敏感数据保护系统 KDPS
以KSP密钥管理平台为核心,依托HSM硬件加密机为行业应用/重要数据提供专业化、平台化、模块化密码服务,实现了密码资源统一管理与调度、密码服务统一管控、密钥集中管理,能够快速实现密码技术的安全集成与应用、提升客户业务安全性、创造更高的业务价值。系统支持国际AES、RSA、ECC,及国密SM1、SM2、SM3、SM4等加密算法,可对普通文件以及数据库实现加密存储,符合等保/密评要求。
数据库加密
文件加密
防勒索
数据库脱敏
密钥管理
SaaS应用加密
模块化功能输出
安当KDPS敏感数据保护系统,专门为保护敏感数据、身份信息、交易信息和通讯数据的安全而设计。通过为用户提供功能广泛且简便的数据保护方案以解决企业用户亟需的数据安全保护需求。KDPS敏感数据保护系统提供不同层级的访问控制和数据加密产品,可以对重要信息在其生命周期的关键节点提供保护。
系统主要包含以下模块
主要模块
KSP密钥管理系统
作为数据保护系统的核心模块,提供密钥全生命周期的管理及日志审计,通过细粒度的密钥权限策略提升数据安全性,安全简便的web管理界面简化了用户使用的便利性,集中化的模块策略管理方便系统管理和运维安全。KSP密钥管理系统可直接对外提供加解密接口,满足部分数据加密场景
HSM硬件加密机
采用国家密码局认证过的硬件加密设备,提升整个系统根密钥的安全性具有数字签名/验证、身份认证、数据加/解密、消息完整性验证、物理噪声源真随机数生成等密码功能,HSM可直接对外提供加解密接口,满足部分数据加密场景
TDE透明加密组件
应用免改造 ——
TDE组件对应用系统完全透明,能在不修改应用系统的情况下,对结构化/非结构化数据实现存储加密和访问控制,可对数据库实例文件进行加密保护。通过操作系统级的用户权限控制,防止黑客或运维人员对数据的非法访问
KADP应用数据加密模块
—— 高性能加密 细粒度权限
应用系统通过调用KADP数据加解密API接口,对数据库数据存取时,可按照相应用户权限实现数据加解密,更细粒度实现了应用中不同用户的权限控制,可对数据库中的数据实现字段级加密。本地化的加解密接口调用,保障了数据加解密速度,支持多线程,当采用高性能的CPU配置时,数据加解密速度可达百Gbps
KTM数据脱敏组件
可为结构化数据提供数据脱敏功能,支持多种数据库类型,支持动态脱敏和静态脱敏
RDM防勒索组件
通过对文件系统中目录进行保护,防止非授权用户以及非法进程对受保护文件进行访问和操作,支持离线使用
数据库加密多种解决方案
| 方案 | 加密对象 | 方案名称 | 实现方案 | 支持应用开发语言 | 优劣势 |
|---|---|---|---|---|---|
| 方案1 | 数据库字段表加密 | 加密机HSM | 应用程序通过加密机,加解密接口实现数据加密 | JAVA,C | 符合等保三级要求,数据加解密在加密机中进行,速度受限,不支持密钥轮转 |
| 方案 | 加密对象 | 方案名称 | 实现方案 | 支持应用开发语言 | 优劣势 |
|---|---|---|---|---|---|
| 方案2 | 数据库字段表加密 | 密钥管理系统KSP(加密机HSM可选) | 应用程序通过KSP的restapi接口实现数据加解密 | 不限制 | 相比方案一,多了密钥管理功能,更适合多业务场景或者细粒度权限控制,数据加解密在KSP服务端进行,速度受限;不支持密钥轮转 |
| 方案 | 加密对象 | 方案名称 | 实现方案 | 支持应用开发语言 | 优劣势 |
|---|---|---|---|---|---|
| 方案3 | 数据库字段表加密 | 密钥管理系统KSP(加密机HSM可选)+ 应用加密组件KADP | 应用程序通过调用KADP加解密接口实现 | JAVA | 相比方案一,多了密钥管理功能,更适合多业务场景或者细粒度权限控制;数据加解密在应用服务器本地进行,加解密速度快,支持密钥轮转 |
| 方案 | 加密对象 | 方案名称 | 实现方案 | 支持应用开发语言 | 优劣势 |
|---|---|---|---|---|---|
| 方案4 | 数据库实例文件加密 | 密钥管理系统KSP(加密机HSM选配)+ 透明加密组件TDE | 直接部署透明加密组件TDE,无需修改应用程序 | 不涉及开发 | 免开发,直接部署通过配置策略实现数据存储加密,数据加解密在数据库服务器上进行,加解密速度快,不涉及字段级加密,对于检索性能无影响,支持密钥轮转 |
场景化解决方案
• 痛点
金融和政府机构任何的通信和存储数据都具有高价值性和高保密性,需要考虑加密的安全性及合规性。
• 方案
通过信封加密对协议通信内容、重要文件和资料提供加密服务及密钥保护和权限管理,满足安全性及合规性要求。
• 痛点
核心知识产权、用户手机号、身份证号、银行账号、口令等隐私数据做严格保护,将敏感数据加密后保存,但是无法保证数据密钥的安全。
• 方案
以信封加密方式,将所有核心数据通过数据密钥加密,数据密钥再经过 KSP加密,为核心数据提供双重保护。
• 痛点
应用开发配置文件需要进行加密以保护程序数据安全。
• 方案
通过KSP对敏感配置信息、数据库连接信息、数据库密码、登录密钥、后台服务的配置信息进行加密及完整性保护。
• 痛点
提供 HTTPS等服务时需要使用到证书、密钥,这些信息若以明文保存本地,攻击者可以轻易获取。
• 方案
通过 KSP对密钥进行加解密,加密后本地保存密钥的密文文件,使用时解密且不保存本地,使得攻击者难以获取,从而保证网页和应用的安全性。
• 痛点
勒索攻击产业化,勒索变种多样且含APT属性,安全设备切裂无协同,勒索攻击精准化。
• 方案
安当勒索防护方案是集云端-网络-终端于一体,通过云端值守,实时监测入侵威胁,通过KSP平台精准定位安全事件,控制可读进程,控制用户权限等操作,构建有效预防、持续监测、高效处置的勒索病毒防护体系。
• 痛点
大数据平台内部的数据包括数据传输、使用和存储等阶段。在未经防护的情况下,数据的全生命周期都是以明文形式存在,一旦发生数据泄漏,将会造成严重后果。
• 方案
针对前述数据安全风险,可以通过安当kadp实现保留格式加密存储,实现数据保护。