摘要: 1.产品背景 1.1.概述 随着计算机网络的不断发展和普及,信息安全问题日益突出。各企事业单位在构建信息网络时,都非常重视网络安全问题,如建立网络防火墙和入侵检测等防护系统。但是,对数据的核心部分——数据库本身的安全,却没有引起足够的重视。 数据库系统担负着存...
1.产品背景
1.1.概述
随着计算机网络的不断发展和普及,信息安全问题日益突出。各企事业单位在构建信息网络时,都非常重视网络安全问题,如建立网络防火墙和入侵检测等防护系统。但是,对数据的核心部分——数据库本身的安全,却没有引起足够的重视。
数据库系统担负着存储和管理信息的任务,集中存放着大量敏感数据,而且又为众多用户直接共享。泄露或破坏这些信息非常容易,而一旦这些信息被泄露或破坏将会造成企业瘫痪,给国家带来巨大的损失,甚至危及国家安全,所以必须要采取适当的措施进行数据库内数据的防护。
事实证明,保证数据安全性的最好方法之一是数据加密。欧美国家虽然提供了一些加密产品,但很难保证其中没有陷阱和后门,国内目前也没有真正有效的数据库加密软件。现在流行的大型数据库系统虽然提供了一些安全技术,能够满足一般性的数据库应用需求,但对稍高一些的安全需求,它们提供的安全技术还是不够完备的。因此,为了企事业单位、政府甚至是国家的安全,开发一套安全、可靠的数据库加密系统已迫在眉睫。
北京中安比特科技有限公司正是在这样的背景下,研发并推出了数据库透明加密系统(VS-TDE系列)。
1.2.数据库加密的必要性
大型数据库管理系统的运行平台一般是Windows NT、Linux、Unix,这些操作系统的安全级别通常为C1、C2级。它们具有用户注册、识别用户、任意存取控制(DAC)、审计等安全功能。虽然DBMS在OS的基础上增加了一些安全措施,例如基于权限的访问控制等,但OS和DBMS对数据库文件本身仍然缺乏有效的保护措施,有经验的网上黑客会“绕道而行”,直接利用OS工具窃取或篡改数据库文件内容。
据有关资料报道,80%的计算机犯罪来自系统内部。在传统的数据库系统中,数据库管理员的权力至高无上,他既负责各项系统管理工作,例如资源分配、用户授权、系统审计等,又可以查询数据库中的一切信息。为此,不少系统以种种手段来削弱系统管理员的权力。实现数据库加密以后,数据库管理员获得的信息无法进行正常脱密,从而保证了用户信息的安全。另外,通过加密,数据库的备份内容成为密文,从而能减少因备份介质失窃或丢失而造成的损失。由此可见,数据库加密对于企事业单位内部的安全管理,是不可或缺的。
1.3.风险分析
当前数据库系统的安全形势严峻,主要面对如下两类风险,如下表所示:
分类 | 风险名称 | 风险说明 |
授权管理 | 越权滥用 | 账号授权不合理,特权用户越权查看、操作敏感数据 |
身份认证薄弱 | 拥有数据库的口令即可无限制的对数据库进行操作 | |
存储介质丢失 | 人为或非人为的造成存储数据的介质丢失,导致泄密 | |
攻击类 | 直接访问数据库 | 通过攻击手段绕过前端应用和其他设备直接访问数据库,操作敏感数据 |
权限盗用 | 通过攻击手段盗取权限,访问敏感数据 |
2.产品概述
2.1.产品目标
为增强数据库系统的安全,中安比特在多年从事数据库安全技术研究积累基础上,研发了数据库透明加密系统,该产品的目标为:
(1)满足数字资产等级化的安全防护要求,有选择性的保护数据库内部敏感数据的安全性,本产品通过在数据库管理系统的内核中嵌入自主研发的安全防护系统,通过字段级别的加密来达到对敏感数据的防护目的。
(2)敏感数据以乱码的形式存在,保证存储介质丢失和数据库文件被非法复制的情况下,数据的机密性。
(3)通过授权实现访问控制,非授权用户(包含DBA)查看到的数据为空或者乱码,从而在一定程度上削弱DBA的权利,降低DBA权限外泄带来的危险。而授权用户的使用则不受任何限制。
(4)本产品对于应用系统来说是完全透明的,不需要基于数据库的应用系统做任何改动。且不明显降低数据库的性能。
2.2.功能模块概述
针对基于数据库的访问安全,VS-TDE提供的主要功能包括:
功能模块 | 功能概述 |
系统管理 | 对VS-TDE本身进行配置,可以对系统用户的三权分立、操作权限等进行配置 |
引擎管理 | 添加并管理目标数据库服务器的加解密引擎 |
数据库透明加密 | 有选择性的、以字段级别对数据库敏感信息进行加密 |
数据库状态监控 | 实时监控数据库运行状态,在状态异常时进行预警,防止业务瘫痪,保障业务系统的可用性 |
数据库风险扫描 | 全面扫描数据库与宿主操作系统的漏洞并告警,分析数据库与宿主操作系统的配置风险并提出整改方案 |
2.3.产品架构
本产品为数据库系统提供“加密”的安全防护。产品的内部有多个模块组成,整体上可以分为三层,如下图所示:
数据获取与存储层:该层完成数据的获取和存储。数据获取功能主要实现对访问数据库的数据分析、过滤、秘钥的存储、生成等底层功能。
数据处理层:该层实现数据处理逻辑。包括对访问数据库行为的审计、敏感数据的加解密处理、访问权限的授予等功能。
展示与接口层:该层实现用户接口,为用户提供引擎管理、日志查询、访问授权等功能的操作界面。
3.功能模块
VS-TDE提供三个功能模块,具体功能分述如下:
3.1. 数据库透明加密
本模块提供对敏感数据加密的功能。在对数据进行加密的基础上增加访问授权机制。任何访问被加密数据的人或应用事先必须经过授权,拥有合法访问权限才能访问加密数据,非授权用户访问加密数据只能看到乱文或者为空字段。同时系统对访问数据库中机密数据的行为进行审计,达到提高数据库安全性的目的。
(1)字段级别加密
数据库加密级别分为整库加密、表加密、字段加密等多种方式。VS-TDE系列是在数据的安全性与数据库性能之间找到最佳平衡点,采用以字段为单位的加密方式。用户可以根据实际需求对任意表中的敏感字段进行加密。在保证敏感数据安全的同时,最大程度的保证了数据库的性能。
(2)访问控制功能
数据加密的目的就是保证数据的机密性,防止未经授权的人员查看敏感数据。系统提供对加密数据的访问授权功能,在保证不会因为存储介质的丢失、被盗等因素造成泄密的同时,也保证内部或外部人员未经授权查看敏感数据。加密后的数据需要对应用或人员进行授权。被授权的应用或人员可以访问相应的加密数据,未经授权的应用或人员无法访问任何加密数据,强行访问也只能看到乱文或空白。
(3)加密数据访问行为审计
加密后的数据对非授权的应用和人员是不开放的,但是授权的应用和人员可以访问,这就也可能因为人员的误操作等原因造成数据的泄露和篡改。针对此种情况系统提供对加密数据访问行为的审计功能。全面记录授权应用与人员的访问加密数据的行为。
(4)分权管理
本系统基于三权分立原则,实现了系统管理员、安全管理员、审计管理员相互监督。通过多种数据获取机制保障对所有用户的全程监控,审计日志信息独立于数据库存储,不可被直接修改和删除,从而有效限制系统管理员的权限。
3.2. 数据库状态监控
实时监控数据库运行状态,在状态异常时进行预警,防止业务瘫痪,保障业务系统的可用性
(1) 用户活动情况
持续监控访问数据库的连接时间,用户个数,连接信息等内容。
(2) 数据库内存状态
持续监控共享内存,命中率,回滚段,表内存,缓冲区运行状态。
(3) 文件系统状态
持续监控数据文件性能,磁盘访问情况等。
(4) 查询响应性能
持续监控索引效率,查询统计,查询缓冲命中率和其他信息。
3.3. 数据库风险扫描
(1) 弱口令检查
系统内置权威弱口令库,在用户设置口令的时候会提示用户口令的强弱,保证口令的复杂度和强度。
(2) 软件漏洞补丁
主动扫描数据库系统漏洞,及时发现未修复的软件漏洞,通知管理员进行更正。
(3) 权限分配风险
根据客户的需求或者客户提供的相应权限规定,按照最小权限分配准则检查权限分配情况,出现异常权限会即时报警,通知管理员。
(4) 数据库配置风险
定期扫描数据库配置信息,发现不合理的数据库软件配置实时报警,通知管理员。
(5) 操作系统相关风险
定期扫描宿主操作系统与数据库相关的配置,发现危险配置实时报警,通知管理员。
4.部署方案
VS-TDE系列的部署方式非常灵活,可以部署与网络当中的任何节点,只需要VS-TDE的工控设备与需要加密的数据库之间路由可达即可。可以根据实际网络情况,采用灵活的部署方案。
5.产品特点
5.1.兼容性
模块 | 操作系统 | 数据库 |
数据库透明加密 | Windows/Linux/Unix | Oracle、Sql Server、Sybase、DB2* |
数据库状态监控 | Windows/Linux/Unix | Oracle、Sql Server、Sybase、Mysql、DB2 |
数据库风险扫描 | Windows/Linux/Unix | Oracle、Sql Server、Sybase、Mysql、DB2* |
5.2.产品特点
(1)系统直接运行在DBMS进程空间,减少了进程间通信的性能损失,最大程度的提高了系统的安全性和可靠性;
(2)程序采用B/S模式,通过浏览器进行管理。中文界面轻松上手,人性化设计方便用户浏览查看;
(3)对敏感信息访问权限粒度控制在字段级;
(4)系统采用开放式设计,便于添加新的数据库支持;
(5)支持到字段级的细粒度数据加密;
(6)支持int、varchar、char、raw、date等类型数据的加密;
(7)系统透明接入,不影响原有应用系统的结构和正常使用;
(8)本系统使用专用的工控机作为硬件平台,操作系统采用定制的安全LINUX,具有高性能、高稳定性、高安全性等特点;
(9)支持多用户并发访问,支持数据的同步,支持事务机制;
5.3.产品优势
(1)动态加解密
加解密功能实现了以智能化对存储在数据库中的数据进行自动实时灵活的动态加密解密,不需要人为干涉,完全实现对数据的安全存储、安全使用,防止信息涉密。这样既节省了用户时间,同时也达到了保护文件的目的。只要用户有对加密数据的操作,那么加密数据就会被自动加密或是解密,用户感觉不到加解密过程的存在。
(2)密文索引
为达到迅速查询的目的,数据库文件需要建立一些索引。通常来说索引建立和应用必须是明文状态,否则将失去索引的作用。数据加密后明文索引将失去作用,导致即使只查询一条数据也需要将所有数据进行一次解密,这无疑增加了查询的时间。VS-TDE系统拥有密文索引的专利技术,使查询操作可以不必对所有数据进行解密即可以查询到相应数据,极大的提高了密文查询速度。
(3)双重密钥技术
系统采用双重密钥技术。每一个字段拥有不同的、独立的、唯一的列密钥,对字段进行加密解密控制。所有的列密钥是由主密钥生成,控制列密钥的加密解密。主密钥存放在UKey当中,保证不会被窃取和破坏,列密钥存放在被加密的数据库当中。通过双重密钥技术保证加密数据不会被破解,增加安全性。
(4)透明加密
加密后的数据对于合法应用和人员完全透明。应用或人员在访问加密数据的时候感觉不到加密解密过程,与明文数据访问方式一样。在保证数据安全性的同时,不会改变应用或人员的访问习惯。
(5)源于深厚的技术积累
本产品研发团队核心成员从2004年开始数据库安全加固技术的研究。数年来,团队在数据库安全扫描、数据库防火墙、数据库透明加密、数据库审计、数据库与业务监控等方面具有深厚的积累,专注于国内最好的数据库业务安全管理产品的服务和研发。
(6)定位于世界级产品
目前国内数据库安全行业刚刚起步,而国外的产品,如Guardium、Imperva、Oracle等,已经非常成熟,并已经有数个商业收购案例。国内外数据库安全产品还存在较大的技术差距,本产品定位为世界级产品,研发过程中参考国外先进产品和技术,同时充分考虑国内法律法规的具体情况和使用习惯上的不同。
(7)完全自主知识产权
本系统是在长期对该领域研究的专注基础上完成的,拥有完全自主的知识产权。相关核心技术已经或者正在申请专利保护。
6.客户收益
(1)满足合规要求
国内公司、企事业单位等遵循的许多规范正在逐步与国际接轨,如在美上市的中资企业需遵循SOX法案(上市公司会计改革与投资者保护法案)。同时随着国家等级化保护基本要求(等保)、分级保护(分保)、以及行业风险管理和内控指引的出台,用户数据加密需求日益凸显,政府、电信、金融、大型企业等都纷纷制定相关的规范,成为数据加密发展的重要促进因素。产品提供了独立灵活的数据库加密解决方案,有助于完善组织的IT内控与外控体系,从而满足各种合规性要求。
(2)防止权限滥用
本产品促进组织落实监督管理机制。对于加密后的数据进行访问授权,没有授权的非法用户无法访问加密数据,只有经过授权的合法用户才能访问加密数据。防止权限滥用带来的巨大风险。特别是,本产品可以有力支持数据库管理员的权限分离。本产品限制了数据库管理员(DBA)的超级权限,实现了系统管理员、安全管理、审计的角色分离,从而可以保证对系统管理员实施有效的监督,消除了传统数据库系统中系统管理员权限过大带来的安全风险。
(3)完整的第三方协议审计
系统提供审计访问加密数据行为的功能,专门记录所有访问加密数据的行为,提供丰富的查询条件和报表输出功能。另外,系统可以审计自身的操作日志,会将系统管理员对于系统的一切操作行为记录下来,形成三权分立的机制,保证所有的操作都在监督之下进行。
(4)坚固的,最后的安全防线
透明加密系统是数据库的最后一道防线。能够防范权限滥用、存储介质丢失、外部攻击等情况造成的泄密事件发生。
