数据库安全加密
数据库加密与访问控制是一款基于网关代理加密技术,实现敏感数据加密存储的数据库安全防护产品。
系统作为代理加密网关,部署在数据库和客户端应用程序之间,任何访问都需要经过该网关,从而实现数据加密和访问控制功能。系统组网场景如下图1所示。
数据加密
系统支持对数据进行加密和完整性校验,满足等保、分保等评测要求,同时也满足商用密码系统应用与安全性评估的存储数据完整性和机密性保障的评测要求。
- 加密算法:支持AES算法和SM4国密算法。
- 完整性校验算法:支持AES-GCM算法和SM3-HMAC算法。
访问控制
系统具有独立于数据库的访问授权机制,拥有合法访问权限可以访问加密数据,非授权用户无法访问加密数据,从而有效防止管理员越权访问及黑客拖库。
系统支持系统管理员,安全管理员,审计管理员的三权分立管理,增强数据库使用的安全合规性。
使用场景
数据库加密与访问控制可以满足合规要求,同时可以满足数据库敏感数据防护需求。
满足国家评测的合规要求
应用系统本身会根据用户的权限对数据进行处理,对于遗留系统(旧系统无法再作升级改造)以及开发时未考虑《网络安全法》中要求的个人隐私保护问题,如果重新更改代码过于复杂,需要依赖于外部技术实现数据的隐私保护。
通过数据库加密与访问控制能够实现数据库的加密,满足各项法律法规。
满足数据库敏感数据防护需求
数据库加密与访问控制可以有效解决因数据库管理员DBA等高权限账号密码泄漏所导致的数据泄漏问题,同时也可防止因外部APT攻击或内部管理失当导致的数据库文件被下载、复制等数据泄漏风险,满足数据库的敏感数据防护需求。
功能介绍
数据库加密与访问控制功能介绍如表1所示,详细功能使用请参见数据库加密与访问控制。
功能名称 |
功能描述 |
---|---|
资产管理 |
支持数据库资产的增删改查以及数据源连通性测试,并支持数据库读写分离配置、加密模式配置、返回值配置、账号权限检测。 |
敏感数据发现 |
支持敏感数据扫描、敏感数据类型管理、敏感数据行业模板管理。 |
业务测试 |
支持业务仿真测试,模拟是否可以正常加解密;支持在加密前接入网络进行业务SQL流量分析,定位出加密后可能执行异常的SQL,并生产分析报表。 |
数据加密 |
在数据加密模块对加密与解密队列管理,支持对客户端和数据库用户授权限制用户访问,查看并下载加密日志、回滚表结构、管理加密表、下载bypass插件。 |
动态脱敏 |
支持对敏感数据配置脱敏算法,对明文数据进行动态脱敏展示。 |
密钥管理 |
支持三级密钥算法、密钥来源配置、密钥(DSK)周期轮转更新,支持配置KMS对接,密钥记录查看与密钥检索。 |
平台管理 |
在平台管理模块对系统进行基础网卡与路由配置、系统升级、配置数据的备份与恢复、查看应用访问记录、安全口令配置等管理操作。 |
系统管理 |
|
日志管理 |
支持查看与检索系统所有操作行为的日志信息。 |