安华金和数据库加密系统(DES)
安华金和数据库加密系统(DES)
?2019安华金和
■版权声明
本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属安华金和所有,受到有关产权及版权法保护。任何个人、机构未经安华金和的书面授权许可,不得以任何方式复制或引用本文的任何片断。
目录
安华金和数据库加密系统(DES) (1)
目录 (2)
一. 关于安华金和 (3)
1.1发展历史 (3)
1.2产品路标 (4)
二. 数据库加密系统(DES) (5)
2.1产品概述 (5)
2.2客户价值 (5)
2.2.1 防止由于明文存储引起的泄密 (5)
2.2.2 防止外部非法入侵窃取敏感数据 (5)
2.2.3 防止内部高权限用户数据窃取 (6)
2.2.4 防止合法用户违规访问数据 (6)
2.3产品优势 (6)
2.3.1 透明数据加密 (6)
2.3.2 高效数据检索 (7)
2.3.3 增强访问控制 (7)
2.3.4 应用身份安全 (7)
2.3.5 高可用易维护 (7)
2.4适用场景 (8)
一. 关于安华金和
1.1 发展历史
北京安华金和科技有限公司(以下简称安华金和),2009年3月2日成立,长期专注于数据安全领域,是中国专业的数据安全产品及解决方案提供商。安华金和由长期致力于数据处理和信息安全的专业人士共同创造,作为中国“数据安全治理”体系框架的提出者,安华金和提供涵盖人员组织、安全策略、流程制定及技术支撑全方位的整体数据安全思路与方案;同时,安华金和作为独立的第三方云数据安全服务商(CDSP),为国内外各大云平台用户提供专业的数据安全保障;安华金和也是中国最大的公有云平台——阿里云在数据安全领域的战略合作方。
安华金和总部位于北京,分设北京营销中心与天津研发中心,下设11大分支机构,业务覆盖华北、东北、华东、华中、华南、西南等全国省市地区。在政府、军工、金融、能源、教育、医疗、企业等各大行业建立多个标杆案例,并取得了良好的信誉口碑。
安华金和以“让数据使用更安全”为最高使命,立志成为世界级数据安全厂商。
围绕该愿景,安华金和主营业务方向分为三大部分:
1、围绕数据库的安全,安华金和推出全线数据库安全产品及解决方案;
2、以整体数据库安全产线为技术支撑,安华金和推出数据安全治理解决方案,面向重点行业推广与实践;
3、基于公有云和私有云环境特征,安华金和推出公有云数据安全服务和私有云数据安全解决方案。
1.2 产品路标
二. 数据库加密系统(DES)
2.1 产品概述
安华金和数据库加密系统(简称DES),是一款基于透明加密技术的数据库安全产品,该产品能够实现对数据库中敏感数据的加密存储、访问控制增强、应用访问安全及三权分立等功能。
DES基于底层加密存储与独立权限控制两大核心机制,可以防止明文存储引起的数据泄密,防止外部非法入侵窃取敏感数据,防止来自内部高权限用户的数据滥用,防止绕开合法应用系统直接解密读取数据,在数据安全“最后一公里”处解决敏感数据泄露问题。
DES可根据用户不同场景及不同安全需求,提供列加密、表加密、表空间加密等多种手段,结合已获专利的透明加解密及密文索引等核心技术,具有良好的适应性与实用性,实现了数据高度安全、应用完全透明、密文高效访问。
DES当前支持Windows、AIX、Linux、Solaris等多个平台,支持Oracle、SQL Server、Mysql等多种国际主流数据库以及达梦等国产数据库。产品支持主、从、应急等自身高可用模式,可以满足用户的多种部署需求。DES提供符合国密标准的加解密算法,同时兼容多种国际商用算法,提供可扩展的加密设备和加密算法接口,可与多种加密卡及加密机对接。DES产品适用于政府、教育、军工、机要、电力等各个领域,同时针对国家等级保护、分级保护、军队保密规定均具有很强的政策适应性。
2.2 客户价值
2.2.1 防止由于明文存储引起的泄密
数据库底层存储的未经加密处理的数据文件、日志文件、备份文件丢失都存在重大的泄密风险。以Oracle为例,目前已有很多类似于Aul、MyDul的成熟免费解析软件可对明文存储的数据文件直接分析,输出清晰的、结构化的数据。
DES通过存储加密功能,从根本上保证数据安全,即使反向解析文件仍是乱码形式。
2.2.2 防止外部非法入侵窃取敏感数据
数据库是一个复杂的大型系统,以Oracle为例,其累计报告的安全漏洞已达1000多种,且在持续暴露,一旦被攻击者利用,很容易窃取敏感数据。
DES通过增强用户口令校验强度,独立的密钥管理与密文权控体系,即使数据库权控体系被突破,也无法访问到敏感数据。
2.2.3 防止内部高权限用户数据窃取
受出口政策的限制,在C2安全级别的数据库系统中,以sys、sysdba、sa为代表的超级用户天然具备数据访问、授权的权限;在大型企业和政府机构中,除了系统管理员,以数据分析员、程序员、服务外包人员为代表的数据库用户,也可以访问到敏感数据。这些与业务无关的敏感数据访问权限,都成为数据泄密的极大隐患。数据库源生加解密技术,均无法从根本上解决高权限用户访问敏感数据的权限问题。
DES提供三权分立机制,对特权用户进行有效权力拆分。产品增设了安全管理员(DSA),即使是DBA用户,在未经DSA授权时照样无法访问到密文数据;DES同时增设审计管理员(DAA),可以对DSA的授权行为进行审计和追踪。
2.2.4 防止合法用户违规访问数据
对于应用系统使用的合法数据库用户,常由于人为因素或管理不善,用户名及口令很容易泄露给第三方,第三方则可以通过命令行或管理工具直接访问敏感数据,批量窃取数据。DES具备应用安全能力,可以将合法数据库用户与应用系统绑定,同一用户只能通过指定的应用系统访问密文,使用命令行等其他方式则无法访问密文数据。
2.3 产品优势
2.3.1 透明数据加密
DES支持我国密码管理机构认定的加密算法,也支持国际主流加密算法。对数据库可以按照列、表、表空间三种粒度提供加密配置,保证敏感数据以密文形式存储。DES不仅对数据文件进行存储加密,对日志文件,索引文件均进行加密,以实现存储层的安全加固。
透明数据加密有两层含义:一是对应用系统及运维工具透明,即用户或开发商不需要对应用系统进行任何改造,用户原有的备份、恢复等运维行为不需改变;二是对有密文访问权限的用户显示明文数据,并且加、解密过程对用户完全透明。
2.3.2 高效数据检索
DES进行数据加密后,依然能够对密文数据提供索引能力,从而保持数据库的高效访问能力。
DES通过密文索引技术,突破了应用改造加密及网络设备加密在密文索引查询方面的限制;在保证索引数据的高度安全基础上,提供了对密文数据为检索条件的索引查询;在密文列上进行的等于、大于、小于和Like操作依然可以使用索引。
2.3.3 增强访问控制
DES增设数据安全管理员(Data Security Administrator, DSA)。DSA与数据库管理员DBA 相互独立,共同实现对敏感字段的强存取控制,实现真正的责权一致。DBA实现对普通字段的一般性访问权限控制,DSA实现对敏感字段的增、脱密处理和密文访问权限控制。
该功能在加密存储的基础上,通过独立的密钥管理体系和权控机制,对数据库用户进行强制访问控制,有效防止特权用户对敏感数据的非法访问,即使是sys、sysdba、sa等特权用户,也无法在未经DES授权的情况下访问加密数据。
2.3.4 应用身份安全
DES可提供按角色、IP地址、时间范围的密文访问控制,并具备应用身份识别能力。DES 可以将合法用户与应用系统绑定,同一用户只能通过指定的应用系统访问密文数据,使用命令行、管理工具等其他任何方式均无法访问密文数据。
DES通过对应用程序或系统进行摘要值和连接随机种子的判定,保证应用身份标识不可伪造,合法的连接不可重放。
2.3.5 高可用易维护
DES通过与数据库的数据集成存储、RAC支持、双机热备、应急模式、多进程冗余、透明故障切换、数据错误忽略、备份恢复等技术,使DES提供与数据库相当的高可用支持和异常故障处理能力。
DES产品稳定可靠,产品化程度高,图形化管理界面,简单易用。系统安装部署在半小时内即可完成,安全加固实施(数据加密防护)一般可在一天内完成。DES具备快速、准确地整体拆除能力,解密后可确保应用系统仍然正常运行。
2.4 适用场景
●贵单位最近一次分保检查是什么时候?测评人员是否提出过数据库中敏感信息明文存储
存在安全隐患?
●贵单位数据库运维人员在日常数据库操作过程中,对敏感数据访问是否遵循分保中的三
权分立的安全管理要求?
●受出口政策限制的要求,国外数据库Oracle、SQL Server的安全等级评定是C2级,斯
诺登事件证明国外数据库有后门漏洞存在,您如何保护数据库中存储的敏感信息?
●等保三级以上业务系统在数据安全中要求对数据库中的敏感信息加密存储,您有什么安
全防护措施?
●网安法对敏感数据提出了较高的安全防护要求,除了常规的网络手段外,是否希望从根
本上解决存储数据丢失引发的泄密问题?
●数据库管理员具有最高权限,您有什么技术手段保证他们在正常的数据库运维中不导出
或非法篡改重要数据?
●当数据库中的敏感信息加密存储了,能否保证前台应用程序不改造即可兼容,同时查询
性能不下降?
安华金和数据库运维管理系统(DOMS)
安华金和数据库运维管理系统 (DOMS) ?2019安华金和 ■版权声明 本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属安华金和所有,受到有关产权及版权法保护。任何个人、机构未经安华金和的书面授权许可,不得以任何方式复制或引用本文的任何片断。
目录 安华金和数据库运维管理系统(DOMS) (1) 目录 (2) 一. 关于安华金和 (3) 1.1发展历史 (3) 1.2产品路标 (4) 二. 数据库运维管理系统(DOMS) (5) 2.1产品概述 (5) 2.2客户价值 (5) 2.2.1 规范审批流程,有效实现事中管控 (5) 2.2.2 实时运维监控,提供完善管控手段 (5) 2.2.3 实现办公流程的深度整合 (5) 2.2.4 实现数据库操作管理的政策合规性 (6) 2.3产品优势 (6) 2.3.1 开放管理接口,完美融入管理流程 (6) 2.3.2 提供高易用性的管理体验 (6) 2.3.3 基于数据库协议精准解析 (6) 2.3.4 多种身份认证途径 (6) 2.3.5 敏感数掩码遮蔽 (7) 2.4适用场景 (7)
一. 关于安华金和 1.1 发展历史 北京安华金和科技有限公司(以下简称安华金和),2009年3月2日成立,长期专注于数据安全领域,是中国专业的数据安全产品及解决方案提供商。安华金和由长期致力于数据处理和信息安全的专业人士共同创造,作为中国“数据安全治理”体系框架的提出者,安华金和提供涵盖人员组织、安全策略、流程制定及技术支撑全方位的整体数据安全思路与方案;同时,安华金和作为独立的第三方云数据安全服务商(CDSP),为国内外各大云平台用户提供专业的数据安全保障;安华金和也是中国最大的公有云平台——阿里云在数据安全领域的战略合作方。 安华金和总部位于北京,分设北京营销中心与天津研发中心,下设11大分支机构,业务覆盖华北、东北、华东、华中、华南、西南等全国省市地区。在政府、军工、金融、能源、教育、医疗、企业等各大行业建立多个标杆案例,并取得了良好的信誉口碑。 安华金和以“让数据使用更安全”为最高使命,立志成为世界级数据安全厂商。 围绕该愿景,安华金和主营业务方向分为三大部分: 1、围绕数据库的安全,安华金和推出全线数据库安全产品及解决方案; 2、以整体数据库安全产线为技术支撑,安华金和推出数据安全治理解决方案,面向重点行业推广与实践; 3、基于公有云和私有云环境特征,安华金和推出公有云数据安全服务和私有云数据安全解决方案。
数据库加密技术的要点分析
数据库加密技术的要点分析 最近两年,信息安全产业随着斯诺登事件的爆发,从国家战略高度得到重视,大量的数据安全泄密事件,让企业与用户对此关注也越来越高。安全攻击方法和策略在升级,传统的边界安全防御机制备受挑战,攻与防的较量之间,对决焦点直指泄密源——核心数据。对于一家组织机构的核心数据往往存于传统安全防护手段难以从根本防护的数据库存储层。入侵者或直接采取行动从外部入侵数据库主机,或利用职权之便从内部窃取数据,从而将不设防或边界网关设防的数据库存储数据整库窃走。这种对于窃取者而言屡试不爽行为的方式背后,围绕数据库安全的行之有效的加密保护技术呼之欲出,从根本拯救数据库安全。。 对数据库存储层核心数据进行加密,可以解决库内明文存储引发的信息泄露风险,也能解决数据库高权限用户不受控制的现状。但是数据库加密这项技术要想形成真正让用户既安全又安心的产品,以下几个核心技术是用户选择该类产品的关键。 数据库列级加密策略配置 在敏感系统的后台数据库中,真正需要加密存储的内容其实占据整个数据库信息的少部分,如用户身份认证信息,账户资金等,成熟的数据库加密技术可以将加密粒度控制在列级,只选择最核心列的内容进行加密,既能保证核心数据的安全性,又能避免整库加密方式造成的严重性能损耗。现在市场上比较成熟的数据库加密产品,如安华金和的数据库保险箱(DBCoffer)即采用以列为单位进行数据库加解密的技术,能全面应对如number、varchar、date、lob等数据类型,做到用较小的代价保护用户最核心的敏感数据。
数据库运维三权分立 有些数据库自身具有加密模块,如Oracle数据库。但是这些模块的配置和权限掌握在DBA手中,这对于用户来说就像只锁上保险柜而不管理钥匙,从根本上无法解决内部高权限用户进行主动窃取数据或者误操作批量删除、修改数据,从而引发数据库安全问题。安华金和数据库保险箱(DBCoffer)引入安全管理员和审计管理员,与数据库管理员DBA多个身份账户,并对数据库加密列的访问权限进行有效管控,,三个角色之间相互协作,各司其责,确保数据库核心数据的使用根本上安全合规。 数据库透明加解密 如果说应用防火墙或者堡垒机等传统安全产品对数据库的防护是药物治疗的话,那么对数据库存储层进行加密无异于给数据库做了一台精密手术。大动筋骨”后加密存储的数据库内数据存储安全性自然得到了提升。但是如果“术“后将会对用户的行动产生影响,即用户访问数据库内数据方式产生影响,需要应用的SQ L语句做出针对性调整,或者使用特殊的API连接数据库,甚至使运维侧的数据迁移等脚本全部重写,这说明医生的医术并不精湛,反而给患者留下后遗症。成熟的数据库加密产品,不仅能够对数据库提供安全防护,同时还会将数据加密后对数据库使用方面的性能影响降至最低,不影响用户的正常使用。在透明性这点上,安华金和的数据库保险箱(DBCoffer)拥有自主研发的国家级专利技术,通过数据库多级透明视图技术,保障数据加密后应用程序无需改造,运维侧无需改造,依然可以做到不影响到数据库的各项依赖和函数关系,不影响到数据库的高端特性如RAC等,让用户能够毫不费力的享受数据安全。
安华金和医疗行业数据库安全防护解决方案
保障医疗数据安全,提升医疗数据价值北京安华金和科技有限公司
目录01数据流动,创造价值 02医疗数据安全现状及形势 03构建以患者为核心的数据安全防御体系 04医疗数据安全治理实践
数据流动,创造价值 01 数据只有流动才会产生价值,才能实现数据融 合后更大的增值效益。
数据利用——医院信息化进入3.0时代 ?以实现业务系统的数字化为主要任务,解决业务系 统本身的执行问题,然而系统之间的整合。 1.0时代(业务数字化) ?通过数据集成,业务流 程可以实现闭环管理,同时,用户也可以基于数据做度量分析和科学研究。 2.0时代(数据融合) ?信息从产生到聚集,整合 信息生命周期,实现数据挖掘和分析,数据在流动中产生价值。 3.0时代(数据价值) 数据,正变得越来越重要。因为无论哪种进化,都是以数据为基础。
以数据为核心的医疗信息化 以患者为核心的临床数据中心建设。 临床大数据中心建立 当下的智慧医疗体系推进 智慧医疗体系建设 人工智能的应用 临床决策智能化、科研数据挖掘分析、智能化个体给药 互联网数据接入 区域医疗、医联体建设、社区胸痛中心建设、便民服务体系、数据互联互通
医疗数据在流动中提升价值 ?保险风险控制欺诈防范 ?医疗服务质量评估?药品个性研发?药品临床应用 ?人口统计学分析?就诊行为分析?个人健康管理?慢病管理 ?治疗方案比较 ?临床决策支持?远程病人监控 ?医生培养?临床科研 ?疾病、疫情监管?新农合、社保基金分析?基本药物临床应用分析?医疗资源投放 公共卫生医疗机构商业应 用 患者行 为 只有数据的开放与流 动,让更多机构和企业进行利用,这样才能发挥数据的价值
安华金和数据库加密系统(DBCoffer)
安华金和数据库加密系统系统 (DBCoffer) 一. 产品概述 安华金和数据库加密系统(简称DBCoffer) 是一款基于透明加密技术的数据库防泄漏产品,该产品能够实现对数据库中的敏感数据加密存储、访问控制增强、应用访问安全、安全审计以及三权分立功能。 安华金和数据库加密系统能够防止明文存储引起的数据泄密、防止突破边界防护的外部黑客攻击、防止内部高权限用户的数据窃取,从根源上防止敏感数据泄漏。 安华金和数据库加密系统通过独创的、专利的三层透明视图技术、密文索引技术和应用绑定技术,突破传统数据库安全加固产品的技术瓶颈,真正实现数据高度安全、应用完全透明、密文高效访问。
二. 产品价值 2.1 全方位主动预防数据泄密 预防外部黑客窃取数据 威胁:数据库权限提升是当前数据库漏洞中黑客使用率最高的攻击手段,通过该手段黑客直接获得DBA身份,任意访问敏感数据。 防护:安华金和数据库加密系统的密文访问控制体系,可以保证即使数据库自身的权限被突破,非授权用户仍然无法访问密文数据。 防止开发人员绕过合法应用 威胁:业务系统的数据库账户常被开发或运维人员掌握,通过该账户这些人员可以直接访问数据库。 防护:安华金和数据库加密系统的应用身份鉴别,确保第三方人员无法绕开合法的业务系统,直接访问敏感数据。 预防存储层明文泄密 威胁:硬件设备、备份磁盘丢失,数据文件、备份文件的拷贝,都将引起机密数据泄漏。 防护:通过安华金和数据库加密系统,将关键信息进行加密,加密后的数据在存储层以密文形态存在,保证他人即使拿到数据文件,也“看不懂”。 防止数据库运维人员操作敏感数据 威胁:数据库的运维人员,往往有最高范围权限,一般为DBA,可看到数据库中的所有敏感信息,不符合安全管理要求。 防护:安华金和数据库加密系统通过独立的二次权限控制、三权分立,保证即使是高权限运维用户,在得不到特殊授权时也无法访问敏感数据,同时不会影响其日常运维工作。 2.2 符合信息安全政策需求 等级保护:要求三级以上系统应采用加密或其他有效措施实现系统管理数据、鉴别信息和重要业务数据存储保密性。
安华金和数据库脱敏系统白皮书
安华金和数据库脱敏系统 白皮书
目录 安华金和数据库脱敏系统 (1) 白皮书 (1) 一. 产品简介 (3) 二. 应用背景 (3) 2.1数据库安全已经成为信息安全焦点 (3) 2.2企业需要安全的使用隐私数据 (4) 2.3越发复杂的敏感数据使用场景 (4) 2.4数据安全相关政策与法律法规 (4) 三. 客户价值 (5) 3.1保护隐私数据,满足合规性 (5) 3.2保证业务可靠运行 (5) 3.3实时动态保护生产系统数据 (6) 3.4敏感数据统一管理 (8) 四. 功能特点 (8) 4.1自动识别敏感数据 (8) 4.2灵活的策略和方案管理 (8) 4.3内置丰富脱敏算法 (9) 4.4数据子集管理 (9) 4.5脱敏任务管理 (9) 4.6脱敏数据验证 (10) 4.7动态数据脱敏 (10) 五. 联系我们 ............................................................................................................. 错误!未定义书签。
一. 产品简介 安华金和数据库脱敏系统(简称DBMasker)是一款高性能、高扩展性的数据屏蔽和脱敏产品,采用专门的脱敏算法对敏感数据进行变形、屏蔽、替换、随机化、加密,将敏感数据转化为虚构数据,隐藏了真正的隐私信息,为数据的安全使用提供了基础保障。同时脱敏后的数据可以保留原有数据的特征和分布,无需改变相应的业务系统逻辑,实现了企业低成本、高效率、安全的使用生产的隐私数据。 安华金和数据库脱敏系统脱敏产品,实现了自动识别敏感数据和管理敏感数据,提供灵活的策略和脱敏方案配置,高效可并行的脱敏能力,帮助企业快速实施敏感数据脱敏处理,同时保证数据的有效性和可用性,使脱敏后的数据能够安全的应用于测试、开发、分析,和第三方使用环境中。 安华金和数据库脱敏系统脱敏产品提供了具有极高附加价值的数据动态脱敏功能,该功能在数据库通讯协议层面,通过SQL代理技术,实现了完全透明的、实时的敏感数据掩码能力;在不需要对生产数据库中的数据进行任何改变的情况下,依据用户的角色、职责和其他IT定义规则,动态的对生产数据库返回的数据进行专门的屏蔽、加密、隐藏和审计,确保业务用户、外包用户、兼职雇员、合作伙伴、数据分析、研发和测试团队及顾问能够恰如其分地访问生产环境的敏感数据。 安华金和数据库脱敏系统支持Oracle、MSSQL、Informix等主流数据库,支持Windows、Linux、AIX、Solaris等多个主流数据库应用平台,提供灵活的脱敏规则配置及脱敏规则扩展。 安华金和数据库脱敏系统产品广泛适用于银行、证券、保险等金融机构,同时在政府部门、涉密单位也有良好适用场景。产品在国家等级保护、分级保护等领域均具有很强的政策合规性。 二. 应用背景 2.1 数据库安全已经成为信息安全焦点 在企业和金融机构的后台数据库中,储存着大量的敏感信息,无论是从商业惯例还是数据安全角度,这些敏感信息都应得到有效的保护,一旦发生信息泄密行为,不仅会造成重大的财产损失,也会对企业的名誉造成严重影响。
安华金和数据库加密系统技术白皮书
安华金和数据库加密系统系统 白皮书
目录 安华金和数据库加密系统 (1) 白皮书 (1) 一. 安华金和数据库加密系统产品简介 (3) 二. 安华金和数据库加密系统应用背景 (3) 2.1数据库安全已经成为信息安全焦点 (3) 2.2数据库层面的泄密事件频发 (4) 2.3数据安全相关政策与法律法规 (4) 三. 安华金和数据库加密系统客户价值 (5) 3.2防止由于明文存储引起的泄密 (5) 3.3防止外部非法入侵窃取敏感数据 (6) 3.4防止内部高权限用户数据窃取 (6) 3.5防止合法用户违规数据访问 (6) 四. 安华金和数据库加密系统功能特点 (7) 4.1透明数据加密 (7) 4.2高效数据检索 (7) 4.3身份鉴别增强 (7) 4.4增强访问控制 (7) 4.5真正应用安全 (8) 4.6敏感数据审计 (8) 4.7高可用性 (8) 4.8可维护性 (9)
一. 安华金和数据库加密系统产品简介 安华金和数据库加密系统系统(简称DBCoffer)(以下称:安华金和数据库加密系统)是一款基于透明加密技术的数据库安全加固系统,该产品能够实现对数据库中对的加密存储、访问控制增强、应用访问安全、安全审计以及三权分立等功能。 安华金和数据库加密系统基于主动防御机制,可以防止明文存储引起的数据泄密、突破边界防护的外部黑客攻击、来自于内部高权限用户的数据窃取、防止绕开合法应用系统直接访问数据库,从根本上解决数据库敏感数据泄漏问题。 安华金和数据库加密系统利用数据库自身扩展机制,通过独创的、已获专利的三层视图技术和密文索引等核心技术,突破了传统数据库安全加固产品的技术瓶颈,真正实现了数据高度安全、应用完全透明、密文高效访问。 安华金和数据库加密系统当前支持Windows、AIX、Linux、Solaris等多个平台,提供基于加密硬件的企业版和纯软件的标准版,支持主、从、应急等自身高可用模式,可以满足用户的多种部署需求。安华金和数据库加密系统兼容主流加密算法和国产加密设备,提供可扩展的加密设备和加密算法接口。安华金和数据库加密系统的功能特性更适合于本土应用需求,性能领先5倍以上。 安华金和数据库加密系统产品适用于政府、军队、军工、机要、电信、电力、医疗、金融、互联网等各个领域,同时针对国家等级保护、分级保护、军队保密规定均具有很强的政策合规性。 二. 安华金和数据库加密系统应用背景 2.1 数据库安全已经成为信息安全焦点 政府机关、企事业单位的核心信息的80%是以结构化形式存储在数据库中的,数据库作为核心资产的载体,一旦发生泄密将会造成最为惨痛的损失。当前,数据库的安全防护作为信息安全防护任务的“最后一公里”,其重要性已经被越来越多的部门所认可。据国际权威机构verizon2014统计报告分析,当前96%数据攻击行为是针对数据库进行的;就“核心数
揭秘国内唯一成熟的数据库加密产品
揭秘国内唯一成熟的数据库加密产品 作者:安华金和孙峥 近年来,伴随数据泄露事件频发,人们对于数据库安全的重视程度与日俱增。在政府、机关部委、金融、能源等行业的信息安全建设中,数据库审计、数据库防火墙等安全设备纷纷被定义为“必需品”,然而部署于网络层的安全设备终究鞭长莫及,面对来自存储层的数据文件泄密,依然无能为力。 在对数据库的纵深安全防护体系中,对存储层进行加密的数据库加密产品作为数据库“底线防守”的最有效手段,从存储层对敏感数据进行有效加密保护。这样,从根本上解决了诸如数据文件窃取、高权限特权用户直接登录数据库主机批量检索篡改数据等安全问题。 一. 成熟而可靠的数据库加密产品应当安全而无感 既然作为数据库存储层加密的数据库加密产品如此重要,为什么大多数用户只是选择部署数据库数据库审计、数据库防火墙等网络防护手段,却没有真正实施数据库加密呢?举例来说:如果说网络层数据库安全防护产品是给裸露的数据库穿上衣服,那么数据库加密就是为存在安全漏洞的数据库进行一场精密的心脏搭桥手术,如同病人大多对心脏手术的风险存在疑虑,用户对于数据库加密可能造成的业务风险同样担心。除去加密强度和权限划分这些基本要素之外,用户的担心来自以下几个方面 1. 数据库加密后,我的应用程序和运维习惯会不会被迫大幅度更改。 2. 数据库加密后,性能会不会产生大幅度下降 3. 加密后会否引入新的故障点,产品的稳定性和容灾机制是否值得信赖 这种担心透露出用户对于数据库加密产品的要求,那就是安全提升的同时,不应以牺牲性能和可用性为代价,好的数据库加密产品,要足够成熟可靠,尽可能做到安全但无感,不对用户产生任何额外负担。
安华金和-电信行业解决方案--CRM系统客户信息保密
CRM系统客户信息保密解决方案 1.背景 在以“客户信息为中心”的CRM系统中,存储着大量重要客户资料,如客户的姓名、电话账户、余额、资费套餐等,都是电信运营商最重要的核心业务数据。为保护这些“数字资产”不被泄露,运营商们花费了很大代价,购买并实施了包括防火墙、入侵检测系统、异常流量检测与过滤、集中管控等在内的大量信息安全产品,在边界防护上构筑了一道固若金汤的安全防护“铁闸”。 然而,在近几年电信运营商数据泄密事件仍频频发生,除造成直接的经济损失外,这些泄密事件带来的损失还包括:被泄密客户诉讼、被客户/潜在客户抛弃、品牌受损失、促进竞争对手的成长。 程序员程稚瀚四次侵入北京移动充值中心数据库盗取充值卡密码,获利达300多万元。 2003年,广东联通7名人员利用内部工号和密码对欠费停机手机进行充值,使联通损失260万元。 今年,3.15晚会曝光了移动、联通及原中国网通三大电信运营商的3个“内鬼”多次向“私家侦探”泄露客户信息、通话记录、手机定位信息共获利300万元,其犯罪手段就是通过应用数据库用户口令获取操作员的工号和口令,再通过业务系统导出各种信息,目前,3人均已获刑。 …… 2.CRM系统客户隐私保密需求分析 目前,各大运营商围绕着网络防护、主机防护和应用防护展开了一些列的安全建设,已建立起相对安全的数据应用环境,但由于技术局限和相关安全产品匮乏等原因,数据库安全建设一直未能得到有效开展。因此,在CRM系统中,至少存在以下数据库安全漏洞,能够导致客户隐私信息泄密的发生: 1)应用系统引起的敏感数据泄密 目前CRM系统是一个统一的应用系统,集中了业务受理、投诉申告、故障受理、欠费催缴管理、流失管理、信用度管理、大客户分析、业务分析、收益分析等核心业务模块,同时
安华金和数据库脱敏系统(DBMasker)
安华金和数据库脱敏系统 (DBMasker) 一. 产品概述 安华金和数据库脱敏系统(简称DBMasker)是一款面向生产数据进行数据抽取、数据漂白和动态掩码的专业数据脱敏产品。 DBMasker可以满足测试、开发、培训和数据共享场景的敏感数据保护需求。 DBMasker符合金融、运营商、能源、政府等行业敏感数据防护的政策合规性需求。 二. 产品价值 2.1 防止生产库中敏感数据泄露 DBMasker通过对生产库中的身份、地址、银行卡号、电话号码等敏感数据进行混淆、扰乱后再提供给第三方使用,防止生产库中的敏感数据泄露;DBMasker通过对生产或漂白后的数据进行局部数据抽取,实现非生产环境下数据集合最小化。
2.2 提升测试、开发和培训数据质量 DBMasker通过内置策略和算法,保证脱敏数据有效性(保持原有数据类型和业务格式)、完整性(保证长度不变、数据内涵不丢失)、关系性(保持表间、表内数据关联关系),以提升在测试、开发和培训环节的真实有效性。 2.3 提高数据维护和数据共享安全性 DBMasker通过对生产数据库访问者用户名、IP、工具类型、时间等多个身份维度,控制对生产数据访问结果的差异化;返回结果可以为真实数据或掩码数据,或进行阻断、返回行数限定。 通过对访问者的不同策略,满足细粒度的生产数据访问需求。比如:DBA可维护,但看不到敏感数据;业务系统访问真实数据,BI系统看到扰乱后用户身份信息。 2.4 实现隐私数据管理的政策合规性 通过DBMasker脱敏产品,可以帮助组织满足国际标准、行业监管政策中,对测试和开发环节的敏感数据保护需求。 三. 产品优势 3.1 漂白只是开始,完备脱敏解决方案 DBMasker具备全面的数据漂白能力,同时DBMasker具备以下能力: 1)数据间关系保持:实现表间关系、同表列间关系、数据分布关系保持;
数据库安全审计常见8种缺陷
数据库安全审计常见8种缺陷 作者安华金和刘晓韬 随着信息化的发展,数据库安全问题成为当前政府和企事业单位用户关注的焦点,数据库审计产品已经成为当前信息安全产品的盛宠。 当前在市面上存在着几十种数据库审计产品,这些产品集中起来大约可分四种类型:(1)在网络审计产品的基础上经过简单包装推出数据库审计产品的既有网络审计产品厂商,比如国内几大安全厂商推出的数据库审计产品,安全圈都知道,不再例举; (2)针对数据库通讯协议的特点开发出专门的数据库审计产品的国内细分领域安全厂商,比如安华金和、思福迪、国都兴业、帕拉迪等; (3)国外的数据库审计产品,比如Imperva、Guardium等; (4)OEM第三方的数据库审计产品,OEM对象可能来自国内,也可能来自国外,比如Imperva或韩国的DBInsight。 随着国产化采购政策的推动,处于安全性的考虑,国外数据库审计产品,不在本文的评论范围内。笔者将重点对国内数据库审计产品常见缺陷进行分析。以下分门别类,针对最常见的8类数据库安全审计产品缺陷展开讲解。 长SQL语句漏审 大多数的SQL语句都在1K以里长度,市面上的数据库审计产品大多都能准确记录下,也能实现正常的解析;但在SQL语句超过1.5K时,很多的数据库审计产品就会发生漏审,或者只能审计下部分SQL语句。 一般Oracle一个通讯包的长度在2K,单一包内能够容纳的语句长度大约在1.4K多一点(大约为1460);超过这个大小的SQL语句一般会拆分成多包;在Oracle 11g下通常通讯包为2K,最大可以达到8K;对于Oracle数据库没有明确说明可兼容的SQL语句的长度,有的说32K或64K是个临界点,但笔者也曾作过尝试2M做的SQL语句也能发送并被Oracle正常解析。 对于一些数据库审计产品,由于没有将多个SQL通讯包进行有效解析和关联,在发生长SQL语句时会发生无法解析或解析不全的情况;具体表现是,对于长SQL语句并未记录,或仅记录了前半部分。 这种情况的危害是,对于有些业务系统中自身就包含长SQL语句,比如经分系统,报表系统,这些SQL语句会被漏记;同时,一些黑客或攻击人员会利用这样的一些漏洞,进行数据库攻击而不留下痕迹。比如,若某个数据库审计产品,是基于单包解析机制进行的,则对于超过1.5K的SQL语句无法记录或仅记录了前1.5K,则攻击者可以首先加入1.5K长的注释,然后再写语句,这样会发生漏审或被审计下来的信息无效。
数据库防火墙如何防范SQL注入行为
数据库防火墙如何防范SQL注入行为 一、SQL注入简介 什么是SQL注入 SQL注入是当前针对数据库安全进行外部攻击的一种常见手段。现有主流应用大多基于B/S架构开发,SQL注入的攻击方式正是利用web层和通讯层的缺陷对数据库进行外部恶意攻击。将SQL命令巧妙的插入通讯的交互过程中,如:Web表单的递交、域名输入、页面请求等。通过硬性植入的查询语句攻击数据库,以期利用服务器自身缺陷执行恶意的SQL命令,从而入侵数据库。因此通过SQL注入攻击方式产生的安全事件也在增多,对系统的危害性极大。 通过SQL注入可以远程获取并利用应用里的数据,并且获取未经hashed加密的用户秘钥以及信用卡信息,甚至有以管理员身份登陆进这些应用的可能。下面通过一组常见的SQL注入攻击方式,进行说明: 首先,我们假设数据库中有JOB表,模拟进行攻击,查询表中数据量。 然后,应用中调用恶意的攻击性url向JOB表植入SQL语句: http://localhost:port/webapp/Default.aspx?jobid=1'or 1=(select count(*) from job)— 那么,攻击时等效的SQL语句如下: 1.SELECT job_id, job_desc, min_lvl, max_lvl 2.FROM jobs 3.WHERE job_id='1'or 1=(select count(*) from jobs ) --' 如果SQL注入的假设错误,web页面如图一: 图一 如果SQL注入的假设成功,web界面如图二:
图二 攻击说明:如果SQL注入的假设成功,即证明了数据库中该表的表名是jobs,从而我们也就可以对该表进行增删改操作,从而对数据库安全造成极其严重的危害。 SQL注入的8种攻击行为 安全界有句名言“未知攻,焉知防”,想要预防SQL注入,需要进一步剖析SQL 注入都有哪些常见攻击方式。 1. 猜测数据库名,备份数据库 2. 猜解字段名称 3. 遍历系统的目录结构,分析结构并发现WEB虚拟目录,植入木马 4. 查询当前用户的数据库权限 5. 设置新的数据库帐户提权得到数据库管理员账户权限 6. 利用存储过程获取操作系统管理员账户 7. 客户端脚本攻击:通过正常的输入提交方式将恶意脚本提交到数据库中,当其他用户浏览此内容时就会受到恶意脚本的攻击。 8. 客户端脚本攻击:通过SQL注入方式将恶意脚本提交到数据库中,直接使用SQL语法UPDATE数据库,并将注入SQL经过“HEX编码”,然后通过exec执行“动态”SQL的特性运行脚本。 综上可知,SQL注入对数据库的攻击方式日趋繁多,危害也日益严重,因此如何做好SQL注入的防护工作也就变成考量数据库安全产品的一道标杆。 SQL注入的5种防护方式 常规的SQL注入防护方式,包括以下几个方面 1. 通过正则表达校验用户输入 2. 通过参数化存储过程进行数据查询存取
从等保要求谈数据库安全
从等保要求谈数据库安全 厘清事实真相是最基本的要求 数据库安全=主机安全+数据安全 一. 思考一 6月1日国家网络安全法正式实施 信息安全行业备受重视 暂时忘了如火如荼的传播造势 安静下来,思考一些基本的安全理念 究竟被混淆了多少 今天,在等保标准里我们先来厘清 数据库安全与数据安全之间的关系?
关于数据库安全,公安部信息安全等级保护评估中心的等保要求解释如下:数据库安全是主机安全的一个部分,数据库的测评指标是从“主机安全”和“数据安全及备份恢复”中根据数据库的特点映射得到的。 检验一家信息安全企业是否合格,有一个绕不过去的标准——是否做到“以攻促防”? 信息安全企业必须具备“以攻促防”的发展思路 二. 思考二 企业要有一块领域, 不为变现,只为驱动技术创新 数据库攻防实验的核心理念是 “以攻促防” 做好数据库安全防护工作的“防” 前提是要像攻击者一样深谙“攻击”之道 因此信息安全企业 需要搭建一套攻防研究体系 这套体系需要投入大量人力、财力 然而却并不会给企业带来眼前的利益 原因何在? 只有对黑客攻击的手段、节奏、危害等做到了然于胸,才能有的放矢,做好防护产品。没有对数据库漏洞攻击的研究,数据库安全防护就好似纸上谈兵,失去了真实依据。 2010年成立的安华金和数据库攻防实验室(DBSec Labs),是我国一支独立的、持久的针对数据库安全漏洞、数据库攻击技术模拟和数据库安全防护技术进行研究的专业队伍。对数据库安全漏洞进行研究,是DBSLab的首要职责,目前DBSec Labs不仅在国产数据库的漏洞挖掘方面卓有成效,而且对国际数据库的漏洞挖掘获得认可;同时,也针对黑客数据库入侵手段、数据库防护手段作了深入研究。 对于信息安全企业来说,能不囿于当下,不盲目追逐眼前利益,而是基于长远考虑,积极投身攻防实验,付出长达数年的潜心研究,实在是一个企业立定在信息安全领域,目光如炬,追求可持续发展的最好体现。 让攻防研究成为技术产品研发的内在驱动力,激发企业在产品和技术研发方面的创新力,为整个信息安全行业的发展释放更大的安全价值。
安华金和数据库安全评估系统(DSAS)
安华金和数据库安全评估系统 (DSAS) ?2019安华金和 ■版权声明 本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属安华金和所有,受到有关产权及版权法保护。任何个人、机构未经安华金和的书面授权许可,不得以任何方式复制或引用本文的任何片断。
目录 安华金和数据库安全评估系统(DSAS) (1) 目录 (2) 一. 关于安华金和 (3) 1.1发展历史 (3) 1.2产品路标 (4) 二. 数据库安全评估系统(DSAS) (5) 2.1产品概述 (5) 2.2客户价值 (5) 2.2.1 满足合规安全检测 (5) 2.2.2 发现数据库自身漏洞 (5) 2.2.3 发现使用中安全隐患 (5) 2.2.4 数据库安全状态监控 (6) 2.3产品优势 (6) 2.3.1 风险级别准确 (6) 2.3.2 数据库安全检查范围全面 (6) 2.3.3 数据库安全检查技术先进 (6) 2.3.4 独特的数据库安全状况监控 (6) 2.3.5 自身安全性高 (6) 2.4适用场景 (7)
一. 关于安华金和 1.1 发展历史 北京安华金和科技有限公司(以下简称安华金和),2009年3月2日成立,长期专注于数据安全领域,是中国专业的数据安全产品及解决方案提供商。安华金和由长期致力于数据处理和信息安全的专业人士共同创造,作为中国“数据安全治理”体系框架的提出者,安华金和提供涵盖人员组织、安全策略、流程制定及技术支撑全方位的整体数据安全思路与方案;同时,安华金和作为独立的第三方云数据安全服务商(CDSP),为国内外各大云平台用户提供专业的数据安全保障;安华金和也是中国最大的公有云平台——阿里云在数据安全领域的战略合作方。 安华金和总部位于北京,分设北京营销中心与天津研发中心,下设11大分支机构,业务覆盖华北、东北、华东、华中、华南、西南等全国省市地区。在政府、军工、金融、能源、教育、医疗、企业等各大行业建立多个标杆案例,并取得了良好的信誉口碑。 安华金和以“让数据使用更安全”为最高使命,立志成为世界级数据安全厂商。 围绕该愿景,安华金和主营业务方向分为三大部分: 1、围绕数据库的安全,安华金和推出全线数据库安全产品及解决方案; 2、以整体数据库安全产线为技术支撑,安华金和推出数据安全治理解决方案,面向重点行业推广与实践; 3、基于公有云和私有云环境特征,安华金和推出公有云数据安全服务和私有云数据安全解决方案。
安华金和数据库监控与审计系统(DBAudit)
安华金和数据库监控与审计系统 (DBAudit) 一. 产品概述 安华金和数据库监控与审计系统(简称DBAudit),是一款面向数据库运维和安全管理人员,提供安全、诊断与维护能力为一体的安全管理工具;DBAudit实现了数据库访问的全面精确审计,100%准确应用用户关联审计;DBAudit具备风险状况、运行状况、性能状况、语句分布的实时监控能力。 DBAudit通过数据库化的界面语言、智能化的协议识别、可视化的运行状况呈现、可交互可下钻的风险追踪能力,完美实现免实施、免培训、免维护的二代数据库审计产品。 二. 产品价值 2.1 安全事件追查 提供语句、会话、IP、数据库用户、业务用户、响应时间、影响行等多种维度的数据库操作记录和事后分析能力,成为安全事件后最为可靠的追查依据和来源。 通过SQL行为与业务用户的准确关联,使数据库访问行为有效定位到业务工作人员,可有效追责、定责。 2.2 数据库性能诊断 实时显示数据库的运行状况、数据库访问流量、并发吞吐量、SQL语句的响应速度;提供最慢语句、访问量最大语句的分析,帮助运维人员进行性能诊断。
2.3 发现程序后门 系统提供SQL学习和SQL白名单能力,实现对业务系统的SQL建模;通过合法系统行为的建模,使隐藏在软件系统中的后门程序在启动时,提供实时的告警能力,降低数据泄漏损失。 2.4 数据库攻击响应 系统提供数据库风险告警能力,对于SQL注入、数据库漏洞攻击、过量数据下载、危险SQL语句(如No where delete)等风险行为的策略制定能力,提供实时告警能力。 提供短信、邮件、SNMP、Syslog等多种告警方式。 三. 产品优势 3.1 全面审计(全) 挑战:基于网络流量镜像的数据库审计产品,无法有效实现加密通道下的审计、无法实现对数据库主机上的操作行为的审计、在网络流量过载时容易丢包,从而导致审计信息缺失,给入侵者提供了绕开审计设备的途径。 优势:DBAudit在网络镜像技术基础上,通过可配置的主机探针技术实现了数据库主机的流量捕获,从而实现了对数据库访问流量的全捕获。 3.2 准确审计(准) 挑战:不准确的审计记录,对于审计信息的有效性具有着致命的伤害,使其极大地失去了可信性。
公有云or私有云,数据安全问题不必纠结
公有云OR 私有云,数据安全不再是 个问题 互联网时代的众多产物中,如果说有哪些让用户“又爱又怕”,时下正流行的“云平台”想必要排在前面。IDC 调查显示,对于是否上云,用户顾虑重重:内部IT集成、自定义能力、付费成本等等……,但这些都不是重点,IDC发现75%的用户焦虑的是:上云后的数据安全性如何保障? 因此,很多用户开始考虑采用私有云这种折衷方式来规避这种风险,但对于大多数规模、体量不太大的用户来说,建设私有云并不现实,性价比更高的公有云才是最好的选择,但事实上,无论私有云和公有云,在数据安全方面都面对不同的安全挑战。如何为不同云环境下的用户提供有针对性的数据安全解决方案,安华金和已经有了答案。 8月9日,北京国际会议中心,阿里云栖大会.北京站拉开帷幕,安华金和作为阿里云战略合作方受邀参展。针对私有云与公有云的环境差异,安华金和针对云数据安全给出完美解答,不同云环境,不同防护方案。 一. 私有云环境下,兼顾合规,全面防护 基于信息化水平、资金实力等原因,选择私有云的用户大多分布在政府、金融、运营商、央企等行业。私有云环境相对纯净,安全性方面可以自己把控,不存在过多的安全威胁,但我国信息安全等级保护要求中,对于数据安全提出明确要求,因此满足合规是私有云用户最为关心的问题。 针对合规性要求安华金和给出四点解决方案: 数据保密性:通过数据库加密产品,对数据库中敏感信息按列进行加密保存。 访问控制:通过数据库漏扫、数据库防火墙、数据库加密实现最小授权,使得用户的权限最小化,对重要信息资源设置敏感标记。 安全审计:通过数据库审计实现对用户行为、安全事件等记录,事后可追查。 漏洞修复:通过数据库防火墙的虚拟补丁功能,在不影响业务正常运转的情况下,保持系统补丁及时得到更新。
关于收购北京安华金和科技有限公司的可行性研究报告
北京神州绿盟信息安全科技股份有限公司关于使用超募资金 收购并增资北京安华金和科技有限公司的可行性研究报告 第一节项目概况 一、项目简介 北京神州绿盟信息安全科技股份有限公司(以下简称“绿盟科技”)是我国最早从事网络安全业务的领先企业之一,自创立以来专注于信息安全领域,主营业务为信息安全产品的研发、生产、销售及提供专业安全服务;通过持续的技术创新与产品研发,经过十余年努力,公司已发展成为国内领先、面向国际、具有核心竞争力的企业级网络安全解决方案供应商。 本项目投资主体是绿盟科技全资子公司北京神州绿盟信息技术有限公司(以下简称“绿盟信息”)。绿盟科技全资子公司绿盟信息拟股权收购及增资的方式投资北京安华金和科技有限公司(以下简称:安华金和)25%股权,总投资金额为人民币970万元。安华金和公司是我国专业数据库安全产品和服务提供商之一,已积累较为全面和领先的数据库安全核心技术。 二、项目主体基本情况 (一)被投资方基本情况 公司名称:北京安华金和科技有限公司 公司类型:有限责任公司(自然人投资或控股) 公司住所:北京市海淀区北四环西路9号1705-028 法定代表人:刘晓韬 注册时间:2009年3月2日 注册资本:1206万元人民币 经营范围:许可经营项目:无;一般经营项目:技术开发、技术转让、技术咨询、技术服务、技术推广;销售计算机、软件及辅助设备、通讯设备、自行开发后的产品。
(二)现有股东及出资情况 (三)业务状况 北京安华金和科技有限公司是我国专业数据库安全产品和服务提供商,由长期致力于数据库内核研发和信息安全领域的专业资深人员共同创造,是我国为数不多的能够提供全系列领先数据库安全产品解决方案的公司之一。 安华金和是已积累较为全面和领先的数据库安全核心技术,包括数据库加密技术、数据库通讯协议解析和控制技术、数据库攻击和防御技术,已获得两项国家专利。安华金和有四款数据库安全产品包括数据库保险箱、数据库漏洞扫描系统和数据库防火墙、数据库审计系统,全面覆盖数据库安全防护的事前、事中和事后阶段。 1.安华金和数据库保险箱 该产品是国内领先的数据库加密产品,基于主动防御机制,可以有效防止明文存储引起的数据泄密、突破边界防护的外部黑客攻击、内部高权限用户的数据窃取、逃开应用系统非法访问数据库,从根源上防止敏感数据泄漏;符合我国的等级保护和分级保护的数据库安全加固的政策要求,可以广泛地应用于军队、军工企业、政府、电信运营商、金融、医疗等掌握着大量国家机密信息或公众隐私信息的单位或企业。
政府外网数据库安全解决方案
如何破解政府外网数据库安全难题 作者:安华金和石川潭心 一、政府外网安全背景分析 中国软件测评中心(中国国家工业和信息化部下属单位)2014年12月3日发布《2014年中国政府网站绩效评估总报告》显示,今年评估的900余家政府网站当中,超过93%的网站存在着本级的安全漏洞,其中97%的区县网站被监测到有安全隐患,接受评估的网站包括部委网站、省级政府网站、副省级政府网站、地市政府网站及区县政府网站。这个给政府的形象带来了很不利的影响,甚至给政府工作的正常运行带来了严重的威胁。 近两年暴露的大型安全事件中,主要以互联网公司或大型民营企业为主,如2013年的CSDN 600万用户信息泄露开始;2014年5月小米论坛疑似被“拖库”,该漏洞影响约有800万左右小米论坛用户,2014年3月,携程网也曾连续爆发安全漏洞。事实上,我国政府外网遭受的攻击和信息泄漏事件同样不少,只是出于政府的特殊敏感性,并未进行大规模报道。互联网上近5年此类情况虽多有报道,但更多的事件还隐藏在公众之外。 以下几个典型安全事件的发生,其关键因素在于,政府外网上的数据库安全没有得到重视,这些数据库基本没有防护措施,处于“裸奔”状态。 (1)2014年11月12日,江苏连云港检察院披露,一位多地公安车管系统软件供应商竟变身“黑客”,勾结“黄牛”,在车管所软件系统植入程序,从互联网远程侵入公安网络系统,非法删除车辆违章记录上万条获利,涉案金额1800余万元。 (2)2012年济南市公安局近日成功侦破一起新型制售假证大案。令人吃惊的是,与一般的制售假证件犯罪不同,这伙犯罪分子采取黑客攻击手段,入侵国家级教育网站和多所高校网站,篡改数据后大肆制作和销售假学历、假证书。从2009年11月份至2012年,吴某先后攻击“陕西招生考试信息网”、“江南大学网络教育学院”等网站,向网站数据库添加公共英语三级、计算机二级、自考等各类信息2200余条,每条提成20元-80元不等,共获利10万余元。 (3)2012年广东省揭阳警方发现,被入侵的政府网站多达185个,遍布除西藏外的全国30个省(市、自治区)。在该团伙使用的数据库中发现3万多人办理各类假证的数据,涉案金额3亿多元,盗卖涉及个人隐私的资料数据300多万条。警方共抓获犯罪嫌疑人165名,收缴各类假证书7100多本、假印章10000多枚。 (4)2011年,知名IT人士@月光博客发布微博:“广东省公安厅出入境政务服务网网上申请数据泄露,几乎全部提交网上申请用户的真实姓名、护照号码、港澳通行证号码遭到泄密,目前该漏洞还没有修复。”并提供了相关信息的模糊截图。根据泄露网页首页和末页的数据,此次泄露的信息范围是2011年6月24日2011年12月所有通过网站申请签注的用户资料,总数高达4441387条。 此类事件,不胜枚举,究竟如何破解这个安全难题?
安华金和数据库平安银行行业解决方案4.doc
安华金和数据库安全银行行业解决方案4 安华金和数据库安全银行行业 解决方案 一. 客户需求与挑战 某商行信息化高速发展的时代背景下,各银行积累的客户数据、交易记录、管理数据等呈爆炸性增长,海量数据席卷而来,海量的业务数据不但成为金融业的命脉,也成为不法分子窥探的目标,因此也意味着面临了海量的风险。 目前国家和商行内部对数据的安全管控提出了以下要求: 1) 随着客户的增加,数据库信息价值不断提升,使得数据库面对来自内部和外部的安 全风险大大增加; 2) 内部违规越权操作、外部恶意入侵等行为,事后却无法有效追溯和审计; 3) 业务访问数据库过程过慢,SQL访问性能无法了解并改善; 4) 国家等级保护相关标准中要求等保二级以上信息系统中的网络层面、主机层面和应 用层面均要求进行安全审计、安全控制,同时也明确要求了审计和控制的范围、内
容等,粒度要求到用户级、数据表、字段级。 5) 银监会19号文中也明确提出“控制所有生产系统的活动日志,以支持有效的审计、 安全论证分析和预防欺诈”。 6) 国外信息安全方面的标准或最佳实践(如ISO13335、ISO27001、SP800)等也要 求对用户行为、系统、数据操作行为进行控制和审计。 特别是2014年9月银监会39号文,《关于应用安全可控信息技术加强银行业网络安全和信息化建设的指导意见》(简称意见),特别在操作系统、数据库等领域要加大探索和尝试力度;从2015年起,各银行业金融机构对安全可控信息技术的应用以不低于15%的比例逐年增加,直至2019年达到不低于75%的总体占比该指导意见的发布是我国进一步重视银行业数据安全的表现。 二. 解决方案概述及要点描述 某商行核心数据库在全行范围内是负责银行数据存储和处理核心设施,经过评估一旦核心数据机密性、完整性、可用性遭受损失,将会给社会秩序甚至国家安全造成严重损害。银行因此委托了专业的数据库安全厂商,提出了以下4点安全目标: 1)向合法用户提供可靠信息服务; 2)拒绝非法用户对数据库的访问;
从安全攻击实例看数据库安全之三:数据库攻击原理分析
从安全攻击实例看数据库安全之三:数据库攻击原理分析 摘要:本文将通过对SQL注入攻击技术和数据库加密技术原理以及防护效果进行深入的分析,来辨析数据库安全技术误区“数据库加密能解决SQL注入”,同时本文也给出了SQL注入的防护方法。 一. 数据库安全误区 针对2015年4月互联网大规模报道的全国30省市社保等行业用户信息泄露事件,安华金和对乌云历史报道的社保行业相关漏洞进行集中分析,得出的结论为:大量的信息泄露主要是由于软件中存在的SQL注入漏洞被黑客利用引起的,我们可以把SQL注入比作黑客攻击数据库“锋利的矛”。 有了攻击用的矛,我们再来看防守用的盾:数据库加密技术真正实现了敏感数据的加密存储,采用国内外主流的加密算法,确保加密后的数据通过非正常手段获取后十年内难以非法破解,同时通过独立权控、应用绑定,防止绕过合法应用程序的数据库访问和对内部高权限人员的运维操作管控,号称数据库安全中的王冠,我们可以把数据库加密技术比作数据安全防护措施中“坚固的盾”。 《韩非子·难一》所述的故事中提到:“以子之矛,陷子之盾,何如?”虽然这是个众人皆知的故事,但是现实版的“矛与盾”的故事又发生在大学教材《信息系统安全概论》中,下面我们先引用教材中的原文:
对于安全管理员来说,是否可以通过数据库加密来防止SQL注入呢?在详细解释两种攻防技术前,我们对一个误区给予纠正:数据库加密技术无法抵御SQL注入。原因是数据库加密解决信用卡信息存储安全等问题,而SQL注入是利用应用的弱点窃取数据,由于合法应用肯定能看到明文的信息卡数据,因此加密防守无效。 那SQL注入如何正确防护呢?下面我们先了解下SQL注入攻击的原理。