DBSec-产品介绍-Ver.pptVIP

1 主要内容介绍 数据库安全管理DBSec2005 检验结论 由广州亿福安科技有限公司送检的亿福安DBSec数据库安全管理系统DBSec2005 经本中心检测 所测项目符合 GA T389 2002计算机信息系统安全等级保护数据库管理系统技术要求 第三级安全标记保护级中 标记 强制访问控制和审计安全功能 以及TCB设计和实现的相关要求 摘自 公安部计算机信息系统安全产品质量监督检验中心主要案例介绍 2 积极防御构建等级化的核心数据资产安全体系 3 数据库安全管理系统是 按照数据安全等级化的结构体系 对存放在数据库内的机密或敏感数据进行综合性统一安全管理 DBSec2005数据库安全管理系统是跨平台的 是基于第三方的 包括 数据加密 强制性访问控制和独立审计 什么是数据库安全管理系统 4 难题 数据库系统的部署 怎样在不同的部门配置数据库的安全 怎样在不同的部门实施统一的安全策略 多个不同的部门用户如何共享数据库里数据 怎样使得共享数据时 保证数据库里的数据安全 任何数据都会成为被攻击的目标 保护数据最有效的方法就是把数据进行加密 5 为什么需要数据库安全管理系统 兵法丰篇 秘曰 谋成于密败于泄 三军之事 莫重于秘 自古兵机贵于密 在信息化高度发展的今天 保护核心数据的安全比以往任何时候都更为重要 当前信息安全建设重点逐步转到网络和终端的运行安全 系统服务器的核心数据安全上时 边界安全是被动式的防御 信息系统内部欠缺安全 一旦边界安全被突破 就暴露一切机密数据 数据库系统是信息系统的心脏 存放着大量的机密数据 数据库系统的入侵和数据丢失是致命的打击 机密数据被窃取 篡改造成的危害将是全范围 大规模 极其严重的 6 国家安全政策法规 商用密码管理条例 中华人民共和国计算机信息系统安全保护条例 国家密码管理委员会办公室公告 第一号 信息的等级绝密级机密级秘密级安全级别的信息要求审计跟踪 要求有合理的访问控制机制 7 政策法规 计算机信息系统安全等级保护通用技术要求 GA T390 2002 在4 3 7节用户数据保密性存储保护中规定 应对存储在TSC内的用户数据进行保密性保护 包括 a 自主访问控制 应确保每一个用户的数据 不被该用户授权以外的任何用户或授权用户以任何未经授权的方式访问 b 强制访问控制 应确保系统中的数据 不被任何未经授权的用户或授权用户以任何未经授权的方式访问 c 数据加密存储 应对系统中的重要数据进行加密存放 确保除合法持有密钥者外 其余任何用户不能获得该数据 8 DBSec2005设计目标 符合等级保护标准 达到标准 第三级 安全标记保护级 9 DBSec2005 数据库安全管理系统 10 产品的功能和特点 安全不影响应用 透明加载在当前系统中 操作简单 部署灵活 安装方便同时管理多种 多个数据库 支持多种操作系统 Oracle SQL 对敏感数据列进行有选择的加解密保护 安全 整体效率达到最佳安装产品后对原有应用和数据库的效率和性能不产生任何大的影响针对数据库用户的访问控制 数据信息访问受已制定的策略控制数据库用户的密码的完整性保护基于安全策略的体系化结构 角色分离 数据的使用权 维护权和审计权分权控制 管理者能控制安全控制颗粒小 控制方式多种 丰富的角色 时间 地点的存取机制完善的密钥管理和灾备恢复采用加密的第三方的审计和报表即使本产品遇故障DOWN掉 也不影响原有应用和数据库的运行 11 支持多种数据库 集中管理 DBSec能够在一个平台管理多个不同的数据库 AgentServerAgent AgentForOracle9i AgentForOracle10g AgentForSQLServer2k DBSecAdmin DBSecAdmin DBSecAdmin 安管服务器 安全策略执行模块 安全策略管理中心 控制界面 Navigator Supportedplatform OracleonWindows Linux AIX Solaris HPUXSQLServer2000 HUB 12 对敏感数据的加密保护 对敏感的数据列有选择的进行加密保护每一列都是不同的唯一的密钥 并受到保护 实时的加密 解密 应用层 客户透明强力的加密算法 国家指定的专用算法 SCB2支持多种硬件加密设备 加密卡 加密机 13 加密访问控制 授权用户 授权访问 非授权访问 非授权用户 14 角色分离 分权管理 预防内部的风险数据库管理员 简称DBA 不能看到敏感的数据 但能够设计 完成 执行 维护数据库系统安全员 简称SO 不能看到敏感的数据 但能够配置和执行安全策略等 DatabaseAdministration Navigator SecurityOfficer 15 如何保护数据 加密参数 符号密钥 数据 访问控制R W D 访问控制R W D 元数据 密钥寄存器 16 工作原理 AgentServer Packages Functions Procedures DBAgent trigger Application 临时策略中心 HUB 策略管理中心 17 安全管理员的多种角色 SecurityOfficer Administration负责设置安全管理员 Policy负责配置安全策略 Deployment负责执行安全策略 Audit负责查看审计日志 18 制定安全策略体系 强大的访问控制 基于角色和基于时间 地点的访问控制访问策略AccessPolicy 基于列的访问策略基于角色的访问策略定义了谁 什么时间和什么地点能否访问受保护的数据非常方便管理多种数据库多台数据节点 User SO AgentServer DB Agent SetRole IP Time 19 公开信息的访问控制 公开信息不加密公开信息访问控制针对应用系统的防篡改 防删除 APPServer AppClient noencryption AppClient noencryption 20 独立的密钥管理机制 所有密钥随机产生 存放在加密机中DBSec2005服务密钥产生主密钥产生数据密钥内部策略加密密钥通讯密钥creationDBSec2005管理密钥主密钥内部策略密钥通讯密钥 Keyencryptionkey 21 DBSec自身安全性 CA认证单元和PKI机制每个组件和管理员都有独立的证书每个组件之间采用SSL认证和加密通讯 DBSecHubCA DBSecNavigator Agent AgentServer 22 第三方的审计与报表 DBSec2005服务产生加密的纪录文件 跟踪对敏感信息相关的流向加密的纪录文件 输入到DBSec2005服务器中作为管理 审计和报表 User Agent AgentServer DB HUB Auditmanager Report 23 审计与报表 具有多种审计模式 包括管理员审计 系统审计 代理审计记录每个具体事件详细信息针对用户和加密列制定审计策略能够对审计信息进行分类 方便查找 24 DBSec对性能的影响 加密是非常耗费资源的 但DBSec能够避免 减少和控制性能的下降简约使用 列级的选择 大大降低安全部署的复杂性根据需要可以很方便的撤销部署提供加密索引 ClearTextIndex 支持不加密的访问控制 25 如何部署DBSec2005 10g DBSecNavigator DBSecHub 应用服务器 Oracle9i SQL2K 用户终端 数据库管理员 SecurityOfficer DBSecAgentDBSecAgentServer 26 DBSec2005具体部署 DBSecAgent和AgentServer安装在数据库服务器DBSecHUB安装在PC服务器DBSecNavigator安装在桌面PC机 HUB Agent AgentServer Agent AgentServer Navigator SSL SSL 27 高可用性机制 OracleImportExportOracleRMANOracleRACOracleDataGuardIBMHACMPSQLServer单机备份和集群 安全服务器HUB 数据库AgentServer SONavigator BackupAgentServerMachine AgentServeronly Agent 28 国家最权威的四大安全机构检测认证 1 国家公安部信息安全认证2 国家密码管理局定点生产单位 29 3 军用信息安全产品认证4 国家保密局信息安全认证 国家最权威的四大安全机构检测 30 31 32 使用DBSec的好处 让敏感数据按等级化构造安全的 加密 状态 构筑坚固的最后安全防线 抵御边界安全防线被突破后的入侵 重点防止从内部进行合法的非授权访问或窃取 第三方的访问控制 用户自己能够直接控制核心数据资产的访问集中管理分布的不同的数据库 有了一个十分简单安全管理的平台可用