資源描述:
《安華金和數(shù)據(jù)庫(kù)安全軍工行業(yè)解決方案》由會(huì)員上傳分享����,免費(fèi)在線(xiàn)閱讀,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫(kù)�����。
1����、安華金和數(shù)據(jù)庫(kù)安全軍工行業(yè)解決方案一.客戶(hù)需求與挑戰(zhàn)目前,在某軍工PDM系統(tǒng)數(shù)據(jù)庫(kù)中�,存儲(chǔ)了大量產(chǎn)品的核心敏感信息(如產(chǎn)品名稱(chēng)、型號(hào)����、設(shè)計(jì)圖紙、關(guān)鍵描述等)�����,以及生產(chǎn)計(jì)劃信息����。在系統(tǒng)使用和運(yùn)維的過(guò)程中,這些機(jī)密信息已面臨著眾多的來(lái)自于外部和內(nèi)部的安全威脅��,一旦發(fā)生信息濫用���、惡意篡改或泄密事故�,將直接影響PDM系統(tǒng)的正常運(yùn)轉(zhuǎn)����、危害企業(yè)利益,乃至威脅到國(guó)家安全�。因此,為確保PDM系統(tǒng)的數(shù)據(jù)安全����,建立健全軍工企業(yè)數(shù)據(jù)安全防護(hù)體系,保障企業(yè)利益和國(guó)家安全已勢(shì)在必行。分析軍工企業(yè)PDM系統(tǒng)的數(shù)據(jù)應(yīng)用特點(diǎn)以及相關(guān)安全政策的要求�����,軍工企業(yè)目前主要存在以下三方面的數(shù)據(jù)保密需要:1)分級(jí)保護(hù)政策要求加強(qiáng)涉
2�����、密系統(tǒng)的數(shù)據(jù)安全防護(hù)為保護(hù)國(guó)家秘密的安全�����,國(guó)家保密局于2007年發(fā)布并實(shí)施的BMB22號(hào)文件�����,在數(shù)據(jù)保密方案�,分級(jí)保護(hù)從運(yùn)行管理、身份鑒別���、訪(fǎng)問(wèn)控制���、安全審計(jì)、存儲(chǔ)加密和數(shù)據(jù)庫(kù)安全方面進(jìn)行了一系列的技術(shù)和測(cè)評(píng)要求�����,并占據(jù)了較高的比重。2)數(shù)據(jù)庫(kù)安全成為軍工企業(yè)信息安全建設(shè)“短板”���,我國(guó)軍工企業(yè)涉密系統(tǒng)在建設(shè)初期就考慮到了安全保障能力的建設(shè),而真正處于核心層的敏感數(shù)據(jù)載體-數(shù)據(jù)庫(kù)的保障能力較低��,抗攻擊能力嚴(yán)重不足����,成為數(shù)據(jù)安全保密的“短板”。3)PDM核心產(chǎn)品信息要求對(duì)內(nèi)高度保密部分軍工企業(yè)的生產(chǎn)用于國(guó)家高端武器制造或尖端科技領(lǐng)域�����,����、要求對(duì)包括生產(chǎn)、檢驗(yàn)等內(nèi)部人員高度保密��,而設(shè)計(jì)圖紙的密級(jí)
3����、則更不言而喻,這就要求軍工企業(yè)對(duì)此類(lèi)敏感信息必須運(yùn)用密碼技術(shù)進(jìn)行存儲(chǔ)加密保護(hù)。-4-?2016安華金和www.dbsec.cn一.解決方案概述及要點(diǎn)描述數(shù)據(jù)庫(kù)加密防護(hù)的單位一般可是庫(kù)級(jí)�����、表級(jí)和字段級(jí)�����,在多達(dá)數(shù)百?gòu)埍?���、每個(gè)表多達(dá)數(shù)十列字段的數(shù)據(jù)庫(kù)系統(tǒng)中,往往不是所有的字段都具敏感性�����,通常只需加密個(gè)別表的個(gè)別關(guān)鍵字段就可以切斷數(shù)據(jù)間的聯(lián)系����、實(shí)現(xiàn)關(guān)鍵數(shù)據(jù)保密,同時(shí)達(dá)到有效降低性能損失的效果����。DBCoffer系統(tǒng)的一個(gè)顯著特點(diǎn)是能夠以列為單位進(jìn)行加密和授權(quán),本方案以“保護(hù)軍工企業(yè)PDM系統(tǒng)數(shù)據(jù)安全”為目標(biāo)��,以“最小代價(jià)換取安全提升”的原則,定義出PDM系統(tǒng)核心敏感數(shù)據(jù)字段���,在此基礎(chǔ)上提出基于安華
4�����、金和數(shù)據(jù)庫(kù)保險(xiǎn)箱(DBCoffer)產(chǎn)品的數(shù)據(jù)安全保密解決方案:圖1基于DBCoffer的PDM系統(tǒng)數(shù)據(jù)防護(hù)網(wǎng)絡(luò)部署圖在本方案中�����,將PDM系統(tǒng)的產(chǎn)品名稱(chēng)、型號(hào)��、設(shè)計(jì)圖紙�、關(guān)鍵描述等信息,以及生產(chǎn)計(jì)劃信息定義為敏感信息�����;首先通過(guò)DBCoffer將上述敏感信息加密存儲(chǔ)在數(shù)據(jù)庫(kù)中����;同時(shí)通過(guò)-4-?2016安華金和www.dbsec.cnDBCoffer的密文權(quán)限控制體系,限制DBA等業(yè)務(wù)無(wú)關(guān)人員對(duì)敏感數(shù)據(jù)的訪(fǎng)問(wèn)權(quán)限�,使其只能維護(hù)數(shù)據(jù)而無(wú)法訪(fǎng)問(wèn)這些敏感數(shù)據(jù)����,遠(yuǎn)離了內(nèi)部泄密風(fēng)險(xiǎn)��,僅將敏感數(shù)據(jù)的訪(fǎng)問(wèn)能力開(kāi)放給PDM系統(tǒng)���;然后對(duì)這些敏感數(shù)據(jù)的訪(fǎng)問(wèn)建立審計(jì)記錄����;�����、至此我們形成一套完備的存儲(chǔ)層����、傳輸層和應(yīng)
5、用層的全方位的數(shù)據(jù)安全保密解決方案:A�����、敏感數(shù)據(jù)加密存儲(chǔ)和傳輸對(duì)系統(tǒng)中核心的敏感信息進(jìn)行存儲(chǔ)加密��、���,保證備份��、存儲(chǔ)設(shè)備����、數(shù)據(jù)庫(kù)文件丟失或者傳輸?shù)臄?shù)據(jù)文件被捕獲也不會(huì)引起敏感數(shù)據(jù)泄漏。B�、敏感數(shù)據(jù)訪(fǎng)問(wèn)權(quán)限控制與審計(jì)通過(guò)獨(dú)立于Oracle數(shù)據(jù)庫(kù)之外的密文權(quán)限控制體系,使與業(yè)務(wù)本身無(wú)關(guān)的DBA等系統(tǒng)維護(hù)人員不能訪(fǎng)問(wèn)明文的敏感信息�����,也無(wú)從引起內(nèi)部泄密��。同時(shí)開(kāi)啟安全審計(jì)功能���,對(duì)敏感信息的訪(fǎng)問(wèn)進(jìn)行記錄,便于對(duì)異常訪(fǎng)問(wèn)行為進(jìn)行事后追蹤分析����。C、應(yīng)用層防護(hù)增強(qiáng)將PDM系統(tǒng)的數(shù)據(jù)庫(kù)用戶(hù)與業(yè)務(wù)系統(tǒng)自身綁定�,拒絕使用該用戶(hù)繞過(guò)PDM系統(tǒng)的任何訪(fǎng)問(wèn)保護(hù)數(shù)據(jù)行為,從而實(shí)現(xiàn)防止合法用戶(hù)違規(guī)訪(fǎng)問(wèn)敏感數(shù)據(jù)的防護(hù)目標(biāo)��。一
6、.方案客戶(hù)價(jià)值呈現(xiàn)l以列為單位進(jìn)行敏感軍工數(shù)據(jù)加密���,加密列的數(shù)據(jù)在Oracle中以密文形式存儲(chǔ)��;l對(duì)用戶(hù)常用數(shù)據(jù)類(lèi)型加密:CHAR�,VARCHAR�����,VARCHAR2�,RAW,LOB��,NUMBER��,DATE���;l指定加密列的數(shù)據(jù)庫(kù)對(duì)象�,應(yīng)用在訪(fǎng)問(wèn)時(shí)不用變更表名�����、列名�����、列類(lèi)型或顯示調(diào)用解密函數(shù)。-4-?2016安華金和www.dbsec.cn一.方案優(yōu)勢(shì)l保護(hù)國(guó)家安全��,符合分級(jí)保護(hù)的安全要求DBCoffer系統(tǒng)可以對(duì)重要數(shù)據(jù)使用加密措施進(jìn)行存儲(chǔ)和傳輸保護(hù)���、對(duì)數(shù)據(jù)庫(kù)訪(fǎng)問(wèn)進(jìn)行細(xì)粒度訪(fǎng)問(wèn)控制�����、對(duì)數(shù)據(jù)庫(kù)超級(jí)管理員進(jìn)行有效分權(quán)��、對(duì)數(shù)據(jù)訪(fǎng)問(wèn)進(jìn)行安全審計(jì)等�����。符合國(guó)家保密局涉密信息系統(tǒng)分級(jí)保護(hù)要求。l保障軍工
7�、企業(yè)PDM系統(tǒng)數(shù)據(jù)安全DBCoffer通過(guò)存儲(chǔ)層、數(shù)據(jù)訪(fǎng)問(wèn)層以及應(yīng)用層的數(shù)據(jù)防護(hù)實(shí)現(xiàn)了遭受攻擊最多��、泄密最多的數(shù)據(jù)庫(kù)層面的防護(hù)目標(biāo)���,有效填補(bǔ)當(dāng)前信息系統(tǒng)的數(shù)據(jù)安全防護(hù)“短板”��,從而保障軍工企業(yè)PDM系統(tǒng)數(shù)據(jù)安全���。l應(yīng)用改造零代價(jià)�,與其他安全產(chǎn)品有效兼容實(shí)施DBCoffer進(jìn)行數(shù)據(jù)安全防護(hù)��,對(duì)于軍工企業(yè)現(xiàn)有的PDM系統(tǒng)完全透明����,不需要新增預(yù)算進(jìn)行系統(tǒng)二次改造;同時(shí)對(duì)電子認(rèn)證�、防火墻、IDS等其他安全產(chǎn)品可以有效兼容����、互補(bǔ)。l部署靈活����,
