFP+) | 选配 |
扩展电源 | H3C 350W 交流电源模块 | 选配 |