微博图标
安华金和官方微博
微信图标
安华金和官方公众号
4000 258 365
用户名:
密码:
忘记密码? 尚未注册?
邮箱地址:
密码:
确认密码:
手机:
单位:
注册

军工行业数据库安全解决方案

行业需求与挑战

目前,在某军工PDM 系统数据库中,存储了大量产品的核心敏感信息(如产品名称、型号、 设计图纸、关键描述等),以及生产计划信息。在系统使用和运维的过程中,这些机密信息 已面临着众多的来自于外部和内部的安全威胁,一旦发生信息滥用、恶意篡改或泄密事故, 将直接影响 PDM 系统的正常运转、危害企业利益,乃至威胁到国家安全。因此,为确保 PDM 系统的数据安全,建立健全军工企业数据安全防护体系,保障企业利益和国家安全已势在必行。

分析军工企业 PDM 系统的数据应用特点以及相关安全政策的要求,军工企业目前主要存 在以下三方面的数据保密需要:

  1. 分级保护政策要求加强涉密系统的数据安全防护 为保护国家秘密的安全,国家保密局于 2007 年发布并实施的 BMB22 号文件,在数据保密方案,分级 保护从运行管理、身份鉴别、访问控制、安全审计、存储加密和数据库安全方面进行了一系 列的技术和测评要求,并占据了较高的比重。
  2. 数据库安全成为军工企业信息安全建设“短板”,我国军工企业涉密系统在建设初期就考虑到了安全保障能力的建设,而真正处于核心层的敏感数据载体-数据库的保障能力较低,抗攻 击能力严重不足,成为数据安全保密的“短板”。
  3. PDM 核心产品信息要求对内高度保密部分军工企业的生产用于国家高端武器制造或尖端科技领域,、要求对包括生产、检验等内部人员高度保密,而设计图纸的密级则更不言而喻,这就要求军工企业对此类敏感信息必须运用密码技术进行存储加密保护。



方案概述

数据库加密防护的单位一般可是库级、表级和字段级,在多达数百张表、每个表多达数十列字段的数据库系统中,往往不是所有的字段都具敏感性,通常只需加密个别表的个别关键字段就可以切断数据间的联系、实现关键数据保密,同时达到有效降低性能损失的效果。

DBCoffer系统的一个显著特点是能够以列为单位进行加密和授权,本方案以“保护军工企业PDM系统数据安全”为目标,以“最小代价换取安全提 升”的原则,定义出PDM系统核心敏感数据字段,在此基础上提出基于安华金和数据库保险箱(DBCoffer)产品的数据安全保密解决方案:


基于DBCoffer的PDM系统数据防护网络部署图

在本方案中,将PDM系统的产品名称、型号、设计图纸、关键描述等信息,以及生产计划信息定义为敏感信息;首先通过DBCoffer将上述敏感信息 加密存储在数据库中;同时通过DBCoffer的密文权限控制体系,限制DBA等业务无关人员对敏感数据的访问权限,使其只能维护数据而无法访问这些敏感 数据,远离了内部泄密风险,仅将敏感数据的访问能力开放给PDM系统;然后对这些敏感数据的访问建立审计记录;、

至此我们形成一套完备的存储层、传输层和应用层的全方位的数据安全保密解决方案:

A、敏感数据加密存储和传输

对系统中核心的敏感信息进行存储加密、,保证备份、存储设备、数据库文件丢失或者传输的数据文件被捕获也不会引起敏感数据泄漏。

B、敏感数据访问权限控制与审计

通过独立于Oracle数据库之外的密文权限控制体系,使与业务本身无关的DBA等系统维护人员不能访问明文的敏感信息,也无从引起内部泄密。同时开启安全审计功能,对敏感信息的访问进行记录,便于对异常访问行为进行事后追踪分析。

C、应用层防护增强

将PDM系统的数据库用户与业务系统自身绑定,拒绝使用该用户绕过PDM系统的任何访问保护数据行为,从而实现防止合法用户违规访问敏感数据的防护目标。



方案价值



方案优势



北京安华金和科技有限公司 ©2015 版权所有 ICP备10053980号 京公网安备11010802010569号