人大金仓数据库KingbaseES 安全性基础

最新推荐文章于 2024-06-02 14:54:06 发布
最新推荐文章于 2024-06-02 14:54:06 发布
阅读量716 收藏 20
点赞数 24
文章标签: 数据库 金仓数据库 人大金仓 kingbase sql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/arthemis_14/article/details/134877124
版权

KingbaseES 安全性基础

关键字:

KingbaseES、安全、人大金仓

数据库安全

数据库安全性就是指保护数据库以防止不合法使用所造成的数据泄露、更改或者破坏。对数据库安全性产生威胁的因素有:非授权用户对数据库的恶意存取和破坏,如猎取用户名和用户口令,然后假冒合法用户偷取、修改甚至破坏用户数据;数据库中重要或敏感的数据被泄露,如黑客和敌对分子千方百计盗窃数据库中的重要数据,一些机密信息被暴露;以及安全环境的脆弱性,比如数据库安全性与计算机系统安全性紧密联系(计算机硬件、操作系统、网络等安全性)。

安全数据库指具有关系型数据库一般功能的基础上,提高数据库安全性,达到一定[1]安全标准的数据库管理系统。关系数据库系统常使用SQL(Structured Query Language, 结构化查询语言)用于存取数据以及查询、更新和管理数据库。SQL语句是由一系列记号组成的,以分号“;”作为结束符;其中记号用来指明词法单元、可以是关键字、标识符、常量或一些特定的符号,记号之间通常使用分隔符(空格或新行)分隔。

KES安全特性

    1. 身份鉴别

鉴别是指由系统提供一定的方式让用户标识自己的名称或身份。每次用户要求进入系统时,由系统进行核对,通过鉴别后才提供使用数据库管理系统的权限。身份鉴别是系统提供的最外层安全保护措施。V8R6支持如下鉴别方式:

  • 双因子鉴别:口令+数字证书;
  • 口令策略:密码复杂度、密码过期策略、登录失败用户锁定、密码历史;
    1. 用户管理

安全版本支持将管理特权三权分立为数据库管理员、安全管理员和审计管理员三个管理员,并在初始化的时候创建。三权分立的安全管理体制是为了解决数据库超级用户权力过度集中的问题,参照行政、立法、司法三权分立的原则来设计的安全管理机制。KES 由于三权分立的约束,数据库管理员,安全管理员,审计管理员各自维护自己权限许可范围内的用户,不同目的的用户应由相应的管理员创建。即:数据库管理员用户不能创建和修改安全员和审计员,也不能将一个普通用户修改为安全员或者审计员,安全管理员只能创建和修改安全员并且不能将安全员修改为非安全员,审计管理员只能创建和修改审计员并且不能将审计员修改为非审计员。

    1. 数据访问控制
      1. 自主访问控制

自主访问控制作用是对主体(如用户)操作客体(如表)进行授权管理,简记为DAC。DAC 主要包括权限授予,回收及传播。用户对不同的数据对象有不同的访问权限;不同的用户对同一对象也有不同的权限;用户还可将其拥有的存取权限转授给其他用户。

自主访问控制通过SQL的GRANT语句与REVOKE语句实现,并定义用户访问权限,即:定义用户可以在哪些数据库对象上进行哪些操作。

      1. 强制访问控制

强制访问控制首先为所控制的主体和客体指派安全标记,然后依据这些标记进行访问仲裁。并且,只有主体标记能支配客体标记时才允许主体访问。与自主访问控制相比,强制访问控制能够更高程度的安全性,同时用户不能直接感知或进行控制,因此通常适用于对数据有严格而固定密级分类的部门:军事部门、政府部门。

在强制访问控制中,数据库管理系统所管理的全部实体被分为主体和客体两大类,主体是系统中的活动实体,即:数据库管理系统所管理的实际用户;客体是系统中的被动实体,即:文件、基表、索引、视图。强制访问控制规则遵循简单保密模型,即”向下读,区间写”模型。

    1. 数据访问保护

数据访问保护主要针对数据页面一致性保护,数据页面包括CRC 校验码,在读数据时,首先完成一致性校验。若发现问题,及时报错,阻止错误蔓延,阻止错误升级。

    1. 数据安全传输

KES支持使用数据访问保护主要针对数据页面一致性保护,数据页面包括CRC 校验码,在读数据时,首先完成一致性校验。若发现问题,及时报错,阻止错误蔓延,阻止错误升级。

    1. 存储加密

KingbaseESV8R6引入了加密框架,对用户提供的数据加密保护机制,保护存储在磁盘中的数据不被非法窃取。加密框架目前支持内置SM4 和RC4 算法对数据进行加密。采用三级密钥结构,分别为主密钥和对象密钥和块级密钥。在数据库使用或关闭钱包时需要先通过钱包密码验证,否则将不能使用钱包。创建加密对象时,钱包必须处于OPEN 的状态;若钱包处于CLOSE 的状态,则不能创建加密对象。修改钱包密码时,钱包必须处于CLOSE 的状态。安全管理员可以通过SQL 命令修改钱包密码。此外还有以下加密功能:

透明存储加密:指数据在写到磁盘上时对其进行加密,当授权用户重新读取数据时再对其进行解密。无需对应用程序进行修改,授权用户甚至不会注意到数据已经在存储介质上加密,加密解密过程对用户都是透明的,数据的加解密覆盖:表空间加密、备份加密、列加密、表加密、用户级加密。

    1. 数据库审计

数据库审计是指将数据库中发生的事件记录下来,供日后审计员分析和统计。通过设置专门的管理员(审计员/安全员),设置审计规则和查看审计记录,确定符合最新标准要求。KES当前支持审计日志加密存储、日志将满时自动转储、手动转储;支持审计日志本地存储和远程存储,支持审计入侵检测。

    1. 其他安全功能

KES还支持以下安全功能:

备份恢复权限:一个新的KES管理特权:SYSBACKUP,允许物理备份sys_backup 连接到目标数据库,执行物理备份操作。

客体重用:通过在KES资源申请和释放(注:释放是KES对象做判断认为可以重用对象的资源或者是可以向操作系统返回对象占用的资源)的地方清除介质上的残留信息,以达到客体重用的要求。

ANY权限:通过授予用户ANY 权限,允许用户操作所有的某种类型的数据库对象的某种操作,不包括系统对象。

沉舟侧畔千帆过_
关注
  • 24
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
人大金仓数据库 KingbaseES SQL和PLSQL速查手册.pdf
10-21
本资源是人大金仓国产数据库 KingbaseES SQL和PLSQL速查手册,手册包含了,人大金仓数据库的,概述,特性,SQL语法,数据定义,数据操纵,查询,数据类型,伪列,函数操作符,类型转换,索引,视图,全文搜索等内容。
人大金仓数据库KingbaseES帮助文档
10-24
官方帮助文档,内容包括 1、KingbaseES系统安装;2、KingbaseES入门指南;3、KingbaseES系统管理;4、KingbaseES高级管理;5、KingbaseES安全管理;6、KingbaseES SQL参考;7、KingbaseES开发指南
人大金仓数据库KingbaseES 空闲断开连接经验分享
arthemis_14的博客
11-21 672
本特性可以将数据库闲置的时候自动进行断开连接,这样可以提升安全性,同时也可以变相的释放资源。
Kingbase安全之数据安全传输
kingstone96888的博客
01-03 930
相反,客户端必须具有服务器证书链的根证书。如果希望避免将链接到现有根证书的中间证书显示在ssl_ca_file文件中(假设根证书和中间证书是使用 v3_ca 扩展名创建的),则这些证书也可以显示在ssl_ca_file 文件中。如不指定,Linux 默认路径为 "$HOME/.kingbase/kingbase.crt",Windows 默认路径为 "%APPDATA%\kingbase\kingbase.crt",将服务器 data 目录下的 kingbase.crt 放到对应的目录下即可。
人大金仓数据库KingbaseES 安全功能入门学习
xnxqwzy的博客
03-14 540
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
人大金仓数据库KingbaseES数据安全传输
arthemis_14的博客
09-06 309
KingbaseES提供了对数据的保护,并在数据传输中提供了加密手段保证数据不好再未经授权的情况下被获取。更多信息,参见。
人大金仓数据库KingbaseES逻辑备份还原介绍
arthemis_14的博客
04-25 1090
计算机系统不可避免地会发生内部故障、系统故障、硬件故障等问题,这些问题会造成数据库中的事务非正常停止,或部分数据丢失,因此数据库管理系统必须具有把数据库从错误状态恢复到某一已知的正确状态(亦称为一致状态或完整状态)的功能,这就是数据库的备份与恢复。KingbaseES 提供的备份恢复方式可以分为两种:一种是基于日志的物理备份恢复,另一种基于SQL语句的逻辑备份还原。物理备份恢复和逻辑备份还原都是各自采用了不同的技术手段来达到保护数据的目的。
人大金仓数据库KingbaseES系统概述
arthemis_14的博客
11-27 544
数据库是长期储存在计算机内、有组织的、可共享的数据集合。数据库中的数据按一定的数据模型组织、描述和存储,具有较小的冗余度,较高的数据独立性和易扩展性,并可为各种用户共享。数据模型师数据库系统的核心和基础层次网状模型关系模型OO、OR模型NOSQLKV模型列簇模型文档图关系数据库系统是支持关系模型的数据库系统关系模型的组成关系数据结构单一的数据结构—关系现实世界的实体以及实体间的各种联系均用关系来表示数据的逻辑结构—二维表。
人大金仓数据库KingbaseES安全概述
Innocence_0的博客
04-02 724
1、数据库安全性就是指保护数据库以防止不合法使用所造成的数据泄露、更改或者破坏。2、数据库不安全因素:· 计算机系统安全性· 非授权用户对数据库的恶意存取和破坏· 数据库中重要或敏感的数据被泄露· 安全环境的脆弱性3、数据库安全标准国际信息安全等级标准1:TCSEC标准。其中D为无保护级,C为自主保护级,B为强制保护级,A为验证保护级。7个安全级别。· 国际信息安全等级标准2:通用准则CC,安全功能要求和安全保证要求 ,11个安全功能类。cc评估保证级划分。
国产化 | 走近人大金仓-KingbaseES数据库
yxd179的博客
07-27 2693
实战 | 走近KingbaseES数据库事务隔离级别
人大金仓V8.0数据库全套使用手册 ,kingbaseEs v8.0
04-08
人大金仓V8.0数据库全套使用手册 ,kingbaseEs v8.0
人大金仓 KingbaseES V8 手册 及 sql语法手册
01-18
人大金仓 KingbaseES V8 手册 及 sql语法手册
书籍学习|基于SprinBoot+vue的书籍学习平台(源码+数据库+文档)
JIngJaneIL的博客
05-28 1189
首先,论文一开始便是清楚的论述了平台的研究内容。其次,剖析平台需求分析,弄明白“做什么”,分析包括业务分析和业务流程的分析以及用例分析,更进一步明确平台的需求。然后在明白了平台的需求基础上需要进一步地设计平台,主要包罗软件架构模式、整体功能模块、数据库设计。本项目软件架构选择B/S模式和java技术,总体功能模块运用自顶向下的分层思想。再然后就是实现平台并进行代码编写实现功能。论文的最后章节总结一下自己完成本论文和开发本项目的心得和总结。通过书籍学习平台将会使书籍学习各个方面的工作效率带来实质性的提升。
如何mysql数据导入到mongdb
codemami的博客
05-30 1142
由于MySQL和MongoDB的数据模型不同(例如,MySQL使用关系模型,而MongoDB使用文档模型),你可能需要转换数据的格式。使用MongoDB驱动程序:你也可以使用MongoDB的官方驱动程序(如Python的pymongo)来编写脚本,将数据直接插入到MongoDB中。注意:如果你的JSON文件包含多个文档,并且它们不是作为数组的一部分(即每个文档都在其自己的行上),则需要使用--jsonArray选项。手动转换:对于小型数据集,你可以手动编辑SQL或CSV文件,将其转换为JSON格式。
oracle中的INTERVAL函数学习总结
weixin_42821740的博客
05-30 453
简单学懂interval函数
行列视(RCV)能否在指定时间生成报表数据?
2401_83701843的博客
05-30 163
需要注意的是,要实现指定时间生成报表数据的功能,用户需要确保行列视(RCV)系统已经正确配置并连接了相应的数据源,同时还需要根据实际需求进行报表格式和计算逻辑的设置。此外,系统的稳定性和性能也是影响报表生成的重要因素,用户需要确保系统能够正常运行并处理大量的数据。其次,关于指定时间生成报表数据的需求,用户可以通过行列视(RCV)的定时任务功能来实现。综上所述,行列视(RCV)具备在指定时间生成报表数据的能力,但具体实现方式需要根据系统的配置和使用需求来确定。
chat4-Server端保存聊天消息到mysql
最新发布
gulanga5的博客
06-02 464
本文档描述了Server端接收到Client的消息并转发给所有客户端或私发给某个客户端同时将聊天消息保存到mysql服务端为当前客户端创建一个线程,此线程接收当前客户端的消息并转发给所有客户端或私发给某个客户端同时将聊天消息保存到mysql本文档主要总结了将聊天消息保存到mysql!!!),;import;import;import;/**用druid连接池来连接数据库的工具类*/DBUtil。
idea连接人大金仓数据库
12-24
idea连接人大金仓数据库是通过创新的思路和技术手段,实现与人大金仓数据库的数据交互和共享。首先,可以利用现有的技术平台和工具,如API接口、数据集成工具等,实现数据库的连接和数据的提取。其次,可以利用大数据分析和数据挖掘的技术手段,对人大金仓数据库中的大量数据进行深入分析和挖掘,从中发现有价值的信息和规律。在数据共享方面,可以考虑将人大金仓数据库中的相关数据以开放数据的形式分享给研究者和决策者,以促进学术研究和政策制定。 此外,还可以结合云计算和物联网技术,实现对人大金仓数据库的远程访问和管理,方便用户随时随地获取所需的数据和信息。同时,考虑到人大金仓数据库安全性和隐私保护,需要建立严格的数据权限管理和访问控制机制,确保数据的安全和保密。 总的来说,要实现idea连接人大金仓数据库,需要综合运用信息技术和数据科学的相关知识,以及对于数据库管理和数据安全的规范和要求。这样可以有效地促进人大金仓数据库的应用和价值发挥,为学术研究和社会决策提供更多有益的支持和帮助。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值