人大金仓数据库KingbaseES安全概述

一、数据库安全性概述

1、数据库安全性就是指保护数据库以防止不合法使用所造成的数据泄露、更改或者破坏。

2、数据库不安全因素：

· 计算机系统安全性

· 非授权用户对数据库的恶意存取和破坏

· 数据库中重要或敏感的数据被泄露

· 安全环境的脆弱性

3、数据库安全标准

国际信息安全等级标准1：TCSEC标准。其中D为无保护级，C为自主保护级，B为强制保护级，A为验证保护级。7个安全级别。

· 国际信息安全等级标准2：通用准则CC，安全功能要求和安全保证要求 ，11个安全功能类。

cc评估保证级划分

· 中国的信息安全标准：我国的信息安全标准由以下系列： GB/T 15843.x --y(x表示部分系数，y表示年份) ，GB 15851–1995
，GB 15852—1995

4、安全数据库：在具有关系型数据库一般功能的基础上，提高数据库安全性，达到美国TCSEC/TDI的B1(安全标记保护)级标准，或中国国家标准《计算机信息系统安全保护等级划分准则》的第三级（安全标记保护级）以上安全标准的数据库管理系统。

5、计算机系统安全模型

· 用户标识鉴定用户身份，合法用户准许进入系统

· 数据库管理系统还要进行存取控制，只允许用户执行合法操作

· 操作系统有自己的保护措施

· 数据以密文形式存储到数据库中

二、KES-V8V6安全特性

1、身份鉴别：是系统提供的最外层安全保护措施。每个用户在系统中都有一个用户标识。每个用户标识由用户名和用户标识号（口令或者说密码或UID）两部分组成，用户标识号在系统的整个生命周期内是唯一的。系统内部记录着所有合法用户的标识，系统鉴别是指由系统提供一定的方式让用户标识自己的名称或身份。每次用户要求进入系统时，由系统进行核对，通过鉴定后才提供使用数据库管理系统的权限。而对于用户身份的鉴定方法有很多种，而在一个系统中往往多种方法的结合，从而获得更强的安全性。具体方法如下：

· 静态口令鉴别（登录密码）

· 动态口令（手机验证码）

· 生物特征验证（指纹、眼膜）

· 智能卡鉴别（工牌）

· 密码复杂度检查
：数据库安全员对口令的最小长度，所包含的数字、英文字母、特殊符号的数目进行设置后，在创建和修改用户时，自动对口令进行相关方面的检查。

o 功能打开：

o 在kingbase.conf的shared_preload_libraries 中增加passwordcheck ，重启数据库

§ system创建extension：create extension passwordcheck;

§ system打开功能：

§ alter system set passwordcheck.enable=on;

§ select sys_reload_conf();

o 参数：

§ passwordcheck.password_length ：口令最小长度，取值范围[8,63]，默认值8

§ passwordcheck.password_condition_digit：口令至少包含几个数字，取值范围[2,61]，默认值2

§ passwordcheck.password_condition_letter：口令至少包含几个字母，取值范围[2,61]，默认值2

§
passwordcheck.password_condition_punct：口令至少包含几个特殊字符，取值范围[0,59]，默认值0，其中特殊符号为除空白符、英文字母、单引号和数字外的所有可见字符

o 功能关闭：

§ Alter system set passwordcheck.enable=off;

§ Select sys_reload_conf();

· 密码有效期 ：KES
的用户管理中含有口令有效期这一属性，用户密码过期检查就是通过设置用户密码的有效期，在用户密码过期后限制用户登录数据库，并输入新密码的功能。

o 功能打开：

§ 在kingbase.conf的shared_preload_libraries 中增加identity_pwdexp ，重启数据库

§ system创建extension：create extension identity_pwdexp;

o 参数：

§ identity_pwdexp.password_change_interval
：密码有效期，单位是天，取值范围[0,INT_MAX]，默认值7，0是关闭该功能无限制

§ identity_pwdexp.max_password_change_interval
：最大密码有效期，单位是天，取值范围[1,INT_MAX]，默认值30，此参数用于限制密码有效期的设置范围，当设置的密码有效期大于最大密码有效期时，系统会报错提示。

o 功能关闭

§ Alter system set identity_pwdexp.password_change_interval =0;

§ Select sys_reload_conf();

· 用户登录

o 帐户异常登录锁定：指如果用户连续若干次不能正确的登录数据库，那么这个用户的帐户将被系统禁用。

o 用户登录信息显示
：会在用户登录数据库时给出用户一些提示信息，如此次登录信息、最后一次成功登录信息、此次登录与上次登录之间登录失败的次数、最近一次尝试登录的信息等。

o 功能打开：

§ 在kingbase.conf的shared_preload_libraries 中增加sys_audlog ，重启数据库

§ system创建extension：create extension sys_audlog;

o 参数

§ sys_audlog.user_logonlog_level

§ sys_audlog.error_user_connect_times：允许用户连续登录失败的最大次数

§ sys_audlog.error_user_connect_interval：：用户被锁定时间，

§ sys_audlog.max_error_user_connect_times：用户登录失败次数的最大值界限，

§
sys_audlog.error_user_connect_times：用户被锁定时间的最大值，取值范围[0,INT_MAX]，默认值2147483647

o 关闭：

§ Alter system set sys_audlog.user_logonlog_level =0;

§ Alter system set sys_audlog.error_user_connect_times =0;

§ Select sys_reload_conf();

o 查询登录信息： System通过系统表sys_audit_userlog，查看所有用户的登录信息
，普通用户通过视图SYS_AUDLOG.sys_user_audit_userlog查看本用户的登录信息

o 查询用户被封锁信息： 通过系统表sys_audit_blocklog，查看被封锁用户的信息

· 密码历史管理
：口令的历史检查是由数据库管理员对初次设定的口令或更改过的口令使用天数进行设置后，在修改用户口令时，自动对口令已使用天数进行相关方面的检查。

2、用户管理：

· 三权分立 ：支持将管理特权三权分立为三个管理员，并在初始化的时候创建数据库管理员、安全管理员和审计管理员。解决数据库超级用户权力过度集中的问题

o a. 系统管理员（SYSTEM) ：主要负责执行数据库日常管理的各种操作和自主存取控制。

o b. 安全管理员（SSO） ：主要负责强制访问规则的制定和管理，监督审计管理员和普通用户的操作，不能创建和操作普通对象。

o c. 审计管理员（SAO） ：主要负责数据库的审计，监督系统管理员和安全管理员的操作，不能创建和操作普通对象。

o 功能打开

§ 在kingbase.conf的shared_preload_libraries 中增加sepapower，重启数据库

§ system创建extension：create extension sepapower;

o 参数

§ Sepapower.separate_power_grant
：表示可控制DCL语句(grant/revoke)是否由sso执行；true是sso执行，false是system执行，默认是false。

o 关闭

§ drop extension sepapower;

§ shared_preload_libraries 中删除sepapower，重启数据库

· SSO修改用户属性

3、数据访问控制

· 自主访问控制 （DAC）：是对主体（如用户）操作客体（如表）进行授权管理，简记为DAC。DAC 主要包括权限授予，回收及传播。

o 通过 SQL 的GRANT 语句和REVOKE 语句实现(参考手册SQL语句参考手册.pdf)

o 定义用户访问权限：定义用户可以在哪些数据库对象上进行的操作

· 强制访问控制（MAC） ：KES 支持标记和强制访问控制，保护用户数据，防止非法窃取。 强制访问控制（MAC）与DAC 相比，MAC
提供更严格和灵活的控制方式。MAC 首先为所控制的主体和客体指派安全标记，然后依据这些标记进行访问仲裁。并且，只有主体标记能支配客体标记时才允许主体访问。

o 在强制访问控制中，数据库管理系统所管理的全部实体被分为主体和客体两大类

§ · 主体是系统中的活动实体，即：数据库管理系统所管理的实际用户

§ · 客体是系统中的被动实体，即：文件、基表、索引、视图

o 强制访问控制规则遵循简单保密模型，即” 向下读，区间写” 模型

4、数据访问保护

· 数据页面一致性保护 ：数据页面包括CRC 校验码，在读数据时，首先完成一致性校验。若发现问题，及时报错，阻止错误蔓延，阻止错误升级。

· 数据加密，加密函数

5、数据安全传输-SSL

· KingbaseES支持通过SSL协议实现客户端和服务器之间的安全数据传输，使得数据在传输过程中难以被**、篡改、重放和伪造。

· 安全套接字（SSL，Secure Sockets Layer
安全套接层），为网络传输中的数据提供加密，并验证web服务器。SSL介于应用层和传输层之间，应用层将数据传递给SSL层，SSL对数据进行加密，并增加自己的SSL头。

6、存储加密

· KES-V8V6引入了加密框架，对用户提供的数据加密保护机制，保护存储在磁盘中的数据不被非法窃取。

· 算法：内置SM4 和RC4 算法对数据进行加密。

· 密钥：采用三级密钥结构，分别为主密钥和对象密钥和块级密钥。

· 钱包管理：使用钱包时，需要先通过钱包密码验证。创建加密对象时，钱包必须处于OPEN状态；修改钱包密码时，钱包必须处于CLOSE状态。

· 透明存储加密：指数据写到磁盘上时对其进行加密，用户重新读取时，进行解密。

7、数据库审计

· 将数据库中发生的事件记录下来，以供日后审计员分析和统计。

· 设置专门的管理员（审计员/安全员），设置审计规则和查看审计记录，符合最新标准要求。

· 支持审计日志加密存储、日志将满时自动转储、手动转储。

· 支持审计日志本地存储和远程存储。

· 支持审计入侵检测。

8、其他

· 备份恢复权限：SYSBACKUP，允许物理备份sys_basebackup 连接到目标数据库，执行物理备份操作。

· 客体重用：通过在KingbaseES 资源申请和释放（注：释放是KingbaseES
对象做判断认为可以重用对象的资源或者是可以向操作系统返回对象占用的资源）的地方清除介质上的残留信息，以达到客体重用的要求。

· 系统Any权限：通过授予用户ANY 权限，允许用户操作所有的某种类型的数据库对象的某种操作，不包括系统对象。

三、V8V6安全 分析 工具

抓包工具的目的：抓取信息，判断信息是否被加密

1、Tcpdump抓包工具

2、Wireshark抓包工具

3、Hexdump二进制文件查看工具

4、BenchmarkSQL工具

学习网络安全技术的方法无非三种:

第一种是报网络安全专业，现在叫网络空间安全专业，主要专业课程:程序设计、计算机组成原理原理、数据结构、操作系统原理、数据库系统、 计算机网络、人工智能、自然语言处理、社会计算、网络安全法律法规、网络安全、内容安全、数字取证、机器学习，多媒体技术，信息检索、舆情分析等。

第二种是自学，就是在网上找资源、找教程，或者是想办法认识一-些大佬，抱紧大腿，不过这种方法很耗时间，而且学习没有规划，可能很长一段时间感觉自己没有进步，容易劝退。

如果你对网络安全入门感兴趣，那么你需要的话可以点击这里👉网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！

第三种就是去找培训。

接下来，我会教你零基础入门快速入门上手网络安全。

网络安全入门到底是先学编程还是先学计算机基础？这是一个争议比较大的问题，有的人会建议先学编程，而有的人会建议先学计算机基础，其实这都是要学的。而且这些对学习网络安全来说非常重要。但是对于完全零基础的人来说又或者急于转行的人来说，学习编程或者计算机基础对他们来说都有一定的难度，并且花费时间太长。

第一阶段：基础准备 4周~6周

这个阶段是所有准备进入安全行业必学的部分，俗话说：基础不劳，地动山摇

第二阶段：web渗透

学习基础 时间：1周 ~ 2周：

① 了解基本概念：（SQL注入、XSS、上传、CSRF、一句话木马、等）为之后的WEB渗透测试打下基础。
② 查看一些论坛的一些Web渗透，学一学案例的思路，每一个站点都不一样，所以思路是主要的。
③ 学会提问的艺术，如果遇到不懂得要善于提问。

配置渗透环境 时间：3周 ~ 4周：

① 了解渗透测试常用的工具，例如（AWVS、SQLMAP、NMAP、BURP、中国菜刀等）。
② 下载这些工具无后门版本并且安装到计算机上。
③ 了解这些工具的使用场景，懂得基本的使用，推荐在Google上查找。

渗透实战操作 时间：约6周：

① 在网上搜索渗透实战案例，深入了解SQL注入、文件上传、解析漏洞等在实战中的使用。
② 自己搭建漏洞环境测试，推荐DWVA，SQLi-labs，Upload-labs，bWAPP。
③ 懂得渗透测试的阶段，每一个阶段需要做那些动作：例如PTES渗透测试执行标准。
④ 深入研究手工SQL注入，寻找绕过waf的方法，制作自己的脚本。
⑤ 研究文件上传的原理，如何进行截断、双重后缀欺骗(IIS、PHP)、解析漏洞利用（IIS、Nignix、Apache）等，参照：上传攻击框架。
⑥ 了解XSS形成原理和种类，在DWVA中进行实践，使用一个含有XSS漏洞的cms，安装安全狗等进行测试。
⑦ 了解一句话木马，并尝试编写过狗一句话。
⑧ 研究在Windows和Linux下的提升权限，Google关键词：提权

以上就是入门阶段

第三阶段：进阶

已经入门并且找到工作之后又该怎么进阶？详情看下图

给新手小白的入门建议：
新手入门学习最好还是从视频入手进行学习，视频的浅显易懂相比起晦涩的文字而言更容易吸收，这里我给大家准备了一套网络安全从入门到精通的视频学习资料包免费领取哦！

如果你对网络安全入门感兴趣，那么你需要的话可以点击这里👉网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！