一种数据库安全加固平台的制作方法
【技术领域】
[0001]本实用新型涉及信息安全应用技术领域,尤其是一种数据库安全加固平台。
【背景技术】
[0002]随着互联网技术和信息技术的迅速发展,以数据库为基础的信息系统在经济、金融、医疗等领域的信息基础设施建设中得到了广泛的应用,越来越多的数据信息被不同组织和机构(例如,统计部门、医院、保险公司等)搜集、存储以及发布,其中大量信息被用于行业合作和数据共享。但是在新的网络环境中,由于信息的易获取性,这些包含在数据库系统中的关乎国家安全、商业或技术机密、个人隐私等涉密信息将面临更多的安全威胁。当前,日益增长的信息泄露问题已然成为影响社会和谐的一大障碍。
[0003]数据泄漏事件几乎覆盖所有行业,例如:(I)金融行业:2012年4月,vsia信用卡泄密事件致使150万个账户受影响。(2)政府部门:2012年I月,广东公安厅技术漏洞致444万出入境数据泄漏。(3)互联网:2011年岁末,数据泄密信息过亿,其中当当网1200万用户信息泄漏;支付宝账户泄漏达1500万到2500万;CSDN 600余万用户信息泄漏。(4)电信行业:2011年3月,陕西移动1394万用户信息被盗。(5)医疗行业:2008年深圳4万余名孕妇信息泄漏。由上述案例可见,数据泄漏无处不在,且愈演愈烈。据Verizon公司的数据泄漏调查报告统计显示:有90%以上的数据泄漏是由数据库被盗引起的。
[0004]现有边界防御安全产品和解决方案均采用被动防御技术,无法从根本上解决各组织数据库数据所面临的安全威胁和风险,解决数据库数据安全需要专用的数据库安全设备从根本上解决数据安全问题。
[0005]数据库防火墙技术是针对关系型数据库保护需求应运而生的一种数据库安全主动防御技术,数据库防火墙部署于应用服务器和数据库之间。用户必须通过该系统才能对数据库进行访问或管理。数据库防火墙所采用的主动防御技术能够主动实时监控、识别、告警、阻挡绕过企业网络边界(FireWall、IDS\IPS等)防护的外部数据攻击、来自于内部的高权限用户(DBA、开发人员、第三方外包服务提供商)的数据窃取、破坏、损坏的等,从数据库SQL语句精细化控制的技术层面,提供一种主动安全防御措施,并且,结合独立于数据库的安全访问控制规则,帮助用户应对来自内部和外部的数据安全威胁。
【实用新型内容】
[0006]现有技术难以满足人们的生产生活需要,为了解决上述存在的问题,本实用新型提出了一种数据库安全加固平台。
[0007]为实现该技术目的,本实用新型采用的技术方案是:一种数据库安全加固平台,包括应用层、数据库储存层和安全处理层;所述的应用层包括应用模块、JDBC模块和ODBC模块;所述的数据库储存层包括数据库;所述的安全处理层包括安全增强服务模块、加解密模块和授权策略信息模块;所述的JDBC模块和ODBC模块分别与应用模块和数据库控制连接;所述数据库通过DB扩展接口连接安全增强服务模块;所述安全增强服务模块、加解密模块和授权策略信息模块相互控制连接。
[0008]作为本实用新型的进一步技术方案:所述数据库储存层中的数据库连接明文数据+解密数据模块。
[0009]与现有技术相比,本实用新型具有以下有益效果:该数据库安全加固平台,1、实现了数据透明加密及透明应用访问技术;
[0010]数据库加密技术
[0011]能以Oracle数据库的字段为单位,按照指定算法进行加密后,数据以密文的形式存储在数据库的表空间中。
[0012]能够实现对以下主流数据类型的列的加密:VARCHAR2,VARCHAR,CHAR, LOB,NUMBER, DATE。
[0013]授权的用户才能看到明文数据,并且授权也是按列进行
[0014]同时,可以对加密列指定加密设备、算法、密钥长度、盐值类型等策略进行配置。
[0015]透明访问
[0016]透明的访问需要保证两方面的目标,一是对应用系统透明,即用户或开发商不需要对应用系统进行任何改造;二是对有密文访问权限的用户显示明文数据,并且加、解密过程对用户完全透明。
[0017]具体研宄内容包括:
[0018]对SQL语句透明:对所有SELECT、UPDATE、INSERT、DELETE操作的SQL语句进行操作,应用程序不需要进行任何改造。函数、存储过程访问也完全透明。
[0019]约束透明:主外键、唯一索引、NOT NULL等重要约束的使用完全透明。
[0020]开发接口透明:主流开发接口的应用完全透明,包括:JDBC、ODBC、OC1、AD0.NET等。
[0021]管理工具透明:数据库管理工具、命令行工具,以及MPORT、EXPORT、RMAN等备份恢复工具的使用透明。
[0022]2、实现了数据管理三权分立式授权访问技术;
[0023]增设数据安全管理员(DataSecurity Administrator,DSA)。
[0024]增设安全管理员(Data Security Administrator,DSA) ο其中DSA通过使用安全管理工具,完成日常的加密数据配置、密文权限控制等安全维护和管理操作。这样即使是DBA用户,如果没有被DSA授予密文访问权限,仍然无法看到密文数据。而DSA用户本身也不具备密文数据访问权限。
[0025]这样,有效防止了特权用户的产生,工作人员不能同时具备DBA和DSA的权限,也就是不存在能够设置加密策略的同时,又可以进行数据管理的特权用户。
[0026]增设审计管理员(DataAudit Administrator, DAA)。
[0027]DAA可以对DSA的安全管理行文和数据库用户的密文访问操作进行审计。DAA通过审计管理工具,进行审计开关的控制,检索、分析密文访问操作的审计信息工作。
[0028]3、实现了数据管理的身份指纹认证技术;
[0029]通过在平台中增加数据库管理的指纹管理模块,数据库管理员、审计员、安全员在登录时,事先录入相关人员的指纹信息,利用指纹的唯一性密码的相关技术和不可复制性,来达到数据库管理的更可靠、更安全。
[0030]4、实现了数据操作管理的短信警示技术;
[0031]在数据库日常操作的管理中,数据库管理员、审计员、安全员在登录时,会通过短信提醒功能,告诉管理人员,有人目前在登录和管理数据库。数据库操作人员在登录数据库后,在修改数据时,会同时短信提示功能提醒相关管理者和被操作参保人员,告诉他们自己的数据被操作;
[0032]整体设计结构简单新颖,实用性强,易于推广使用。
【附图说明】
[0033]图1为本实用新型的整体结构示意图;
[0034]图2为本实用新型的软件配置平台结构示意图;
[0035]图3为本实用新型的硬件外观示意图;
[0036]其中:应用模块I JDBC模块2 ;ODBC模块3 ;数据库4 ;DB扩展接口 5 ;安全增强服务模块6 ;加解密模块7 ;授权策略信息模块8。
【具体实施方式】
[0037]下面将结合本实用新型实施例中的附图,对本实用新型实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本实用新型一部分实施例,而不是全部的实施例。基于本实用新型中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本实用新型保护的范围。
[0038]请参阅说明书附图1?3,本实用新型实施例中,一种数据库安全加固平台,包括应用层、数据库储存层和安全处理层;所述的应用层包括应用模块1、JDBC模块2和ODBC模块3 ;所述的数据库储存层包括数据库4 ;所述的安全处理层包括安全增强服务模块6、加解密模块7和授权策略信息模块8 ;所述的JDBC模块2和ODBC模块3分别与应用模块I和数据库4控制连接;所述数据库4通过DB扩展接口 5连接安全增强服务模块;所述安全增强服务模块6、加解密模块7和授权策略信息模块8相互控制连接。
[0039]作为本实用新型的进一步技术方案:所述数据库储存层中的数据库4连接明文数据+解密数据模块。
[0040]本实用新型的作用原理为:
[0041]第一步:在数据库服务器与应用服务之间,或者在数据为服务器旁路通过网线联接部署;
[0042]第二步:设置数据库服务器与数据库安全加固系统硬件的网络参数,并调试却保联通;
[0043]第三步:登录数据库安全加固操作平台,进行平台数据库相关参数配置,设置用户、密码、权限、加密数据库等级、配置规则集等:
[0044]第四步:测试数据库安全加固操作平台,正式运行。
[0045]对于本领域技术人员而言,然而本实用新型不限于上述示范性实施例的细节,而且在不背离本实用新型的精神或基本特征的情况下,能够以其它的具体形式实现本实用新型。因此,无论从哪一点来看,均应将实施例看作是示范性的,而且是非限制性的,本实用新型的范围由所附权利要求而不是上述说明限定,因此旨在将落在权利要求的等同要件的含义和范围内的所有变化囊括在本实用新型内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。
[0046]以上所述,仅为本实用新型的较佳实施例,并不用以限制本实用新型,凡是依据本实用新型的技术实质对以上实施例所作的任何细微修改、等同替换和改进,均应包含在本实用新型技术方案的保护范围之内。
【主权项】
1.一种数据库安全加固平台,包括应用层、数据库储存层和安全处理层;所述的应用层包括应用模块(I)、JDBC模块(2)和ODBC模块(3);所述的数据库储存层包括数据库(4);所述的安全处理层包括安全增强服务模块¢)、加解密模块(7)和授权策略信息模块(8);其特征在于:所述的JDBC模块(2)和ODBC模块(3)分别与应用模块(I)和数据库(4)控制连接;所述数据库(4)通过DB扩展接口(5)连接安全增强服务模块;所述安全增强服务模块¢)、加解密模块(7)和授权策略信息模块(8)相互控制连接。2.根据权利要求1所述的一种数据库安全加固平台,其特征在于:所述数据库储存层中的数据库(4)连接明文数据+解密数据模块。
【专利摘要】本实用新型公开了一种数据库安全加固平台,包括应用层、数据库储存层和安全处理层;所述的应用层包括应用模块、JDBC模块和ODBC模块;所述的数据库储存层包括数据库;所述的安全处理层包括安全增强服务模块、加解密模块和授权策略信息模块;它实现了数据透明加密及透明应用访问;实现了数据管理三权分立式授权访问技术;实现了数据管理的身份指纹认证技术;实现了数据操作管理的短信警示技术。
【IPC分类】G06F17/30, G06F21/62
【公开号】CN204667399
【申请号】CN201520219400
【发明人】周军, 赵晓君, 何建军, 谈田阳, 邓文健, 胡静, 陈丽萍
【申请人】中国石化集团河南石油勘探局
【公开日】2015年9月23日
【申请日】2015年4月8日