数据库透明加密核心功能

1.数据存储加密

被加密的数据库数据以密文的形态存储在磁盘上，在缺乏密钥的情况下，即使数据库文件失窃也不会导致敏感数据泄露。

2.加密算法兼容性

全面支持多种国际标准算法，如DES、3DES、AES128、AES192、AES256等，为数据加密提供高效的密码运算和加解密服务，保证敏感数据的机密性、真实性、完整性和抗抵赖性。

3.权限隔离控制

支持实现基于密文、独立于数据库权限体系的独立权限控制，防止DBA及高权限用户访问敏感数据、利用数据库安全漏洞提升权限引发数据泄露。

4.业务透明性支持

无需改变应用，业务程序透明访问加密数据。

● 业务程序无需改变任何业务逻辑，透明访问业务

● 加解密过程透明，简化管理

● 透明加密的索引支持，业务性能几乎无损

● SQL语句透明

5.基于动态脱敏的访问控制机制

数据库管理员、安全管理员和审计管理员“三权分立”，收回超级管理员等特权用户的权限，防止因权限过大引起安全隐患。

6.监控和告警

● 安全事件WEB监控功能，基于规则的控制识别违规行为或者操作，并且通过灵活的规则配置聚焦高风险行为。

● 智能检测未知风险功能，对于首次或长时间未进入数据库的相关身份特征进行风险告警，第一时间发现潜在数据库高风险行为，智能化主动防御，检测未知风险。

● 任何违规行为或操作都会在第一时间以短信、邮件、闪烁、网页等多种方式向管理者告警，通过精确的行为识别和灵活的规则配置，发现真正的违规和高风险行为，杜绝告警泛滥。

数据库加密架构示意图：

产品优势/特色

存储加密

能够基于Oracle数据库实现数据存储加密，防止明文存储引起的数据泄密。以列为单位进行数据加密，加密列的数据在Oracle中以密文格式存储，支持按指定记录行方式的部分数据加密，支持对各种常用数据类型加密：CHAR，VARCHAR2，VARCHAR，RAW，LOB，NUMBER，DATE，对密钥备份恢复机制，图形化数据加密配置和快速恢复策略。

一致性存储加密

重做日志文件以密文形式存在数据库rman备份以密文形式存在索引数据以密文形式存在。

透明加密

支持SQL、PL/SQL、JDBC、ODBC的透明性，不需要改造；支持现有Oracle维护工具的透明性，数据库管理员依然可以使用RMAN等现有工具实现备份恢复和数据库维护。支持Oracle的MVCC、分区等高端特性。

权限控制增强

实现基于密文的、独立于 Oracle 权限体系的独立权限控制，防止 DBA 及高权限用户对敏感数据进行访问、防止利用 Oracle 的安全漏洞进行权限提升引起的数据泄密； 所有数据库用户想访问密文数据，必须经过密文授权。能实现应用系统和数据库用户的绑定。只允许该数据库用户通过指定的应用系统访问敏感数据，从而防止数据库用户口令泄漏后，绕开业务系统，对数据库直接访问。

性能损耗极低

支持密文索引技术，支持分区索引技术。能够基于密文索引实现数据的相等和范围查询；密文索引能够被数据库系统自动识别。实现密文保护后的系统整体性能下降不超过10%。

高可用性

支持Oracle的RAC高可靠特性。安全管理服务器故障不影响透明加密的运行。

持续运行能力

保证安装、部署环节期间业务系统不受影响，实现在线方式的数据加密、权限设置、数据解密等安全加固手段，确保业务系统持续在线运行。

快速拆除能力

具备快速、准确地整体拆除能力。系统在整体拆除期间应用系统仍正常运行。

兼容性强

支持Oracle 10g/11g/12c等版本。支持Windows、Linux、AIX、Solaris、Unix操作系统。