技术支持 support
联系方式 Contact

新安信科技(深圳)有限公司

电话:13510263530

地址:广东省深圳市宝安区留仙大道2号汇聚创新园2栋2305室

网址:www.safechn.com

QQ客服:点击这里给我发消息

淘宝客服:点这里给我发消息

搜索 Search
你的位置:首页 > 技术支持 > 技术问答

secWall 企业版怎样加密SQL Server数据库

2016-5-20 12:23:42点击:

secWall 企业版支持对SQL Server数据库的加密。与secWall数据服务器版不同,数据服务器版仅支持对SQL Server服务器端数据库文件的存储加密,secWall企业版则可以利用主动加密特征,实现数据库内容的防泄密。

  以网络集控版为例,SQL Server上一个数据库ZT2010需要做保密方案。设置步骤如下:

  1. 在SQL Server服务器端和客户端都部署secWall客户端软件,在secWall集控服务器上开设两个账户sql_svr和sql_cli,SQL Server服务器端的登录用户名为sql_svr,SQL Server的客户端登录名为sql_cli。

  2. 设置用户sql_svr的属性,集控服务管理器的用户属性窗口->高级->远程管理,添加一条“端口加密”记录,进程名为sqlservr.exe,涉密端口1433(1433是SQL Server默认的TCP端口号),开放端口为空。
   启用端口加密后,没有通过secWall集控服务器认证的客户端将不能连接到SQL Server服务器,客户机只有已经登录到集控服务器获得企业通行证后才能使用SQL Server服务器。

  3. 设置用户sql_cli的安全区域,使SQL Server的客户端软件可以在涉密状态下连接到SQL Server服务器。把SQL Server所在计算机IP地址加入到安全区域,并选取“连接涉密”属性。“连接涉密”指示从SQL Server传输到客户机的所有数据是涉密的,这些数据具有落地加密特征,防止客户机通过备份或导出数据库的数据导致泄密。

  4. 在SQL Server服务器上以sql_svr用户登录到secWall集控服务器,停止SQL Server服务,加密数据库ZT2010对应的存储文件ZT2010.mdf和ZT2010_Log.ldf,启动SQL Server服务。

  5. 在SQL Server的客户端以sql_cli用户登录,启动SQL Server的客户端软件,连接到SQL Server,这时的整个数据库系统就处于secWall的加密保护中了。从SQL Server查询数据,把这些查询数据保存到客户机本地,无论以何种方式保存,文件都是加密的。


  小技巧:

  1. 不登录进入桌面实现secWall账户自动登录
  如果SQL Server是无人值守的服务器,控制台就不会有人登录进入桌面, 这样“secWall集控服务器登录”的自动登录功能就失去作用了,如何在服务器控制台不登录的情况下向secWall集控服务器登录呢?可以在下面的注册表中添加自动登录的账户信息,secWall在不登录进入桌面的情况下也能自动登录到集控服务器。

  HKEY_LOCAL_MACHINE
    Software
      Mawadata
        secWall
          MWCCSvc

  添加两个字符串值,DefaultUserName和DefaultPassword,分别是要登录的集控服务器上账户的名称和密码,SQL Server所在计算机开机后就会直接以此账户向集控服务器登录了。

  2. 远程桌面的使用问题
  安装secWall后,有些用户发现远程桌面的使用不正常,一种情况是远程桌面的屏幕不刷新,这是因为开启了反截屏功能所致。远程桌面的工作原理需要不断截屏,因此使用远程桌面的用户如果不是管理员权限必须关闭反截屏功能。另一个情况下使用端口加密后客户端有时很卡或掉线,这是因为启用端口加密后,服务器端的涉密控制会阻截加密数据向客户机的传输。因此如果在启用端口加密后又希望远程桌面不受影响,应该在端口加密记录中显式排除远程桌面服务端口3389(在开放端口中加入要排除的端口号)。