国内外防数据泄露产品基本情况

国外的Oracle数据库加密产品相对比较多，产品也比较成熟。但面临无法集成国产加密算法、不符合国家安全政策、无法使用密文索引进行范围查询导致性能严重下降等问题，因此上述产品在国内并未得到有效应用。国内数据库安全增强产品往往采用应用级加密存储或预代理技术。应用层加密方法的缺点是应用程序必须对数据进行加密和解密，增加了编程复杂度；加密数据不能作为条件检索；同时，现有的系统也不能进行透明的改造。pre-proxy的重要缺陷是应用必须改造现有程序，使用API由加密预代理提供；此外，大量重要的Oracle功能(如存储过程和函数)将不可用。

1.SecGateway文档安全网关是一种嵌入式专用设备，用于将企业数据中心与办公网络有效隔离。采用链路加密实现客户端的访问。从文件在企业中的使用过程出发，将数据泄密防护与现有的OA系统、文件服务系统、ERP系统、CRM系统等企业应用系统完美结合，对通过网关的文档数据进行透明的加密解密，有效解决了文档离开企业应用系统环境后的安全问题。为企业部署的所有应用系统提供有效的安全保障。

1.完成安全网关与企业现有应用系统的无缝集成，自动完成通过网关的数据的强制加解密——上传解密、下载加密；

2.加密客户端通过SecGateway正常访问应用系统服务器；

3.非机密客户端电脑在通过安全网关时会被安全网关筛选拒绝，无法通过SecGateway访问OA/PDM服务器。

二、安华金和数据库安全系统(简称DBCoffer)是一个Oracle数据库安全加固系统，可以实现Oracle数据的加密存储、增强的访问控制和敏感数据访问的审计。DBCoffer可以防止绕过防火墙的外部数据攻击、内部高权限用户的数据窃取以及磁盘和磁带窃取导致的数据泄漏。

数据库安全数据库保险箱的核心价值是:

1.防止硬件存储设备造成的泄密。当数据以明文形式存储在硬件设备上时，如果运行在数据库中的存储设备或用于数据备份的磁带丢失或被修复，就会有相应的数据丢失风险。数据库保险箱一旦使用，无论是运行环境的硬件存储设备，还是数据备份的磁带，敏感数据都以加密的形式存储，从而有效防止因硬件丢失或硬件维护而造成的无意泄露。

2.为防止操作系统文件造成的数据泄露，通常Oracle数据以明文形式存储在操作系统文件中；通过访问文件系统，将会访问敏感数据。这样，主机的操作系统管理员和高权限用户就可以访问这些敏感数据。此外，通过网络访问这些文件的用户也可以访问这些敏感数据。一旦使用数据库保险箱，敏感数据以密文形式存储在操作系统中，从而有效防止操作系统文件造成的数据泄露。

3.防止数据库超级用户窃取数据。在Oracle中，以sys和SYS为代表的数据库管理员用户拥有至高无上的权限，可以访问任何数据。在大型企业和政府机构中，除了系统管理员，以用户数据分析师、程序员、开发者维护者为代表的特权用户也可以访问敏感数据。这些都为数据的泄露留下了极大的隐患。

数据库安全通过独立于Oracle权限控制的安全权限系统独立控制数据的加密和解密。安全管理员负责决定哪些数据库用户有权访问敏感数据的明文信息；在防止DBA成为不受控制的超级用户的同时，DBA和开发者可以正常工作。

4.防止数据被外部入侵破解。随着互联网和无线网络的普及，黑客有更多的方法绕过防火墙和入侵检测系统，窥视用户的业务系统。当数据以明文形式暴露在文件系统和数据库中时，黑客可以很容易地获取敏感数据。当我们对数据进行有效的加密和保护时，黑客再厉害，不掌握密钥也无法获取敏感数据的明文信息。

3.secdocx数据安全保护系统是广东南方信息安全产业基地公司根据国家重要的信息系统安全等级保护标准和法规，以及企业的数字知识产权保护要求，自主研发的产品。它以全面的数据文件安全策略、加解密技术和强制访问控制为设计思想，对不同安全级别的信息介质上的各种数据资产进行控制，有效防止机密信息的泄露和窃取。

数据安全保护系统主要保护政府和企业的各类敏感数据文档，包括设计文档、设计图纸源代码、营销计划、财务报表等涉及国家机密和企业商业秘密的文档，可广泛应用于政府R&D、设计、制造等行业。

1.透明加解密技术:为机密或敏感文档提供加密保护，在不影响用户正常使用的情况下，达到防止机密数据资产被盗和丢失的效果。

2.防泄密:通过读写控制、打印控制、切菜板控制、拖放、屏幕复制/截屏控制、内存窃取控制等技术，防止机密数据泄露。

3.强制访问控制:根据用户的身份和权限以及文档的分类，可以对机密文档实施各种访问权限控制，如* * *共享、取出或解密。

4.双因素认证:系统中所有用户使用USB-KEY进行身份认证，保证了用户身份在业务领域的安全性和可信性。

5.文档审计:可以有效审计用户对加密文档的常规操作事件。

6.三权分立:系统借鉴企事业单位的实际工作流程，采用分权的管理策略，在管理方法上采用三权分立、审批、执行、监督机制的模式。

7.安全协议:保证密钥操作和存储的安全性，密钥存储和主机分离。与市场上的其他产品相比，DBCoffer产品在策略合规性、性能和应用透明性方面具有明显的优势。下面重点对国外产品和国内产品进行对比分析。

常见数据库安全加固产品的竞争分析:

1，数据库漏洞扫描产品

该产品旨在检测数据库管理系统的漏洞和潜在风险。它可以检查数据库系统的设置、数据库系统软件的已知漏洞和数据库系统的完整性，评估数据库系统的整体安全性，并给出修复建议，以提高数据库的安全性。该产品重要的是扫描现有数据库系统配置漏洞和认证授权中的数据库补丁漏洞，并不能增强现有数据库的安全性，所以与DBCoffer不是一个产品。

2.数据库安全审计产品

数据库审计作为信息安全审计的重要组成部分，也是数据库管理系统安全的重要组成部分。安全审计产品的优势在于对时间的追求和分析。DBC ofer不仅具有敏感数据的访问和审计能力，还具有数据库的加密功能和独立于Oracle的授权控制系统，这是DBC ofer最大的竞争优势。与数据库审计产品相比，DBCoffer可以在以下几个方面提供更多的数据库安全保护能力:防止DBA等高权限用户访问敏感数据，防止文件层数据窃取，防止硬件丢失的安全风险。

3.全面的数据库安全增强产品

这类产品从数据库认证、授权和审计方面得到了有效的增强，但必须有几个限制:

(1)应用系统需要改造，要使用本产品提供的应用接口。

(2)DBA必须使用本产品提供的管理终端进行数据维护。

一般来说，DBCoffer没有上述限制。相比其他相关产品，DBC offer有几个优势:更符合国家安全政策，性能更好，服务更好，更透明，Oracle功能更无损。防数据丢失是指以内容为中心的控制手段，对文件的内容生成指纹记录，通过终端、网关、存储对文件进行控制。比如机密文件发出去就被网关拦截。

注意:文件加密不是DLP。