一、市場(chǎng)定位
浪潮SDP產(chǎn)品可廣泛應用于政府、軍工軍隊、航天、公安、教育科研、醫療、能源、金融、電信運營(yíng)商、大中型企業(yè)等行業(yè)數據中心。
二、產(chǎn)品理念
浪潮SDP是一款對數據庫的業(yè)務(wù)訪(fǎng)問(wèn)行為進(jìn)行防護的安全系統,主要從業(yè)務(wù)訪(fǎng)問(wèn)的時(shí)間點(diǎn)來(lái)進(jìn)行防護,分為“事前+事中+事后”三個(gè)階段。
?事前:對向數據庫發(fā)起的業(yè)務(wù)行為進(jìn)行細粒度的訪(fǎng)問(wèn)控制
?事中:分析其業(yè)務(wù)行為是否涉及到數據庫的敏感信息,針對敏感信息進(jìn)行響應,未授權用戶(hù)查看相應信息時(shí)均為密文或空
?事后:審計所有針對數據庫的訪(fǎng)問(wèn)及操作,并提供豐富的報表模板供事后審計使用
三、技術(shù)優(yōu)勢
1、高性能SQL分析和風(fēng)險計算技術(shù)
分析和風(fēng)險計算技術(shù)是數據庫安全保護的核心技術(shù)。通過(guò)扁平化的SQL分析,避免生成和二次解析及遍歷復雜的抽象語(yǔ)法樹(shù),從而將解析和風(fēng)險計算整合到同一個(gè)過(guò)程中,有效避免多遍處理導致的性能損失;
2、高性能日志檢索技術(shù)
基于倒排索引技術(shù)、多級緩存和提交技術(shù),在支持模糊檢索的前提下,亦可支持20個(gè)以上字段的多條件組合檢索,具有數十倍于數據庫與全文檢索系統的入庫速度, 10億條記錄的單條件檢索響應速度低于2分鐘
3、日志存儲壓縮技術(shù)
采用高密度的存儲格式,有效壓縮存儲,提高了硬盤(pán)的存儲能力。
4、高效密文索引技術(shù)
在數據庫管理系統內建立密文索引,當用戶(hù)對某一敏感字段進(jìn)行條件檢索時(shí),數據庫首先通過(guò)亂碼索引完成范圍查詢(xún),從而避免了全部解密,大大提高檢索效率。
四、部署方式
浪潮SDP支持串聯(lián)、并聯(lián)(旁路)及分布式部署方式,針對不同的網(wǎng)絡(luò )環(huán)境和功能性能需求,浪潮SDP均可以向用戶(hù)提供.優(yōu)的部署方式。
1、并聯(lián)(旁路)部署方式——設備通過(guò)交換機鏡像并聯(lián)方式接入業(yè)務(wù)系統中,不干擾原有的系統業(yè)務(wù)。
2、串聯(lián)部署方式——設備以串聯(lián)方式部署于數據庫服務(wù)器之前,串聯(lián)模式下支持硬件ByPass,雙機熱備,保障系統的高可用性。
3、分布式部署方式——數據中心可以對多臺審計設備進(jìn)行管理和控制,集中多臺分數據中心的數據,集中管控。
五、功能特性
數據庫審計
?支持按照IP地址、主機名、操作目標、操作類(lèi)型、客戶(hù)端程序等等進(jìn)行細粒度審計
?掃描發(fā)現用戶(hù)網(wǎng)絡(luò )中開(kāi)放的服務(wù)端口及敏感信息
?支持基于自學(xué)習系統的動(dòng)態(tài)自動(dòng)建模
?支持對數據請求的報文和返回結果的審計,甚至是數據庫返回的內容
?支持針對B/S模式下,數據庫、中間件和應用的三層關(guān)聯(lián)審計
?支持特定字段翻譯,方便用戶(hù)理解
?支持對審計日志的不同風(fēng)險等級制定,支持syslog報警、郵件報警,SNMP告警,FTP告警等多種告警方式
?系統內置多種報表模板,同時(shí)支持自定義報表生成,支持PDF、EXCEL、WORD格式
數據庫防火墻
?屏蔽直接訪(fǎng)問(wèn)數據庫的通道,防止數據庫隱藏通道對數據庫造成的攻擊
?實(shí)時(shí)檢測用戶(hù)對數據庫進(jìn)行的SQL注入和緩沖區溢出攻擊并報警,針對某些攻擊行為采取阻止響應
?防止未授權的數據庫訪(fǎng)問(wèn)、SQL注入、權限或角色非正常升級等安全風(fēng)險
數據庫加密
?根據分級保護原則,對敏感信息進(jìn)行字段級細粒度的密文存儲
?支持敏感數據行加密或列加密
?支持敏感數據存儲時(shí)模糊處理
?加解密過(guò)程對應用程序訪(fǎng)問(wèn)過(guò)程完全透明
?采用三權分立原則,限制DBA用戶(hù)對密文的操作權限
?支持oracle密文索引,避免密文檢索時(shí)的全表解密
?支持varchar、varchar2、number、date、integer等多種字段類(lèi)型的加密
數據庫狀態(tài)監控
?數據庫基本信息監控
?對內存、I/O、表空間、數據文件等進(jìn)行實(shí)時(shí)監控
?對數據庫中所有會(huì )話(huà)的運行狀態(tài)、資源占用等情況進(jìn)行實(shí)時(shí)監控,并支持中斷會(huì )話(huà)
?詳細記錄并列表展現數據庫中每個(gè)用戶(hù)對表的操作權限的開(kāi)啟狀態(tài)
?可以設置數據庫的各項參數的閾值,超越閾值可實(shí)時(shí)告警
?支持將數據庫的狀態(tài)信息生成PDF報表形式,方便用戶(hù)查看
數據庫風(fēng)險掃描
?**數據庫賬號的口令的強度和更換周期
?檢測數據庫系統存在的漏洞,針對檢測到的漏洞提供報告分析建議
?對數據庫的各個(gè)賬號的權限進(jìn)行掃描分析,及時(shí)發(fā)現權限分配不合理的情況
?檢測數據庫系統中各種配置參數的安全性
?漏洞掃描模塊生成各種類(lèi)型報告,包括總體報告、詳細報告、漏洞細節、漏洞修復建議等內容
六、客戶(hù)收益
?提升聲譽(yù):滿(mǎn)足合規性要求,順利通過(guò)等級保護、分級保護、IT審計
?降低損失:有效響應、減少業(yè)務(wù)系統核心信息資產(chǎn)的破壞與泄露
?取證免費:有效控制運維操作風(fēng)險,便于事后追查原因與界定責任
?把控全局:有效控制業(yè)務(wù)運行風(fēng)險,直觀(guān)掌握業(yè)務(wù)系統安全狀況
?完善機制:實(shí)現獨立的審計、加密與三權分立,完善IT內控機制
產(chǎn)品規格 |
SDP1000 |
SDP2000 |
SDP3000 |
產(chǎn)品高度 |
1U |
1U |
1U |
接口數量 |
8個(gè)千兆電口 |
8個(gè)千兆電口,4個(gè)千兆光口 |
8個(gè)千兆電口,4個(gè)千兆光口,4個(gè)萬(wàn)兆光口 |
冗余電源 |
配置80plus..電源 |
配置80plus..冗余電源 |
配置80plus..冗余電源 |
SQL處理能力 |
20000條/秒 |
40000條/秒 |
80000條/秒 |
TCP吞吐量 |
300M |
800M |
1000M |
硬盤(pán)大小 |
1TB*1 SATA |
1TB*2 SATA |
1TB*2 SATA |
日志存儲能力 |
30億 |
70億 |
100億 |
加密支持數據庫個(gè)數 |
4個(gè),可擴展為8個(gè) |
4個(gè),可擴展為16個(gè) |
4個(gè),可擴展為20個(gè) |