Estado básico de productos nacionales y extranjeros para la prevención de fuga de datos

Existen relativamente muchos productos de cifrado de bases de datos Oracle extranjeros y los productos están relativamente maduros. Sin embargo, enfrenta problemas como la incapacidad de integrar algoritmos de cifrado nacionales, la incompatibilidad con las políticas de seguridad nacionales y la incapacidad de utilizar índices de texto cifrado para consultas de rango, lo que resulta en una grave degradación del rendimiento. Por lo tanto, los productos anteriores aún no se han utilizado de manera efectiva. nuestro país. Los productos de mejora de la seguridad de las bases de datos nacionales a menudo adoptan almacenamiento cifrado en la capa de aplicación o tecnología de proxy front-end. La desventaja del método de cifrado de la capa de aplicación es que la aplicación debe cifrar y descifrar los datos, lo que aumenta la complejidad de la programación; los datos cifrados no se pueden utilizar como condición para la recuperación al mismo tiempo y el sistema existente no se puede implementar de forma transparente; transformación de aplicaciones. Un defecto importante del proxy front-end es que la aplicación debe modificar el programa existente y utilizar la API proporcionada por el proxy front-end cifrado. Además, una gran cantidad de funciones importantes de Oracle, como los procedimientos almacenados, no estarán disponibles; , funciones, etc

1. La puerta de enlace de seguridad de documentos SecGateway es un dispositivo especial integrado que se utiliza para aislar eficazmente los centros de datos empresariales de las redes de oficinas. Adopte el cifrado de enlaces para lograr el acceso del cliente, comenzando desde el proceso de uso de archivos en la empresa, e integre perfectamente la prevención de fuga de datos con el sistema OA, el sistema de servicio de archivos, el sistema ERP, el sistema CRM y otros sistemas de aplicaciones empresariales existentes de la empresa para lograr un cifrado transparente y eficaz. El descifrado de datos de documentos a través de la puerta de enlace resuelve eficazmente el problema de seguridad de los documentos después de que se separan del entorno del sistema de aplicaciones empresariales. Proporcione una protección de seguridad eficaz para todos los sistemas de aplicaciones implementados por las empresas.

1. Complete la integración perfecta de la puerta de enlace de seguridad y el sistema de aplicaciones empresariales existente, y complete automáticamente el cifrado y descifrado forzado de los datos que pasan a través de la puerta de enlace: carga, descifrado y descarga de cifrado

2. El cliente cifrado puede acceder al servidor del sistema de aplicaciones normalmente a través de SecGateway;

3. Las computadoras cliente no confidenciales serán filtradas y rechazadas por la puerta de enlace de seguridad cuando pasen por la puerta de enlace de seguridad. no puede acceder al servidor OA/PDM a través de SecGateway.

2. Anhua Jinhe Database Coffer System (DBCoffer para abreviar) es un sistema de refuerzo de seguridad de la base de datos de Oracle. Este producto puede realizar almacenamiento cifrado de datos de Oracle, control de permisos mejorado y auditoría del acceso a datos confidenciales. DBCoffer puede prevenir ataques de datos externos que eluden los firewalls, el robo de datos de usuarios internos con altos privilegios y las fugas de datos causadas por el robo de discos y cintas.

El valor principal de DBCoffer seguro para la base de datos es:

1. Prevenir fugas causadas por dispositivos de almacenamiento de hardware cuando los datos se almacenan en texto sin cifrar en el dispositivo de hardware, sin importar cuál sea. el almacenamiento de la base de datos en ejecución Si el equipo o las cintas utilizadas para la copia de seguridad de datos se pierden o reparan, habrá riesgos correspondientes de pérdida de datos. Una vez que se utiliza una base de datos segura, los datos confidenciales se almacenan en forma cifrada, ya sea el dispositivo de almacenamiento de hardware del entorno operativo o la cinta para la copia de seguridad de los datos, evitando así eficazmente fugas involuntarias debido a la pérdida o reparación del hardware.

2. Evite la fuga de datos causada por los archivos del sistema operativo. Por lo general, los datos de Oracle se almacenan en texto sin cifrar en los archivos del sistema operativo; Esto hace que los datos confidenciales sean accesibles tanto para los administradores del sistema operativo como para los usuarios con altos privilegios del host. Además, los usuarios que accedan a estos archivos a través de la red también podrán tener acceso a estos datos sensibles. Una vez que se utiliza la base de datos segura, los datos confidenciales se almacenan en el sistema operativo en forma de texto cifrado, evitando así de manera efectiva la fuga de datos causada por archivos del sistema operativo.

3. Evite el robo de datos por parte de los superusuarios de la base de datos. En Oracle, los usuarios administradores de bases de datos representados por sys y system tienen derechos supremos y pueden acceder a cualquier dato en grandes empresas y gobiernos en organizaciones, además de los administradores de sistemas. , los usuarios privilegiados representados por analistas de datos de usuarios, programadores y desarrolladores mantenedores también pueden acceder a datos confidenciales. Todo esto deja grandes peligros ocultos de fuga de datos.

La base de datos segura controla de forma independiente el cifrado y descifrado de datos a través de un sistema de permisos de seguridad que es independiente del control de permisos de Oracle.

El administrador de seguridad es responsable de decidir qué usuarios de la base de datos tienen derecho a acceder a la información de texto claro de los datos confidenciales, al tiempo que evita que el DBA se convierta en un superusuario no controlado y permite que el DBA y los desarrolladores trabajen normalmente.

4. Evite la piratería de datos por intrusiones externas Con la popularidad de Internet y las redes inalámbricas, los piratas informáticos tienen más formas de eludir los cortafuegos y los sistemas de detección de intrusiones y espiar los sistemas empresariales de los usuarios cuando los datos están expuestos. en texto claro sobre sistemas de archivos y bases de datos, los piratas informáticos pueden obtener fácilmente datos confidenciales. Cuando tenemos una protección de cifrado eficaz para los datos, no importa cuán poderoso sea un pirata informático, no podrá obtener información en texto plano de datos confidenciales sin dominar la clave.

3. El sistema de protección de seguridad de datos secdocx es un producto desarrollado independientemente por Guangdong Southern Information Security Industry Base Company de acuerdo con los estándares y regulaciones nacionales de protección de nivel de seguridad de sistemas de información importantes, así como con el intelectual digital de la empresa. necesidades de protección de la propiedad. Está diseñado con la combinación orgánica de una política integral de seguridad de archivos de datos, tecnología de cifrado y descifrado y control de acceso obligatorio para implementar diferentes niveles de seguridad de control sobre diversos activos de datos en los medios de información, evitando efectivamente la fuga y el robo de información confidencial.

Los objetos de protección del sistema de protección de seguridad de datos son principalmente varios documentos de datos confidenciales de gobiernos y empresas, incluidos documentos de diseño, códigos fuente de dibujos de diseño, planes de marketing, estados financieros y otros documentos diversos que involucran secretos nacionales y corporativos. Los documentos confidenciales se pueden utilizar ampliamente en investigación y desarrollo gubernamental, diseño, fabricación y otras industrias.

1. Tecnología de cifrado y descifrado transparente: proporciona protección de cifrado para documentos confidenciales o sensibles para evitar el robo y la pérdida de activos de datos confidenciales sin afectar el uso normal de los usuarios.

2. Protección contra fugas: evite la fuga de datos confidenciales a través de tecnologías como control de lectura y escritura de documentos, control de impresión, control del portapapeles, arrastrar y soltar, control de copia/captura de pantalla y control de robo de memoria.

3. Control de acceso obligatorio: según la identidad y los permisos del usuario y el nivel de confidencialidad del documento, se pueden implementar una variedad de controles de permiso de acceso a documentos confidenciales, como comunicación compartida, extracción o descifrado. , etc.

4. Autenticación de dos factores: todos los usuarios del sistema utilizan una LLAVE USB para la autenticación de identidad, lo que garantiza la seguridad y credibilidad de las identidades de los usuarios en el dominio empresarial.

5. Auditoría de documentos: puede auditar eficazmente los eventos operativos regulares de los usuarios en documentos cifrados.

6. Separación de poderes: el sistema se basa en los procesos de trabajo reales de empresas y agencias, adopta una estrategia de gestión descentralizada y adopta un modelo de separación de poderes, mecanismos de aprobación, ejecución y supervisión en los métodos de gestión.

7. Protocolo de seguridad: garantice la seguridad del funcionamiento y almacenamiento de claves, y el almacenamiento y el host de claves separados. Los productos DBCoffer tienen ventajas obvias sobre otros productos en el mercado en términos de cumplimiento de políticas, desempeño y transparencia de la aplicación. Lo siguiente se centra en un análisis comparativo de productos extranjeros y productos nacionales.

Análisis de competencia con productos comunes de refuerzo de seguridad de bases de datos:

1. Productos de escaneo de vulnerabilidades de bases de datos

Este producto se enfoca en las vulnerabilidades y riesgos potenciales de los sistemas de administración de bases de datos. detección. Puede verificar las diversas configuraciones del sistema de base de datos, las vulnerabilidades conocidas del software del sistema de base de datos en sí, la integridad del sistema de base de datos, evaluar la seguridad general del sistema de base de datos y dar sugerencias de reparación para mejorar la seguridad de la base de datos. Lo importante de este producto es escanear las vulnerabilidades de configuración de autenticación y autorización del sistema de base de datos existente y la vulnerabilidad del parche de la oficina de datos. No puede mejorar la seguridad de la base de datos existente y no es el mismo producto que DBCoffer.

2. Productos de auditoría de seguridad de bases de datos

Como parte importante de la auditoría de seguridad de la información, la auditoría de bases de datos también es una parte importante de la seguridad del sistema de gestión de bases de datos. La ventaja de los productos de auditoría de seguridad radica en el seguimiento y análisis del tiempo. Además de sus capacidades de auditoría de acceso a datos confidenciales, DBCoffer también tiene funciones de cifrado de bases de datos y un sistema de control de autorizaciones independiente de Oracle. Esta es la mayor ventaja competitiva de DBCoffer. En comparación con los productos de auditoría de bases de datos, DBCoffer puede proporcionar los siguientes aspectos de capacidades de prevención de seguridad de bases de datos: evitar que usuarios con altos privilegios, como los DBA, accedan a datos confidenciales, evitar el robo de datos de la capa de archivos y prevenir riesgos de seguridad por pérdida de hardware.

3. Productos integrales de mejora de la seguridad de las bases de datos

Este tipo de producto mejora eficazmente la autenticación, autorización y auditoría de las bases de datos, pero debe tener varias restricciones:

(1) El sistema de aplicación debe transformarse y utilizar la interfaz de aplicación proporcionada por el producto

(2) DBA debe utilizar el terminal de gestión proporcionado por el producto para el mantenimiento de datos

En general, DBCoffer no No tiene las limitaciones anteriores y tiene varias ventajas importantes en comparación con otros productos relacionados: está más en línea con las políticas de seguridad nacional, tiene mejor rendimiento, mejores servicios, es más transparente y tiene funciones de Oracle más intactas. La prevención de pérdida de datos se refiere a un método de control centrado en el contenido que genera registros de huellas dactilares para el contenido de los archivos y controla los archivos a través de terminales, puertas de enlace y almacenamiento. Por ejemplo, la puerta de enlace intercepta los archivos confidenciales cuando se envían.

Nota: El cifrado de archivos no es DLP