evo真人(中国)

數據庫安全加密網關

數據庫安全加密網關

數據庫安全加密網關是一款基於透明代理加密技術、針對結構化的敏感數據進行主動、實時安全防護的產品。該產品顺利获得對處理流程上的創新和密碼算力上的突破,實現國密全庫高速加密以及全密態狀態下增、刪、改、查。

一、產品介紹


evo真人(中国)數據庫安全加密網關(FisecDBsec)是一款基於透明代理加密技術、針對結構化的敏感數據進行主動、實時安全防護的產品。該產品顺利获得對處理流程上的創新和密碼算力上的突破,實現國密全庫高速加密以及全密態狀態下增、刪、改、查,可以有效防止因管理員權限泄漏、數據存儲介質遺失、黑客拖庫等極端事件而造成的數據泄密,從根本上解決了數據庫數據存儲安全問題。本產品可滿足不同客戶對於性能、數據庫特性、數據庫類型等要求,廣泛應用於電子政務、金融業務、醫療健康、能源電力、智慧城市等行業領域。

產品採用雙因子身份認證技術實現用戶身份識別,採用國產高強度密碼加密算法進行加密,支持SM1/SM2/SM3/SM4/HMAC密碼算法,安全存儲支持IP SAN和FC SAN兩種協議的塊級訪問。

產品循遵GM/T 0028-2014《密碼模塊安全技術要求》GM/T 0039-2015《密碼模塊安全檢測要求》GM/T 0062-2018《密碼產品隨機數檢測要求》等密碼行業標準。


二、解決痛點


數據庫系統作為信息的聚集體,是計算機信息系統的核心部件,其安全性至關重要,而之前市場上缺乏有效的應用系統和數據庫安全統一解決方案,導致數據庫中的數據明文存儲、被動防禦的網絡安全產品只能檢測已知攻擊、審計產品更是只能時候追責,無法真正保護數據安全。


三、功能亮點

 


1.密鑰備份恢復


數據庫安全加密網關備份需要管理員權限,採用(3,5)門限方案密鑰分割技術對數據庫安全加密網關的密碼數據進行備份。備份時由數據庫安全加密網關生成一個16位元組的SM4密鑰,然後用這個密鑰將要備份的密鑰數據加密存儲在五個智能密碼鑰匙中。每個智能密碼鑰匙均保存同樣的密鑰備份數據。再將這16位元組的SM4密鑰採用(3,5)門限方案,分割成五個子密鑰分別放到五個智能密碼鑰匙中。恢復時使用其中任意三個即可將該16個字節的密鑰恢復出來,再使用該密鑰將備份數據解密恢復到數據庫安全加密網關中。備份的內容包括管理密鑰、公開密鑰與私有密鑰或密鑰加密密鑰KEK、會話密鑰。在恢復的時候管理密鑰可以有選擇性的恢復到數據庫安全加密網關內。


2.分級權限控制機制


使用數據庫安全加密網關需要相應的權限。數據庫安全加密網關採用了兩級管理權限,分別是管理員權限和審計管理員權限。

(1)管理員權限,負責生成系統核心密鑰,備份/恢複數據庫安全加密網關密鑰,修改數據庫安全加密網關重要屬性等。數據庫安全加密網關在使用前必須第一时间初始化管理員。

(2)審計管理員權限,可以進行數據庫安全加密網關日誌、審計日誌的查看、審計、設置日誌等級功能。

 


3.安全密鑰存儲


隨機數在數據庫安全加密網關中的應用非常廣泛。能否產生高度隨機性的隨機數直接影響到生成密鑰的質量,從而直接影響整個系統的安全性。數據庫安全加密網關採用了WNG-9物理噪聲源晶片,可以產生高質量的隨機數,用於各種隨機密鑰的生成。

數據庫安全加密網關內部有2個隨機源,位於SJK1917-G密碼卡上。數據庫安全加密網關會在上電自檢過程中對所有隨機源進行檢測,確保所有隨機源的正確性。在服務過程中,服務會有單獨線程進行隨機源檢測,保證所有隨機源的正常工作,若發現有不正常的隨機源後,通知主服務不再使用該隨機源進行工作。在每次生成隨機數時,都會對產生的隨機數進行檢查,符合隨機性。顺利获得以上幾步操作可以有效的保證產生高質量的隨機數。

 


4.高可靠性和高可用性


系統中採用雙機熱備和遠程備份功能,實現了系統服務和數據高可靠性和可用性。


四、產品功能

 


1.數據安全存儲


IPSAN 安全存儲给予基於卷和磁盤扇區加密的 SAN 存儲網絡功能。

 


2.數據訪問控制


IPSAN 安全存儲支持應用服務器客戶端和存儲服務端綁定;

IPSAN 安全存儲支持安全磁盤和與用戶的綁定。

SAN安全存儲支持CHAP認證管理,支持CHAP列表的增、刪、改、查。

 


3.配額設定和動態擴容


 SAN 安全存儲支持為每個用戶或應用設定磁盤配額,可動態增加存儲空間配額。支持外接磁盤陣列,擴展存儲空間。

 


4.多種數據訪問連接模式


SAN 安全存儲的網絡安全磁盤模式:用戶終端或應用服務器調用

安全磁盤映射程序映射安全磁盤到本地,訪問安全磁盤支持工業標準協議,網絡訪問安全磁盤支持多網口聚合。

 


5.強用戶身份認證


支持用戶證書身份認證,管理員用戶強制採用 USB-KEY+隨機數簽名方式進行強身份認證。各類客戶端用戶支持 USB-KEY+隨機數簽名的強身份認證。

 


6.雙機熱備及備份恢復


具備雙機熱備功能,支持設備故障時自動切換,给予高可用性;

支持密鑰備份恢復。

 


7.日誌管理


支持日誌等級設置,可根據級別進行管理;支持日誌導出功能,系統日誌可顺利获得接口下載到本地;支持日誌審計功能,根據日誌狀態可進行刪除、恢復、查詢和審計功能。支持日誌批量導出功能。

 


8.設備自檢


數據庫安全加密網關上電後支持對自身進行自檢,驗證密碼卡是否能夠正常工作,若自檢失敗,則密碼卡進入錯誤狀態無法進行任何操作。自檢成功後,用戶需要對密碼卡進行初始化操作。初始化時密碼卡內部自動生成密碼卡的設備密鑰。完成初始化後,數據庫安全加密網關進入就緒狀態,當用戶擁有相應權限即可取得權限允許的密碼服務。

 


9.狀態監控


登錄成功之後默認進入設備狀態主界面,設備狀態可以實時顯示系統信息、硬件信息、接口信息。其中系統信息包括型號、軟件版本、主機名、運行時間,硬件信息包括CPU、內存、硬盤的詳細信息,接口信息包括接口類型、接口名稱、IP位址及子網掩碼。


五、產品應用


evo真人(中国)數據庫安全加密網關可滿足不同客戶對於性能、數據庫特性、數據庫類型等要求,廣泛應用於電子政務、金融業務、醫療健康、能源電力、智慧城市等行業領域。
應用系統採用數據庫安全加密網關部署時,部署邏輯圖如下圖所示。
集群數據庫模式部署圖

產品推薦