套用背景及存在问题

我国已有的安全建设重要围绕着网路防护、主机访问和套用层安全防护以及伺服器层安全防护进行，但对真正核心的数据存储管理的核心资料库并没有採取有效的防护措施。网路层安全防护的主要产品有：防火墙、网路隔离设备、入侵检测、防病毒等；套用层安全防护的主要产品有：安全认证、统一授权等；伺服器层安全防护的主要产品有：伺服器防护、防病毒、入侵检测、主机审计等；数据层安全防护的主要产品有：资料库安全增强、资料库审计、文档防护等，数据层安全防护是存放于伺服器内的数据本身的最后一道安全防护屏障，如果网路层、套用层和伺服器层的安全防护被攻破，只要数据层安全防护有效，就不致予泄露敏感数据。可见数据层安全防护的重要性。

世界最大职业中介网站Monster遭到黑客大规模攻击，黑客窃取在网站注册的数百万求职者个人信息，并进行勒索；程式设计师程稚瀚四次侵入北京移动充值中心资料库，盗取充值卡密码，获利300 多万元。2003 年广东联通7 名人员，利用内部工号和密码，对欠费停机手机进行充值，使联通损失260 万元。2005 年12 月25 日,美国银行披露,2004 年12 月下旬,丢失了包括1200 万信用卡信息的磁带备份. ---Gartner Research；CSI/FBI 2005 年计算机犯罪和和安全会的相关报告中提到70%的信息系统数据丢失和遭受攻击，都来自于内部。

当前主流Oracle安全增强方案包括前置代理、套用加密和Oracle自带加密选件DTE等。前置代理需要套用大幅改造、大量Oracle核心特性无法使用；套用加密必须由套用实现数据加密，加密数据无法检索，已有系统无法透明移植；DTE不能集成国产加密算法，不符合国家密码政策。因此这几种方案一直未能得到有效推广。

国外的Oracle资料库加密产品相对较多，产品相对成熟。但面临着不能集成国产的加密算法、不符合国家安全政策，不能利用密文索引进行範围查询，造成性能严重下降等问题，因此以上产品在我国尚未得到有效套用。

国内的资料库安全增强产品往往採用套用层加密存储或者前置代理的技术实现方式。套用层加密方式的缺点是套用必须对数据进行加解密，增加编程複杂度；加密后的数据不能作为条件进行检索；同时对于已有的系统无法透明实现套用改造。前置代理的重要缺陷是套用必须进行现有程式的改造，使用加密前置代理提供的API；另外大量的Oracle重要特性将无法使用，如存储过程、函式等。

安华金和资料库保险箱系统(简称DBCoffer) 是一款Oracle资料库安全加固系统，该产品能够实现对Oracle数据的加密存储、增强许可权控制、敏感数据访问的审计。DBCoffer可以防止绕过防火墙的外部数据攻击、来自于内部的高许可权用户的数据窃取、以及由于磁碟、磁带失窃等引起的数据泄密。

资料库保险箱DBCoffer的核心价值是：

1、防止硬体存储设备引起的泄密，当数据以明文形式存储在硬体设备上时，无论是资料库运行的存储设备，还是用于数据备份的磁带，若发生丢失或者维修，都会存在相应的数据丢失风险。一旦使用了资料库保险箱，无论是运行环境的硬体存储设备，还是数据备份的磁带，敏感数据都是以加密的形态存储的，从而有效地防止了由于硬体丢失或硬体维修等无意识的泄密。

2、防止作业系统档案引起的数据泄密，通常Oracle 的数据是以明文的形式存储在作业系统的档案中；通过对档案系统的访问，就会访问到敏感数据。这样，该主机的作业系统管理员和高许可权用户都可以接触到这些敏感数据。另外通过网路访问到这些档案的用户，也可以接触到这些敏感数据。一旦使用了资料库保险箱，敏感数据都是以密文的形式存储在作业系统上，从而有效防止了由作业系统档案引起的数据泄密。

3、防止资料库超级用户进行的数据窃取，在Oracle 中，以sys 和system 为代表的资料库管理员用户，具有至高无上的权利，可以访问到任何数据；在大型企业和政府机构中，除了系统管理员，以用户数据分析人员、程式设计师、开发方维护人员为代表的特权用户，也可以访问到敏感数据。这些都为数据的泄密，留下了极大的隐患。

资料库保险箱通过独立于Oracle 许可权控制之外的安全许可权体系，对数据的加解密进行了独立的控制。 由安全管理员负责决定哪些资料库用户有权访问敏感数据的明文信息；防止DBA 成为不受控制的超级用户的同时，又可以使DBA 和开发人员正常地工作。

4、防止外部入侵进行的数据破解，随着Internet、无线网路的普及，黑客有了更多办法绕过防火墙和入侵检测系统，到用户的业务系统中进行窥视；当数据以明文的形式暴露在档案系统和资料库中时，黑客很容易获得敏感数据。当我们对数据进行了有效加密保护，再厉害的黑客，在不掌握密钥的情况下，都无法获得敏感数据的明文信息。

竞争优势

DBCoffer产品，相对于市场上的其它产品在政策符合性、性能和套用透明性上具有明显优势，下面重点就国外产品和国内产品进行对比分析。

与普通的资料库安全加固产品的竞争分析：

1、资料库漏洞扫描产品

这种产品针对资料库管理系统的漏洞及潜在的风险进行检测。它可以对资料库系统的各项设定、资料库系统软体本身已知漏洞、资料库系统完整性进行检查和对资料库系统的整体安全性做出评估，并给出提高资料库安全性的修复建议。这种产品重要的是对现有的资料库系统在认证、授权上配置漏洞、数据局库补丁漏洞进行扫描，并不能对现有的资料库进行安全增强，与DBCoffer不是一类产品。

2、资料库安全审计产品

资料库审计作为信息安全审计的重要组成部分，同时也是资料库管理系统安全性重要的一部分。安全审计类产品的优势在于时候的追终与分析。DBCoffer除了具有对敏感数据的访问审计能力，同时也具备了资料库的加密功能、独立于Oracle的授权控制体系，这是DBCoffer的最大竞争优势。DBCoffer比起资料库审计产品能多提供以下几个方面的资料库安全防範能力：防止DBA等高许可权用户访问敏感数据、防止来自于档案层的数据窃取、防止硬体丢失的安全风险。

3、综合性的资料库安全增强产品

这一类的产品从资料库的认证、授权和审计均进行了有效增强，但是必须有几个限制：

（1）套用系统要经过改造，要使用该产品提供的套用接口

（2）DBA进行数据维护必须使用该产品提供的管理终端

总体上，DBCoffer不存在以上限制，与相关其他产品相比具有几大优势：更符合国家安全政策、性能更好、服务更好、性能更好、更为透明、Oracle功能更为无损。