数据库加密系统
■ 产品系列
数据库加密机是由三未信安科技股份有限公司(以下简称三未信安)自主研发的针对于数据库数据存储安全的高性能基础密码设备,是基于数据库透明加密原理的数据库主动防御产品,具有透明加解密及完整性保护、密钥合规生命周期管理、多因素身份认证、基于加密的权限控制等功能特性。
数据库加密机能够防止数据库明文存储引发的数据泄密、突破边界防护的外部黑客攻击及内部高权限用户非>法对数据的窃取。数据库加密机使用密码技术对敏感数据进行加密和完整性保护,在数据写入数据表前保护数据,数据返回前解密或验证数据;密码运算过程是在数据库逻辑层面调用数据库加密机进行,对应用程序和用户完全透明无感知。数据库加密机可对敏感数据设置独立于数据库的、基于加密的权限控制,可以限制数据库用户对数据的操作,防止用户越权访问敏感数据;也可以基于客户端IP、客户端名称、时间等环境因素限制对加密数据的访问,实现更加细粒度的访问控制。数据库加密机使用不同密钥加密数据库不同的敏感数据,采用密钥管理与数据存储分离的核心理念,通过集中安全的密钥管理保护加密密钥整个生命周期的安全。
■ 产品功能
透明数据机密性保护
基于数据库透明加密技术对敏感数据进行透明国密SM4加密,在数据写入数据表前自动加密数据,在数据返回前自动解密,密码运算过程对应用程序和用户透明无感知。支持对数据库字段数据及表空间数据的透明加解密。
透明数据完整性保护
基于数据库透明加密技术对敏感数据进行透明SM3-HMAC完整性保护,在数据写入数据表前自动生成MAC数据,在数据返回前自动验证。支持数据库字段数据及表空间数据的完整性保护。
基于加密的权限控制
支持对加密数据设置独立于数据库的、基于加密的权限控制,可以限制数据库用户对加密数据执行密码操作,防止高权限用户或普通用户越权访问敏感数据;支持基于客户端IP、客户端名称、时间等多因素限制对加密数据的访问,实现细粒度权限控制。
安全的密钥管理
可针对于不同的数据库实例配置不同加密密钥,所有加密密钥通过数据库加密机集中管理,支持密钥的生成、存储、归档、恢复、销毁等生命周期管理操作。密钥在数据库加密机内部被硬件密码卡保护后再存储,保证了密钥全生命周期的安全。
高级加密特性
支持保留格式加密,根据用户需求对信用卡号、身份证号、联系方式等特殊的数据在不改变原有数据格式的前提下进行加密,不增加存储密文空间;支持自定义加密规则,只加密字段中的部分数据。
支持密文索引,在数据加密后也可以进行检索,提升检索效率。
三权分立
支持系统管理员、安全管理员、审计管理员三权分立,分管数据库加密机的不同功能模块,满足三权分立要求;支持USBKEY强身份认证机制,采用SM2数字签名验证管理员身份,保证认证强度。
备份&恢复
支持对密钥及系统配置等重要数据的备份/恢复机制,系统管理员可方便的在管理控制台完成系统备份操作,并在需要的时候恢复到加密机中。
日志审计
系统对用户所有的关键操作均生成并记录日志,方便进行查询与审计。
高可用性
支持双活模式部署,防止单点故障。
■ 产品优势
安全合规
用于数据机密性和完整性保护的密码算法为国产算法,符合公安部、国家密码管理局等相关部委制定的政策法规,算法安全强度高;密码设备符合《GM/T0028-2014密码模块安全技术要求》安全二级要求,产品安全性得到国家认可,可符合等保、关保、密评等对数据的机密性和完整性保护的要求。
加密对应用透明
为解决用户应用密码过程中,数据存储格式多、业务调整和重新上线带来的高成本和高风险。数据库加密机基于透明化服务的理念,无需对应用程序、基础设施、业务结构进行更改就能实现数据库敏感数据的机密性、完整性保护,对接成本低。
基于加密的权限控制
数据库原生加密方案对所有用户完全透明,没有单独的权限控制,无法针对不同用户授予不同的访问权限。然而现代的权限管理越来越趋于精细化,授予用户权限一般遵循最小化原则。数据库加密机支持基于密码技术的细粒度权限控制,在保障安全的同时方便对用户的权限进行精细化管理。
安全集中的密钥管理
数据库加密往往会产生大量的加密密钥,这些密钥分别与不同的数据库系统、数据库实例或表相关联,难以管理和更新。数据库加密机采用集中式的密钥管理机制,所有加密密钥集中管理,并通过专用密码模块加密后存储,简化了密钥的管理,保证了密钥生命周期的安全。
■ 应用案例
