数据库安全管理加密系统

数据库信息系统必备数据库平安管理加密系统《数据库平安管理加密系统》以软硬件结合方式彻底解决数据泄密问题，即使数据库非法侵入或拷贝，得到的也是一堆无法可解的乱码，而目前银行、电信部门客户数据外泄案频发，公安部门对保密要求更高，数据库裸放在效劳器中，随时有泄密危险。目录1. 产品背景 32. 产品简介 53. 产品架构 63.1DBLOCK平安平台 63.2效劳器端代理〔ServerAgent〕 73.3WEB管理控制台〔Console〕 83.4平安策略和平安审计中心 94. 产品功能及特点 104.1数据库数据透明加密 104.2数据库透明访问，不需对应用作任何修改 104.3数据传输加密 114.4透明平安代理 114.5三权分立管理 134.6完善的系统审计功能 144.7支持多数据库系统 144.8DBLOCK系统特点 14数据库平安管理加密系统最近几年，个人信息大规模泄露、造成巨大损失的事件时有发生：1、招商银行、工商银行员工兜售客户信息，造成损失达3000多万元。2、京东商城客户账号泄密案件。3、CSDN几百万用户注册信息库被黑客盗取。4、天涯社区论坛4000万用户数据泄露。5、taobao泄密事件.6、开心网账号泄密事件产品背景随着计算机技术的飞速开展，各类信息系统的应用已深入到各个领域。但随之而来应用系统和数据库的平安问题尤为凸显。数据库系统作为信息的聚集体，是计算机信息系统的核心部件，其平安性至关重要。小那么关系到企业兴衰、大那么关系到国家平安。在涉密单位或者大型企事业单位中，广泛的实施了平安防护措施，包括机房平安、物理隔离、防火墙、入侵检测、加密传输等等。但就应用系统本身和数据库的平安问题却一直得不到应有的重视。同时，之前的市场上也缺乏有效的应用系统和数据库平安的统一解决方案。这就致使数据库及其应用系统在平安方面普遍存在一些平安隐患。其中比拟严峻的几个方面表现在：〔1〕应用系统身份验证强度问题。目前许多应用系统本身缺乏有效的强身份认证平安机制，应用效劳提供者如何验证用户的有效身份，用户如何验证效劳提供者的身份，如何保证在网络上传输的数据不被篡改。〔2〕数据库平安问题。由于国内只能购置到C2平安级别的数据库平安系统，该类系统采用自主访问控制〔DAC〕模式，DBA角色能拥有至高的权限，权限可以不受限制的传播。这就使得获取DBA角色的权限成为攻击者的目标。一旦攻击者获得DBA角色的权限，数据库将对其彻底暴露，毫无任何平安性可言。数据库系统是一个复杂的系统，根据已经公布的资料，数据库存在许多漏洞，其中不少是致命的缺陷和漏洞。举例来说，号称拥有全球最平安的数据库产品的Oracle公司在2006年1月发布了其季度平安补丁包，该补丁包修补了多个产品中的80多个漏洞。其中不少漏洞可以非常容易地被黑客利用，一旦遭到攻击将给用户造成严重影响。数据库及其应用系统每天都可能受到包括SQL注入攻击在内的广泛的攻击。攻击者利用应用程序设计中的漏洞，对数据库系统发起攻击，获得不应该具有的权限，甚至下载整个数据库文件，给数据库的平安造成严重威胁。C2级数据库采用基于口令的认证方式。本身缺乏有效的登录口令管理机制，口令更换周期长，使用复杂口令很困难，口令泄露的风险大。由于C2级商业数据库管理系统在上述各个平安方面的不可信，攻击者可能通过非正常途径来访问数据库，破坏系统的平安性。

产品简介DBLOCK数据库平安管理系统〔简称“DBLOCK系统”〕是一款多数据库平台平安加固系统，该产品能够实现对数据库数据的加密存储、强制权限控制、敏感数据访问审计。DBLOCK系统可以防止绕过企业边界〔FireWall、IDS\IPS等〕防护的外部数据攻击、来自于内部的高权限用户〔DBA、开发人员、第三方外包效劳提供商〕的数据窃取、以及由于磁盘、磁带失窃等引起的数据泄密。在对现有应用不做任何更改的情况下，DBLOCK系统可以对数据库应用系统中的数据，进行数据透明加密；并在现有的数据库权限访问控制的根底上，增加了数据平安管理员〔DSA〕进行加密数据的加密和解密权限控制，有效防止数据库特权用户访问敏感数据；同时增加了数据审计员〔DAA〕对平安行为和敏感信息的访问进行审计追踪。当前主流数据库平安加固方案包括前置代理、应用加密和数据库自带加密选件TDE。前置代理需要应用大幅改造、大量数据库核心特性无法使用；应用加密必须由应用实现数据加密，加密数据无法检索。同时需对应用系统进行大幅度的改造，已有系统无法透明移植；另外国外数据库所提供的TDE不能集成国产加密算法，不符合国家密码政策。因此这几种方案一直未能得到有效推广。DBLOCK通过自主专利SQL智能分析引擎和密文索引等核心技术，突破了传统数据库平安产品的技术瓶颈，可以实现数据高度平安、应用完全透明、密文高效访问。DBLOCK系统当前支持Oracle、SQLserver、DB2、Sybase等多种数据库平台，满足用户的多种部署需求。

产品架构DBLOCK系统由三局部组成：客户端代理〔ClientAgent〕、DBLOCK平安平台、效劳器代理(ServerAgent)。客户端代理：运行在所需保护的应用客户端或连接数据库的应用效劳器上面，支持Windows、Unix、Linux主流操作系统平台。DBLOCK平安平台：独立的硬件设备，安装在网络环境中，主要完成基于机器特征的身份认证、资源访问权限控制、密钥管理、数据库数据实时加/解密、平安策略管理、WebService均由核心设备完成。效劳器代理：驻留在数据库内部，主要实现数据库与DBLOCK平安通讯，表空间内的密文数据索引，和密文数据存储。3.1DBLOCK平安平台DBLOCK平安平台由WEB管理控制台、API调用库、平安守护进程构成。主要为客户端代理(ClientAgent)、效劳器端代理(ServerAgent)和WEB管理控制台效劳，并实现对加密设备的兼容，系统配置信息和审计日志存储在“ODBC数据存储中心”中。WEB管理控制台负责平安守护进程加解密功能的启动和停止。API调用库，对外供效劳器端代理(ServerAgent)调用完成加解密功能，供效劳器端代理(ServerAgent)获得加密设备信息和密钥生成；同时对客户端代理(ClientAgent)提供终端平安认证；对内供WEB管理控制台完成加解密功能的启动。平安守护进程是一个独立运行的效劳进程，负责提供远程或进程间的效劳形式，可以通过远程TCP/IP方式或进程间通讯方式〔SharedMemory〕与客户端进行通讯；主要提供数据的授权控制下加解密效劳，密钥的生成和更新功能。3.2效劳器端代理〔ServerAgent〕效劳端代理是DBLOCK系统实现应用透明和性能管理的关键局部。该子系统驻留在数据库实例内部，由数据库扩展存储过程、视图、触发器、SQL语法分析工具、外部程序和专属于DBLOCK系统的“系统表”构成，互相协作，实现对敏感数据的透明加密和对加密数据的高性能访问。效劳器端代理(ServerAgent)的核心机制包括：1〕利用“效劳端代理”中的SQL分析模块对提交的SQL语句【包括Insert、Update和Delete操作的INSTEADOF类型】进行语法分析和扩展，根据DBMS中的“加密字典”对SQL语句进行“解析扩展”。例如：解析前的语句“SELECTyhmmFROMybxxb”;解析后“SELECTdbo.str_Decode(‘yhmm’)asyhmmFROMybxxb”。其中yhmm为数据库中的密文字段，str_Decode()为用户自定义函数UDF〔UserDefinedFunction〕,dbo为DBMS中str_Decode()的拥有者。2〕加密系统将重组后的SQL语句提交给DBMS，DBMS通过“数据库对象【视图】”调用“加/解密动态库”对数据库中的密文数据进行解密，并将解密后的结果反应给“数据库对象【视图】”。3〕利用数据库的视图在被加密列所在的表上创立二个视图。一个内层视图包含ROWID伪列信息来标识行数据；另一个与原表同名的视图作为对外的视图〔透明视图〕，屏蔽了ROWID列，以保证表结构的一致性。前面提到的触发器是建立在内层视图上的，可以利用该视图的ROWID列信息来定位数据更新。在视图的select语句中包含有相应加密列的解密操作，完成对外的加密数据透明访问。4〕利用数据库的索引和优化器扩展机制实现密文索引查询和约束处理通过实现数据库的DataCartridges提供的索引扩展和优化器扩展接口，来支持对密文数据的索引功能和相应的Optimizer统计功能，提供索引方式的等于和范围查询，提高查询性能。同时，通过密文索引，可以实现对各种数据库约束的处理〔例如唯一值约束、主键约束等〕5〕通过实现数据预取和专门的缓存机制解决性能瓶颈结合密文索引和借鉴数据库自身的优化器机制，设计、实现面向全表扫描、索引扫描、跳跃扫描三种查询方式的数据预取和缓存管理，大范围的减少频繁的PL/SQL程序调用〔减少SQL引擎和PL/SQL引擎切换的开销〕和外部加解密程序调用，全面的提升系统的性能。6〕严格遵守数据库的事务管理特性，保证数据的正确性保证性能的同时，严格遵循数据库的MVCC、读一致性和隔离级别〔读提交、串行化〕特性，并遵循这些特性来实现内部的密文缓存管理、密文索引管理，保证在并发事务模型下的事务正确性、并发读一致性和持久性。WEB管理控制台〔Console〕“WEB管理控制台”是DBLOCK系统提供的图形化集成环境，用于DSA可视化进行用户权限控制、密钥及算法管理、加解密处理、密文索引维护等平安管理工作。“WEB管理控制台”通过HTTPS建立连接，直接和平安代理模块进行通讯，同时通过访问平安效劳模块和平安策略中心，从而为系统的DSA提供各种可视化操作。“WEB管理控制台”的核心功能包括：1〕可视化导航数据库对象可以按树形模型展示模式、表、列、用户等Oracle数据库对象，方便DSA进行各种平安管理操作。2〕用户平安权限控制DSA可以将数据库中任一用户的属性信息同步到平安策略中心，从而将该用户注册到DBLOCK系统中。通过“WEB管理控制台”，DSA可以对一个用户设置列级平安访问权限，包括对某一列的加密、解密、明文访问、密钥转化等四种权限。3〕加解密处理“WEB管理控制台”提供对单列、以及多列同时进行加解密处理，包括对主外键、Unique、notnull等约束列的加解密，同时可以支持VARCHAR、VARCHAR2、CHAR、NUMBER、DATE、CLOB、BLOB等核心数据类型。4〕密文索引管理“WEB管理控制台”支持多种密文索引的管理操作用以优化查询访问性能。包括新建密文索引、重建密文索引和删除密文索引等。平安策略和平安审计中心平安策略和平安审计中心，负责存储系统的平安策略信息和平安审计信息。平安策略信息是由平安管理子系统配置，平安效劳子系统读取并执行；平安策略信息包括用户名和认证信息，用户的授权信息，列的加密策略信息；平安策略信息被专门的平安策略密钥进行加密保护，防止用户通过非正常渠道篡改。平安审计信息存储两类信息：一类是DSA用户的操作信息，包括对授权用户的配置，加密列的增密和脱密策略，加密策略修改信息，DSA用户的登录信息；另一类对数据库用户对平安效劳的使用信息，包括登录信息，操作信息，异常访问信息。平安审计信息被专门的平安审计密钥进行加密保护，防止非法的读取和篡改。产品功能及特点4.1数据库数据透明加密DBLOCK系统的根本功能是对主流关系型数据库表数据进行透明加/脱密。系统采用国家密码局认证的加密引擎可按策略对用户指定的敏感数据进行加解密处理，可以对指定的列采用指定的加密算法和密钥、密钥向量值等进行加密处理。加密后的数据以密文的形式存储在数据库表空间。支持数据类型，包括VARCHAR、VARCHAR2、CHAR、NUMBER、DATE、CLOB、BLOB类型的加密。4.2数据库透明访问，不需对应用作任何修改DBLOCK采用数据库透明加密技术，不需要对应用程序作任何修改，不改变原有数据库的使用方式。对于授权用户的数据加解密、查询优化、数据库管理等过程完全透明。系统使用人员、开发人员、维护人员无需关注数据加解密过程，数据的加/解密均由DBLOCK设备内部在后台完成。系统透明特性主要表达在以下方面：--SQL语句透明：对所有SELECT、UPDATE、INSERT、DELETE操作的SQL语句进行操作，应用程序不需要进行任何改造；--对数据库内部所运行的函数、存储过程访问完全透明；--约束透明：主外键、唯一索引、NOTNULL等约束完全透明。--开发接口透明：主流开发接口的应用完全透明，包括：JDBC、ODBC、OCI、ADO.NET等。--管理工具透明：Oracle管理工具、命令行工具，以及IMPORT、EXPORT、RMAN等备份恢复工具的使用透明。4.3数据传输加密提供完善的VPN网关特性，提供SSLVPN组网方式，内置高性能硬件加/脱密组件，支持DES、3DES、AES、SCB2等多种加密算法，同时结合迈科龙公司自主专利的基于机器特征和可信路径传输加密的专利技术确保数据网络传输的机密性、完整性，保证数据传输平安。4.4透明平安代理屏蔽用户和应用程序直接访问数据库所有通道和隐通道。部署DBLOCK之前，应用效劳器和用户直接连接到数据库效劳器，如下列图所示：由于数据库效劳器直接与用户和应用效劳器连接并提供效劳，极易受到形形色色的攻击。并且数据库系统存在的未知的隐通道，也很容易被攻击者利用。数据库效劳器通常采用默认的端口，比方Oracle的1521端口，SQLSERVER的1433端口。攻击者可以轻易的扫描这些端口，得知数据库的类型，进而进行攻击。部署DBLOCK之后，DBLOCK介于数据库效劳器和应用效劳器之间，如下列图所示：数据库效劳器与应用程序之间通过DBLOCK平安模块进行隔离。所有对数据库的访问都必须经过DBLOCK平安模块进行。各种隐蔽通道也相应被屏蔽，防止攻击者直接利用。应用软件到数据库的访问经过二次认证和独立权限检查。在部署DBLOCK以前，由于数据库直接与应用程序进行连接，且只能通过口令进行认证，数据库极易受到假冒用户的连接和恶意的攻击。由于DBA角色具有超级权限，当恶意攻击者将自己的角色提高到DBA时，整个数据库将完全被其操纵。应用效劳器也极易在类似SQL注入攻击的过程中，成为攻击者的跳板。部署DBLOCK之后，应用程序对数据库的访问，必须经过DBLOCK和数据库系统两层身份认证和权限检查。DBLOCK使用动态访问凭证〔一次一密〕、机器特征〔IP地址、MAC地址、以及硬盘序列号、主板序列号等多种计算机系统的特征〕，结合数字证书的验证方式，确保访问来源的真实性，杜绝IP地址欺骗和假冒用户的连接。DBLOCK提供与数据库系统完全独立的授权检查，对每个IP来源上的每一个用户单独进行权限控制。权限的控制可以精确到表一级。就算攻击者成功攻陷应用效劳器，并将角色提高到DBA也是徒劳。由于DBLOCK提供了独立的权限管理，攻击者仍然只能获得受限的权限，不能获取DBA的特权。从而有效的遏制了越权访问、SQL注入攻击、存储过程非法使用等攻击类型。采用基于一次一密的动态效劳凭证〔动态口令〕连接数据库。为解决数据库用户登录口令管理困难的问题，DBLOCK提供动态口令功能。所有密码管理交给DBLOCK托管，在每次需要登录的时候，通过动态密码客户端获取当前登录口令。效劳器端在每次响应口令请求之后，自动更换登录口令，使之前的口令作废。这样，管理员不必担忧口令泄露的问题。因为即使得到的口令不小心被泄露，也不会威胁到数据库，因为真正的登录口令已经被改变。口令客户端和效劳器端通过SSL加密连接，确保网络传输的平安。动态口令采用硬件随机数发生器生成，具有很高的强度。口令客户端同样采用证书的验证方式，结合IP地址、MAC地址、以及硬盘序列号、主板序列号等多种计算机系统的特征，确保访问来源的真实性，杜绝假冒用户的连接。4.5三权分立管理DBLOCK系统采用DSA、DBA、DAA分权的机制，在数据库用户管理的平安机制上，增设了平安管理员〔DataSecurityAdministrator，DSA〕和平安审计员〔DAA〕。DSA通过数据平安管理工具，完成日常的加密数据配置、密文权限控制等平安维护和管理操作，对访问数据库数据进行授权，只有经DBA和DSA同时对某用户授权，用户才能对数据进行访问，有效制约了特权用户〔DBA、开发人员、数据库维护人员〕对数据无限制的访问。通过DSA对数据访问权限的控制，有效防止了特权用户的产生，工作人员不能同时具备DBA和DSA的权限，也就是不存在能够设置加密策略的同时，又可以进行数据管理的特权用户。