网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

　　DBCoffer 系统的一个显著特点是能够以列为单位进行加密和授权，本方案以“保护军 工企业 PDM 系统数据安全”为目标，以“最小代价换取安全提升”的原则，定义出 PDM 系统 核心敏感数据字段，在此基础上提出基于安华金和数据库保险箱(DBCoffer)产品的数据安全 保密解决方案：

　　在本方案中，将PDM系统的产品名称、型号、设计图纸、关键描述等信息，以及生产计划信息定义为敏感信息;首先通过DBCoffer将上述敏感信息加密存储在数据库中;同时通过DBCoffer的密文权限控制体系，限制DBA等业务无关人员对敏感数据的访问权限，使其只能维护数据而无法访问这些敏感数据，远离了内部泄密风险，仅将敏感数据的访问能力开放给PDM系统;然后对这些敏感数据的访问建立审计记录;最后，开启数据传输加密，有效保障从数据库到PDM系统通讯的保密性和完整性。

　　至此我们形成一套完备的存储层、传输层和应用层的全方位的数据安全保密解决方案：

　　A、敏感数据加密存储和传输

　　对系统中核心的敏感信息进行存储加密和传输加密，保证备份、存储设备、数据库文件丢失或者传输的数据文件被捕获也不会引起敏感数据泄漏。

　　B、敏感数据访问权限控制与审计

　　通过独立于Oracle数据库之外的密文权限控制体系，使与业务本身无关的DBA等系统维护人员不能访问明文的敏感信息，也无从引起内部泄密。同时开启安全审计功能，对敏感信息的访问进行记录，便于对异常访问行为进行事后追踪分析。

　　C、应用层防护增强

　　将PDM系统的数据库用户与业务系统自身绑定，拒绝使用该用户绕过PDM系统的任何访问保护数据行为，从而实现防止合法用户违规访问敏感数据的防护目标。

　　4.2 方案价值

　　保护国家安全，符合分级保护的安全要求

　　DBCoffer系统可以对重要数据使用加密措施进行存储和传输保护、对数据库访问进行细粒度访问控制、对数据库超级管理员进行有效分权、对数据访问进行安全审计等。对国家保密局涉密信息系统分级保护要求，具有很强的政策合规性，保障企业利益、国家安全不受损害。

　　保障军工企业PDM系统数据安全

　　军工企业PDM系统作为国家秘密的重要载体之一，无论从国家安全角度还是出于企业自身的安全考虑都具备很强的数据安全保密需求。防病毒、防火墙、IDS、主机监控等网络防护、主机防护产品仅仅是保障了边界安全，而DBCoffer通过存储层、数据访问层以及应用层的数据防护实现了遭受攻击最多、泄密最多的数据库层面的防护目标，有效填补当前信息系统的数据安全防护“短板”，从而保障军工企业PDM系统数据安全。

　　应用改造零代价，与其他安全产品有效兼容

　　实施DBCoffer进行数据安全防护，对于军工企业现有的PDM系统完全透明，不需要新增预算进行系统二次改造;同时对电子认证、防火墙、IDS等其他安全产品可以有效兼容、互补。

　　部署灵活，有效节约成本

　　对于多台数据库服务器或者部署了双机、RAC的数据库服务器，DBCoffer不需要完全重复部署，每新增一台数据库服务器或者节点只需新部署DBCoffer的代理程序，安全服务则无需重复部署。在军工企业拥有多台数据库服务器以及双机环境的环境下，只需采购相应个数的代理程序，从而在实现商业秘密保密的同时，可以大幅节约成本，符合“节约型信息化道路”的路线。

　　五. 方案产品简介

　　5.1 产品特点

　　·透明数据加密

　　DBCoffer支持国际先进的密码算法，以及我国的密码管理机构认定的加密算法。对数据库的指定列进行加密，保证敏感数据在存储层为密文存储，防止数据库数据以明文形式暴露，以实现存储层的安全加固。

　　透明的数据加密有两层含义，一是对应用系统透明，即用户或开发商不需要对应用系统进行任何改动;二是对有密文访问权限合法用户看到的是明文数据，该过程对用户完全透明。

　　·增强访问控制