数据库秘密

1. 数据库泄露意味着什么

您有秘密吗？

您担心电脑数据的安全吗？

您可曾想过，计算机失窃、遗失，也会造成数据泄密？

您可曾想过，电脑维护人员维修你的电脑时也能窃取机密信息？

您可曾想过，企业内部职员可以通过移动存储设备（如U盘），或者邮件、文件传输、上载等方式轻松地泄密？

隐私信息或技术资料以电子形式储存在计算机中，通过网络或可移动介质传递，安全难以得到保障。一旦信息遭到泄露，有可能对个人或企业造成难以估计的损失，因此对数据进行加密是目前解决信息泄密的最有效方法。

K/3数据安全平台是以自动防护为理念的信息安全系列软件产品，实现自动、动态、透明地对存储在计算机上的数据进行加密处理，加密强度大、安全级别高，能有效提高内网的安全保密性。

一、应用背景

1.现状分析

随着信息技术的发展，企业为了提高信息处理的效率，越来越多地把文档转化为电子文档形式，甚至把90%以上的企业机密信息以电子文档的形式存储在企业内网中。同时，企业也大量使用ERP、CRM、OA等与数据库相关的电子信息管理方案。这些新型管理手段的使用，在给企业带来更高的生产效率的同时也给企业的信息安全管理带来了新的挑战。虽然企业采用了反病毒软件、防火墙、入侵检测、身份认证等手段，但依然无法阻止电子形式的信息通以各种方式从企业中泄漏出去。而当前的大部分网络安全技术出发点是解决对外防护的问题，对内防护十分薄弱。面对日益严重的信息安全威胁，企业原有的安全方案渐渐显得力不从心。

1几乎每个企业都会遇到“合理”避税的问题；一旦泄密，企业将进入非常被动的状态；

2几乎每个高新企业都要保护技术秘密；一旦泄密，企业将失去核心竞争力，丧失行业领导地位；

3几乎每个企业都要保护标书、合同、报价单等商业私密，一但泄密，企业将失去客户。

2.信息安全威胁

2.1据波莱蒙研究所表示，企业在数据入侵时的平均损失呈逐年递增趋势。数据入侵给企业带来的平均损失是660万美元，有的公司的损失甚至高达3200万美元。企业因数据入侵而遭受的最大损失是丢失业务。据其表示，在去年的每条记录平均损失202美元中，有139美元(占69%)是指丢失业务。

2.2根据FBI和CSI对484家公司进行的网络安全专项调查结果显示：超过70%的安全威胁来自公司内部，在损失金额上，由于内部人员泄密导致的损失，是黑客造成损失的16倍，是病毒造成损失的12倍。

2.3据中国国家信息安全测评中心调查，信息安全的现实威胁也主要为内部信息泄露和内部人员犯罪，而非病毒和外来黑客引起。

……

3.常见的泄密途径

3.1黑客通过安装恶意软件（如木马程序）把信息复制出去而泄密。

3.2计算机感染病毒自动向外发送的泄密。

3.3计算机失窃、遗失造成的数据泄密。

3.4内部人员通过移动存储设备复制信息，或者以邮件、文件上传等形式泄密。

3.5第三方维护人员利用工作之便窃取信息造成泄密。

4.加密机密资料，彻底解决安全隐患

4.1所有机密资料不能随便流出企业；

4.2所有机密资料在企业内部透明流通，消除安全隐患的同时，又不影响正常业务操作；

4.3所有机密资料可设置各种安全等级，根据授权使用；

4.4机密资料只有一个可控且唯一的安全出口。

二、产品概述

1.平台简介

金蝶K/3数据安全平台能有效保护您的数据安全！

平台采用“驱动层”底层透明加密技术，结合世界先进加密算法，提供完全自动化、动态化、透明化数字文件加密保护。

金蝶K/3数据安全平台解决方案

2.平台特性

2.1采用驱动层动态透明加解密技术；

2.2唯一的企业密钥，密钥长度最高可达到8192位；

2.3采用高强度加密算法，可多种加密算法混合使用及多次加密；

2.4可加密任何类型的文件或数据库；

2.5可加密在任何储存介质上的文件；

2.6严格的身份认证体系；

2.7完善的、可无限扩充文件密级控制；

2.8加密文件只有被授权解密才能转成明文外向传送；

2.9加解密策略库、日志审计报表均可自由定制；

2.10平台简单易用，无需第三方软件配合，基本上不改变现有操作模式。

3.系统拓扑结构图

金蝶K/3数据安全平台解决方案

4.功能概览：

金蝶K/3数据安全平台解决方案

5.技术优势：

5.1数据库加密

数据库在运行、备份过程中均为密文，通过应用软件导出报表，无论是C/S或B/S应用模式，报表均被自动加密；并配备“数据库锁定热键”，可在网内任一计算机按预设键，即时锁死已加密的数据库，企业可从容应对各种突发事件。

金蝶K/3数据安全平台解决方案

5.2文件加密

安全平台客户端创建文件时，文件即被自动加密，并自动根据文件创建者权限在文件内添加相应的“部门”、“密级”属性。加密后的文件可在企业内部自由流通，安全平台通过严格的文件访问机制，确定文件不被非授权用户使用。

金蝶K/3数据安全平台解决方案

支持的应用列表：

金蝶K/3数据安全平台解决方案

5.3可无限扩展的密级管理机制

灵活的“部门”+“密级”管理机制，全面掌控机密资料流向，真正实现任意细粒度控制。

安全平台根据人员“部门”、“密级”授权和文件的“部门”、“密级”属性进行比对，在部门相符，人员“密级”授权大于或等于文件“密级”属性的情况下，才允许正常打开加密文件。

当企业行政架构发生变化时，“部门”、“密级”均可任意增加或插入，无需特殊处理已加密文件，即可自动继承相关授权，可轻松应对未来的扩展。

当文件临时需要交由企业内部其他部门使用时，可通过OA的审批流程或在安全平台客户端直接把文件内含的“部门”、“密级”属性变更到为新的“部门”、“密级”。

当企业内部某些人员需要跨部门工作时，可通过安全平台控制台，对特定人员授与相应的“部门”、“密级”操作权限。

金蝶K/3数据安全平台解决方案

5.4灵活的解密机制

多种灵活的解密方式，可结合OA或PLM使用，实现工作程审批解密或邮件白名单自动解密，减少领导手工解密的工作量，提高企业效率。

金蝶K/3数据安全平台解决方案

5.5打印限制功能

可根据不同用户权限，限制相应进程的打印功能。减少机密文件通过纸质形式泄密的机会。

5.6进程限制功能

可根据不同用户权限，限制相应进程的运行功能。禁用与工作无关的应用，提高工作效率。

5.7网址访问控制功能

可根据不同用户权限，设定网址访问权限，分别使用黑白名单管理，禁止用户访问与工作无关的网页，提高工作效率。

5.8远程监控

根据不同用户权限，可随时监控任一安全平台客户端的计算机屏幕，安全终端所有操作行为无所遁形。

5.9工作时间排程

可根据实际情况，任意设定数据库服务器及平台各用户的工作时间，在非工作时间内，无法登录平台，无法使用已加密的文件，确保机密资料安全。

5.10支持多种登录模式

包括“用户名+密码”、“用户名+智能卡数字证书（CA）”、用户名捆绑IP、Mac地址、开机自动登录等。

5.11多种隐蔽机制

隐蔽安全平台运行界面、未登录平台前隐藏已加密的文件，使用企业机密更加安全。隐藏后，在资源管理器看不到已加密文件，在SQL企业管理器中看不到已加密的数据库，在金蝶账套管理也看不到已加密账套。

5.12支持离线应用

安全平台根据离线后有效时间、离线后登录次数等进行离线控制，即使计算机离开公司环境，仍受到实时监控，加密效果与在公司内部使用一样。

5.13完善的日志记录

详细记录安全终端的各项关键操作，根据客户需要输出相应报表。

2. 谁能简单介绍下数据库加密

一、数据库加密是什么？
数据库加密技术属于主动防御机制，可以防止明文存储引起的数据泄密、突破边界防护的外部黑客攻击以及来自于内部高权限用户的数据窃取，从根本上解决数据库敏感数据泄漏问题。数据库加密技术是数据库安全措施中最顶级的防护手段，也是对技术性要求最高的，产品的稳定性至关重要。
二、数据库加密的方式有哪些？
目前，不同场景下仍在使用的数据库加密技术主要有：前置代理加密、应用系统加密、文件系统加密、后置代理加密、表空间加密和磁盘加密等，下文将对前四种数据加密技术原理进行简要说明。
1、前置代理加密技术
该技术的思路是在数据库之前增加一道安全代理服务，所有访问数据库的行为都必须经过该安全代理服务，在此服务中实现如数据加解密、存取控制等安全策略，安全代理服务通过数据库的访问接口实现数据存储。安全代理服务存在于客户端应用与数据库存储引擎之间，负责完成数据的加解密工作，加密数据存储在安全代理服务中。
2、应用加密技术
该技术是应用系统通过加密API(JDBC,ODBC,CAPI等)对敏感数据进行加密，将加密数据存储到数据库的底层文件中；在进行数据检索时，将密文数据取回到客户端，再进行解密，应用系统自行管理密钥体系。
3、文件系统加解密技术
该技术不与数据库自身原理融合，只是对数据存储的载体从操作系统或文件系统层面进行加解密。这种技术通过在操作系统中植入具有一定入侵性的“钩子”进程，在数据存储文件被打开的时候进行解密动作，在数据落地的时候执行加密动作，具备基础加解密能力的同时，能够根据操作系统用户或者访问文件的进程ID进行基本的访问权限控制。
4、后置代理技术
该技术是使用“视图”+“触发器”+“扩展索引”+“外部调用”的方式实现数据加密，同时保证应用完全透明。核心思想是充分利用数据库自身提供的应用定制扩展能力，分别使用其触发器扩展能力、索引扩展能力、自定义函数扩展能力以及视图等技术来满足数据存储加密，加密后数据检索，对应用无缝透明等核心需求。
三、数据库加密的价值
1、在被拖库后，避免因明文存储导致的数据泄露
通常情况下，数据库中的数据是以明文形式进行存储和使用的，一旦数据文件或备份磁带丢失，可能引发严重的数据泄露问题；而在拖库攻击中，明文存储的数据对于攻击者同样没有任何秘密可言——如Aul、MyDul等很多成熟的数据库文件解析软件，均可对明文存储的数据文件进行直接分析，并输出清晰的、结构化的数据，从而导致泄密。
数据库加密技术可对数据库中存储的数据在存储层进行加密，即使有人想对此类数据文件进行反向解析，所得到的也不过是没有任何可读性的“乱码”，有效避免了因数据文件被拖库而造成数据泄露的问题，从根本上保证数据的安全。
2、对高权用户，防范内部窃取数据造成数据泄露
主流商业数据库系统考虑到初始化和管理的需要，会设置以sys、sa或root为代表的数据库超级用户。这些超级用户天然具备数据访问、授权和审计的权限，对存储在数据库中的所有数据都可以进行无限制的访问和处理；而在一些大型企业和政府机构中，除系统管理员，以数据分析员、程序员、服务外包人员为代表的其他数据库用户，也存在以某种形式、在非业务需要时访问敏感数据的可能。
数据库加密技术通常可以提供独立于数据库系统自身权限控制体系之外的增强权控能力，由专用的加密系统为数据库中的敏感数据设置访问权限，有效限制数据库超级用户或其他高权限用户对敏感数据的访问行为，保障数据安全。