安华金和数据库保险箱(DBCoffer).docxVIP

安华金和数据库保险箱系统(DBCoffer)产品概述　　安华金和数据库保险箱(简称DBCoffer) 是一款基于透明加密技术的数据库防泄漏产品，该产品能够实现对数据库中的敏感数据加密存储、访问控制增强、应用访问安全、安全审计以及三权分立功能。　　DBCoffer能够防止明文存储引起的数据泄密、防止突破边界防护的外部黑客攻击、防止内部高权限用户的数据窃取，从根源上防止敏感数据泄漏。　　DBCoffer通过独创的、专利的三层透明视图技术、密文索引技术和应用绑定技术，突破传统数据库安全加固产品的技术瓶颈，真正实现数据高度安全、应用完全透明、密文高效访问。产品价值全方位主动预防数据泄密　预防外部黑客窃取数据　　威胁：数据库权限提升是当前数据库漏洞中黑客使用率最高的攻击手段，通过该手段黑客直接获得DBA身份，任意访问敏感数据。　　防护：DBCoffer的密文访问控制体系，可以保证即使数据库自身的权限被突破，非授权用户仍然无法访问密文数据。　防止开发人员绕过合法应用　　威胁：业务系统的数据库账户常被开发或运维人员掌握，通过该账户这些人员可以直接访问数据库。　　防护：DBCoffer的应用身份鉴别，确保第三方人员无法绕开合法的业务系统，直接访问敏感数据。　预防存储层明文泄密　　威胁：硬件设备、备份磁盘丢失，数据文件、备份文件的拷贝，都将引起机密数据泄漏。　　防护：通过DBCoffer，将关键信息进行加密，加密后的数据在存储层以密文形态存在，保证他人即使拿到数据文件，也“看不懂”。　防止数据库运维人员操作敏感数据　　威胁：数据库的运维人员，往往有最高范围权限，一般为DBA，可看到数据库中的所有敏感信息，不符合安全管理要求。防护：DBCoffer通过独立的二次权限控制、三权分立，保证即使是高权限运维用户，在得不到特殊授权时也无法访问敏感数据，同时不会影响其日常运维工作。符合信息安全政策需求等级保护：要求三级以上系统应采用加密或其他有效措施实现系统管理数据、鉴别信息和重要业务数据存储保密性。分级保护：要求系统内的涉密信息存储应采取密码措施进行保护；数据库应采用安全加强措施。互联网：《工业和信息化部关于近期部分互联网站信息泄漏事件的通告》，要求各互联网站采用加密方式存储用户信息。军队：要求四级及以上系统中的核心业务数据必须加密保护。产品优势　先进的专利技术　　DBCoffer在透明性和密文访问性能上具备绝对的技术优势，在这两个领域分别拥有自己的专利技术：　　专利1.《一种基于多级视图和触发器的数据库透明加解密方法》（专利号 201010169778.7）该专利技术使得DBCoffer打破传统数据库加密产品应用不透明的瓶颈，确保应用不需要改造。专利2.《一种无偏序关系的数据库密文索引方法》（专利号 201010169784.2）该专利技术使得DBCoffer突破电信等高端应用的性能瓶颈，确保亿级数据规模下，性能几乎不下降。　广泛的高端客户应用案例DBCoffer是我国产品化成熟度最高的数据库加密产品。DBCoffer是率先在电信级高端业务中成功应用的国内同类产品，在移动、联通有多个亿级数据规模、上千并发度的大型复杂业务系统案例。DBCoffer在我国多个大型部委项目中得到应用，参与建设的国家某大型在线系统，能有效防止公务人员信息泄漏，该系统24小时持续运行。DBCoffer广泛应用于我国的军工军队核心系统中，提供数据安全保障。功能特性【存储加密】　　以列为单位进行数据加密。　　支持国产加密设备和加密算法。　　支持对各种常用数据类型加密：CHAR，VARCHAR2，VARCHAR，LOB，NUMBER，DATE。　　支持随机盐加密策略，避免相同数据的加密结果相同。【三权分立】实现DBA、安全管理员和审计管理员的三权分立，相互监督，相互制约。【独立权限体系】实现基于密文的增强访问权限控制，防止DBA及高权限用户对敏感数据进行访问。所有数据库用户想访问密文数据，必须经过密文授权。【限定时间和IP】对于授权用户对受保护数据的访问能够限定到指定的时间和IP，实现更加精确的授权和访问控制。【应用身份鉴别】实现应用系统、应用用户和数据库用户的绑定只有受信的应用通过授权的应用账户才具有密文访问权限，防止数据库用户口令泄漏后，绕开合法业务系统，对数据库直接访问。【审计】审计安全管理员的加解密和密文授权行为。审计数据库用户的密文数据访问行为。提供IP、时间、主体、客体、操作内容、结果等审计项，支持审计记录的过滤、分析、导出。【多级容灾机制】支持一主多从的部署方式，实现容灾和负载均衡。支持本地应急服务，最大限度提供数据加解密服务保障。支持异地容灾备份机制，十分钟即可完成异地容灾部署。【产品部署】DBC安全服务器：产品的基础核心部件，完成数据加解密、权限校验、密钥管理和安全