數據庫防火牆&數據庫加密與脫敏&數據泄露防護

寫在最前：
安全產品系列目錄：目錄&總述

數據庫防火牆

    解決數據庫應用側和運維側兩方面的問題，是一款基於數據庫協議分析與控制技術的數據庫安全防護系統
    主動防禦，實現數據庫的訪問行爲控制、危險操作阻斷、可疑行爲審計。
    數據庫安全技術之一，數據庫安全技術主要包括：數據庫漏掃、數據庫加密、數據庫防火牆、數據脫敏、數據庫安全審計系統
    防止sql注入的最好解決辦法

產品簡介

部署在數據庫前端，實時監控數據庫操作行爲，通過對數據庫協議的解析，發現違規操作進行精確阻斷

產品特點

1. 前端部署，接管全部操作
2. 內置策略，操作簡單
3. 細粒度協議解析與雙向審計
4. 實時行爲監控
5. 應用三層關聯審計

用戶價值

1. 保護數據安全
2. 方便查看數據庫操作行爲

1.功能技術

1. 屏蔽直接訪問數據庫的通道：數據庫防火牆部署介於數據庫服務器和應用服務器之間，屏蔽直接訪問的通道，防止數據庫隱通道對數據庫的攻擊。
2. 二次認證：基於獨創的“連接六元組【機器指紋（不可僞造）、IP地址、MAC地址、用戶、應用程序、時間段】”授權單位，應用程序對數據庫的訪問，必須經過數據庫防火牆和數據庫自身兩層身份認證。
3. 攻擊保護：實時檢測用戶對數據庫進行的SQL注入和緩衝區溢出攻擊。並報警或者阻止攻擊行爲，同時詳細的審計下攻擊操作發生的時間、來源IP、登錄數據庫的用戶名、攻擊代碼等詳細信息。
4. 連接監控：實時的監控所有到數據庫的連接信息、操作數、違規數等。管理員可以斷開指定的連接。
5. 安全審計：系統能夠審計對數據庫服務器的訪問情況。包括用戶名、程序名、IP地址、請求的數據庫、連接建立的時間、連接斷開的時間、通信量大小、執行結果等等信息。並提供靈活的回放日誌查詢分析功能，並可以生存報表。
6. 審計探針：本系統在作爲數據庫防火牆的同時，還可以作爲數據庫審計系統的數據獲取引擎，將通信內容發送到審計系統中。
7. 細粒度權限控制：按照SQL操作類型包括Select、Insert、Update、Delete,對象擁有者，及基於表、視圖對象、列進行權限控制
8. 精準SQL語法分析：高性能SQL語義分析引擎，對數據庫的SQL語句操作，進行實時捕獲、識別、分類
9. 自動SQL學習：基於自學習機制的風險管控模型，主動監控數據庫活動，防止未授權的數據庫訪問、SQL注入、權限或角色升級，以及對敏感數據的非法訪問等。
10. 透明部署：無須改變網絡結構、應用部署、應用程序內部邏輯、前端用戶習慣等

2.部署模式

所有數據操作都要經過DB Firewall，串行部署在數據庫服務器前端，檢查全部對數據庫進行的操作
透明模式或代理模式

其實也可以旁路，但會犧牲很大一部分功能，但可以避免數據讀取的時延（很多串行部署設備同理）

生產廠商

數據庫防火牆：
安恆信息、安華金和、中安比特/中安威士、帕拉迪/漢領信息、杭州美創、中安星雲、杭州閃捷、華清信安、信諾瑞得、安數雲、東軟、啓明星辰

數據庫加密

數據庫加密系統是基於透明加密技術的數據庫防泄漏系統，能夠實現對數據庫中的敏感數據加密存儲、訪問控制增強、應用訪問安全、安全審計以及三權分立等功能。

產品簡介

利用透明加密技術對數據庫加密

產品特點

1. 多密鑰管理
2. 容災備份
3. 處理快速，無影響操作

用戶價值

1. 字段加密;
2. 密鑰動態管理;
3. 合理處理數據;
4. 不影響合法用戶的操作;
5. 防止非法操作

1.加密技術

    對數據進行加密，主要有三種方式：系統中加密、客戶端(DBMS外層)加密、服務器端(DBMS內核層)加密。客戶端加密的好處是不會加重數據庫服務器的負載，並且可實現網上的傳輸加密，這種加密方式通常利用數據庫外層工具實現。而服務器端的加密需要對數據庫管理系統本身進行操作，屬核心層加密，如果沒有數據庫開發商的配合，其實現難度相對較大。

在系統中加密，在系統中無法辨認數據庫文件中的數據關係，將數據先在內存中進行加密，然後文件系統把每次加密後的內存數據寫入到數據庫文件中去，讀入時再逆方面進行解密就，這種加密方法相對簡單，只要妥善管理密鑰就可以了。缺點對數據庫的讀寫都比較麻煩，每次都要進行加解密的工作，對程序的編寫和讀寫數據庫的速度都會有影響。

在DBMS內核層實現加密需要對數據庫管理系統本身進行操作。這種加密是指數據在物理存取之前完成加解密工作。這種加密方式的優點是加密功能強，並且加密功能幾乎不會影響DBMS的功能，可以實現加密功能與數據庫管理系統之間的無縫耦合。其缺點是加密運算在服務器端進行，加重了服務器的負載，而且DBMS和加密器之間的接口需要DBMS開發商的支持。

在DBMS外層實現加密的好處是不會加重數據庫服務器的負載，並且可實現網上的傳輸，加密比較實際的做法是將數據庫加密系統做成DBMS的一個外層工具，根據加密要求自動完成對數據庫數據的加解密處理。採用這種加密方式進行加密，加解密運算可在客戶端進行，它的優點是不會加重數據庫服務器的負載並且可以實現網上傳輸的加密，缺點是加密功能會受到一些限制，與數據庫管理系統之間的耦合性稍差。

2.功能特性

1. 身份認證：
   用戶除提供用戶名、口令外，還必須按照系統安全要求提供其它相關安全憑證。如使用終端密鑰。
2. 通信加密與完整性保護：
   有關數據庫的訪問在網絡傳輸中都被加密，通信一次一密的意義在於防重放、防篡改。
3. 數據庫數據存儲加密與完整性保護：
   數據庫系統採用數據項級存儲加密，即數據庫中不同的記錄、每條記錄的不同字段都採用不同的密鑰加密，輔以校驗措施來保證數據庫數據存儲的保密性和完整性，防止數據的非授權訪問和修改。
4. 數據庫加密設置：
   系統中可以選擇需要加密的數據庫列，以便於用戶選擇那些敏感信息進行加密而不是全部數據都加密。只對用戶的敏感數據加密可以提高數據庫訪問速度。這樣有利於用戶在效率與安全性之間進行自主選擇。
5. 多級密鑰管理模式：
   主密鑰和主密鑰變量保存在安全區域，二級密鑰受主密鑰變量加密保護，數據加密的密鑰存儲或傳輸時利用二級密鑰加密保護，使用時受主密鑰保護。
6. 安全備份：
   系統提供數據庫明文備份功能和密鑰備份功能

數據庫脫敏

脫敏分爲動態脫敏與靜態脫敏
防止敏感信息泄露，對敏感信息進行處理
動態是每次使用時檢測脫敏，在外層設置
靜態操作完成後，從內部完成脫敏

動態脫敏

產品簡介

實時對數據庫響應數據進行脫敏

產品特點

1. 不同人員權限管理，反饋不同信息
2. 白名單策略，方便操作
3. 脫敏方式豐富（替換、數字隨機化、屏蔽、偏移等）
4. 運維脫敏，防止誤操作

用戶價值

1. 不影響使用，適應範圍廣
2. 權限控制，防止越權訪問
3. 降低敏感信息泄露風險

靜態脫敏

產品簡介

針對用戶數據進行流程化管理，對敏感數據進行脫敏的管控平臺

產品特點

1. 性能高，處理速度快
2. 脫敏結果高仿真
3. 結果不可逆，不能反分析出原數據
4. 利用模型，自動識別敏感數據

用戶價值

1. 避免直接對數據庫進行操作（取出-脫敏-傳入）
2. 防止敏感數據額泄露

生產廠商

數據庫加密和脫敏：
中安比特/中安威士、安華金和、邁科龍、中安星雲、杭州美創、上海觀安、優炫、廣州鼎甲、杭州閃捷、華清信安、世平信息、東軟、啓明星辰

DLP 數據泄露防護

Data leakage prevention
又稱“數據丟失防護”(Data Loss prevention, DLP)、“信息泄漏防護”(Information leakage prevention, ILP)
數據泄漏的途徑可歸類爲三種：
在使用狀態下的泄密、在存儲狀態下的泄密和在傳輸狀態下的泄密。一般企業可通過安裝防火牆、殺毒軟件等方法來阻擋外部的入侵，但是事實上97%的信息泄密事件源於企業內部，所以就以上三種泄密途徑分析，信息外泄的根源在於：
1、使用泄漏：1）操作失誤導致技術數據泄漏或損壞；2）通過打印、剪切、複製、粘貼、另存爲、重命名等操作泄漏數據。
2、存儲泄漏：1） 數據中心、服務器、數據庫的數據被隨意下載、共享泄漏；2）離職人員通過U盤、CD/DVD、移動硬盤隨意拷走機密資料；3）移動筆記本被盜、丟失或維修造成數據泄漏。
3、傳輸泄漏：1）通過email、QQ、MSN等輕易傳輸機密資料；2）通過網絡監聽、攔截等方式篡改、僞造傳輸數據。

產品簡介

敏感數據防泄露

產品特點

1. 策略管理、設備管理、事件管理
2. 內容檢測、響應阻斷、事件上報
3. 外發控制

用戶價值

1. 保護數據安全，防止數據泄露
2. 實時檢測，記錄，方便分析追責

1.產品功能

1. 服務器加密維護
   對服務器羣的維護，由DNetSec來完成。DNetSec由硬件和軟件兩大部分組成，箇中硬件採用高機能的蒐集服務器，軟件爲文檔安全網關軟件。DNetSec對一切上傳到服務器的文檔自動中止解密，對一切從服務器下載文檔自動中止加密。
2. 辦公蒐集和手工蒐集文檔維護
   在辦公局域網等內部蒐集中，採用透明加密蒐集內的手工文檔、設計圖紙、源代碼、電路圖等中間資料自動、強迫、實時加密。採用文檔權限管理對管理部門的辦公信件、財務部門的財務數據、發賣部門的客戶資料、市場部門的謀劃方案等商業機密文件中止權限節制。經由兩種管理體式款式，確保內部蒐集終端安全，防止內部中間信息外泄。
3. 文檔外發節制
   對企業內部發往出差人員、協作單位等系統外的文檔。當外發文件掀開時，需經由用戶身份認證，方可閱讀文件。同時，外發文件可以限制回收者的閱讀次數和運用時分等細粒度的權限，從而有效防止了客戶首要信息被非法擴散。
4. 離線脫機辦公管理
   在人員出差或其他情況下，需求外帶筆記本電腦，經由計謀設定，可以確保對離線筆記本電腦數據的節制。
5. 筆記本電腦管理
   對存有首要資料的筆記本電腦，採用磁盤加密。
6. 內網端口管理和移動設備管理
   對內網中的一切端口和移動設備，對U盤、移動硬盤、紅外、WIFI、藍牙等輸出端口中止節制，並能對拷貝到移動存儲設備的文檔加密。
7. 文檔自動備份
   文檔每次保管後均自動備份到備份服務器中。文檔管理員可經由改動備份的方式和路子，完成備份管理。用戶在分開服務器方式下的文檔，也將自動備份到當地硬盤中。經由備份，可有效避免因爲各類意外招致的數據損失。
8. 日誌審計
   能夠看管、跟蹤、記錄一切用戶的悉數操作，實時查看系統的運用情況，完成最高的系統安全。可以從嚴重的記錄數據中抽取有用的信息，對用戶的某些操作中止分類整理，經由操作記錄，回溯歷史活動，從而發現泄密渠道。經由跟蹤用戶操作，能及時發現用戶的風險操作，在泄密工作發現前就獲得警報，遏止泄密工作的發生。一旦泄密工作發生，經由用戶操作記錄, 可以第一時分拿出最有力的證據。

2.部署模式

數據泄密防護需要部署服務端、控制檯和客戶端，管理人員通過控制檯處理客戶端加密文件的申請，服務端負責數字證書生成、記錄文件加密信息和解密日誌，進行統一管理。

生產廠商

億賽通、明朝萬達、天銳、大成天下