网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

　　DBCoffer增设数据安全管理员(Data Security Administrator，DSA)。DBA和DSA完全独立，共同实现对敏感字段的强存取控制，实现真正的责权一致。DBA实现对普通字段的一般性访问权限控制，DSA实现对敏感字段的密文访问权限控制和加解密处理。

　　该功能是对Oracle访问控制能力的加固，防止了特权用户对敏感数据的非法访问。

　　·敏感数据审计

　　DBCoffer增设安全审计管理员(Data Audit Administrator，DAA)，提供对数据库中敏感数据的访问进行审计追踪。 传统的审计技术，由于审计的信息量大，审计功能的开启，将对性能造成极大的影响;而DBCoffer中仅针对敏感数据进行审计，极大降低了审计的负载，从而有效保证了在开启审计功能时的数据库性能。

　　·真正应用安全

　　DBCoffer应用绑定功能可以实现对Oracle用户与应用的捆绑。现在的应用软件对Oracle数据库访问的用户名和密码，保护措施都较弱，或出于管理的角度，需要对部分用户公开。虽然应用本身进行了有效的权限设定，但可以通过应用访问的数据库用户名和密码访问敏感数据。通过DBCoffer应用绑定功能，防止通过命令行、管理工具等其他方式使用应用的数据库用户名和密码访问敏感数据。

　　·高效数据检索

　　DBCoffer进行安全增强后，依然能够对加密数据进行索引查询，从而保持Oracle数据库的高效访问能力。

　　DBCoffer通过专利的、高度安全的加密索引技术，突破了传统技术对加密列不能使用索引的限制;在保证索引数据的高度安全基础上，提供了对已加密数据为检索条件的索引查询;在加密列上进行的等于、大于、小于和Like操作依然可以使用索引。

　　·高可用性支撑

　　DBCoffer通过与Oracle的数据集成存储、RAC支持、双机热备、自动透明故障切换、应急模式、快速数据恢复等技术，使DBCoffer提供与Oracle相当的高可用支持和异常故障处理能力。

　　·简单、易用、灵活

　　DBCoffer产品稳定可靠，产品化程度高，图形化管理界面，简单易用。系统安装、部署在半小时内可以完成，安全加固实施(数据加密防护)一般可在一天内完成。DBCoffer具备快速、准确地整体拆除能力，并且在线还原期间可以保正应用系统正常运行。

　　5.2 技术指标

　　·数据加密

　　1. 以列为单位进行数据加密，加密列的数据在Oracle中以密文形式存储;

　　2. 支持选定记录的部分数据加密;

　　3. 支持字段完全加密和前缀明文两种方式的加密;

　　4. 支持对各种常用数据类型加密：CHAR，VARCHAR，VARCHAR2，RAW，LOB，NUMBER，DATE;

　　5. 可以对加密列指定加密设备、算法、盐值类型等加密策略;

　　6. 支持对加密策略进行变更;

　　7. 支持密文水印，防止数据记录级的行间篡改。

　　·透明访问

　　透明访问包含以下几个层面的需求：

　　1. SQL语句透明：SELECT、UPDATE、INSERT、DELETE四种SQL语句进行操作，应用程序不用作修改即可拥有安全特性。

　　2. 存储程序透明：对于应用透明支持的含义还包括对存储过程透明的支持。

　　3. 开发接口透明：提供对应用开发接口的全面透明支持，包括：JDBC、ODBC、OLEDB、ADO、OCI等。

　　4. 数据访问能够做到对象透明：指定加密列的数据库对象，应用在访问时不用变更表名、列名、列类型或显示调用解密函数。

　　5. 管理工具尽可能透明：Oracle提供的前台管理界面(如：企业管理器、查询分析器)仍然可以正常使用。

　　·分权

　　增设数据安全管理员(Data Security Administrator，DSA)。

　　DBA和DSA完全独立，共同实现对敏感字段的强存取控制，实现真正的责权一致。

　　DBA实现对敏感字段的访问权限控制，DSA实现对敏感字段的加/脱密权限控制。仅有DBA授予的访问权限而没有DSA授予的加/脱密权限，用户只能访问到缺省值，或者直接报错。DBA拥有对加密字段的管理能力，而没有查看和修改真实数据的能力。实现加脱/密功能的授权管理，包括：

　　1. 用户管理：把Oracle中的用户升级到DBCoffer中，以方便对其授权。

　　2. 角色管理：在数据库保险箱中建立自己的权限角色，可以对角色进行授权，用户可属于某角色，将继承该角色的权限。

　　3. 安全域管理：指的是敏感字段的集合，需要安全员指定。

　　4. 授权管理：指安全域中的字段赋予角色或用户的过程。

　　5. 能有效防止新特权用户的产生：