返回
国科信安数据库安全增强管理系统技术白皮书

国科信安数据库安全增强管理系统技术白皮书

ID:22584945

大小:642.00 KB

页数:16页

时间:2018-10-30

国科信安数据库安全增强管理系统技术白皮书_第1页
国科信安数据库安全增强管理系统技术白皮书_第2页
国科信安数据库安全增强管理系统技术白皮书_第3页
国科信安数据库安全增强管理系统技术白皮书_第4页
国科信安数据库安全增强管理系统技术白皮书_第5页
资源描述:

《国科信安数据库安全增强管理系统技术白皮书》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、数据库安全增强管理系统国科信安数据库安全增强管理系统技术白皮书国家国防科技工业局信息中心地址:北京市海淀区中关村南大街5号北京理工大学院内电话:010-6891141368911809传真:010-68911904邮编:100081通信地址:北京8184信箱数据库安全增强管理系统版权声明最后更新日期2010年4月著作权注意事项本书版权为国家国防科技工业局信息中心所有。未经国家国防科技工业局信息中心书面同意,任何公司、单位或个人不得以任何手段复制本书的部分或全部内容。对印刷错误的更正,所述信息谬误的勘误,以及产品的改进,均由国家国防科技工业局信息中心随时做出解释,恕不事先通知,

2、修正内容将编入再版说明书中。数据库安全增强管理系统目录1.产品背景12.解决的问题33.系统结构64.部署方案75.功能与特点96.支持特性107.性能测试数据10国家国防科技工业局信息中心第13页数据库安全增强管理系统1.产品背景随着计算机技术的飞速发展,数据库的应用十分广泛,深入到各个领域。数据库系统作为信息的聚集体,是计算机信息系统的核心部件,其安全性至关重要。小则关系到企业兴衰、大则关系到国家安全。在重要单位或者大型企业中,涉及大量的敏感信息。比如行政涉密文件,领导批示、公文、视频和图片,或者企业的商业机密、设计图纸等。为了保障这些敏感电子文件的安全,各单位广泛的实施

3、了安全防护措施,包括:机房安全、物理隔离、防火墙、入侵检测、加密传输、身份认证等等。但是数据库的安全问题却一直让管理员束手无策。原因是目前市场上缺乏有效的数据库安全增强产品。数据库及其应用系统普遍存在一些安全隐患。其中比较严峻的几个方面表现在:(1)由于国外对高技术出口和安全产品出口的法律限制,国内市场上只能购买到C2安全级别的数据库安全系统。该类系统只有最基本的安全防护能力。并且采用自主访问控制(DAC)模式,DBA角色能拥有至高的权限,权限可以不受限制的传播。这就使得获取DBA角色的权限成为攻击者的目标。而一旦攻击者获得DBA角色的权限,数据库将对其彻底暴露,毫无任何安全

4、性可言。(2)由于DBA拥有至高无上的权利,其可以在不被人察觉的情况下查看和修改任何数据(包括敏感数据)。因此DBA掌控着数据库中数据安全命脉,DBA的任何操作、行为无法在技术上实施监管。而DBA往往只是数据的技术上的维护者,甚至可能是数据库厂商的服务人员,并没有对敏感数据的查看和控制权。现阶段并没有很好的技术手段来约束DBA对数据的访问权限,因此存在巨大安全隐患,特别是在DBA权限被非法获取的情况下,更是无法保证数据的安全。(3)由于C2级的商业数据库对用户的访问权限的限制是在表级别的。一旦用户拥有了一个表的访问权限,那么表中的任何数据都具有访国家国防科技工业局信息中心第1

5、3页数据库安全增强管理系统问权限。但是一个表中可能存在敏感和非敏感字段。对于敏感数据,只有特定权限的人才能访问。此时数,据库自身的安全控制就显得力不从心。(4)数据库系统是一个复杂的系统,根据已经公布的资料,数据库存在许多风险,其中不少是致命的缺陷和漏洞。举例来说,全球公认安全性出众的数据库产品在2006年1月发布了其季度安全补丁包中就修补了多个产品中的80多个漏洞。其中不少漏洞可以非常容易地被黑客利用。一旦遭到攻击,攻击者可能以DBA的身份进入数据库系统,也可能进入操作系统,下载整个数据库文件。从上面分析可以看出,仅靠边界安全防护(防火墙、防病毒、入侵检测、漏洞扫描)是不可

6、能解决数据库相关的所有的安全问题。尤其不能解决数据库内部敏感数据的安全问题。公安部、国家保密局、国家密码管理局和国务院信息化工作办公室等部委于2006年出台了相关规定,要求信息系统,尤其是重要部门的信息系统要充分运用密码技术对信息系统进行保护。对于采用密码对涉及国家秘密的信息和信息系统进行保护的,密码的设计、实施、使用、运行维护和日常管理等,应该按照国家秘密管理有关规定和相关标准执行;对于采用密码对不涉及国家秘密的信息和信息系统进行保护的,应该遵照《商用密码管理条例》和密码分类分级保护有关规定和相关标准。另外,国家出台了相关规定,要求重要部门的信息系统对数据资产实行等级保护。

7、对于信息系统中的信息资产,应该根据其敏感程度,指定不同的安全等级,实施不同的安全保护策略。为增强数据库系统的安全,满足数字资产等级化的安全防护要求,有选择性的保护数据库内部敏感数据的安全性,本产品通过在数据库管理系统的内核中嵌入自主研发的安全防护系统,通过字段级别的访问控制来达到对敏感数据的防护目的。敏感数据以乱码的形式存在,通过数字签名实现强访问控制,非授权用户(包含DBA)查看到的数据为空,而授权用户的使用则不受任何限制。并且本产品对于应用系统来说是完全透明的,不需要基于数据库的应用系统做任何改动。

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。