資料庫秘密

1. 資料庫泄露意味著什麼

您有秘密嗎？

您擔心電腦數據的安全嗎？

您可曾想過，計算機失竊、遺失，也會造成數據泄密？

您可曾想過，電腦維護人員維修你的電腦時也能竊取機密信息？

您可曾想過，企業內部職員可以通過移動存儲設備（如U盤），或者郵件、文件傳輸、上載等方式輕松地泄密？

隱私信息或技術資料以電子形式儲存在計算機中，通過網路或可移動介質傳遞，安全難以得到保障。一旦信息遭到泄露，有可能對個人或企業造成難以估計的損失，因此對數據進行加密是目前解決信息泄密的最有效方法。

K/3數據安全平台是以自動防護為理念的信息安全系列軟體產品，實現自動、動態、透明地對存儲在計算機上的數據進行加密處理，加密強度大、安全級別高，能有效提高內網的安全保密性。

一、應用背景

1.現狀分析

隨著信息技術的發展，企業為了提高信息處理的效率，越來越多地把文檔轉化為電子文檔形式，甚至把90%以上的企業機密信息以電子文檔的形式存儲在企業內網中。同時，企業也大量使用ERP、CRM、OA等與資料庫相關的電子信息管理方案。這些新型管理手段的使用，在給企業帶來更高的生產效率的同時也給企業的信息安全管理帶來了新的挑戰。雖然企業採用了反病毒軟體、防火牆、入侵檢測、身份認證等手段，但依然無法阻止電子形式的信息通以各種方式從企業中泄漏出去。而當前的大部分網路安全技術出發點是解決對外防護的問題，對內防護十分薄弱。面對日益嚴重的信息安全威脅，企業原有的安全方案漸漸顯得力不從心。

1幾乎每個企業都會遇到「合理」避稅的問題；一旦泄密，企業將進入非常被動的狀態；

2幾乎每個高新企業都要保護技術秘密；一旦泄密，企業將失去核心競爭力，喪失行業領導地位；

3幾乎每個企業都要保護標書、合同、報價單等商業私密，一但泄密，企業將失去客戶。

2.信息安全威脅

2.1據波萊蒙研究所表示，企業在數據入侵時的平均損失呈逐年遞增趨勢。數據入侵給企業帶來的平均損失是660萬美元，有的公司的損失甚至高達3200萬美元。企業因數據入侵而遭受的最大損失是丟失業務。據其表示，在去年的每條記錄平均損失202美元中，有139美元(佔69%)是指丟失業務。

2.2根據FBI和CSI對484家公司進行的網路安全專項調查結果顯示：超過70%的安全威脅來自公司內部，在損失金額上，由於內部人員泄密導致的損失，是黑客造成損失的16倍，是病毒造成損失的12倍。

2.3據中國國家信息安全測評中心調查，信息安全的現實威脅也主要為內部信息泄露和內部人員犯罪，而非病毒和外來黑客引起。

……

3.常見的泄密途徑

3.1黑客通過安裝惡意軟體（如木馬程序）把信息復制出去而泄密。

3.2計算機感染病毒自動向外發送的泄密。

3.3計算機失竊、遺失造成的數據泄密。

3.4內部人員通過移動存儲設備復制信息，或者以郵件、文件上傳等形式泄密。

3.5第三方維護人員利用工作之便竊取信息造成泄密。

4.加密機密資料，徹底解決安全隱患

4.1所有機密資料不能隨便流出企業；

4.2所有機密資料在企業內部透明流通，消除安全隱患的同時，又不影響正常業務操作；

4.3所有機密資料可設置各種安全等級，根據授權使用；

4.4機密資料只有一個可控且唯一的安全出口。

二、產品概述

1.平台簡介

金蝶K/3數據安全平台能有效保護您的數據安全！

平台採用「驅動層」底層透明加密技術，結合世界先進加密演算法，提供完全自動化、動態化、透明化數字文件加密保護。

金蝶K/3數據安全平台解決方案

2.平台特性

2.1採用驅動層動態透明加解密技術；

2.2唯一的企業密鑰，密鑰長度最高可達到8192位；

2.3採用高強度加密演算法，可多種加密演算法混合使用及多次加密；

2.4可加密任何類型的文件或資料庫；

2.5可加密在任何儲存介質上的文件；

2.6嚴格的身份認證體系；

2.7完善的、可無限擴充文件密級控制；

2.8加密文件只有被授權解密才能轉成明文外向傳送；

2.9加解密策略庫、日誌審計報表均可自由定製；

2.10平台簡單易用，無需第三方軟體配合，基本上不改變現有操作模式。

3.系統拓撲結構圖

金蝶K/3數據安全平台解決方案

4.功能概覽：

金蝶K/3數據安全平台解決方案

5.技術優勢：

5.1資料庫加密

資料庫在運行、備份過程中均為密文，通過應用軟體導出報表，無論是C/S或B/S應用模式，報表均被自動加密；並配備「資料庫鎖定熱鍵」，可在網內任一計算機按預設鍵，即時鎖死已加密的資料庫，企業可從容應對各種突發事件。

金蝶K/3數據安全平台解決方案

5.2文件加密

安全平台客戶端創建文件時，文件即被自動加密，並自動根據文件創建者許可權在文件內添加相應的「部門」、「密級」屬性。加密後的文件可在企業內部自由流通，安全平台通過嚴格的文件訪問機制，確定文件不被非授權用戶使用。

金蝶K/3數據安全平台解決方案

支持的應用列表：

金蝶K/3數據安全平台解決方案

5.3可無限擴展的密級管理機制

靈活的「部門」+「密級」管理機制，全面掌控機密資料流向，真正實現任意細粒度控制。

安全平台根據人員「部門」、「密級」授權和文件的「部門」、「密級」屬性進行比對，在部門相符，人員「密級」授權大於或等於文件「密級」屬性的情況下，才允許正常打開加密文件。

當企業行政架構發生變化時，「部門」、「密級」均可任意增加或插入，無需特殊處理已加密文件，即可自動繼承相關授權，可輕松應對未來的擴展。

當文件臨時需要交由企業內部其他部門使用時，可通過OA的審批流程或在安全平台客戶端直接把文件內含的「部門」、「密級」屬性變更到為新的「部門」、「密級」。

當企業內部某些人員需要跨部門工作時，可通過安全平台控制台，對特定人員授與相應的「部門」、「密級」操作許可權。

金蝶K/3數據安全平台解決方案

5.4靈活的解密機制

多種靈活的解密方式，可結合OA或PLM使用，實現工作程審批解密或郵件白名單自動解密，減少領導手工解密的工作量，提高企業效率。

金蝶K/3數據安全平台解決方案

5.5列印限制功能

可根據不同用戶許可權，限制相應進程的列印功能。減少機密文件通過紙質形式泄密的機會。

5.6進程限制功能

可根據不同用戶許可權，限制相應進程的運行功能。禁用與工作無關的應用，提高工作效率。

5.7網址訪問控制功能

可根據不同用戶許可權，設定網址訪問許可權，分別使用黑白名單管理，禁止用戶訪問與工作無關的網頁，提高工作效率。

5.8遠程監控

根據不同用戶許可權，可隨時監控任一安全平台客戶端的計算機屏幕，安全終端所有操作行為無所遁形。

5.9工作時間排程

可根據實際情況，任意設定資料庫伺服器及平台各用戶的工作時間，在非工作時間內，無法登錄平台，無法使用已加密的文件，確保機密資料安全。

5.10支持多種登錄模式

包括「用戶名+密碼」、「用戶名+智能卡數字證書（CA）」、用戶名捆綁IP、Mac地址、開機自動登錄等。

5.11多種隱蔽機制

隱蔽安全平台運行界面、未登錄平台前隱藏已加密的文件，使用企業機密更加安全。隱藏後，在資源管理器看不到已加密文件，在SQL企業管理器中看不到已加密的資料庫，在金蝶賬套管理也看不到已加密賬套。

5.12支持離線應用

安全平台根據離線後有效時間、離線後登錄次數等進行離線控制，即使計算機離開公司環境，仍受到實時監控，加密效果與在公司內部使用一樣。

5.13完善的日誌記錄

詳細記錄安全終端的各項關鍵操作，根據客戶需要輸出相應報表。

2. 誰能簡單介紹下資料庫加密

一、資料庫加密是什麼？
資料庫加密技術屬於主動防禦機制，可以防止明文存儲引起的數據泄密、突破邊界防護的外部黑客攻擊以及來自於內部高許可權用戶的數據竊取，從根本上解決資料庫敏感數據泄漏問題。資料庫加密技術是資料庫安全措施中最頂級的防護手段，也是對技術性要求最高的，產品的穩定性至關重要。
二、資料庫加密的方式有哪些？
目前，不同場景下仍在使用的資料庫加密技術主要有：前置代理加密、應用系統加密、文件系統加密、後置代理加密、表空間加密和磁碟加密等，下文將對前四種數據加密技術原理進行簡要說明。
1、前置代理加密技術
該技術的思路是在資料庫之前增加一道安全代理服務，所有訪問資料庫的行為都必須經過該安全代理服務，在此服務中實現如數據加解密、存取控制等安全策略，安全代理服務通過資料庫的訪問介面實現數據存儲。安全代理服務存在於客戶端應用與資料庫存儲引擎之間，負責完成數據的加解密工作，加密數據存儲在安全代理服務中。
2、應用加密技術
該技術是應用系統通過加密API(JDBC,ODBC,CAPI等)對敏感數據進行加密，將加密數據存儲到資料庫的底層文件中；在進行數據檢索時，將密文數據取回到客戶端，再進行解密，應用系統自行管理密鑰體系。
3、文件系統加解密技術
該技術不與資料庫自身原理融合，只是對數據存儲的載體從操作系統或文件系統層面進行加解密。這種技術通過在操作系統中植入具有一定入侵性的「鉤子」進程，在數據存儲文件被打開的時候進行解密動作，在數據落地的時候執行加密動作，具備基礎加解密能力的同時，能夠根據操作系統用戶或者訪問文件的進程ID進行基本的訪問許可權控制。
4、後置代理技術
該技術是使用「視圖」+「觸發器」+「擴展索引」+「外部調用」的方式實現數據加密，同時保證應用完全透明。核心思想是充分利用資料庫自身提供的應用定製擴展能力，分別使用其觸發器擴展能力、索引擴展能力、自定義函數擴展能力以及視圖等技術來滿足數據存儲加密，加密後數據檢索，對應用無縫透明等核心需求。
三、資料庫加密的價值
1、在被拖庫後，避免因明文存儲導致的數據泄露
通常情況下，資料庫中的數據是以明文形式進行存儲和使用的，一旦數據文件或備份磁帶丟失，可能引發嚴重的數據泄露問題；而在拖庫攻擊中，明文存儲的數據對於攻擊者同樣沒有任何秘密可言——如Aul、MyDul等很多成熟的資料庫文件解析軟體，均可對明文存儲的數據文件進行直接分析，並輸出清晰的、結構化的數據，從而導致泄密。
資料庫加密技術可對資料庫中存儲的數據在存儲層進行加密，即使有人想對此類數據文件進行反向解析，所得到的也不過是沒有任何可讀性的「亂碼」，有效避免了因數據文件被拖庫而造成數據泄露的問題，從根本上保證數據的安全。
2、對高權用戶，防範內部竊取數據造成數據泄露
主流商業資料庫系統考慮到初始化和管理的需要，會設置以sys、sa或root為代表的資料庫超級用戶。這些超級用戶天然具備數據訪問、授權和審計的許可權，對存儲在資料庫中的所有數據都可以進行無限制的訪問和處理；而在一些大型企業和政府機構中，除系統管理員，以數據分析員、程序員、服務外包人員為代表的其他資料庫用戶，也存在以某種形式、在非業務需要時訪問敏感數據的可能。
資料庫加密技術通常可以提供獨立於資料庫系統自身許可權控制體系之外的增強權控能力，由專用的加密系統為資料庫中的敏感數據設置訪問許可權，有效限制資料庫超級用戶或其他高許可權用戶對敏感數據的訪問行為，保障數據安全。