数据库安全加密网关

数据库安全加密网关

数据库安全加密网关是一款基于透明代理加密技术、针对结构化的敏感数据进行主动、实时安全防护的产品。该产品通过对处理流程上的创新和密码算力上的突破,实现国密全库高速加密以及全密态状态下增、删、改、查。

一、产品介绍


渔翁数据库安全加密网关(FisecDBsec)是一款基于透明代理加密技术、针对结构化的敏感数据进行主动、实时安全防护的产品。该产品通过对处理流程上的创新和密码算力上的突破,实现国密全库高速加密以及全密态状态下增、删、改、查,可以有效防止因管理员权限泄漏、数据存储介质遗失、黑客拖库等极端事件而造成的数据泄密,从根本上解决了数据库数据存储安全问题。本产品可满足不同客户对于性能、数据库特性、数据库类型等要求,广泛应用于电子政务、金融业务、医疗健康、能源电力、智慧城市等行业领域。

产品采用双因子身份认证技术实现用户身份识别,采用国产高强度密码加密算法进行加密,支持SM1/SM2/SM3/SM4/HMAC密码算法,安全存储支持IP SAN和FC SAN两种协议的块级访问。

产品循遵GM/T 0028-2014《密码模块安全技术要求》GM/T 0039-2015《密码模块安全检测要求》GM/T 0062-2018《密码产品随机数检测要求》等密码行业标准。


二、解决痛点


数据库系统作为信息的聚集体,是计算机信息系统的核心部件,其安全性至关重要,而之前市场上缺乏有效的应用系统和数据库安全统一解决方案,导致数据库中的数据明文存储、被动防御的网络安全产品只能检测已知攻击、审计产品更是只能时候追责,无法真正保护数据安全。


三、功能亮点

 


1.密钥备份恢复


数据库安全加密网关备份需要管理员权限,采用(3,5)门限方案密钥分割技术对数据库安全加密网关的密码数据进行备份。备份时由数据库安全加密网关生成一个16字节的SM4密钥,然后用这个密钥将要备份的密钥数据加密存储在五个智能密码钥匙中。每个智能密码钥匙均保存同样的密钥备份数据。再将这16字节的SM4密钥采用(3,5)门限方案,分割成五个子密钥分别放到五个智能密码钥匙中。恢复时使用其中任意三个即可将该16个字节的密钥恢复出来,再使用该密钥将备份数据解密恢复到数据库安全加密网关中。备份的内容包括管理密钥、公开密钥与私有密钥或密钥加密密钥KEK、会话密钥。在恢复的时候管理密钥可以有选择性的恢复到数据库安全加密网关内。


2.分级权限控制机制


使用数据库安全加密网关需要相应的权限。数据库安全加密网关采用了两级管理权限,分别是管理员权限和审计管理员权限。

(1)管理员权限,负责生成系统核心密钥,备份/恢复数据库安全加密网关密钥,修改数据库安全加密网关重要属性等。数据库安全加密网关在使用前必须首先初始化管理员。

(2)审计管理员权限,可以进行数据库安全加密网关日志、审计日志的查看、审计、设置日志等级功能。

 


3.安全密钥存储


随机数在数据库安全加密网关中的应用非常广泛。能否产生高度随机性的随机数直接影响到生成密钥的质量,从而直接影响整个系统的安全性。数据库安全加密网关采用了WNG-9物理噪声源芯片,可以产生高质量的随机数,用于各种随机密钥的生成。

数据库安全加密网关内部有2个随机源,位于SJK1917-G密码卡上。数据库安全加密网关会在上电自检过程中对所有随机源进行检测,确保所有随机源的正确性。在服务过程中,服务会有单独线程进行随机源检测,保证所有随机源的正常工作,若发现有不正常的随机源后,通知主服务不再使用该随机源进行工作。在每次生成随机数时,都会对产生的随机数进行检查,符合随机性。通过以上几步操作可以有效的保证产生高质量的随机数。

 


4.高可靠性和高可用性


系统中采用双机热备和远程备份功能,实现了系统服务和数据高可靠性和可用性。


四、产品功能

 


1.数据安全存储


IPSAN 安全存储提供基于卷和磁盘扇区加密的 SAN 存储网络功能。

 


2.数据访问控制


IPSAN 安全存储支持应用服务器客户端和存储服务端绑定;

IPSAN 安全存储支持安全磁盘和与用户的绑定。

SAN安全存储支持CHAP认证管理,支持CHAP列表的增、删、改、查。

 


3.配额设定和动态扩容


 SAN 安全存储支持为每个用户或应用设定磁盘配额,可动态增加存储空间配额。支持外接磁盘阵列,扩展存储空间。

 


4.多种数据访问连接模式


SAN 安全存储的网络安全磁盘模式:用户终端或应用服务器调用

安全磁盘映射程序映射安全磁盘到本地,访问安全磁盘支持工业标准协议,网络访问安全磁盘支持多网口聚合。

 


5.强用户身份认证


支持用户证书身份认证,管理员用户强制采用 USB-KEY+随机数签名方式进行强身份认证。各类客户端用户支持 USB-KEY+随机数签名的强身份认证。

 


6.双机热备及备份恢复


具备双机热备功能,支持设备故障时自动切换,提供高可用性;

支持密钥备份恢复。

 


7.日志管理


支持日志等级设置,可根据级别进行管理;支持日志导出功能,系统日志可通过接口下载到本地;支持日志审计功能,根据日志状态可进行删除、恢复、查询和审计功能。支持日志批量导出功能。

 


8.设备自检


数据库安全加密网关上电后支持对自身进行自检,验证密码卡是否能够正常工作,若自检失败,则密码卡进入错误状态无法进行任何操作。自检成功后,用户需要对密码卡进行初始化操作。初始化时密码卡内部自动生成密码卡的设备密钥。完成初始化后,数据库安全加密网关进入就绪状态,当用户拥有相应权限即可获得权限允许的密码服务。

 


9.状态监控


登录成功之后默认进入设备状态主界面,设备状态可以实时显示系统信息、硬件信息、接口信息。其中系统信息包括型号、软件版本、主机名、运行时间,硬件信息包括CPU、内存、硬盘的详细信息,接口信息包括接口类型、接口名称、IP地址及子网掩码。


五、产品应用


渔翁数据库安全加密网关可满足不同客户对于性能、数据库特性、数据库类型等要求,广泛应用于电子政务、金融业务、医疗健康、能源电力、智慧城市等行业领域。
应用系统采用数据库安全加密网关部署时,部署逻辑图如下图所示。
集群数据库模式部署图

六.商用密码产品证书

产品推荐
FisecVPN-Y10 VPN综合安全网关
详情
FisecVPN-S20-D VPN综合安全网关
详情
数据库安全加密网关
详情
信创VPN安全网关
详情