
DBCoffer系统的一个显著特点是能够以列为单位进行加密和授权,本方案以“保护军工企业PDM系统数据安全”为目标,以“最小代价换取安全提 升”的原则,定义出PDM系统核心敏感数据字段,在此基础上提出基于安华金和数据库保险箱(DBCoffer)产品的数据安全保密解决方案:
在本方案中,将PDM系统的产品名称、型号、设计图纸、关键描述等信息,以及生产计划信息定义为敏感信息;首先通过DBCoffer将上述敏感信息 加密存储在数据库中;同时通过DBCoffer的密文权限控制体系,限制DBA等业务无关人员对敏感数据的访问权限,使其只能维护数据而无法访问这些敏感 数据,远离了内部泄密风险,仅将敏感数据的访问能力开放给PDM系统;然后对这些敏感数据的访问建立审计记录;、
至此我们形成一套完备的存储层、传输层和应用层的全方位的数据安全保密解决方案。
在本方案中,将PDM系统的产品名称、型号、设计图纸、关键描述等信息,以及生产计划信息定义为敏感信息;首先通过DBCoffer将上述敏感信息 加密存储在数据库中;同时通过DBCoffer的密文权限控制体系,限制DBA等业务无关人员对敏感数据的访问权限,使其只能维护数据而无法访问这些敏感 数据,远离了内部泄密风险,仅将敏感数据的访问能力开放给PDM系统;然后对这些敏感数据的访问建立审计记录;
至此我们形成一套完备的存储层、传输层和应用层的全方位的数据安全保密解决方案:
A、敏感数据加密存储和传输
对系统中核心的敏感信息进行存储加密、,保证备份、存储设备、数据库文件丢失或者传输的数据文件被捕获也不会引起敏感数据泄漏。
B、敏感数据访问权限控制与审计
通过独立于Oracle数据库之外的密文权限控制体系,使与业务本身无关的DBA等系统维护人员不能访问明文的敏感信息,也无从引起内部泄密。同时开启安全审计功能,对敏感信息的访问进行记录,便于对异常访问行为进行事后追踪分析。
C、应用层防护增强
将PDM系统的数据库用户与业务系统自身绑定,拒绝使用该用户绕过PDM系统的任何访问保护数据行为,从而实现防止合法用户违规访问敏感数据的防护目标。