人大金仓数据库KingbaseES安全概述

这篇具有很好参考价值的文章主要介绍了人大金仓数据库KingbaseES安全概述。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

一、数据库安全性概述
1、数据库安全性就是指保护数据库以防止不合法使用所造成的数据泄露、更改或者破坏。
2、数据库不安全因素:
· 计算机系统安全性
· 非授权用户对数据库的恶意存取和破坏
· 数据库中重要或敏感的数据被泄露
· 安全环境的脆弱性
3、数据库安全标准

国际信息安全等级标准1:TCSEC标准。其中D为无保护级,C为自主保护级,B为强制保护级,A为验证保护级。7个安全级别。文章来源地址https://www.toymoban.com/news/detail-769179.html

· 国际信息安全等级标准2:通用准则CC,安全功能要求和安全保证要求 ,11个安全功能类。
cc评估保证级划分
· 中国的信息安全标准:我国的信息安全标准由以下系列: GB/T 15843.x --y(x表示部分系数,y表示年份) ,GB 15851--1995 ,GB 15852—1995
4、安全数据库:在具有关系型数据库一般功能的基础上,提高数据库安全性,达到美国TCSEC/TDI的B1(安全标记保护)级标准,或中国国家标准《计算机信息系统安全保护等级划分准则》的第三级(安全标记保护级)以上安全标准的数据库管理系统。
5、计算机系统安全模型
· 用户标识鉴定用户身份,合法用户准许进入系统
· 数据库管理系统还要进行存取控制,只允许用户执行合法操作
· 操作系统有自己的保护措施
· 数据以密文形式存储到数据库中
二、KES-V8V6安全特性
1、身份鉴别:是系统提供的最外层安全保护措施。每个用户在系统中都有一个用户标识。每个用户标识由用户名和用户标识号(口令或者说密码或UID)两部分组成,用户标识号在系统的整个生命周期内是唯一的。系统内部记录着所有合法用户的标识,系统鉴别是指由系统提供一定的方式让用户标识自己的名称或身份。每次用户要求进入系统时,由系统进行核对,通过鉴定后才提供使用数据库管理系统的权限。而对于用户身份的鉴定方法有很多种,而在一个系统中往往多种方法的结合,从而获得更强的安全性。具体方法如下:
· 静态口令鉴别(登录密码)
· 动态口令(手机验证码)
· 生物特征验证(指纹、眼膜)
· 智能卡鉴别(工牌)
· 密码复杂度检查 :数据库安全员对口令的最小长度,所包含的数字、英文字母、特殊符号的数目进行设置后,在创建和修改用户时,自动对口令进行相关方面的检查。
o 功能打开:
o 在kingbase.conf的shared_preload_libraries 中增加passwordcheck ,重启数据库
§ system创建extension:create extension passwordcheck;
§ system打开功能:
§ alter system set passwordcheck.enable=on;
§ select sys_reload_conf();
o 参数:
§ passwordcheck.password_length :口令最小长度,取值范围[8,63],默认值8
§ passwordcheck.password_condition_digit:口令至少包含几个数字,取值范围[2,61],默认值2
§ passwordcheck.password_condition_letter:口令至少包含几个字母,取值范围[2,61],默认值2
§ passwordcheck.password_condition_punct:口令至少包含几个特殊字符,取值范围[0,59],默认值0,其中特殊符号为除空白符、英文字母、单引号和数字外的所有可见字符
o 功能关闭:
§ Alter system set passwordcheck.enable=off;
§ Select sys_reload_conf();
· 密码有效期 :KES 的用户管理中含有口令有效期这一属性,用户密码过期检查就是通过设置用户密码的有效期,在用户密码过期后限制用户登录数据库,并输入新密码的功能。
o 功能打开:
§ 在kingbase.conf的shared_preload_libraries 中增加identity_pwdexp ,重启数据库
§ system创建extension:create extension identity_pwdexp;
o 参数:
§ identity_pwdexp.password_change_interval :密码有效期,单位是天,取值范围[0,INT_MAX],默认值7,0是关闭该功能无限制
§ identity_pwdexp.max_password_change_interval :最大密码有效期,单位是天,取值范围[1,INT_MAX],默认值30,此参数用于限制密码有效期的设置范围,当设置的密码有效期大于最大密码有效期时,系统会报错提示。
o 功能关闭
§ Alter system set identity_pwdexp.password_change_interval =0;
§ Select sys_reload_conf();
· 用户登录
o 帐户异常登录锁定:指如果用户连续若干次不能正确的登录数据库,那么这个用户的帐户将被系统禁用。
o 用户登录信息显示 :会在用户登录数据库时给出用户一些提示信息,如此次登录信息、最后一次成功登录信息、此次登录与上次登录之间登录失败的次数、最近一次尝试登录的信息等。
o 功能打开:
§ 在kingbase.conf的shared_preload_libraries 中增加sys_audlog ,重启数据库
§ system创建extension:create extension sys_audlog;
o 参数
§ sys_audlog.user_logonlog_level
§ sys_audlog.error_user_connect_times:允许用户连续登录失败的最大次数
§ sys_audlog.error_user_connect_interval::用户被锁定时间,
§ sys_audlog.max_error_user_connect_times:用户登录失败次数的最大值界限,
§ sys_audlog.error_user_connect_times:用户被锁定时间的最大值,取值范围[0,INT_MAX],默认值2147483647
o 关闭:
§ Alter system set sys_audlog.user_logonlog_level =0;
§ Alter system set sys_audlog.error_user_connect_times =0;
§ Select sys_reload_conf();
o 查询登录信息: System通过系统表sys_audit_userlog,查看所有用户的登录信息 ,普通用户通过视图SYS_AUDLOG.sys_user_audit_userlog查看本用户的登录信息
o 查询用户被封锁信息: 通过系统表sys_audit_blocklog,查看被封锁用户的信息
· 密码历史管理:口令的历史检查是由数据库管理员对初次设定的口令或更改过的口令使用天数进行设置后,在修改用户口令时,自动对口令已使用天数进行相关方面的检查。
2、用户管理:
· 三权分立:支持将管理特权三权分立为三个管理员,并在初始化的时候创建数据库管理员、安全管理员和审计管理员。解决数据库超级用户权力过度集中的问题
o a. 系统管理员(SYSTEM) :主要负责执行数据库日常管理的各种操作和自主存取控制。
o b. 安全管理员(SSO) :主要负责强制访问规则的制定和管理,监督审计管理员和普通用户的操作,不能创建和操作普通对象。
o c. 审计管理员(SAO) :主要负责数据库的审计,监督系统管理员和安全管理员的操作,不能创建和操作普通对象。
o 功能打开
§ 在kingbase.conf的shared_preload_libraries 中增加sepapower,重启数据库
§ system创建extension:create extension sepapower;
o 参数
§ Sepapower.separate_power_grant :表示可控制DCL语句(grant/revoke)是否由sso执行;true是sso执行,false是system执行,默认是false。
o 关闭
§ drop extension sepapower;
§ shared_preload_libraries 中删除sepapower,重启数据库
· SSO修改用户属性
3、数据访问控制
· 自主访问控制(DAC):是对主体(如用户)操作客体(如表)进行授权管理,简记为DAC。DAC 主要包括权限授予,回收及传播。
o 通过 SQL 的GRANT 语句和REVOKE 语句实现(参考手册SQL语句参考手册.pdf)
o 定义用户访问权限:定义用户可以在哪些数据库对象上进行的操作
· 强制访问控制(MAC) :KES 支持标记和强制访问控制,保护用户数据,防止非法窃取。 强制访问控制(MAC)与DAC 相比,MAC 提供更严格和灵活的控制方式。MAC 首先为所控制的主体和客体指派安全标记,然后依据这些标记进行访问仲裁。并且,只有主体标记能支配客体标记时才允许主体访问。
o 在强制访问控制中,数据库管理系统所管理的全部实体被分为主体和客体两大类
§ · 主体是系统中的活动实体,即:数据库管理系统所管理的实际用户
§ · 客体是系统中的被动实体,即:文件、基表、索引、视图
o 强制访问控制规则遵循简单保密模型,即” 向下读,区间写” 模型
4、数据访问保护
· 数据页面一致性保护 :数据页面包括CRC 校验码,在读数据时,首先完成一致性校验。若发现问题,及时报错,阻止错误蔓延,阻止错误升级。
· 数据加密,加密函数
5、数据安全传输-SSL
· KingbaseES支持通过SSL协议实现客户端和服务器之间的安全数据传输,使得数据在传输过程中难以被**、篡改、重放和伪造。
· 安全套接字(SSL,Secure Sockets Layer 安全套接层),为网络传输中的数据提供加密,并验证web服务器。SSL介于应用层和传输层之间,应用层将数据传递给SSL层,SSL对数据进行加密,并增加自己的SSL头。
6、存储加密
· KES-V8V6引入了加密框架,对用户提供的数据加密保护机制,保护存储在磁盘中的数据不被非法窃取。
· 算法:内置SM4 和RC4 算法对数据进行加密。
· 密钥:采用三级密钥结构,分别为主密钥和对象密钥和块级密钥。
· 钱包管理:使用钱包时,需要先通过钱包密码验证。创建加密对象时,钱包必须处于OPEN状态;修改钱包密码时,钱包必须处于CLOSE状态。
· 透明存储加密:指数据写到磁盘上时对其进行加密,用户重新读取时,进行解密。
7、数据库审计
· 将数据库中发生的事件记录下来,以供日后审计员分析和统计。
· 设置专门的管理员(审计员/安全员),设置审计规则和查看审计记录,符合最新标准要求。
· 支持审计日志加密存储、日志将满时自动转储、手动转储。
· 支持审计日志本地存储和远程存储。
· 支持审计入侵检测。
8、其他
· 备份恢复权限:SYSBACKUP,允许物理备份sys_basebackup 连接到目标数据库,执行物理备份操作。
· 客体重用:通过在KingbaseES 资源申请和释放(注:释放是KingbaseES 对象做判断认为可以重用对象的资源或者是可以向操作系统返回对象占用的资源)的地方清除介质上的残留信息,以达到客体重用的要求。
· 系统Any权限:通过授予用户ANY 权限,允许用户操作所有的某种类型的数据库对象的某种操作,不包括系统对象。
三、V8V6安全分析工具
抓包工具的目的:抓取信息,判断信息是否被加密
1、Tcpdump抓包工具
2、Wireshark抓包工具
3、Hexdump二进制文件查看工具
4、BenchmarkSQL工具

到了这里,关于人大金仓数据库KingbaseES安全概述的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • CYQ.Data 支持 KingbaseES人大金仓数据库

    KingbaseES是一种关系型数据库管理系统,也被称为人大金仓数据库。KingbaseES 是北京人大金仓信息技术股份有限公司研发的,具有自主知识产权的通用数据库产品。 该产品面向事务处理类应用,兼顾各类数据分析类应用,可用做管理信息系统、业务及生产系统、决策支持系统、

    2024年03月10日
    浏览(82)
  • 【KingbaseES】银河麒麟V10 ARM64架构_安装人大金仓数据库KingbaseES_V8R6(CentOS8)

    🦄 个人主页——🎐开着拖拉机回家_Linux,Java基础学习,大数据运维-CSDN博客 🎐✨🍁 🪁🍁 希望本文能够给您带来一定的帮助🌸文章粗浅,敬请批评指正!🍁🐥 🪁🍁🪁🍁🪁🍁🪁🍁 🪁🍁🪁🍁🪁🍁🪁 🪁🍁🪁🍁🪁🍁🪁🍁🪁🍁🪁🍁 感谢点赞和关注 ,每天进步

    2024年02月08日
    浏览(55)
  • 金仓数据库KingbaseES安全指南--3.1. 用户管理

    目录 3.1.1. 关于用户安全 3.1.2. 预定义管理用户 3.1.3. 创建用户 3.1.4. 修改用户 3.1.5. 删除用户 3.1.6. 用户资源限制 3.1.7. 用户的数据字典视图 3.1.1. 关于用户安全 您可以通过设置口令和指定特殊限制来保护用户帐户。 KingbaseES 数据库初始化完成后,会创建三个用户:数据库

    2024年02月06日
    浏览(66)
  • ​ 金仓数据库KingbaseES数据库如何启停和重启

    数据库、启动数据库、停止数据库、重启数据库 在访问数据库之前,必须启动数据库服务器。可通过命令: ps -ef|grep kingbase 查看数据库服务器当前是否处于启动状态。如下图所示,kingbase进程存在且为正常开启状态,否则数据库服务器未启动。蓝色标注为主进程。 通过king

    2024年02月05日
    浏览(57)
  • 人大金仓分析型数据库配置数据库参数

    目录 前言 设置配置参数 设置本地配置参数 设置master配置参数  设置系统级别参数  设置数据库级别参数  设置角色级别参数  设置会话级别参数  查看服务器配置参数设置          据库的配置文件postgresql.conf 位于数据库实例的数据目录之下。master和每一个 实例都有自

    2024年02月09日
    浏览(59)
  • [开发|数据库] java程序人大金仓数据库适配笔记

    需要去人大金仓https://www.kingbase.com.cn/qd/index.htm下载linux版iso文件和授权文件(license-企业版-90天)。 iso文件需要挂载在指定目录下。 参考:(https://www.cnblogs.com/bluestorm/p/16941812.html)。 人大金仓数据库安装过程中出现乱码/内容不显示是因为jdk版本不匹配,通过asdf更换java版本为

    2024年02月12日
    浏览(53)
  • 麒麟操作系统安装人大金仓数据库

    硬件:内存512M以上,磁盘空间10G以上 软件:主流Linux操作系统,本机使用kylin-v10 安装包准备:官网下载数据库文件镜像以及授权文件 https://www.kingbase.com.cn/rjcxxz/index.htm 把 /etc/systemd/logind.conf 文件中的 RemoveIPC=no 设置,再执行一下指令 注意:创建安装系统用户 kingbase 之后,如

    2023年04月20日
    浏览(65)
  • 人大金仓分析型数据库备份和恢复(一)

    目录 前言 备份和恢复概述 并行备份 非并行备份 需求和限制         定期执行备份能确保在数据损坏或者系统失效发生时能恢复数据或者重建数据库系统。用户还可以使用备份从一个数据库系统迁移数据到另一个数据库系统。         数据库支持并行和非并行的方法

    2024年02月09日
    浏览(59)
  • 人大金仓分析型数据库使用之创建和管理表

    目录 前言 一、创建表 1、选择列的数据类型 2、设置表和列约束 3、选择表分布策略         数据库的表与任何一种关系型数据库中的表类似,不过其表中的行被分布在系统中的不同实例上。 当用户创建一个表时,用户会指定该表的分布策略。                 

    2024年02月09日
    浏览(55)
  • 金仓数据库 KingbaseES V8 GIS数据迁移方案(3. 基于ArcGIS平台的数据迁移到KES)

    本章主要介绍基于ArcGIS/GeoScene 平台的两种数据迁移方案,首先是基于KDTS的迁移,主要应用在数据图层较多且数据体量巨大的情况,另一种为利用ArcGIS/GeoScene 平台的异构数据库迁移,主要是一些少量图层或者小数据量的迁移需求。 3.1.1. KDTS迁移步骤 下面讲述通过KDTS工具完成

    2024年02月13日
    浏览(76)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包