一、方案概述： 

目前数据库在各级电子政务平台应用十分广泛，深入到政府各个部门。数据库系统作为信息的聚集体，是计算机信息系统的核心部件，其安全性至关重要。小则关系到企业兴衰、大则关系到国家安全。

在政府各部门涉及大量的敏感信息，往往是一个无价的数据宝藏：领导批示、公文、医疗记录和HIV状态（健康部门和EMS），社会安全号码，敏感的法律信息（警察部门、法院和其他部门）等等。为了保障这些敏感信息的安全，各单位广泛的实施了安全防护措施，包括：机房安全、物理隔离、防火墙、入侵检测、加密传输、身份认证等等。以上安全措施虽一定程度上遏制了黑客入侵，但每周都有新的系统漏洞发现，手段高明的入侵者和新的攻击手法仍能得逞。据美国《安全赛伯空间》杂志所作的调查，89%的用户安装了防火墙，60%的用户安装了入侵检测系统，但其中仍有90%用户的系统安全受到破坏，保密信息被随意窃取。美国FBI网络安全调查报告表明，72%的攻击行为发生在内部。所以，来自外部的黑客和来自内部的攻击行为不可避免，而且这些非法攻击的真正目标恰恰是数据库。但国内数据库几乎都是明文存储，没有任何加密措施。数据库的安全问题却一直让管理员束手无策。原因是目前市场上缺乏有效的数据库安全增强产品。

数据库及其应用系统普遍存在一些安全隐患。其中比较严峻的几个方面表现在：

（1）由于国外对高技术出口和安全产品出口的法律限制，国内市场上只能购买到C2安全级别的数据库安全系统。该类系统只有最基本的安全防护能力。在数据库系统中DBA角色能拥有至高的权限，权限可以不受限制的传播。一旦攻击者获得DBA角色的权限，数据库将对其彻底暴露,毫无任何安全性可言。

（2）由于DBA拥有至高无上的权利，其可以在不被人察觉的情况下查看和修改任何数据（包括敏感数据）。因此DBA掌控着数据库中数据安全命脉，DBA的任何操作、行为无法在技术上实施监管。而DBA往往只是数据的技术上的维护者，甚至可能是数据库厂商的服务人员，并没有对敏感数据的查看和控制权。现阶段并没有很好的技术手段来约束DBA对数据的访问权限，因此存在巨大安全隐患，特别是在DBA权限被非法获取的情况下，更是无法保证数据的安全。

（3）由于C2级的商业数据库对用户的访问权限的限制是在表级别的。一旦用户拥有了一个表的访问权限，那么表中的任何数据都具有访问权限。但是一个表中可能存在敏感和非敏感字段。对于敏感数据，只有特定权限的人才能访问。此时数，据库自身的安全控制就显得力不从心。

（4）数据库系统是一个复杂的系统，根据已经公布的资料，数据库存在许多风险，其中不少是致命的缺陷和漏洞。举例来说，全球公认安全性出众的数据库产品在2010 年1 月发布了其季度安全补丁包中就修补了多个产品中的60 多个漏洞。其中不少漏洞可以非常容易地被黑客利用。一旦遭到攻击，攻击者可能以DBA的身份进入数据库系统，也可能进入操作系统，下载整个数据库文件。

从上面分析可以看出，仅靠边界安全防护(防火墙、防病毒、入侵检测、漏洞扫描)是不可能解决数据库相关的所有的安全问题。尤其不能解决数据库内部敏感数据的安全问题。

公安部、国家保密局、国家密码管理局和国务院信息化工作办公室等部委于2006年出台了相关规定，要求信息系统，尤其是重要部门的信息系统要充分运用密码技术对信息系统进行保护。对于采用密码对涉及国家秘密的信息和信息系统进行保护的，密码的设计、实施、使用、运行维护和日常管理等，应该按照国家秘密管理有关规定和相关标准执行；对于采用密码对不涉及国家秘密的信息和信息系统进行保护的，应该遵照《商用密码管理条例》和密码分类分级保护有关规定和相关标准。

另外，国家出台了相关规定，要求重要部门的信息系统对数据资产实行等级保护。对于信息系统中的信息资产，应该根据其敏感程度，指定不同的安全等级，实施不同的安全保护策略。

为增强数据库系统的安全，满足数字资产等级化的安全防护要求，有选择性的保护数据库内部敏感数据的安全性，M2-S5100 DBsecurity产品通过在数据库管理系统的内核中嵌入自主研发的安全防护系统，通过字段级别的访问控制来达到对敏感数据的防护目的。敏感数据以乱码的形式存在，通过基于机器特征与数字签名技术实现强访问控制，非授权用户（包含DBA）查看到的数据为乱码，而授权用户可以正常访问数据。通过智能审计与分析引擎，对数据库敏感信息访问进行持续监控与防御，对违反安全策略事件实时告警与阻断。并且M2-S5100 DBSecurity产品对于应用系统来说是完全透明的，不需要对数据库的现有应用系统做任何改动。

二、方案描述

采用Microprofit公司的M2-S5100 DBSecurity数据库安全平台解决方案，在保留原有应用系统不变的情况下，对汲及数据库中敏感数据进行加密保护，有效防范网络黑客、内部人员对敏感数据的窃取（即使数据库管理员未经授权也无法查看敏感数据）等功能。有效防止政府数据信息不会外泄。

2.1 方案配置

M2-S5100 DataSecurity 数据库加密企业版

M2-S5100 DataSecurity 数据库审计 DB1000

2.2方案价值 

采用M2-S5100 DataSecurity产品保护的数据系统，即使（防火墙、IDS、防病毒等）其他安全防护措施被入侵者突破、数据被窃取、被拷贝，被加密保护的信息也不会泄漏。

（1）防止外部入侵者突破边界防护进行的数据破解

随着Internet、无线网络的普及，黑客有了更多办法绕过防火墙和入侵检测系统，到用户的业务系统中进行窥视；当数据以明文的形式暴露在文件系统和数据库中时，黑客很容易获得敏感数据。当我们对数据进行了有效加密保护，再厉害的黑客，在不掌握密钥的情况下，都无法获得敏感数据的明文信息。

M2-S5100 DBSecurity不仅对敏感数据进行了加密，同时提供了高度安全的密钥管理体系，有效地防止了黑客入侵所引起的的数据泄密。

（2）防止数据库超级用户或内部人员进行的数据窃取

在数据库系统，DBA具有至高无上的权利，可以访问到任何数据；在大型企业和政府机构中，除了系统管理员，以用户数据分析人员、程序员、开发方维护人员为代表的特权用户，也可以访问到敏感数据。这些都为数据的泄密，留下了极大的隐患。

M2-S5100 DBSecurity通过独立于数据库权限控制之外的安全权限体系，对数据的加解密进行了独立的控制。 由安全管理员负责决定哪些数据库用户有权访问敏感数据的明文信息；防止DBA 成为不受控制的超级用户的同时，又可以使DBA 和开发人员正常地工作。

（3）防止硬件存储设备丢失或被盗所引起的机密信息泄密

当数据以明文形式存储在硬件设备上时，无论是数据库运行的存储设备，还是用于数据备份的磁带，若发生丢失或者维修，都会存在相应的数据丢失风险。

使用M2-S5100 DBSecurity，无论是运行环境的硬件存储设备，还是数据备份的磁带，敏感数据都是以加密的形态存储的，从而有效地防止了由于硬件丢失或硬件维修等无意识的泄密。

（4）防止操作系统文件引起的数据泄密

数据库文件的数据是以明文的形式存储在操作系统的文件中；通过对文件系统的访问，就会访问到敏感数据。这样，该主机的操作系统管理员和高权限用户都可以接触到这些敏感数据。另外通过网络访问到这些文件的用户，也可以接触到这些敏感数据。

通过M2-S5100 DBSecurity对数据库系统进行加密保护，敏感数据都是以密文的形式存储在操作系统上，从而有效防止了由操作系统文件引起的数据泄密。

（5）实时监控与防御，对违反安全策略事件实时告警与阻断

M2-S5100 DataSecurity依赖智能自学习创建的正向安全模型，可防止数据库受到特权滥用、已知漏洞攻击、人为失误等等的侵害。当用户与数据库进行交互时，M2-S5100 DataSecurity会自动根据预设置的访问控制策略进行第一道防护、继而通过对数据库活动的实时监控，进行特征检测及异常检测。任何尝试的攻击都会被检测到并实时阻断或告警。

2.3方案特点：

（1） 透明数据加密，无需对现有应用系统和使用习惯做任何更改

M2-S5100 DBSecurity采用我国的密码管理机构认定的加密算法。对数据库的指定列进行加密，保证敏感数据在存储层为密文存储，防止数据库数据以明文形式暴露，以实现存储层的安全加固。

透明的数据加密有两层含义，一是对应用系统透明，即用户或开发商不需要对应用系统进行任何改动；二是对有密文访问权限合法用户看到的是明文数据，该过程对用户完全透明。

（2）强制访问控制，杜绝数据库管理员、特权用户访问敏感数据

M2-S5100 DBSecurity采用三权分立安全模型，DBA 、DSA、ASA 完全独立，共同实现对敏感字段的强存取控制，实现真正的责权一致。DBA 实现对普通字段的一般性访问权限控制，DSA 实现对敏感字段的密文访问权限控制和加解密处理。

有效防止了数据库管理员、特权用户（程序开发人员、维护人员、安全管理员等）对敏感数据的非法访问。

（3） 高效密文数据检索，保持数据库原有高效访问能力

M2-S5100 DBSecurity采用自主专利、高度安全的加密索引技术，突破了传统技术对加密列不能使用索引的限制；在保证索引数据的高度安全基础上，提供对已加密数据为检索条件的索引查询；在加密列上仍可进行等于、大于、小于和Like 等操作，并依然可以使用索引。

（4） 不间断持续对敏感数据的使用进行跟踪审计，对违反安全策略的访问实时告警与阻断

通过M2-S5100 DBSecurity内置的安全审计管理员（Data Audit Administrator，DAA），可实时对数据库中指定字段访问行为的记录，以便对数据库的敏感数据的访问进行审计追踪，并对违反安全访问策略的访问实时阻断。

传统的审计技术，由于审计的信息量大，审计功能的开启，将对性能造成极大的影响；M2-S5100 DBSecurity 中仅针对敏感数据进行审计，极大降低了审计的负载，在保证安全性的同时有效保证在开启审计功能时的数据库性能。

（5） 零影响部署和超高性能

采用硬件装置：提供多千兆位吞吐量和毫秒级延迟时间。

 设备规格