一、市场定位
浪潮SDP产品可广泛应用于政府、军工军队、航天、公安、教育科研、医疗、能源、金融、电信运营商、大中型企业等行业数据中心。
二、产品理念
浪潮SDP是一款对数据库的业务访问行为进行防护的安全系统,主要从业务访问的时间点来进行防护,分为“事前+事中+事后”三个阶段。
•事前:对向数据库发起的业务行为进行细粒度的访问控制
•事中:分析其业务行为是否涉及到数据库的敏感信息,针对敏感信息进行响应,未授权用户查看相应信息时均为密文或空
•事后:审计所有针对数据库的访问及操作,并提供丰富的报表模板供事后审计使用
三、技术优势
1、高性能SQL分析和风险计算技术
分析和风险计算技术是数据库安全保护的核心技术。通过扁平化的SQL分析,避免生成和二次解析及遍历复杂的抽象语法树,从而将解析和风险计算整合到同一个过程中,有效避免多遍处理导致的性能损失;
2、高性能日志检索技术
基于倒排索引技术、多级缓存和提交技术,在支持模糊检索的前提下,亦可支持20个以上字段的多条件组合检索,具有数十倍于数据库与全文检索系统的入库速度, 10亿条记录的单条件检索响应速度低于2分钟
3、日志存储压缩技术
采用高密度的存储格式,有效压缩存储,提高了硬盘的存储能力。
4、高效密文索引技术
在数据库管理系统内建立密文索引,当用户对某一敏感字段进行条件检索时,数据库首先通过乱码索引完成范围查询,从而避免了全部解密,大大提高检索效率。
四、部署方式
浪潮SDP支持串联、并联(旁路)及分布式部署方式,针对不同的网络环境和功能性能需求,浪潮SDP均可以向用户提供最优的部署方式。
1、并联(旁路)部署方式——设备通过交换机镜像并联方式接入业务系统中,不干扰原有的系统业务。
2、串联部署方式——设备以串联方式部署于数据库服务器之前,串联模式下支持硬件ByPass,双机热备,保障系统的高可用性。
3、分布式部署方式——数据中心可以对多台审计设备进行管理和控制,集中多台分数据中心的数据,集中管控。
五、功能特性
数据库审计
•支持按照IP地址、主机名、操作目标、操作类型、客户端程序等等进行细粒度审计
•扫描发现用户网络中开放的服务端口及敏感信息
•支持基于自学习系统的动态自动建模
•支持对数据请求的报文和返回结果的审计,甚至是数据库返回的内容
•支持针对B/S模式下,数据库、中间件和应用的三层关联审计
•支持特定字段翻译,方便用户理解
•支持对审计日志的不同风险等级制定,支持syslog报警、邮件报警,SNMP告警,FTP告警等多种告警方式
•系统内置多种报表模板,同时支持自定义报表生成,支持PDF、EXCEL、WORD格式
数据库防火墙
•屏蔽直接访问数据库的通道,防止数据库隐藏通道对数据库造成的攻击
•实时检测用户对数据库进行的SQL注入和缓冲区溢出攻击并报警,针对某些攻击行为采取阻止响应
•防止未授权的数据库访问、SQL注入、权限或角色非正常升级等安全风险
数据库加密
•根据分级保护原则,对敏感信息进行字段级细粒度的密文存储
•支持敏感数据行加密或列加密
•支持敏感数据存储时模糊处理
•加解密过程对应用程序访问过程完全透明
•采用三权分立原则,限制DBA用户对密文的操作权限
•支持oracle密文索引,避免密文检索时的全表解密
•支持varchar、varchar2、number、date、integer等多种字段类型的加密
数据库状态监控
•数据库基本信息监控
•对内存、I/O、表空间、数据文件等进行实时监控
•对数据库中所有会话的运行状态、资源占用等情况进行实时监控,并支持中断会话
•详细记录并列表展现数据库中每个用户对表的操作权限的开启状态
•可以设置数据库的各项参数的阈值,超越阈值可实时告警
•支持将数据库的状态信息生成PDF报表形式,方便用户查看
数据库风险扫描
•保证数据库账号的口令的强度和更换周期
•检测数据库系统存在的漏洞,针对检测到的漏洞提供报告分析建议
•对数据库的各个账号的权限进行扫描分析,及时发现权限分配不合理的情况
•检测数据库系统中各种配置参数的安全性
•漏洞扫描模块生成各种类型报告,包括总体报告、详细报告、漏洞细节、漏洞修复建议等内容
六、客户收益
•提升声誉:满足合规性要求,顺利通过等级保护、分级保护、IT审计
•降低损失:有效响应、减少业务系统核心信息资产的破坏与泄露
•取证免费:有效控制运维操作风险,便于事后追查原因与界定责任
•把控全局:有效控制业务运行风险,直观掌握业务系统安全状况
•完善机制:实现独立的审计、加密与三权分立,完善IT内控机制
扫码访问手机版
