【IT168 方案】
一. 背景
军工企业是国家军事装备重要的科研生产单位,随着企业信息化程度的提高,为了提 供产品全生命周期的信息管理,并可以在企业范围内为产品设计与制造建立一个并行化的协 作环境,军工企业纷纷建设和大量使用 PDM 系统。 目前,在 PDM 系统数据库中,存储了大量产品的核心敏感信息(如产品名称、型号、 设计图纸、关键描述等),以及生产计划信息。在系统使用和运维的过程中,这些机密信息 已面临着众多的来自于外部和内部的安全威胁,一旦发生信息滥用、恶意篡改或泄密事故, 将直接影响 PDM 系统的正常运转、危害企业利益,乃至威胁到国家安全。因此,为确保 PDM 系统的数据安全,建立健全军工企业数据安全防护体系,保障企业利益和国家安全已势在必行。
二. 军工企业数据保密必要性分析
分析军工企业 PDM 系统的数据应用特点以及相关安全政策的要求,军工企业目前主要存在以下三方面的数据保密需要:
1. 分级保护政策要求加强涉密系统的数据安全防护
为保护国家秘密的安全,国家保密局于 2007 年发布并实施的 BMB22 号文件,对涉及国 家秘密的信息系统的安全保密措施,分别提出了技术要求和管理要求的测评要求,对于达不 到分级保护要求的军工企业涉密信息系统严重则停止其产品研制和生产许可。根据 PDM 系统 处理的信息的最高密级,此类系统一般会定级为机密级及以上系统。在数据保密方案,分级 保护从运行管理、身份鉴别、访问控制、安全审计、存储加密和数据库安全方面进行了一系 列的技术和测评要求,并占据了较高的比重。
2. 数据库安全成为军工企业信息安全建设“短板”
军工涉密信息系统是国家秘密非常集中的领域,一直是窃密与反窃密,渗透与反渗透 的主战场,据国家有关部门统计,在全国泄密事件中,军工系统占有很大比例。虽然我国军 工企业涉密系统在建设初期就考虑到了安全保障能力的建设,但是仅仅停留在网络、主机等边界防护和应用防护上,而真正处于核心层的敏感数据载体-数据库的保障能力较低,抗攻 击能力严重不足,成为数据安全保密的“短板”。
3. PDM 核心产品信息要求对内高度保密
部分军工企业的生产用于国家高端武器制造或尖端科技领域,这类产品、零件的属性 信息(如用途、目标客户等)保密性非常高,要求对包括生产、检验等内部人员高度保密, 而设计图纸的密级则更不言而喻,这就要求军工企业对此类敏感信息必须运用密码技术进行 存储加密和传输加密保护。
三. 军工企业数据保密需求分析
目前,大多数军工企业已建立起相对安全的数据应用环境,但由于技术局限和相关安 全产品匮乏等原因,数据库安全建设一直未能得到有效开展,这就造成了数据能够安全使用、 传输,但“落地”以后反而变得不安全的现状,这些安全威胁主要集中在以下几个方面。
1. 应用系统引起的泄密风险
目前军工企业PDM 系统用于数据库连接的用户名和密码一般会写死在应用程序中或 Web 中间件的配臵文件中,极为容易泄漏,使国外敌对势力、商业对手以及黑客有机会获得口令 绕过应用系统直接访问数据库,从而集中盗取数据。
2. 数据库高权限人员的泄密风险
在数据库系统中,受限于目前数据库的机制限制,Sys、System 等 DBA 等系统维护人员 的权限过高,天然地具备了维护、授权以及审计的权限,可以访问到各个系统数据库的数据。 从而使毫无业务需要的 DBA 等系统维护人员能够访问到 PDM 系统数据库的所有数据,具备窥 视敏感数据的非常好的途径。
另外,外部黑客、入侵者往往能通过匿名方式或低权限用户身份登录数据库系统,再利 用数据库的权限提升漏洞获取高权限用户的身份,进而利用高权限用户控制数据库达到窃取 敏感数据的目的。
3. 明文存储引起的泄密风险
由于数据库中的数据是以明文的形式存储在数据库主机上,入侵者可以通过入侵网络和 主机的方式,进而将数据库文件(数据文件、数据库备份等)盗走,从而获得一切数据。
同时,存储设备丢失、维修,数据文件被窃取都会引起的批量数据泄露。
四. 解决方案
4.1 方案概述
数据库加密防护的单位一般可设库级、表级和字段级,在多达数百张表、每个表多达数 十列字段的数据库系统中,往往不是所有的字段都具敏感性,通常只需加密个别表的个别关 键字段就可以切断数据间的联系、实现关键数据保密,同时达到有效降低性能损失的效果。
DBCoffer 系统的一个显著特点是能够以列为单位进行加密和授权,本方案以“保护军 工企业 PDM 系统数据安全”为目标,以“最小代价换取安全提升”的原则,定义出 PDM 系统 核心敏感数据字段,在此基础上提出基于安华金和数据库保险箱(DBCoffer)产品的数据安全 保密解决方案:
在本方案中,将PDM系统的产品名称、型号、设计图纸、关键描述等信息,以及生产计划信息定义为敏感信息;首先通过DBCoffer将上述敏感信息加密存储在数据库中;同时通过DBCoffer的密文权限控制体系,限制DBA等业务无关人员对敏感数据的访问权限,使其只能维护数据而无法访问这些敏感数据,远离了内部泄密风险,仅将敏感数据的访问能力开放给PDM系统;然后对这些敏感数据的访问建立审计记录;最后,开启数据传输加密,有效保障从数据库到PDM系统通讯的保密性和完整性。
至此我们形成一套完备的存储层、传输层和应用层的全方位的数据安全保密解决方案:
A、敏感数据加密存储和传输
对系统中核心的敏感信息进行存储加密和传输加密,保证备份、存储设备、数据库文件丢失或者传输的数据文件被捕获也不会引起敏感数据泄漏。
B、敏感数据访问权限控制与审计
通过独立于Oracle数据库之外的密文权限控制体系,使与业务本身无关的DBA等系统维护人员不能访问明文的敏感信息,也无从引起内部泄密。同时开启安全审计功能,对敏感信息的访问进行记录,便于对异常访问行为进行事后追踪分析。
C、应用层防护增强
将PDM系统的数据库用户与业务系统自身绑定,拒绝使用该用户绕过PDM系统的任何访问保护数据行为,从而实现防止合法用户违规访问敏感数据的防护目标。
4.2 方案价值
保护国家安全,符合分级保护的安全要求
DBCoffer系统可以对重要数据使用加密措施进行存储和传输保护、对数据库访问进行细粒度访问控制、对数据库超级管理员进行有效分权、对数据访问进行安全审计等。对国家保密局涉密信息系统分级保护要求,具有很强的政策合规性,保障企业利益、国家安全不受损害。
保障军工企业PDM系统数据安全
军工企业PDM系统作为国家秘密的重要载体之一,无论从国家安全角度还是出于企业自身的安全考虑都具备很强的数据安全保密需求。防病毒、防火墙、IDS、主机监控等网络防护、主机防护产品仅仅是保障了边界安全,而DBCoffer通过存储层、数据访问层以及应用层的数据防护实现了遭受攻击最多、泄密最多的数据库层面的防护目标,有效填补当前信息系统的数据安全防护“短板”,从而保障军工企业PDM系统数据安全。
应用改造零代价,与其他安全产品有效兼容
实施DBCoffer进行数据安全防护,对于军工企业现有的PDM系统完全透明,不需要新增预算进行系统二次改造;同时对电子认证、防火墙、IDS等其他安全产品可以有效兼容、互补。
部署灵活,有效节约成本
对于多台数据库服务器或者部署了双机、RAC的数据库服务器,DBCoffer不需要完全重复部署,每新增一台数据库服务器或者节点只需新部署DBCoffer的代理程序,安全服务则无需重复部署。在军工企业拥有多台数据库服务器以及双机环境的环境下,只需采购相应个数的代理程序,从而在实现商业秘密保密的同时,可以大幅节约成本,符合“节约型信息化道路”的路线。
五. 方案产品简介
5.1 产品特点
·透明数据加密
DBCoffer支持国际先进的密码算法,以及我国的密码管理机构认定的加密算法。对数据库的指定列进行加密,保证敏感数据在存储层为密文存储,防止数据库数据以明文形式暴露,以实现存储层的安全加固。
透明的数据加密有两层含义,一是对应用系统透明,即用户或开发商不需要对应用系统进行任何改动;二是对有密文访问权限合法用户看到的是明文数据,该过程对用户完全透明。
·增强访问控制
DBCoffer增设数据安全管理员(Data Security Administrator,DSA)。DBA和DSA完全独立,共同实现对敏感字段的强存取控制,实现真正的责权一致。DBA实现对普通字段的一般性访问权限控制,DSA实现对敏感字段的密文访问权限控制和加解密处理。
该功能是对Oracle访问控制能力的加固,防止了特权用户对敏感数据的非法访问。
·敏感数据审计
DBCoffer增设安全审计管理员(Data Audit Administrator,DAA),提供对数据库中敏感数据的访问进行审计追踪。 传统的审计技术,由于审计的信息量大,审计功能的开启,将对性能造成极大的影响;而DBCoffer中仅针对敏感数据进行审计,极大降低了审计的负载,从而有效保证了在开启审计功能时的数据库性能。
·真正应用安全
DBCoffer应用绑定功能可以实现对Oracle用户与应用的捆绑。现在的应用软件对Oracle数据库访问的用户名和密码,保护措施都较弱,或出于管理的角度,需要对部分用户公开。虽然应用本身进行了有效的权限设定,但可以通过应用访问的数据库用户名和密码访问敏感数据。通过DBCoffer应用绑定功能,防止通过命令行、管理工具等其他方式使用应用的数据库用户名和密码访问敏感数据。
·高效数据检索
DBCoffer进行安全增强后,依然能够对加密数据进行索引查询,从而保持Oracle数据库的高效访问能力。
DBCoffer通过专利的、高度安全的加密索引技术,突破了传统技术对加密列不能使用索引的限制;在保证索引数据的高度安全基础上,提供了对已加密数据为检索条件的索引查询;在加密列上进行的等于、大于、小于和Like操作依然可以使用索引。
·高可用性支撑
DBCoffer通过与Oracle的数据集成存储、RAC支持、双机热备、自动透明故障切换、应急模式、快速数据恢复等技术,使DBCoffer提供与Oracle相当的高可用支持和异常故障处理能力。
·简单、易用、灵活
DBCoffer产品稳定可靠,产品化程度高,图形化管理界面,简单易用。系统安装、部署在半小时内可以完成,安全加固实施(数据加密防护)一般可在一天内完成。DBCoffer具备快速、准确地整体拆除能力,并且在线还原期间可以保正应用系统正常运行。
5.2 技术指标
·数据加密
1. 以列为单位进行数据加密,加密列的数据在Oracle中以密文形式存储;
2. 支持选定记录的部分数据加密;
3. 支持字段完全加密和前缀明文两种方式的加密;
4. 支持对各种常用数据类型加密:CHAR,VARCHAR,VARCHAR2,RAW,LOB,NUMBER,DATE;
5. 可以对加密列指定加密设备、算法、盐值类型等加密策略;
6. 支持对加密策略进行变更;
7. 支持密文水印,防止数据记录级的行间篡改。
·透明访问
透明访问包含以下几个层面的需求:
1. SQL语句透明:SELECT、UPDATE、INSERT、DELETE四种SQL语句进行操作,应用程序不用作修改即可拥有安全特性。
2. 存储程序透明:对于应用透明支持的含义还包括对存储过程透明的支持。
3. 开发接口透明:提供对应用开发接口的全面透明支持,包括:JDBC、ODBC、OLEDB、ADO、OCI等。
4. 数据访问能够做到对象透明:指定加密列的数据库对象,应用在访问时不用变更表名、列名、列类型或显示调用解密函数。
5. 管理工具尽可能透明:Oracle提供的前台管理界面(如:企业管理器、查询分析器)仍然可以正常使用。
·分权
增设数据安全管理员(Data Security Administrator,DSA)。
DBA和DSA完全独立,共同实现对敏感字段的强存取控制,实现真正的责权一致。
DBA实现对敏感字段的访问权限控制,DSA实现对敏感字段的加/脱密权限控制。仅有DBA授予的访问权限而没有DSA授予的加/脱密权限,用户只能访问到缺省值,或者直接报错。DBA拥有对加密字段的管理能力,而没有查看和修改真实数据的能力。实现加脱/密功能的授权管理,包括:
1. 用户管理:把Oracle中的用户升级到DBCoffer中,以方便对其授权。
2. 角色管理:在数据库保险箱中建立自己的权限角色,可以对角色进行授权,用户可属于某角色,将继承该角色的权限。
3. 安全域管理:指的是敏感字段的集合,需要安全员指定。
4. 授权管理:指安全域中的字段赋予角色或用户的过程。
5. 能有效防止新特权用户的产生:
不存在某种授权路径或安全漏洞,使某个工作人员同时具备DBA和DSA的权限,也就是不存在能够设置加密策略的同时,又可以进行数据管理的特权用户。
DSA用户的安全登录能够提供用户名/密码方式,也可以提供USB Key方式。
·自身安全
数据库保险箱在提供Oracle的安全增强的同时,也要保证自身的安全,以防止产生新的安全漏洞,包括:
保证数据库保险箱所提供的安全功能不可旁路;
数据库保险箱管理的密钥信息不泄露、授权信息不可篡改;
对数据库保险箱的管理功能的使用,也即DSA的身份要经过强认证。
·安全审计
支持审计的总体开关控制以及各个密文表的审计开关控制,支持对SELECT、UPDATE、INSERT、DELETE语句的审计开关控制。审计内容包含事件发生的主体、客体、时间、IP、以及结果(成功与失败)等信息。
提供审计记录数阈值设置,自动告警,并支持审计记录归档、及按最早时间进行覆盖的策略。
·多兼容性
DBCoffer兼容当前种主流操作系统、密码算法,同时对数据库类型和版本多有支持。操作系统上,主要兼容Windows,UNIX,Linux,AIX,Solaris等当前主流操作系统型号。#FormatImgID_7#密码算法主要针对AES128,AES256,3DES,SCB2(国密办批准);支持国密办和机要局指定的加密设备;要求这些加密设备的加密速度不低于200M/S。支持Oracle 9i,10g,11g。