数据库防火墙&数据库加密与脱敏&数据泄露防护

写在最前：
安全产品系列目录：目录&总述

数据库防火墙

    解决数据库应用侧和运维侧两方面的问题，是一款基于数据库协议分析与控制技术的数据库安全防护系统
    主动防御，实现数据库的访问行为控制、危险操作阻断、可疑行为审计。
    数据库安全技术之一，数据库安全技术主要包括：数据库漏扫、数据库加密、数据库防火墙、数据脱敏、数据库安全审计系统
    防止sql注入的最好解决办法

产品简介

部署在数据库前端，实时监控数据库操作行为，通过对数据库协议的解析，发现违规操作进行精确阻断

产品特点

1. 前端部署，接管全部操作
2. 内置策略，操作简单
3. 细粒度协议解析与双向审计
4. 实时行为监控
5. 应用三层关联审计

用户价值

1. 保护数据安全
2. 方便查看数据库操作行为

1.功能技术

1. 屏蔽直接访问数据库的通道：数据库防火墙部署介于数据库服务器和应用服务器之间，屏蔽直接访问的通道，防止数据库隐通道对数据库的攻击。
2. 二次认证：基于独创的“连接六元组【机器指纹（不可伪造）、IP地址、MAC地址、用户、应用程序、时间段】”授权单位，应用程序对数据库的访问，必须经过数据库防火墙和数据库自身两层身份认证。
3. 攻击保护：实时检测用户对数据库进行的SQL注入和缓冲区溢出攻击。并报警或者阻止攻击行为，同时详细的审计下攻击操作发生的时间、来源IP、登录数据库的用户名、攻击代码等详细信息。
4. 连接监控：实时的监控所有到数据库的连接信息、操作数、违规数等。管理员可以断开指定的连接。
5. 安全审计：系统能够审计对数据库服务器的访问情况。包括用户名、程序名、IP地址、请求的数据库、连接建立的时间、连接断开的时间、通信量大小、执行结果等等信息。并提供灵活的回放日志查询分析功能，并可以生存报表。
6. 审计探针：本系统在作为数据库防火墙的同时，还可以作为数据库审计系统的数据获取引擎，将通信内容发送到审计系统中。
7. 细粒度权限控制：按照SQL操作类型包括Select、Insert、Update、Delete,对象拥有者，及基于表、视图对象、列进行权限控制
8. 精准SQL语法分析：高性能SQL语义分析引擎，对数据库的SQL语句操作，进行实时捕获、识别、分类
9. 自动SQL学习：基于自学习机制的风险管控模型，主动监控数据库活动，防止未授权的数据库访问、SQL注入、权限或角色升级，以及对敏感数据的非法访问等。
10. 透明部署：无须改变网络结构、应用部署、应用程序内部逻辑、前端用户习惯等

2.部署模式

所有数据操作都要经过DB Firewall，串行部署在数据库服务器前端，检查全部对数据库进行的操作
透明模式或代理模式

其实也可以旁路，但会牺牲很大一部分功能，但可以避免数据读取的时延（很多串行部署设备同理）

生产厂商

数据库防火墙：
安恒信息、安华金和、中安比特/中安威士、帕拉迪/汉领信息、杭州美创、中安星云、杭州闪捷、华清信安、信诺瑞得、安数云、东软、启明星辰

数据库加密

数据库加密系统是基于透明加密技术的数据库防泄漏系统，能够实现对数据库中的敏感数据加密存储、访问控制增强、应用访问安全、安全审计以及三权分立等功能。

产品简介

利用透明加密技术对数据库加密

产品特点

1. 多密钥管理
2. 容灾备份
3. 处理快速，无影响操作

用户价值

1. 字段加密;
2. 密钥动态管理;
3. 合理处理数据;
4. 不影响合法用户的操作;
5. 防止非法操作

1.加密技术

    对数据进行加密，主要有三种方式：系统中加密、客户端(DBMS外层)加密、服务器端(DBMS内核层)加密。客户端加密的好处是不会加重数据库服务器的负载，并且可实现网上的传输加密，这种加密方式通常利用数据库外层工具实现。而服务器端的加密需要对数据库管理系统本身进行操作，属核心层加密，如果没有数据库开发商的配合，其实现难度相对较大。

在系统中加密，在系统中无法辨认数据库文件中的数据关系，将数据先在内存中进行加密，然后文件系统把每次加密后的内存数据写入到数据库文件中去，读入时再逆方面进行解密就，这种加密方法相对简单，只要妥善管理密钥就可以了。缺点对数据库的读写都比较麻烦，每次都要进行加解密的工作，对程序的编写和读写数据库的速度都会有影响。

在DBMS内核层实现加密需要对数据库管理系统本身进行操作。这种加密是指数据在物理存取之前完成加解密工作。这种加密方式的优点是加密功能强，并且加密功能几乎不会影响DBMS的功能，可以实现加密功能与数据库管理系统之间的无缝耦合。其缺点是加密运算在服务器端进行，加重了服务器的负载，而且DBMS和加密器之间的接口需要DBMS开发商的支持。

在DBMS外层实现加密的好处是不会加重数据库服务器的负载，并且可实现网上的传输，加密比较实际的做法是将数据库加密系统做成DBMS的一个外层工具，根据加密要求自动完成对数据库数据的加解密处理。采用这种加密方式进行加密，加解密运算可在客户端进行，它的优点是不会加重数据库服务器的负载并且可以实现网上传输的加密，缺点是加密功能会受到一些限制，与数据库管理系统之间的耦合性稍差。

2.功能特性

1. 身份认证：
   用户除提供用户名、口令外，还必须按照系统安全要求提供其它相关安全凭证。如使用终端密钥。
2. 通信加密与完整性保护：
   有关数据库的访问在网络传输中都被加密，通信一次一密的意义在于防重放、防篡改。
3. 数据库数据存储加密与完整性保护：
   数据库系统采用数据项级存储加密，即数据库中不同的记录、每条记录的不同字段都采用不同的密钥加密，辅以校验措施来保证数据库数据存储的保密性和完整性，防止数据的非授权访问和修改。
4. 数据库加密设置：
   系统中可以选择需要加密的数据库列，以便于用户选择那些敏感信息进行加密而不是全部数据都加密。只对用户的敏感数据加密可以提高数据库访问速度。这样有利于用户在效率与安全性之间进行自主选择。
5. 多级密钥管理模式：
   主密钥和主密钥变量保存在安全区域，二级密钥受主密钥变量加密保护，数据加密的密钥存储或传输时利用二级密钥加密保护，使用时受主密钥保护。
6. 安全备份：
   系统提供数据库明文备份功能和密钥备份功能

数据库脱敏

脱敏分为动态脱敏与静态脱敏
防止敏感信息泄露，对敏感信息进行处理
动态是每次使用时检测脱敏，在外层设置
静态操作完成后，从内部完成脱敏

动态脱敏

产品简介

实时对数据库响应数据进行脱敏

产品特点

1. 不同人员权限管理，反馈不同信息
2. 白名单策略，方便操作
3. 脱敏方式丰富（替换、数字随机化、屏蔽、偏移等）
4. 运维脱敏，防止误操作

用户价值

1. 不影响使用，适应范围广
2. 权限控制，防止越权访问
3. 降低敏感信息泄露风险

静态脱敏

产品简介

针对用户数据进行流程化管理，对敏感数据进行脱敏的管控平台

产品特点

1. 性能高，处理速度快
2. 脱敏结果高仿真
3. 结果不可逆，不能反分析出原数据
4. 利用模型，自动识别敏感数据

用户价值

1. 避免直接对数据库进行操作（取出-脱敏-传入）
2. 防止敏感数据额泄露

生产厂商

数据库加密和脱敏：
中安比特/中安威士、安华金和、迈科龙、中安星云、杭州美创、上海观安、优炫、广州鼎甲、杭州闪捷、华清信安、世平信息、东软、启明星辰

DLP 数据泄露防护

Data leakage prevention
又称“数据丢失防护”(Data Loss prevention, DLP)、“信息泄漏防护”(Information leakage prevention, ILP)
数据泄漏的途径可归类为三种：
在使用状态下的泄密、在存储状态下的泄密和在传输状态下的泄密。一般企业可通过安装防火墙、杀毒软件等方法来阻挡外部的入侵，但是事实上97%的信息泄密事件源于企业内部，所以就以上三种泄密途径分析，信息外泄的根源在于：
1、使用泄漏：1）操作失误导致技术数据泄漏或损坏；2）通过打印、剪切、复制、粘贴、另存为、重命名等操作泄漏数据。
2、存储泄漏：1） 数据中心、服务器、数据库的数据被随意下载、共享泄漏；2）离职人员通过U盘、CD/DVD、移动硬盘随意拷走机密资料；3）移动笔记本被盗、丢失或维修造成数据泄漏。
3、传输泄漏：1）通过email、QQ、MSN等轻易传输机密资料；2）通过网络监听、拦截等方式篡改、伪造传输数据。

产品简介

敏感数据防泄露

产品特点

1. 策略管理、设备管理、事件管理
2. 内容检测、响应阻断、事件上报
3. 外发控制

用户价值

1. 保护数据安全，防止数据泄露
2. 实时检测，记录，方便分析追责

1.产品功能

1. 服务器加密维护
   对服务器群的维护，由DNetSec来完成。DNetSec由硬件和软件两大部分组成，个中硬件采用高机能的搜集服务器，软件为文档安全网关软件。DNetSec对一切上传到服务器的文档自动中止解密，对一切从服务器下载文档自动中止加密。
2. 办公搜集和手工搜集文档维护
   在办公局域网等内部搜集中，采用透明加密搜集内的手工文档、设计图纸、源代码、电路图等中间资料自动、强迫、实时加密。采用文档权限管理对管理部门的办公信件、财务部门的财务数据、发卖部门的客户资料、市场部门的谋划方案等商业机密文件中止权限节制。经由两种管理体式款式，确保内部搜集终端安全，防止内部中间信息外泄。
3. 文档外发节制
   对企业内部发往出差人员、协作单位等系统外的文档。当外发文件掀开时，需经由用户身份认证，方可阅读文件。同时，外发文件可以限制回收者的阅读次数和运用时分等细粒度的权限，从而有效防止了客户首要信息被非法扩散。
4. 离线脱机办公管理
   在人员出差或其他情况下，需求外带笔记本电脑，经由计谋设定，可以确保对离线笔记本电脑数据的节制。
5. 笔记本电脑管理
   对存有首要资料的笔记本电脑，采用磁盘加密。
6. 内网端口管理和移动设备管理
   对内网中的一切端口和移动设备，对U盘、移动硬盘、红外、WIFI、蓝牙等输出端口中止节制，并能对拷贝到移动存储设备的文档加密。
7. 文档自动备份
   文档每次保管后均自动备份到备份服务器中。文档管理员可经由改动备份的方式和路子，完成备份管理。用户在分开服务器方式下的文档，也将自动备份到当地硬盘中。经由备份，可有效避免因为各类意外招致的数据损失。
8. 日志审计
   能够看管、跟踪、记录一切用户的悉数操作，实时查看系统的运用情况，完成最高的系统安全。可以从严重的记录数据中抽取有用的信息，对用户的某些操作中止分类整理，经由操作记录，回溯历史活动，从而发现泄密渠道。经由跟踪用户操作，能及时发现用户的风险操作，在泄密工作发现前就获得警报，遏止泄密工作的发生。一旦泄密工作发生，经由用户操作记录, 可以第一时分拿出最有力的证据。

2.部署模式

数据泄密防护需要部署服务端、控制台和客户端，管理人员通过控制台处理客户端加密文件的申请，服务端负责数字证书生成、记录文件加密信息和解密日志，进行统一管理。

生产厂商

亿赛通、明朝万达、天锐、大成天下