(10) 导出数据加密 (11) 独立的加密引擎 (12) 密钥自管理功能 (13) 客体重用
2.1.2.2.1 完全自主知识产权
DM是具有完全自主知识产权的国产大型通用数据库管理系统。在产品开发过程中,达梦公司始终坚持自主开发的原则,致力于保卫国家信息安全,推进国民经济信息化建设,拥有产品的全部源代码和完全的自主版权。这一方面杜绝了继承开源系统导致的版权纠纷,同时也从根本上保证了系统的安全性,并有利于与其它应用系统集成,可以根据具体需求定制和提供及时有效的服务。
2.1.2.2.2 三权分立的安全机制
DM在安全管理方面采用了三权分立的安全管理体制,把系统管理员分为数据库管理员DBA、数据库安全管理员SSO、数据库审计员AUDITOR三类。DBA负责自主访问控制及系统维护与管理方面的工作,SSO管理标记和强制访问控制,由AUDITOR管理系统审计,三者互相监督,互相配合来共同实施系统管理。这种方式可有效避免传统数据库授权体系中,系统管理员权限过于集中所带来的各种隐患。
2.1.2.2.3 多种身份验证方式
DM能够根据用户在系统中的身份确定该用户是否具有登录的权限和其在系统中的各种操作级别的角色,确定该用户能够做什么和不能够做什么。DM提供两种身份验证模式来保护对服务器访问的安全,即数据库身份验证模式和外部身份验证模式。数据库身份验证模式需要利用数据库口令,外部身份验证模式支持基于操作系统(OS)的身份验证,并提供口令管理策略。
2.1.2.2.4 资源限制
资源限制是控制用户对DM服务器系统资源的使用情况,以尽可能减少人为的安全隐
11
患。DM能对登录的安全属性与可访问资源进行限制,同时还可配置表的存储空间配额。系统管理员可借此功能对每个数据库用户单独配置最合适的管理策略,并能有效防止各种恶意抢占资源的攻击。
2.1.2.2.5 自主访问控制
DM提供了系统权限和对象权限管理功能,并支持基于角色的权限管理,方便数据库管理员对用户访问权限进行灵活配置。
DM的系统权限和对象权限的最大的区别在于系统权限不属于某个具体的数据库对象。系统权限指的是在数据库内建表权限、建视图的权限等,而对象权限则是定义对某个具体数据库对象的访问权限,如对某个表的插入、删除更新和查询权限等。
当某个用户拥有数据库对象上的某些操作权限及相应的转授权时,该用户可以不用申请和审批,自主地把这些操作权限部分或全部转授给其他用户,从而使得其他用户获得在这些数据库对象上的使用权。DM也提供级联回收方式来回收这种通过转授所获得的权限。
在DM中,可以对用户直接授权,也可以通过角色来授权。角色表示一组权限的集合,数据库管理员可以通过创建角色来简化权限管理进程。可以把一些权限授予一个角色,而一个角色又可以被授予多个用户,从而使基于这些角色的用户间接地获得权限。在实际的权限分配方案中,通常先由数据库管理员为数据库定义一系列的角色,然后再由数据库管理员将权限分配给基于这些角色的用户。
2.1.2.2.6 标记与强制访问控制
DM利用策略和标记来实现数据库的强制访问机制。该功能主要是针对数据库用户、表以及表上的元组,控制粒度达到了记录级。用户操作元组时,不仅要满足自主访问控制的权限要求,还要满足用户和元组之间标记的相容性。这样,就避免了出现管理权限全部由数据库管理员一人负责的局面,可有效防止敏感信息的泄露与篡改,增强系统的安全性。 在DM中,安全管理员可以在每个数据库中定义多种安全策略,每个安全策略包括一组预定义的标记组件,一个标记可以定义多个等级、范围和组,用来表示现实生活中的不同安全特征。安全管理员将这些安全策略应用于表和用户上,就给用户、表和元组都指定了安全标记。在为用户应用策略时,同时可以授予策略特权。策略特权分为访问特权和行标记特权,用来设置
12
读写数据是否受策略影响以及改变行标记的特权配置。 用户访问表时,必须保证应用于表上的所有强制访问控制策略均应用于该用户,比较的先后顺序是等级、组和范围,否则访问被拒绝。若表上未应用任何强制访问控制策略,则用户只需满足自主访问控制条件即可。
2.1.2.2.7 数据库审计
审计机制是DM数据库管理系统安全管理的重要组成部分之一。DM具有一个灵活的审计子系统,可以通过它来记录系统级事件、个别用户的行为以及对数据库对象的访问。通过查看审计信息,数据库审计员可以知道用户访问的形式以及试图对该系统进行的操作。一旦出现问题,数据库审计员可分析审计信息,跟踪审计事件,查出原因。
DM系统设立了独立、专有的审计员角色,只有该角色权限的用户才能对所有数据库进行审计操作,保证了对系统内部信息威胁的分析与取证的权威性。
DM允许在三个级别上进行审计设置:系统级、语句级和对象级。 (1)系统级审计
系统级审计系统的启动与关闭,由系统强制产生,用户无法进行设置。 (2)语句级审计
语句级审计主要针对影响特定类型数据库对象的特殊SQL或语句组的审计,如AUDIT TABLE 将审计CREATE TABLE、ALTER TABLE和DROP TABLE等语句。
语句级审计分为两大类:全局的审计和局部的审计。全局审计的动作是全局的,不对应于具体的数据库,审计设置登记在SYSTEM库中的SYSAUDIT字典表内,后者审计的动作发生在具体的数据库内,审计设置登记在各个库的SYSAUDIT字典表内。
(3)对象级审计
对象级审计主要针对特殊对象上的语句的审计,因为对应于特定数据库对象,因此总是局部的,其审计设置登记在数据库对象所在数据库的SYSAUDIT字典表中。
2.1.2.2.8 通信加密
DM提供三种通信方式,即不加密、简单加密和SSL安全通信。选择何种通信方式以服务器端为准,通过设置服务器端配置文件中相应选项来指定,客户端以服务器采用的通信方式与其进行通信。
13
2.1.2.2.9 存储加密
DM实现了对存储数据的透明存储加密、半透明存储加密和非透明存储加密。每种模式均可自由配置加密算法。用户可以根据自己的需要自主选择采用何种加密模式。
(1)透明存储加密
对于透明存储加密,密钥生成、密钥管理和加解密过程由系统自动完成,用户在数据操作过程中无需人工干预。该功能使对表有访问权限的用户能像对待普通数据一样操作加密数据,在不影响应用逻辑的同时保护数据库中的敏感数据的存储安全。
(2)半透明存储加密
对于半透明存储加密,系统通过对DDL语句进行扩展提供设置加密的接口,另外提供系统函数辅助用户管理密钥,根据用户密钥以及加密设置自动完成加解密动作。通过该功能,用户能够利用自己提供的密钥对隐私数据加密,对其它用户隐藏私有数据,基本不影响应用逻辑,提高了存储加密的易用性。
(3)非透明存储加密
对于非透明存储加密,系统以存储函数的方式对外提供接口,支持文本、二进制等各种数据类型的加密。
2.1.2.2.10 导出数据加密
DM提供导出数据加密功能,可以对备份文件以及迁出的文本文件进行加密保护。
2.1.2.2.11 独立的加密引擎
DM对外提供了独立的加密引擎管理接口,允许用户自由加载第三方的加密模块。用户可选用DM提供的内置或第三方的加密引擎,保证在利用系统加密功能的同时,加密强度和性能符合要求。
2.1.2.2.12 密钥自管理功能
DM实现了多级密钥管理机制,统一管理不同的用户的密钥,根据用户身份自动使用其密钥进行加解密,还提供简单方便的密钥更换操作接口。
14
2.1.2.2.13 客体重用
DM内置的客体重用机制使数据库管理系统能够清扫被重新分配的系统资源,以保证数据信息不会因为资源的动态分配而泄露给未授权的用户。
2.1.2.3 可靠性
任何一个系统都存在发生各种意外故障的可能性。DM的高可靠性可以避免或降低系统的意外故障对用户带来的损失。
DM主要通过提供以下功能实现了系统的高可靠性: (1) 故障恢复
(2) 多种备份与还原方式 (3) 基于时间点还原 (4) 备份压缩 (5) 数据复制 (6) 数据库集群
2.1.2.3.1 故障恢复
DM支持事务故障、系统故障和介质故障恢复,在归档模式下,即使介质损坏,也可利用归档日志将数据恢复到故障发生前一刻。同时,DM还支持并行恢复,可有效利用多CPU和磁盘阵列等特性,减少恢复时间。
2.1.2.3.2 多种备份与还原方式
在DM中,物理备份主要包括完全备份和增量备份,而物理还原主要包括常规还原和完全还原,同时DM的备份还支持跨平台还原。无论是备份还是还原功能,DM均提供两种方式即脱机方式和联机方式。
2.1.2.3.3 基于时间点还原
DM系统提供了更灵活的还原方式,在归档模式下,可根据用户要求恢复到指定的时间点。
15