[ 行业背景 ]

当前我国涉密部门（军队、军工、政府、金融行业、保险行业、电信行业等）中，80%以上应用系统使用数据库产品；如何保证系统在高性能、高可用的同时提升数据的安全性，确保关键信息不被泄露、国家利益不受损失已经迫在眉睫。

为保护国家秘密的安全，国家保密局于2007年发布并实施的分保保密要求，对涉及国家秘密的信息系统的安全保密措施，分别提出了分级保护的技术要求和及测评要求，对于达不到分级保护要求的涉密信息系统则停止运行。在数据保密方面，分级保护要求机密级以上系统要从运行管理三权分立、身份鉴别、访问控制、安全审计等方面进行了一系列的技术和测评要求，并占据了较高的比重。

[ 方案概述 ]

DBE系统是一款基于透明加密技术的数据库防泄漏系统，该产品能够实现对数据库中的敏感数据加密存储、访问控制增强、应用访问安全、安全审计以及三权分立等功能。

系统基于数据安全主动防御机制，可以防止明文存储引起的数据泄密、突破边界防护的外部黑客攻击和来自于内部高权限用户的数据窃取行为，同时可以防止绕开合法应用系统直接访问数据库的外部攻击和数据窃取方式，从根本上解决了数据库数据的存储安全问题。

[ 特点优势 ]

透明数据加密：对应用及工具完全透明，无需改造。广泛的加密算法，支持国密。对数据库可以按照列、表、表空间三种粒度提供加密配置，保证敏感数据以密文形式存储。

高效数据检索：数据库进行数据加密后，依然能够对密文数据提供索引能力，从而保持数据库的高效访问能力。产品通过密文索引技术，突破了应用改造加密及网络设备加密在密文索引查询方面的限制。

高可用易维护：通过与数据库的数据集成存储、双机热备、应急模式、多进程冗余、数据错误忽略、备份恢复等技术，使DBE提供与数据库相当的高可用支持和异常故障处理能力。

应用审计功能：获取应用会话中的用户信息、URL信息，当安全事件发生时，可根据告警信息，快速定位到网络中的用户端设备，进而分析出相关责任人。

[ 客户收益 ]

数据加密满足合规要求：采用国家密码局认证、备案的加密设备，支持SM4对称算法，独立密钥管理，全方面满足网络安全法、等、分保、军队、互联网及金融行业等对核心业务数据加密保护的需求。

预防存储层明文泄密：硬件设备、备份磁盘丢失，数据文件、备份文件的拷贝，都可能引起敏感数据泄露。通过数据库加密产品对敏感数据进行加密存储，保证他人即使拿到了数据文件，也看不懂。

防止内部高权限用户泄密：通过独立的、增强的权限控制、DBA、安全管理员和审计管理员三权分立机制，确保任何用户在没有获得密文访问权限时无法访问敏感数据，同时不影响DBA的日常运维操作。