数据库安全管理加密系统

数据库信息系统必备

数据库安全管理加密系统

《数据库安全管理加密系统》以软硬件结合方式彻底解决数据泄密问题，即使数据库非法侵入或拷贝，得到的也是一堆无法可解的乱码，而目前银行、电信部门客户数据外泄案频发，公安部门对保密要求更高，数据库裸放在服务器中，随时有泄密危险。

目录

1.产品背景 (3)

2.产品简介 (5)

3.产品架构 (6)

3.1 DBLOCK安全平台 (6)

3.2 服务器端代理（Server Agent） (7)

3.3 WEB管理控制台（Console） (8)

3.4 安全策略和安全审计中心 (9)

4.产品功能及特点 (10)

4.1 数据库数据透明加密 (10)

4.2 数据库透明访问，不需对应用作任何修改 (10)

4.3 数据传输加密 (11)

4.4 透明安全代理 (11)

4.5 三权分立管理 (13)

4.6 完善的系统审计功能 (14)

4.7 支持多数据库系统 (14)

4.8 DBLOCK系统特点 (14)

数据库安全管理加密系统

最近几年，个人信息大规模泄露、造成巨大损失的事件时有发生：

1、招商银行、工商银行员工兜售客户信息，造成损失达3000多万元。

2、京东商城客户账号泄密案件。

3、CSDN几百万用户注册信息库被黑客盗取。

4、天涯社区论坛4000万用户数据泄露。

5、taobao泄密事件.

6、开心网账号泄密事件

1.产品背景

随着计算机技术的飞速发展，各类信息系统的应用已深入到各个领域。但随之而来应用系统和数据库的安全问题尤为凸显。数据库系统作为信息的聚集体，是计算机信息系统的核心部件，其安全性至关重要。小则关系到企业兴衰、大则关系到国家安全。

在涉密单位或者大型企事业单位中，广泛的实施了安全防护措施，包括机房安全、物理隔离、防火墙、入侵检测、加密传输等等。但就应用系统本身和数据库的安全问题却一直得不到应有的重视。同时，之前的市场上也缺乏有效的应用系统和数据库安全的统一解决方案。这就致使数据库及其应用系统在安全方面普遍存在一些安全隐患。其中比较严峻的几个方面表现在：

（1）应用系统身份验证强度问题。

目前许多应用系统本身缺乏有效的强身份认证安全机制，应用服务提供者如何验证用户的有效身份，用户如何验证服务提供者的身份，如何保证在网络上传输的数据不被篡改。

（2）数据库安全问题。

由于国内只能购买到C2安全级别的数据库安全系统，该类系统采用自主访问控制（DAC）模式，DBA角色能拥有至高的权限，权限可以不受限制的传播。

这就使得获取DBA角色的权限成为攻击者的目标。一旦攻击者获得DBA角色的权限，数据库将对其彻底暴露，毫无任何安全性可言。

数据库系统是一个复杂的系统，根据已经公布的资料，数据库存在许多漏洞，其中不少是致命的缺陷和漏洞。举例来说，号称拥有全球最安全的数据库产品的Oracle 公司在2006 年1 月发布了其季度安全补丁包，该补丁包修补了多个产品中的80 多个漏洞。其中不少漏洞可以非常容易地被黑客利用，一旦遭到攻击将给用户造成严重影响。

数据库及其应用系统每天都可能受到包括SQL注入攻击在内的广泛的攻击。攻击者利用应用程序设计中的漏洞，对数据库系统发起攻击，获得不应该具有的权限，甚至下载整个数据库文件，给数据库的安全造成严重威胁。

C2级数据库采用基于口令的认证方式。本身缺乏有效的登录口令管理机制，口令更换周期长，使用复杂口令很困难，口令泄露的风险大。

由于C2级商业数据库管理系统在上述各个安全方面的不可信，攻击者可能通过非正常途径来访问数据库，破坏系统的安全性。

2.产品简介

DBLOCK数据库安全管理系统（简称“DBLOCK 系统”）是一款多数据库平台安全加固系统，该产品能够实现对数据库数据的加密存储、强制权限控制、敏感数据访问审计。DBLOCK系统可以防止绕过企业边界（FireWall、IDS\IPS等）防护的外部数据攻击、来自于内部的高权限用户（DBA、开发人员、第三方外包服务提供商）的数据窃取、以及由于磁盘、磁带失窃等引起的数据泄密。

在对现有应用不做任何更改的情况下，DBLOCK系统可以对数据库应用系统中的数据，进行数据透明加密；并在现有的数据库权限访问控制的基础上，增加了数据安全管理员（DSA）进行加密数据的加密和解密权限控制，有效防止数据库特权用户访问敏感数据；同时增加了数据审计员（DAA）对安全行为和敏感信息的访问进行审计追踪。

当前主流数据库安全加固方案包括前置代理、应用加密和数据库自带加密选件TDE。前置代理需要应用大幅改造、大量数据库核心特性无法使用；应用加密必须由应用实现数据加密，加密数据无法检索。同时需对应用系统进行大幅度的改造，已有系统无法透明移植；另外国外数据库所提供的TDE 不能集成国产加密算法，不符合国家密码政策。因此这几种方案一直未能得到有效推广。

DBLOCK 通过自主专利SQL 智能分析引擎和密文索引等核心技术，突破了传统数据库安全产品的技术瓶颈，可以实现数据高度安全、应用完全透明、密文高效访问。

DBLOCK系统当前支持Oracle、SQL server、DB2、Sybase 等多种数据库平台，满足用户的多种部署需求。

3.产品架构

DBLOCK 系统由三部分组成：客户端代理（Client Agent）、DBLOCK安全平台、服务器代理(Server Agent)。

客户端代理：运行在所需保护的应用客户端或连接数据库的应用服务器上面，支持Windows、Unix、Linux主流操作系统平台。

DBLOCK安全平台：独立的硬件设备，安装在网络环境中，主要完成基于机器特征的身份认证、资源访问权限控制、密钥管理、数据库数据实时加/解密、安全策略管理、Web Service均由核心设备完成。

服务器代理：驻留在数据库内部，主要实现数据库与DBLOCK安全通讯，表空间内的密文数据索引，和密文数据存储。

3.1 DBLOCK安全平台

DBLOCK安全平台由WEB管理控制台、API 调用库、安全守护进程构成。主要为客户端代理(Client Agent)、服务器端代理(Server Agent)和WEB管理控制台服务，并实现对加密设备的兼容，系统配置信息和审计日志存储在“ODBC数据存储中心”中。

WEB管理控制台负责安全守护进程加解密功能的启动和停止。

API 调用库，对外供服务器端代理(Server Agent)调用完成加解密功能，供服务器端代理(Server Agent)获得加密设备信息和密钥生成；同时对客户端代理(Client Agent)提供终端安全认证；对内供WEB管理控制台完成加解密功能的启动。

安全守护进程是一个独立运行的服务进程，负责提供远程或进程间的服务形