风险防不胜防?看YashanDB如何守护你的数据库安全(上篇)

news2024/12/23 20:30:58

数据库作为信息系统的核心,不仅承载着海量的关键数据,还负责向各类用户提供高效、可靠的信息服务,数据库的安全性显得尤为关键,已成为信息安全体系的重中之重。

什么是数据库安全?

数据库安全是数据安全的一个子集,由可以保护数据库免受恶意攻击的安全控制、工具和策略组成。数据库安全是一项复杂的任务,它包括对数据本身、管理数据的数据库管理系统以及使用数据的应用程序等等的保护。最终目标是保护企业或组织的信息的机密性、完整性、可用性(CIA)和可审查性等。

1.数据库面临哪些风险?

基于互联网的攻击、软件配置错误、漏洞、粗心或误用模式都可能导致数据库安全风险,以下是企业和组织常见的安全风险:
在这里插入图片描述

2.数据库面对哪些监管要求?

当这些风险发生时,给企业带来的处除了经济损失、品牌声誉受损等等之外,还会面临监管处罚。国家监管部门为数据安全和数据库安全制定相关的法律、法规和标准,并负责统筹协调网络数据安全和相关监管工作。

与之紧密相关的法律框架可简单概况为“三法两条例”:包括《网络安全法》、《数据安全法》、《个人信息保护法》和《关键信息基础设施安全保护条例》、《网络数据安全管理条例》,除此之外,还包括密码相关的法律法规和标准。

国家相关部门通过制定统一的管理和测评规范,为企业的安全合规提供指引和保障,主要可以概况为“三保一评”,分别是等保、关保、分保和密评。YashanDB按照国家各项标准的要求实现数据库安全功能,对客户的等保、关保和密评提供有效的支持。
在这里插入图片描述

数据库安全架构包括哪些?

用户数据存储在数据库中,处于数据安全被保护的核心,根据纵深防御的思想,应该以数据库为中心,应设置分层保护、多重验证、多重检测等技术措施,以增加攻击的复杂性和成本,从而降低被攻击成功的概率。
YashanDB的安全机制总体上可以分三个层次,包括:访问管理、威胁检测和数据保护。

  • 访问管理采用良好的身份认证、访问控制和反入侵等措施;
  • 威胁检测由统一安全审计和漏洞扫描构成;
  • 数据保护通过加密、密钥管理、安全销毁和备份恢复实现。
    在这里插入图片描述

01 访问管理

//身份认证

身份认证是对登录数据库的用户的身份鉴别。身份认证的机制包括:口令认证、操作系统认证、双因素认证。
在这里插入图片描述
1、口令认证
1)存储在数据库表中的密码字段:这是在创建或修改用户时所设置的密码,这类密码与用户信息一同记录。
2)存储在数据库服务器上的密码文件:为系统用户SYS所设置的密码,这类密码脱离于数据库表,可满足数据库处于非open状态时的登录认证。
为了保障密码安全,启用密码强度控制,在密码设置时要求满足一定的复杂度要求。
为了保障用户口令的安全,YashanDB采用如下的安全策略:
1)启用密码强度控制,在用户设置口令时要求满足一定的复杂度。同时在服务端存储凭证时,采用加盐等安全策略,可有效避免各种恶意攻击。
2)在口令认证的过程中,采用有效的密码策略,对用户的登录行为和属性进行判断并作出相应的动作,包括:
a.为防止恶意攻击者反复登录尝试猜出密码,当用户因为密码错误连续登录失败达到阈值时,将被锁定一定时间。
b.用户长时间使用同一密码会影响数据库安全,因此系统对于密码的生命长度进行限制。
c.系统在用户登录过程中发现密码已使用超过限制天数时,将进行额外宽限期处理,并打印告警日志提示。宽限期过后,该密码完全过期,客户端提示用户输入新密码,用户可以立即更新密码。
d.为防止用户长时间使用相同密码,用户在设置新密码时还需要满足密码复用限制,不允许复用一定时间内使用过的密码以及最近变更次数内使用过的密码。
2、操作系统认证
操作系统认证指的是,当用户属于操作系统的YASDBA用户组,从本地登录(UDS)时可免密登入,它的优点是避免在使用过程中多次连续输入口令,方便管理员的操作。更为重要的是,可以避免在一些执行脚本中暴露管理员的口令。
3、双因素认证
YashanDB根据国家标准GB/T 15843《实体鉴别》第2部分和第3部分的要求,通过智能密码钥匙对管理员进行双因素认证。
安全管理员使用数据库自带的工具进行初始化,并创建个人证书,然后安装个人证书到数据库服务端的配置目录下。
当数据库管理员登录时,除了输入口令外,还需要通过智能密码钥匙对鉴别信息进行签名。对于服务器既要验证口令,还需要通过个人证书进行签名的验签,只有两者同时验证通过了,登录才能成功。
在这里插入图片描述
//访问控制

是一种确保数据处理系统的资源只能由经授权实体以授权方式进行访问的手段。常见的访问控制的模型,包括自主访问控制DAC、基于角色的访问控制RBAC、基于属性的访问控制ABAC等等。YashanDB实现了基于角色的访问控制(RBAC)和基于标签的访问控制(LBAC)。
1、RBAC
YashanDB定了如下的特权和角色:
在这里插入图片描述
三权分立是对数据库管理人员的职责划分,目的是使不同的管理职位各司其职,行使不同角色,互相限制和监督,保障系统整体安全。三种管理员权限应该互相独立,包括:
1)安全管理员,只具备管理角色(Role)或用户(User)以及为其他账号授予权限的权限;
2)审计管理员用户,拥有AUDITADMIN能力,即审计策略和审计日志管理权限;
3)数据库管理员,只具备DDL等权限等。
在这里插入图片描述
2、LBAC
LBAC是强制访问控制的一种实现,在GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》和《数据库管理系统安全技术要求》中对强制访问控制有着明确要求。

主要的强制访问控制模型是BLP模型,该模型实现了信息的单向流通,即信息只能从低安全等级向高安全等级流通。

YashanDB实现了LBAC强制访问控制,强制访问控制是根据用户的安全标签以及数据的敏感性标签来控制数据访问。标签安全在自主访问控制之外增加了一层保护。

在表中添加一个标签(label)列,当在新建、插入和修改数据表时,同时在该列中写入对应的标签(label)值,代表当前行数据的敏感值。同时对于每个用户设置一个标签(label)值,代表用户的敏感属性。当用户访问数据库时,通过比较用户的 Label 和数据的 Label值,达到约束主体(用户)对客体(表中的数据)访问的目的,实现了基于LBAC策略对数据库中的表提供行级安全控制功能。

LBAC由策略、组件、标签构成。策略是一种预定义标记组件,由等级(level)、范围(compartment)和组(group)构成,从3个不同的维度对数据进行描述,其中等级在策略中是必须存在的,范围和组可以缺省。
在这里插入图片描述
YashanDB安全管理员可以创建安全策略、定义策略中的 Label、设置用户关联策络的读写label信息。一个安全策略可以应用到多张表上,一张表也可以应用多个安全策略。

//反入侵

数据库反入侵是保护数据库免遭未经授权的访问、恶意活动等等。其中黑白名单是抵御恶意软件和有针对性的攻击的一种必要的手段。

YashanDB支持黑名单和白名单,白名单以外的用户都不能访问数据库。黑名单以内的用户都不能访问数据库,如果二者冲突则以黑名单优先。通常的配置形式如下图所示:

此外,YashanDB采用连接监听机制检测诸如连接风暴类的网络攻击。**YashanDB通过记录监听日志的方式实现此功能。监听日志中记录了包括时间戳、用户、连接状态、IP、端口等连接信息(成功或失败的连接均被记录),通过查看这些信息可以帮助用户快速分析连接来源,并对恶意攻击立即做出反应,保护系统的安全。

今天主要详细讲讲数据库安全机制中访问管理~下一篇文章,我们会继续深入聊聊威胁检测以及数据保护📖敬请期待🧐

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1620102.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

第9章:知识生成提示

知识生成提示,是告诉ChatGPT创造新信息的命令。 你可以告诉它:请生成关于【X】 的新信息。ChatGPT会利用已有知识生成内容。 你也可以同时提出具体要求,如内容类型、长度和风格等。 例1:知识生成 任务: 生成有关特定主题的新信息。指令: 生…

一则 TCP 缓存超负荷导致的 MySQL 连接中断的案例分析

除了 MySQL 本身之外,如何分析定位其他因素的可能性? 作者:龚唐杰,爱可生 DBA 团队成员,主要负责 MySQL 技术支持,擅长 MySQL、PG、国产数据库。 爱可生开源社区出品,原创内容未经授权不得随意使…

正整数的性质:和与根

目录 数字和 数字和介绍 数字和简单应用 哈沙德数 最小元素各数位之和 数字根 数字根介绍 数字根简单应用 数字和 数字和介绍 简单来说,数字和即一个整数数字每一位数值相加求和所得的值,数字和可以为任意正整数,使用代码获取一个数值的数字和…

干货|交流非线性RCD负载的重要指标

在电力系统中,非线性负载是一个重要的问题。它们会对电力系统的稳定性和电能质量产生重大影响。因此,对非线性负载的研究和管理具有重要的实际意义。在交流非线性RCD(Residual Current Device)负载中,有几个重要的指标…

挤浆机液压系统比例阀放大器

挤浆机液压系统比例阀放大器是一种在制浆工程中用于洗涤浆料的设备,它通过机械压榨的方式,从纸浆中提取出黑液(即造纸过程中产生的废液)。主液压系统其主要功能是驱动挤浆机的两个辊子转动。这两个辊子负责将浆料中的水分挤出&…

Unity的旋转实现一些方法总结(案例:通过输入,玩家进行旋转移动)

目录 1. Transform.Rotate 方法 使用 2. Transform.rotation 或 Transform.localRotation 属性与四元数 使用方式: 小案例 :目标旋转角度计算:targetRotation(Quaternion类型) 玩家发现敌人位置,玩家…

SWCTF

easy_php 源码 <?php// flag is in flag.php highlight_file(__FILE__); ini_set(display_errors, 0); error_reporting(0);if (isset($_GET[myon1]) && isset($_GET[myon2]) && isset($_GET[myon3])) {$myon1 $_GET[myon1];$myon2 $_GET[myon2];$myon…

揭秘内网渗透:命令大全助你轻松测试安全【内网渗透命令大全】

网络安全最新课程大纲 感兴趣可留言 1.域常用操作命令&#xff1a; net group /domain //获得所有域用户组列表 net group qq_group /domain //显示域中qq_group组的成员 net group qq_group /del /domain //删除域中qq_group组 net group qq_group qq /del /domain …

2024创业项目新方向,智享无人实景直播配合智能贴图数字人,让直播更简单,帮助商家快速引流客户到店,帮助创业者轻松实现梦想!

随着科技的迅猛发展&#xff0c;直播行业也经历了一次又一次的变革和创新。在2024年&#xff0c;AI实景无人直播成为了这个领域的全新宠儿&#xff0c;为商家和观众带来了前所未有的智能、高效体验。这种革命性的直播方式不仅降低了运营成本&#xff0c;还极大地提升了直播的效…

Aigtek功率放大器的工作特点有哪些方面

功率放大器是电子设备中常见的元器件&#xff0c;用于将输入信号的功率增加到所需的输出功率水平。它在各种应用中发挥着重要作用&#xff0c;如音频放大、射频信号处理、通信系统等。功率放大器具有以下几个工作特点&#xff1a; 放大功能&#xff1a;功率放大器主要的工作特点…

怎样快速插入数据

1、30万条数据插入插入数据库验证 1.1、表结构&#xff1a; CREATE TABLE t_user (id int(11) NOT NULL AUTO_INCREMENT COMMENT 用户id,username varchar(64) DEFAULT NULL COMMENT 用户名称,age int(4) DEFAULT NULL COMMENT 年龄,PRIMARY KEY (id) ) ENGINEInnoDB DEFAULT…

Python自学篇2-导入Win32库

Python导入win32模块 导入win32模块可以让我们在Python中使用Windows的API功能&#xff0c;这对于开发需要与Windows操作系统进行交互的应用程序非常有用。 本文将介绍如何导入win32模块&#xff0c;并提供一些代码示例来帮助读者更好地理解。 什么是win32模块&#xff1f; …

【Stable Diffusion系列】(一):AI绘画本地部署教程

目录 一、总览 二、本地部署 1、安装cuda 2、安装python 3、安装git 4、方法一 1&#xff09;获取安装包 2&#xff09;update 3&#xff09;run 5、方法二 1&#xff09;git clone 2&#xff09;双击webui-user.bat 3&#xff09;更新 6、设置启动参数 7、…

LiveNVR监控流媒体Onvif/RTSP常见问题-如何对比监控摄像头延时视频流延时支持webrtc视频流播放超低延时播放

LiveNVR如何对比监控摄像头延时视频流延时支持webrtc视频流播放超低延时播放 1、问题场景2、如何对比延时&#xff1f;3、WEBRTC延时对比4、LiveNVR支持WEBRTC输出5、RTSP/HLS/FLV/RTMP拉流Onvif流媒体服务 1、问题场景 需要低延时的视频流监控播放&#xff0c;之前可以用rtmp…

pytorch-MNIST测试实战

目录 1. 为什么test2. 如何做test3. 什么时候做test4. 完整代码 1. 为什么test 如下图&#xff1a;上下两幅图中蓝色分别表示train的accuracy和loss&#xff0c;黄色表示test的accuracy和loss&#xff0c;如果单纯看train的accuracy和loss曲线就会认为模型已经train的很好了&a…

C++初识--------带你从不同的角度理解引用的巧妙之处

1.对于展开的理解 我们这里的展开包括命名空间的展开和头文件的展开&#xff0c;两者的含义是不一样的&#xff1a; 头文件的展开就是把头文件拷贝到当前的文件里面&#xff1b; 命名空间的展开不是拷贝&#xff0c;而是因为编译器本身默认是到全局里面去找&#xff0c;当我…

【热议】硕士和读博士洗碗区别的两大理论

::: block-1 “时问桫椤”是一个致力于为本科生到研究生教育阶段提供帮助的不太正式的公众号。我们旨在在大家感到困惑、痛苦或面临困难时伸出援手。通过总结广大研究生的经验&#xff0c;帮助大家尽早适应研究生生活&#xff0c;尽快了解科研的本质。祝一切顺利&#xff01;—…

SWOT分析法:知彼知己的战略规划工具

文章目录 一、什么是SWOT分析法二、SWOT分析法如何产生的三、SWOT分析法适合哪些人四、SWOT分析法的应用场景五、SWOT分析法的优缺点六、SWOT分析实例 一、什么是SWOT分析法 SWOT分析法是一种用于评估组织、项目、个人或任何其他事物的战略规划工具。SWOT是Strengths&#xff…

组态风格的工业可视化大屏,既同步状态又掌控数据,一箭双雕。

可视化大屏中加入了组态图&#xff0c;状态和数据一目了然了&#xff0c;我看还有谁说可视化大屏没啥用啦。 将组态图放入可视化大屏中可以起到以下几个作用&#xff1a; 1. 实时监控&#xff1a; 组态图可以用来实时监控设备、系统或者生产线的运行状态。通过大屏展示&#…

HackMyVM-Alzheimer

目录 信息收集 arp nmap FTP服务信息收集 匿名登陆 关键信息 knock WEB信息收集 信息收集 gobuster 目录爆破 ssh登录 提权 系统信息收集 提权 get root 信息收集 arp ┌──(root㉿0x00)-[~/HackMyVM] └─# arp-scan -l Interface: eth0, type: EN10MB, MAC…