安全資料庫

安全資料庫

安全資料庫通常是指在具有關係型資料庫一般功能的基礎上,提高資料庫安全性,達到美國TCSEC和TDI的B1(安全標記保護)級標準,或中國國家標準《計算機信息系統安全保護等級劃分準則》的第三級(安全標記保護級)以上安全標準的資料庫管理系統。

定義


資料庫的安全性包括:機密性、完整性和可用性,資料庫在三個層次上,客戶機 /伺服器通過開放的網路環境,跨不同硬體和軟體平台通信,資料庫安全問題在這個環境下變得更加複雜。管理分佈或聯邦資料庫環境,每個結點伺服器還能自治實行集中式安全管理和訪問控制,對自己創建的用戶、規則、客體進行安全管理。如由 DBA或安全管理員執行本部門、本地區、或整體的安全策略,授權特定的管理員管理各組應用程序、用戶、規則和資料庫。因此訪問控制和安全管理尤為重要。安全資料庫是指資料庫管理系統必須允許系統管理員有效地管理資料庫管理系統和它的安全,並且只有被授權的管理員才可以使用這些安全功能和設備。資料庫管理系統保護的資源包括資料庫管理系統存儲、處理或傳送的信息。資料庫管理系統阻止對信息的未授權訪問,以防止信息的泄漏、修改和破壞。

區別


安全資料庫和普通資料庫的重要區別在於安全資料庫在通用資料庫的基礎上進行了諸多重要機制的安全增強,通常包括:
安全標記及強制訪問控制(MAC)
數據存儲加密
數據通訊加密
強化身份鑒別
安全審計
三權分立等安全機制

基本狀況


國外的資料庫加密產品相對較多,產品相對成熟。但面臨著不能集成國產的加密演演算法、不符合國家安全政策,不能利用密文索引進行範圍查詢,造成性能嚴重下降等問題,因此以上產品在我國尚未得到有效應用。
國內的資料庫安全增強產品往往採用應用層加密存儲或者前置代理的技術實現方式。應用層加密方式的缺點是應用必須對數據進行加解密,增加編程複雜度;加密后的數據不能作為條件進行檢索;同時對於已有的系統無法透明實現應用改造。前置代理的重要缺陷是應用必須進行現有程序的改造,使用加密前置代理提供的API;另外大量的相關資料庫重要特性將無法使用,如存儲過程、函數等。

競爭優勢


DBCoffer產品,相對於市場上的其它產品在政策符合性、性能和應用透明性上具有明顯優勢,下面重點就國外數據安全增強產品和國內按簽訂資料庫訪問中間件進行對比分析。
(1)相對於國外資料庫安全增強產品I的3點優勢
更符合國家安全政策:DBCoffer集成了國家指定密碼演演算法,源代碼完全自主可控
性能更好:在主要資料庫操作上,DBCoffer大約有5-10倍的性能優勢。
服務更好:DBCoffer的技術支持,直接由開發團隊提供,同時能為用戶提供定製化服務。而對於國外研發的產品,國內的代理商僅掌握了基本產品使用,無法提供更深入的服務能力。
(2)相對於國內資料庫訪問中間件的3點優勢
性能更好:該產品的前置方案,使加密數據在Oracle內無法檢索或基於索引檢索;面向加密數據的檢索,DBCoffer有10倍以上的性能優勢。
更為透明:該產品需要應用將開發介面和SQL語句改為具體廠商支持的開發介面和SQL語句,因此需要大量的應用改造;而DBCoffer不需要應用進行任何改造。
Oracle功能更為無損:該產品的前置方案,使Oracle的MVCC機制、并行查詢、異常恢復等重要特性都無法使用。而應用在使用DBCoffer后,這些特性依然有效。