数据库加密系统技术白皮书
人大金仓 KingbaseES 数据库技术白皮书
技术白皮书金仓数据库管理系统1北京人大金仓信息技术股份有限公司Beijing BaseSoft Information Technologies Inc.金仓数据库管理系统技术白皮书库管理系统技术白皮书目 录1. 概述 (6)2. 产品构成 (6)3. 产品功能 (7)4. 通用性 (7)4.1 符合国际标准 (7)4.2 跨平台支持 (8)4.3 多语言支持 (8)4.4 海量数据存储和管理 (8)4.5 XML 支持 (9)4.6 全文检索引擎 (9)4.7 对 Web 应用的支持 (9)5. 高性能 (9)5.1 大规模并发处理能力 (9)5.2 有效的查询优化策略 (10)5.3 加强的缓冲机制 (10)5.4 服务器端线程池 (10)5.5 SMP 支持及64位计算 (11)5.6 数据分区 (11)6.高安全性 (11)6.1 数据安全权限管理 (11)6.2 数据安全访问控制 (11)6.3 数据安全存储 (12)6.4 数据安全传输 (13)7.高可靠性 (13)7.1 故障恢复机制 (13)7.2 双机热备技术 (13)7.3 自动备份管理 (14)7.4 集群技术 (14)8.与主流数据库的兼容性 (14)8.1 与 Oracle 的兼容 (14)8.2 与 DB2 的兼容 (14)4库管理系统技术白皮书15易使用SQL标准符合主流DBMS兼容易管理系统初始化工具集成易用的企业管理器安全版特性安全版、企业版特性安全版、企业版、标准版特性单机版在标准版基础上裁剪、定制库管理系统技术白皮书提供符合. NET 平台要求的.NET Data Provider。
提供符合 PHP 扩展规范的接口。
提供符合 Perl 扩展规范的接口。
提供兼容 Oracle OCI 的数据访问接口。
完善的应用开发支持支持Visual 、Eclipse、NetBeans、JBuilder、PowerBuilder、Delphi、C++ Builder 等流行的开发环境。
(完整版)数据库审计系统_技术白皮书V1.0
此处是Logo数据库审计系统技术白皮书地址:电话:传真:邮编:■版权声明本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属北京所有,受到有关产权及版权法保护。
任何个人、机构未经北京的书面授权许可,不得以任何方式复制或引用本文的任何内容。
■适用性声明文档用于撰写XX公司产品介绍、项目方案、解决方案、商业计划书等。
目录一.产品概述 (1)二.应用背景 (1)2.1现状与问题 (1)2.1.1现状 (1)2.1.2问题 (2)2.2需求分析 (3)2.2.1政策需求 (3)2.2.1.1《信息系统安全等级保护基本要求》 (3)2.2.1.2《商业银行信息科技风险管理指引》 (3)2.2.2技术需求 (4)2.2.3管理需求 (4)2.2.4性能需求 (4)2.2.5环境与兼容性需求 (5)2.2.6需求汇总 (5)三.产品介绍 (6)3.1目标 (6)3.2产品功能 (6)3.2.1数据库访问行为记录 (6)3.2.2违规操作告警响应 (6)3.2.3集中存储访问记录 (7)3.2.4访问记录查询 (7)3.2.5数据库安全审计报表 (7)3.3产品部署 (7)3.3.1旁路部署 (7)3.3.2分布式部署 (8)3.4产品特性 (9)3.4.1安全便捷的部署方式 (9)3.4.2日志检索能力 (9)3.4.3灵活的日志查询条件 (10)3.4.4灵活的数据库审计配置策略 (10)3.4.5数据库入侵检测能力 (10)3.4.6符合审计需求设计 (11)四.用户收益 (11)4.1对企业带来的价值 (11)4.2全生命周期日志管理 (12)4.3日常安全运维工作的有力工具 (12)数据库审计系统--技术白皮书一.产品概述数据库审计系统(以下简称 XXX)是一款专业、主动、实时监控数据库安全的审计产品。
本系统采用有效的对数据库监控与审计方式,针对数据库漏洞攻击、SQl注入、风险操作等数据库风险操作行为发生记录与告警。
云计算安全技术白皮书数据保护身份验证和网络安全策略
云计算安全技术白皮书数据保护身份验证和网络安全策略云计算安全技术白皮书数据保护、身份验证和网络安全策略随着云计算在企业和个人生活中的广泛应用,数据保护、身份验证和网络安全策略变得尤为重要。
本白皮书旨在探讨云计算环境中的安全技术,特别是在数据保护、身份验证和网络安全方面的策略。
一、数据保护数据保护是云计算中的关键问题之一。
在云计算环境中,数据存储和传输面临着各种潜在风险,包括数据泄露、数据损坏和未经授权的访问。
因此,采取适当的数据保护措施至关重要。
1. 数据加密数据加密是保护数据的一种主要手段。
云计算环境中的数据可以分为静态数据和动态数据。
对于静态数据,可以使用加密算法对其进行加密,以确保数据在存储和传输过程中不被窃取。
对于动态数据,可以采用端到端加密技术,保护数据在客户端和云服务提供商之间的传输过程。
2. 数据备份与恢复数据备份和恢复是保障数据完整性和可用性的重要手段。
云计算环境中,应该定期对数据进行备份,并在发生意外情况时能够快速恢复数据。
备份数据应存储在不同的地理位置,以防止因灾难性事件导致的数据丢失。
二、身份验证在云计算环境中,身份验证是保护数据和系统安全的关键环节。
只有经过身份验证的用户才能访问云计算资源和数据。
因此,有效的身份验证机制对于确保系统的安全至关重要。
1. 单因素身份验证传统的单因素身份验证包括使用用户名和密码进行登录。
但是,这种身份验证方式存在安全性较低的问题,容易遭受密码泄露和密码猜测的风险。
对于敏感数据和关键系统,应该采用更加安全的身份验证方式,如多因素身份验证。
2. 多因素身份验证多因素身份验证是指在用户登录过程中使用两个或多个独立的身份验证要素进行验证,如使用密码和指纹、密码和手机验证码等。
通过多因素身份验证,可以提高系统的安全性,有效防止未经授权的访问。
三、网络安全策略在云计算环境中,网络安全策略的制定和执行是确保系统安全的重要措施。
以下是一些常用的网络安全策略:1. 防火墙和入侵检测系统通过设置防火墙和入侵检测系统,可以监控和过滤网络流量,及时发现和阻止潜在的网络攻击。
2023-十种数据存储加密白皮书V1-1
十种数据存储加密白皮书V1在当今数字时代,数据安全和隐私已经成为了关注的焦点。
为了保证个人数据的安全性,人们使用各种方法保重他们自己的信息。
其中,数据存储加密是加强数据安全的一个重要步骤。
为此,中国电子科技标准化研究院出版了“十种数据存储加密白皮书V1”,本文将对此白皮书进行详细的解读。
第一步:概述此文从“十种数据存储加密白皮书V1”的概述开始。
在这一部分,介绍了一些基本概念,如数据存储加密是什么,它的作用是什么,为什么要用它等。
同时,还详细介绍了十种不同的数据存储加密方案,包括基于AES的加密方案、基于Hash的加密方案、基于RSA的加密方案、基于量子计算机的加密方案等。
第二步:密码算法的基础知识对于数据加密,我们需要了解一些密码算法的基础知识。
其中,对称密钥算法和非对称密钥算法是最常见的两种密码算法。
对称密钥算法在数据传输或保护上起着非常重要的作用,其特点包括加密的秘密密钥在发送和接收双方间共享使用;非对称密钥算法主要由两个密钥组成,一个是公钥,一个是私钥。
公钥可以随意发布,私钥则必须严密保管。
两个术语基本涵盖了所有数据存储加密方案的本质。
第三步:各种加密算法的详细解析此文详细介绍了各种加密算法的特点和使用场景。
其中,对称加密算法的特点是速度快,但安全性不如非对称密钥算法;非对称加密算法的特点是安全高,但是处理速度慢。
基于Hash的加密方案是利用Hash函数将数据转化为一段定长的数值,然后用密钥对其进行加密。
基于量子计算机的加密方案是在量子计算机的基础上添加额外的信息,提高了加密的安全性。
第四步:方案优缺点的对比在这一部分,文中总结了每种加密方案的优缺点。
例如,AES算法是加密速度最快的算法之一,但是不支持较大的密钥;基于Hash的加密方案安全性很高,但是不能将加密的密文解密为明文等。
这些优缺点的总结可以帮助人们选择适合自己的加密方案,增强对数据安全的保护。
第五步:实例应用最后,此文给出了一些实例应用,包括云存储加密、隐私保护、包括区块链等。
oracle白皮书
oracle白皮书Oracle白皮书随着信息技术的快速发展,数据库管理系统(DBMS)在企业中扮演着至关重要的角色。
Oracle作为全球领先的数据库解决方案提供商,其产品和服务在各个行业都得到了广泛应用。
本文将介绍Oracle白皮书的相关内容,旨在帮助读者更好地了解Oracle的优势和特点。
一、Oracle的简介Oracle是一种关系型数据库管理系统,由Oracle公司开发和提供。
它基于客户端/服务器架构,可以在各种操作系统上运行,包括Windows、Linux、UNIX等。
Oracle数据库以其卓越的性能、可靠性和安全性而闻名,被广泛应用于企业级应用和大型数据处理。
二、Oracle的优势1. 高性能:Oracle数据库具有优化的查询引擎和高效的数据存储结构,可以处理大规模的数据操作,保证系统的高性能和响应速度。
2. 可靠性:Oracle数据库采用了先进的容错和恢复机制,可以防止数据丢失和系统崩溃,并提供了完善的备份和恢复功能。
3. 安全性:Oracle数据库提供了严格的访问控制和权限管理机制,可以保护数据的安全性,防止非法访问和数据泄露。
4. 可扩展性:Oracle数据库支持水平和垂直的扩展,可以根据实际需求进行灵活的扩展和部署,提供高可用性和可伸缩性。
5. 高可用性:Oracle数据库提供了多种高可用性解决方案,如数据复制、故障转移和集群技术,确保系统的持续运行和业务的连续性。
三、Oracle的关键特性1. 数据库安全:Oracle数据库提供了多层次的安全性保护,包括身份验证、访问控制、加密和审计等功能,保障数据的机密性、完整性和可用性。
2. 数据库性能优化:Oracle数据库具有强大的性能优化功能,包括索引优化、查询优化、内存管理和并发控制等,保证系统的高效运行。
3. 数据库管理:Oracle数据库提供了全面的数据库管理工具和功能,包括备份和恢复、性能监控、空间管理和数据迁移等,简化了数据库管理的工作。
ORACLE数据库高级安全功能白皮书
ORACLE数据库高级安全功能白皮书ORACLE ADVANCED SECURITY具备加密和数据编辑特性,实现隐私与合规性加密特性∙对数据库列或整个表空间中的应用程序数据加密∙内置加密密钥生命周期管理,配有辅助的密钥轮换∙行业标准算法,包括AES(128、192 和256 位密钥)∙Intel® AES-NI 和Oracle SPARC T系列提供硬件加速∙Oracle Exadata 集成,与Oracle RMAN、ASM、RAC、Advanced Compression、Active Data Guard 和GoldenGate 等数据库技术直接集成编辑特性∙动态编辑,限制应用程序中敏感信息的暴露∙声明式编辑策略,在数据库中集中管理∙多类编辑转换,适用于不同的应用场景∙使用Oracle Enterprise Manager 进行策略管理,与Oracle SQL Developer 直接集成客户收益∙在当前和原有应用程序中保持透明且一致的数据安全性∙高速实现∙易于部署和管理∙完全支持Oracle Multitenant 选件Oracle Database 12c 中包含的Oracle Advanced Security 提供业界领先的加密和数据编辑功能,对于保护敏感应用程序数据至关重要。
透明数据加密和数据编辑有助于防止未经授权的用户访问应用程序层、操作系统、备份介质和数据库导出中的敏感信息。
Oracle Advanced Security 完全支持Oracle Multitenant 选件,并与Oracle 工程化系统相集成,从而实现无与伦比的性能。
Oracle Advanced Security 概述保护数据需要使用一种纵深防御的方法,其中包括预防、检测和管理控制。
Oracle Advanced Security 预防控制可帮助满足众多的法规要求、防止数据泄露以及保护隐私相关信息。
数据库加密系统技术白皮书
博睿勤数据库安全保密支撑平台(BR-SDB V2.0)技术白皮书军用信息安全产品(军密认字第0194号)商用密码产品(国密证第0129号)博睿勤技术发展有限责任公司目录1. 概述 (1)1.1. 数据库安全在信息安全中的地位 (1)1.2. 基于应用的数据库安全解决办法及弱点 (1)1.3. 博睿勤数据库安全保密支撑平台 (1)1.4. 适用领域 (2)2. 系统架构与工作原理 (2)2.1. 安全的数据库应用系统架构 (2)2.2. 总体结构与工作原理 (3)2.3. 安全子系统结构与工作原理 (4)2.4. 系统组成 (5)3. 系统功能 (5)3.1. 增强的身份鉴别过程 (5)3.2. 数据库存储加密 (6)3.3. 数据库访问通信加密 (6)3.4. 备份与恢复 (6)3.5. 其它安全功能 (6)4. 特点 (6)4.1. 安全功能应用无关 (6)4.1.1. 标准接口 (6)4.1.2. 标准SQL支持 (6)4.1.3. 加密内容可管理和配置 (7)4.2.高安全性 (7)4.2.1. 强调整体安全 (7)4.2.2. 高强度加密算法及专用芯片 (7)4.2.3. 安全的数据库加密密钥管理 (7)4.2.4. 一次一密的通信加密 (7)4.2.5. 安全的运行管理 (7)4.3. 高效率 (8)4.4.广泛的平台支持 (8)4.5.丰富的产品形态 (8)5. 性能与技术指标 (8)5.1. 硬件密码装置技术与性能指标 (8)5.2. 数据库加密总体性能指标 (9)6. 应用系统开发与移植 (9)6.1. 应用系统接口技术 (9)6.2. 已有系统移植方法和过程 (10)6.3. 应用系统开发方法和过程 (10)1.概述1.1. 数据库安全在信息安全中的地位“信息化是我国加快实现工业化和现代化的必然选择”,而信息安全问题是影响信息化进程的重要因素之一。
近年来,业界对信息安全的重要性有了很深的认识,采取了大量积极有效的措施,但都偏重于对网络和操作系统的保护,真正对数据库中的信息实施直接保护的并不多。
shindata dsc 白皮书
ShinData DSC(Database Security Control)是由新数科技推出的数据库安全管控平台,旨在提供全生命周期的SQL安全管理和控制。
根据提供的参考信息,该平台能够与企业工单系统无缝集成,自动化执行方案设计,确保开发、测试、生产上线SQL脚本的一致性,并能够进行语法语义检查,实现统一的SQL操作管理。
关于ShinData DSC的白皮书,通常会详细阐述产品的功能、架构、使用场景、安全性能指标以及实施策略等内容。
白皮书中可能会包含以下几个部分:
产品概述:介绍ShinData DSC的基本功能和特点,以及它如何帮助企业保护数据库免受未经授权的访问和潜在的安全威胁。
技术架构:详细描述ShinData DSC的技术架构,包括其与现有系统的集成方式、工作原理以及如何部署。
使用场景:列举ShinData DSC在不同行业和业务场景中的应用案例,展示其如何适应各种安全需求。
安全性能:详细说明ShinData DSC在保障数据库安全方面的性能指标,如访问控制、审计日志、数据加密等。
实施策略:提供如何部署和配置ShinData DSC的指南,包括最佳实践和常见问题解答。
客户案例:分享已经实施ShinData DSC的客户的成功故事和反馈,展示产品的实际效果。
未来展望:讨论ShinData DSC的未来发展计划和技术路线图,以及如何适应不断变化的数据库安全挑战。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
数据库加密存取及强权限控制系统技术白皮书Oracle版目录1.产品背景 (1)2.解决的问题 (3)3.系统结构 (6)4.部署方案 (7)5.功能与特点 (9)6.支持特性 (10)7.性能测试数据 (11)1.产品背景随着计算机技术的飞速发展,数据库的应用十分广泛,深入到各个领域。
数据库系统作为信息的聚集体,是计算机信息系统的核心部件,其安全性至关重要。
小则关系到企业兴衰、大则关系到国家安全。
在重要单位或者大型企业中,涉及大量的敏感信息。
比如行政涉密文件,领导批示、公文、视频和图片,或者企业的商业机密、设计图纸等。
为了保障这些敏感电子文件的安全,各单位广泛的实施了安全防护措施,包括:机房安全、物理隔离、防火墙、入侵检测、加密传输、身份认证等等。
但是数据库的安全问题却一直让管理员束手无策。
原因是目前市场上缺乏有效的数据库安全增强产品。
数据库及其应用系统普遍存在一些安全隐患。
其中比较严峻的几个方面表现在:(1)由于国外对高技术出口和安全产品出口的法律限制,国内市场上只能购买到C2安全级别的数据库安全系统。
该类系统只有最基本的安全防护能力。
并且采用自主访问控制(DAC)模式,DBA角色能拥有至高的权限,权限可以不受限制的传播。
这就使得获取DBA角色的权限成为攻击者的目标。
而一旦攻击者获得DBA角色的权限,数据库将对其彻底暴露,毫无任何安全性可言。
(2)由于DBA拥有至高无上的权利,其可以在不被人察觉的情况下查看和修改任何数据(包括敏感数据)。
因此DBA掌控着数据库中数据安全命脉,DBA的任何操作、行为无法在技术上实施监管。
而DBA往往只是数据的技术上的维护者,甚至可能是数据库厂商的服务人员,并没有对敏感数据的查看和控制权。
现阶段并没有很好的技术手段来约束DBA 对数据的访问权限,因此存在巨大安全隐患,特别是在DBA权限被非法获取的情况下,更是无法保证数据的安全。
(3)由于C2级的商业数据库对用户的访问权限的限制是在表级别的。
一旦用户拥有了一个表的访问权限,那么表中的任何数据都具有访1问权限。
但是一个表中可能存在敏感和非敏感字段。
对于敏感数据,只有特定权限的人才能访问。
此时数,据库自身的安全控制就显得力不从心。
(4)数据库系统是一个复杂的系统,根据已经公布的资料,数据库存在许多风险,其中不少是致命的缺陷和漏洞。
举例来说,全球公认安全性出众的数据库产品在2006 年1 月发布了其季度安全补丁包中就修补了多个产品中的80 多个漏洞。
其中不少漏洞可以非常容易地被黑客利用。
一旦遭到攻击,攻击者可能以DBA的身份进入数据库系统,也可能进入操作系统,下载整个数据库文件。
从上面分析可以看出,仅靠边界安全防护(防火墙、防病毒、入侵检测、漏洞扫描)是不可能解决数据库相关的所有的安全问题。
尤其不能解决数据库内部敏感数据的安全问题。
公安部、国家保密局、国家密码管理局和国务院信息化工作办公室等部委于2006年出台了相关规定,要求信息系统,尤其是重要部门的信息系统要充分运用密码技术对信息系统进行保护。
对于采用密码对涉及国家秘密的信息和信息系统进行保护的,密码的设计、实施、使用、运行维护和日常管理等,应该按照国家秘密管理有关规定和相关标准执行;对于采用密码对不涉及国家秘密的信息和信息系统进行保护的,应该遵照《商用密码管理条例》和密码分类分级保护有关规定和相关标准。
另外,国家出台了相关规定,要求重要部门的信息系统对数据资产实行等级保护。
对于信息系统中的信息资产,应该根据其敏感程度,指定不同的安全等级,实施不同的安全保护策略。
为增强数据库系统的安全,满足数字资产等级化的安全防护要求,有选择性的保护数据库内部敏感数据的安全性,本产品通过在数据库管理系统的内核中嵌入自主研发的安全防护系统,通过字段级别的访问控制来达到对敏感数据的防护目的。
敏感数据以乱码的形式存在,通过数字签名实现强访问控制,非授权用户(包含DBA)查看到的数据为空,而授权用户的使用则不受任何限制。
并且本产品对于应用系统来说是完全透明的,不需要基于数据库的应用系统做任何改动。
22.解决的问题本产品基于自主技术,重点解决如下3个方面的问题:(1)敏感数据的乱码存储在没有进行安全性加强的商业数据库系统中,敏感数据的存储和备份是以明文形式进行的。
很容易从文件系统中得到存储的内容。
即使是进口的安全数据库产品,核心技术被别人掌握,且加密算法受到限制,安全性同样得不到保障。
所以,存储媒体(如:硬盘、光盘、磁带等)一旦被盗,或者存储文件被非法复制,后果将不堪设想。
针对该隐患,本产品采用加密算法,将敏感数据的编码进行混乱,从而将敏感数据进行乱码存储。
这样,即使存储介质或存储文件丢失,由于有加密算法的保护,获得者也不能得到真正的敏感数据。
通过这种方法,实现对敏感数据资产的分级保护。
为保证系统的易用性,本产品支持完全透明的混乱过程。
除BLOB类型的字段外,部署本产品不需要对应用系统进行重新编译。
图1所示为透明混乱过程的示意图。
34 业务服务器混乱解密授权用户攻击者身份认证授权检验图 1 透明混乱过程示意图 如图1所示,数据在存入物理存储时,敏感字段通过加密变换,以乱码的方式存储到物理数据库中。
假设密钥是安全的且混乱算法强度足够,则数据的存储也是安全的。
在这种情况下,入侵者或者存储介质获得者只能看到乱码,而不能得到真实内容。
在检索时,首先进行授权的检验,对于授权用户,敏感字段的乱码经过解密变换,以明文的方式返回检索结果。
对于非授权用户,则返回乱码或者空。
(2)乱码敏感字段的高效检索安全性与可用性是矛盾的。
采用乱码存储以后的一个问题是破坏了原有数据的偏序关系,数据库原来的索引机制因此失效,导致数据的检索性能被显著的降低。
因为此时对敏感字段进行条件检索时,需要对整个字段进行解密变换,再进行顺序查找。
在记录数或数据量庞大的时候,性能可能降低到不可以被接收的程度。
这将是引起数据库安全增强系统应用受到阻碍的最大的因素。
而对密文建立外部索引的方法,会导致多用户并发访问时的数据不同步以及事务机制的失效。
本产品采用自主专利的乱码索引技术,在数据库管理系统内核建立乱码索引,将敏感字段的乱码存储对数据库访问性能的损失降到最低。
当用户对某一敏感字段进行条件检索时,DBMS首先通过乱码索引完成范围查询,从而避免了全部解密。
同时自动支持多用户并发访问时的数据同步以及事务机制。
(3)增强的授权管理目前广泛采用的C2级商业关系数据库产品中存在管理员权限过大的问题。
在某些情况下,会导致敏感信息的泄密。
针对该安全隐患,本产品采用高级技术手段,增设安全管理员和审计管理员,限制DBA的权限,使得DBA不能随意查看被保护的关键数据。
只有同时经过DBA授权和安全管理员授权的用户,才能进行被保护数据的存取。
同时安全管理员的授权行为收到审计管理员的监督。
图2给出增强的授权管理机制的示意图。
5图 2 增强的授权管理机制的示意图如图2所示,在本产品中,增设一个安全管理员和一个审计管理员。
安全管理员的增设可以限制DBA的权限,以此解决DBA可以读取数据库中包括敏感信息在内的所有信息的安全隐患。
而审计管理员独立于安全管理员,实现对安全管理员授权行为的监督。
3.系统结构本产品的系统结构如图3所示。
图 3 系统结构图如上图所示,本产品内嵌于DBMS中,作为数据库系统内核的一部分,和DBMS运行在同一进程空间,极大的提高了增强系统的安全性和可靠性以及效率,也保证了该系统的良好跨平台特性。
应用程序端通过与改造前完全相同的方式连接DBMS,增强系统在DBMS内部对请求进行授权检验。
对于授权用户,通过请求密码服务对数据进行加/解密操作。
对于非授权用户,则直接返回空值,达到保护敏感数据的作用。
6系统管理配置模块用于安全管理员对敏感字段管理,安全操作员进行安全策略的应用,以及审计管理员查看审计信息。
4.部署方案单数据库服务器环境下,系统的部署方式如图4所示。
应用服务器图4 系统部署结构图如图4所示,在单机环境下,系统的部署非常简单。
将DB-SIMS服务器接入数据库服务器所在的网络中,安全管理员和操作员仅仅需要通过浏览器在远程通过系统配置管理模块即可完成整个系统的安装和部署。
在实际应用中,还可以将DB-SIMS服务器和数据库服务器部署于同一个服务器硬件之上。
对于多服务器环境,系统的部署方式如图5所示。
7如上图所示,对于多个不同的数据库系统,可以统一的进行管理。
只需将DB-SIMS服务器部署在相应的网络上,就可以通过管理终端,通过浏览器将DB-SIMS安装到不同的数据库平台上。
即使是在外网的管理员也可以通过Internet 与内网相联,并通过管理终端,实现敏感信息的安全管理。
DB-SIMS服务器是网络服务器和DB-SIMS系统的安装服务器。
管理终端PC连接到该服务器上将系统注入到各个数据库中。
针对各个数据库的安全策略存储于各个数据库中,便于数据的统一备份。
即使DB-SIMS服务器崩溃,也不会导致系统整个数据库的服务中断。
管理终端可以分布在任意安全管理员或者审计管理员可以操作的计算机上,只要可以与DB-SIMS服务器相连,就可以通过浏览器进行相应管理。
85.功能与特点功能:1) 根据分级保护原则,对敏感信息进行字段级细粒度的乱码保存;2) 灵活根据防护需要设置敏感数据列的混乱算法;3) 增设安全管理员,实现对DBA权限的削弱,实现对敏感数据的责权一致,数据所有者管理数据的访问权限;4) 增设审计管理员,对安全管理员的授权情况进行独立的审计,保证每一个操作都有记录可查,实现对安全管理员授权行为的监督;5) 支持多安全管理员,各自拥有安全域。
特点:1) 系统直接运行在DBMS进程空间,减少了进程间通信的性能损失,最大程度的提高了系统的安全性和可靠性;2) 采用自主专利的乱码索引机制保证高效率的密文条件检索;3) 对敏感信息访问权限粒度控制在字段级;4) 提供基于浏览器的简单、友好、易操作的操作界面;5) 对于常规字段类型,混乱过程对应用程序访问过程完全透明,无需客户端做任何改动,最小化对其他系统的影响;6) 对于BLOB类型的字段,提供实现透明加密的API;7) 支持多用户并发访问,支持数据的同步,支持事务机制;8) 所有的授权信息和审计信息都通过PKI技术保证记录的完整性和不可抵赖性;9) 良好的跨平台特性,支持任何平台上的Oracle9i、10g数据库。
6.支持特性支持平台:本产品支持任何已安装Oracle9i、10g的平台,例如:●Windows 2000, XP, 2003●Linux●Solaris,HP-UNIX●AIX 等支持的安全算法:●支持软件混乱和硬件混乱●支持经国家批准使用的专用密码算法●支持用户自定制混乱算法●支持MD5,SHA算法支持全透明混乱字段:●NUMBER●RAW●CHAR●VCHAR●Date支持通过API实现透明混乱字段:●BLOB●BFILE●CLOB7.性能测试数据测试环境:●硬件配置:内存 1G,CPU 2GHZ●操作系统:Windows XP, SP2●混乱算法:3DES(软件实现,128位密钥)●测试表:TEST,如下图所示●ID:主键●敏感字段:DATA(1)性能测试一:敏感字段不作为查询条件查询语句:select * from test where id <= N;表中记录数返回记录数保护前时间保护后时间(秒)有乱码索引无乱码索引1万0 0.0 0.0 0.0 100 0.0 0.0 0.0 1000 0.8 0.8 0.810万0 0.0 0.0 0.0 100 0.0 0.1 0.1 1 000 0.7 1.8 1.850万0 0.0 0.0 0.0 100 0.0 0.1 0.1 1 000 0.6 1.2 1.2分析:在正常使用情况下(返回记录小于1000条),性能损失在原表的2倍以内。