业务支撑系统4A管理平台数据加密技术.docVIP

成果上报申请书（同2010年） 成果名称 业务支撑系统4A管理平台数据加密技术 成果申报单位 成果承担部门 /分公司 项目负责人姓名 项目负责人联系电话 和Email 成果专业类别* 业务支撑 所属专业部门* 业务支撑线条 成果研究类别* 其他 省内评审结果* 通过 关键词索引（3～5个） 数据安全 4A 数据库加密 应用投资 产品版权归属单位 对企业现有标准规范的符合度：（按填写说明5） 如果该成果来源于研发项目，请填写研发项目的年度、名称和类型（类型包括：集团重点研发项目、集团联合研发项目、省公司重点研发项目、其他研发项目），可填写多个： 成果简介： 安徽移动自2009年开始建设面向业务支撑的P-BOSS等系统的集中帐号管理（Account）、统一授权管理(Authorization)、身份认证管理（Authentication）和安全审计管理(Audit)的 为了保证核心数据的安全，安徽公司创新的提出利用ORACLE数据库本身的扩展接口来实现对4A管理平台数据的加密和解密，并结合平台自身的授权管理，对数据访问进行控制，对数据内容进行加密。真正做到了“什么人看什么资料”，不仅保证了核心数据的安全性，也提高了审计的效率。 实现功能：主要技术如下： （）防止数据库超级用户进行的数据窃取： 在Oracle中，以sys和system为代表的系统管理员，权利，可以访问到任何数据；在大型企业和政府机构中，除了系统管理员，以用户数据分析人员、程序员、开发方维护人员为代表的特权用户，也可以访问到敏感数据这些数据极大的隐患。 通过数据库加密，在现有的Oracle权限控制系统外，对数据的加密/解密功能进行了独立的控制，由安全管理员负责决定哪些数据库用户有权访问敏感数据的明文信息。 （）防止硬件存储设备引起的泄密： 一旦使用了数据库加密，无论是运行环境的硬件存储设备，还是数据备份的磁带中，敏感数据是以加密的形态存储的，从而有效地防止了由于硬件丢失或硬件维修等无意识的泄密。 （）防止操作系统文件引起的数据泄密： 在通常情况下，的数据是以明文的形式存储在操作系统的文件系统中；通过对文件系统的访问，就会访问到敏感数据。这样，该主机的操作系统管理员和高权限用户都可以接触到这些敏感数据。若是主机在网络上，只要能够通过网络访问到这些文件的用户，也可以接触到这些敏感数据。 一旦使用了数据库加密，敏感数据都是以密文的形式存储在操作系统上，从而有效防止了由操作系统文件引起的数据泄密。 （）防止外部入侵进行的数据窃取： 黑客总是有办法绕过放火墙和入侵检测系统，到用户的业务系统中进行窥视；当安徽移动对数据进行了有效加密保护，再厉害的黑客，在不掌握密钥的情况下，都无法获得敏感数据的明文信息。 数据库加密不仅对敏感数据进行了加密，同时提供了有效的密钥管理体系，从而有效地防止了黑客入侵带来的数据泄密。 文章主体（3000字以上，可附在表格后）：根据成果研究类别，主体内容的要求有差异，具体要求见表格后的“填写说明6”。 业务支撑系统4A管理平台数据加密技术 . 一、项目背景 （一）存在的问题或需求 安徽移动自2009年开始建设面向业务支撑的P-BOSS等系统的集中帐号管理（Account）、统一授权管理(Authorization)、身份认证管理（Authentication）和安全审计管理(Audit)的 安徽移动业务支撑网4A管理平台采用oracle数据库，在建设前期，4A管理平台数据都以明文的形式存储在数据库中，带来了不少的安全风险 明文存储引起数据泄密。4A管理平台中Oracle数据库中的数据以明文形式放置在便携式存储设备中，存储设备的丢失将引起数据泄密的风险。非法使用者可以通过网络、操作系统接触到这些文件，从而引起敏感数据外泄。 数据库超级用户进行的数据窃取。4A管理平台中Oracle数据库中，以sys和system为代表的系统管理员，可以访问到任何数据；这些都为数据的泄密留下了极大的隐患。外部入侵进行的数据破解。现在越来越多的黑客以不满足于入侵主机和网络设备，敏感的数据资源已成为他们获取的目标。黑客经常会利用系统的薄弱环节绕过防火墙和入侵检测系统，到用户的业务系统中进行窥视，也会尝试用不同的方式对用户数据进行窃取，从而导致企业的机密外泄，造成大量经济损失。 （二）解决的意义 本项目通过平台与Oracle数据库加密接口二次的开发，创新的引入应用与数据库加密技术的紧密结合，在实现数据加密的基础上，通过与4A管理平台的权限控制、授权管理相结合，从应用层面实现对数据的有效保护。具体的意义如下： （）防止数据库超级用户进行的数据窃取： 在Oracle中，以sys和system为代表的系统管理员，权利