常州企业建站系统模板,手机网站架构,网站icp备案怎么查询,photoshop中文版免费下载人大金仓数据库#xff0c;全称为金仓数据库管理系统KingbaseES#xff08;简称#xff1a;金仓数据库或KingbaseES#xff09;#xff0c;是北京人大金仓信息技术股份有限公司自主研制开发的具有自主知识产权的通用关系型数据库管理系统。以下是关于人大金仓数据库的详细…人大金仓数据库全称为金仓数据库管理系统KingbaseES简称金仓数据库或KingbaseES是北京人大金仓信息技术股份有限公司自主研制开发的具有自主知识产权的通用关系型数据库管理系统。以下是关于人大金仓数据库的详细介绍 产品特点 高兼容、高可靠、高性能、高扩展、高安全、易使用和易管理。 是唯一入选国家自主创新产品目录的数据库产品。 在国家电网、五大发电、三桶油、运营商、金融、铁路、轨交、医疗等60多个行业的关键应用国产化项目中得到广泛应用。 技术特性 容错提供可在电力、金融、电信等核心业务系统中久经考验的容错功能体系确保数据库7×24小时不间断服务。 应用迁移提供智能便捷的数据迁移工具实现无损、快速数据迁移支持主流数据库的语法如Oracle、SQL Server、MySQL等实现无损、平滑、快速迁移。 设计提供了全新设计的集成开发环境IDE和集成管理平台扩展性强支持基于读写分离的负载均衡技术。 版本信息 最新版本为KingbaseES V8在系统的可靠性、可用性、性能和兼容性等方面进行了重大改进。 支持多种操作系统和硬件平台如Unix、Linux、Windows等操作系统以及X86、X86_64及国产龙芯、飞腾、申威等CPU硬件体系结构。 设计并实现了企业版、标准版、专业版等多类版本满足不同业务需求。 行业应用 金仓数据库产品广泛服务于电子政务、国防军工、能源、运营商、金融等60余个关键行业。 在国家电网调度系统稳定运行12年支撑某中央部委稳定替代Oracle承载日常3000业务人员办公整体性能提升67%等。 市场地位 在中国数据库流行度排行榜中人大金仓排名显著上升以545.64的分数荣登榜单第三。
综上所述人大金仓数据库凭借其先进的技术特性、丰富的版本选择、广泛的应用场景以及显著的市场地位成为了国内数据库领域的佼佼者。来自文心一言生成
Kingbase数据库是信创项目常见的数据库之一在政府项目会见的比较多是比较常见的三个国产数据库之一另外两个是达梦数据库和海量数据库。主要难点在于根据版本的不同查询的语句会有些许的不同。非常推荐大家有任何问题找人大金仓数据库的客服人员进行咨询或者查看他们的产品文档https://help.kingbase.com.cn/v8/safety/safety-guide/index.html#kingbasees
本文以三级等保为环境系统版本会分为v8r3和v8r6简单讲述一下人大金仓数据库的测评
一、身份鉴别
a)应对登录的用户进行身份标识和鉴别身份标识具有唯一性身份鉴别信息具有复杂度要求并定期更换。
这一项的测评根据28448测评要求我们需要确认以下几点
1、应核查用户在登录时是否采用了身份鉴别措施
2、应核查用户列表确认用户身份标识是否具有唯一性
3、应核查用户配置信息或测试验证是否不存在空口令用户
4、应核查用户鉴别信息是否具有复杂度要求并定期更换
人大金仓数据库是通过用户名口令去做身份鉴别的这点所有的数据库都一样。
并且在产品文档中对用户名的规约做了说明 并且口令应该也是不能为空的
口令复杂度即你在设置口令时口令需要遵循的规则通常由口令最小长度、口令 关于口令复杂度的设置产品文档做了相关说明
参数名取值范围默认值描述passwordcheck.enabletrue/falsefalse密码复杂度功能开关默认为关闭状态passwordcheck.password_length[863]9密码的最小长度passwordcheck.password_condition_letter[261]2密码至少包含几个小写字母passwordcheck.password_condition_digit[261]2密码至少包含几个大写字母passwordcheck.password_condition_punct[059]0密码至少包含几个特殊字符
我们可以通过以下的sql进行查询判断适用性 show passwordcheck.password_length; show passwordcheck.password_condition_letter; show passwordcheck.password_condition_digit; show passwordcheck.password_condition_punct; 最后是口令有效期这个参数关乎这多久换一次口令也是等保基线检查比较常见的参数产品文档对此也做了相关说明
参数名取值范围默认值描述备注identity_pwdexp.password_change_interval[1INT_MAX]30密码有效期v8r6及以后password_change_interval[1INT_MAX]30密码有效期v8r6之前
在v8r6之前的版本我们可以通过以下sql去查询 show password_change_interval; 在v8r6版本通过以下sql去查询 show identity_pwdexp.password_change_interval; 如果以上所有参数都配置了则本测评项为符合否则为部分符合或者符合。
b)应具有登录失败处理功能应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施。
根据28448测评要求我们需要确认以下几点 应核查是否配置并启用了登录失败处理功能 应核查是否配置并启用了限制非法登录功能,非法登录达到一定次数后采取特定动作,如账户锁定等 应核查是否配置并启用了登录连接超时及自动退出功能
登录失败处理策略说人话就是输错几次密码锁定多久 人大金仓数据库的登录失败处理策略是由sys_audlog.max_error_user_connect_times用户登录失败次数的最大值界限来限定的error_user_connect_times的最大取值取值范围为 [0,INT_MAX]缺省为2147483647。
参数名取值范围默认值描述备注sys_audlog.max_error_user_connect_times[0INT_MAX]2147483647用户登录失败次数的最大值界限v8r6及以后sys_audlog.max_error_user_connect_times[0INT_MAX]0允许用户连续登录失败的最大次数v8r6及以后error_user_connect_interval[0INT_MAX]0用户被锁定时间v8r6及以后max_error_user_connect_times[0INT_MAX]2147483647用户登录失败次数的最大值界限v8r6以前max_error_user_connect_times[0INT_MAX]0允许用户连续登录失败的最大次数v8r6以前sys_audlog.error_user_connect_interval[0INT_MAX]0用户被锁定时间v8r6以前
因此我们可以使用以下sql语句去查询相关参数 show sys_audlog.error_user_connect_times; show sys_audlog_max_error_user_connect_times; show sys_audlog.error_user_connect_interval; 不过在v8r6以前sql长这样 show error_user_connect_times; show max_error_user_connect_times; show error_user_connect_interval; 超时退出参数也就是你没有操作多久会断开会话在人大金仓数据库中是由client_idle_timeout参数进行控制具体如下
参数名取值范围默认值描述client_idle_timeout[01800]0客户端最大空闲时间单位是秒超时需要重新连接。0为关闭功能。
可以通过以下sql进行查询 show client_idle_timeout; 如果以上两个参数都进行了配置那么本测评项符合不然就是部分符合或者不符合。
c)当进行远程管理时应采取必要措施防止鉴别信息在网络传输过程中被窃听
在28448中这项是这么要求的核查是否采用加密等安全方式对系统进行远程管理,防止鉴别信息在网络传输过程中被窃听。 主要是查看被测数据库有没有对数据传输进行加密一般是看SSL有没有开启 KingbaseES本地支持使用SSL连接加密客户端/服务器通信以提高安全性。
libkci读取系统范围的OpenSSL配置文件。默认情况下这个文件被命名为openssl.cnf并且位于openssl version -d所报告的目录中。可以通过设置环境变量OPENSSL_CONF把这个默认值覆盖为想要的配置文件的名称。
这个没有直接的sql语句可以查询和oracle类似我们需要在服务器上查看人大金仓数据库的配置文件去查看ssl相关配置
如果只是查看ssl是否开启而不是查看具体配置可以通过pg的一个sql查看ssl是否开启 show ssl; 如果返回值为on证明ssl已经开启
但是如果要查看证书的话那就需要去查看相关的配置了。此处不再赘述。有兴趣的同僚自行查看安全手册的第五章数据安全传输以及第二十章SSL支持里面有详细的描述
d) 应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别且其中一种鉴别技术至少应使用密码技术来实现。
截至本文完稿前应该还没有数据库能够实现双因子。云平台那个用户名密码动态OTP我感觉应该是算的但是前辈们说最多给部分符合。
二、访问控制
a) 应对登录的用户分配账户和权限
在28448中是这么要求的 应核查是否为用户分配了账户和权限及相关设置情况; 应核查是否已禁用或限制匿名、默认账户的访问权限
在KingbaseES中除了在系统初始化过程中可以创建的三个用户数据库管理员、安全管理员、审计管理员外还可以创建普通用户来访问数据库运行数据库应用。为了方便这三个初始化用户也可以简称为管理员、审计员、安全员。
因此如果不去修改默认配置的话人大金仓数据库是能够实现等保上的三权分立的。
b) 应重命名或删除默认账户修改默认账户的默认口令
在28448中是这么要求的 应核查是否已经重命名默认账户或默认账户已被删除 应核查是否已修改默认账户的默认口令
人大金仓数据库在初始化时会生成三个默认账户分别是系统管理员system、安全管理员sso和安全审计员sao核查一下有没有更改口令。
c) 应及时删除或停用多余的、过期的账户避免共享账户的存在
根据上一项的检查结果并与配合人员访谈各在用账户的使用情况。
d) 应授予管理用户所需的最小权限实现管理用户的权限分离
根据产品文档的描述人大金仓数据库已经做到了权限分离的要求。
e) 应由授权主体配置访问控制策略访问控制策略规定主体对客体的访问规则
此项默认符合。
f) 访问控制的粒度应达到主体为用户级或进程级客体为文件、数据库表级
默认符合。
g)应对重要主体和客体设置安全标记,并控制主体对有安全标记信息资源的访问
默认不符合。
三、安全审计
a) 应启用安全审计功能审计覆盖到每个用户对重要的用户行为和重要安全事件进行审计
根据28448的要求本项的核查点如下
1、应核查是否开启了安全审计功能; 2、应核查安全审计范围是否覆盖到每个用户;应核查是否对重要的用户行为和重要安全事件进行审计 KingbaseES的审计设置分为三种类型服务器事件审计、语句审计、模式对象审计。 事件审计 审计数据库服务器发生的事件包含以下几种数据库服务器的启动、数据库服务器的停止、数据库服务器配置文件的重新加载、用户登录、用户登出。简称为服务器级审计或服务器审计。 语句级别审计 也称为 STATEMENT AUDITING指在 DBMS 范围内对DBMS拥有的结构或模式对象进行操作时引发的事件进行审计此类结构或模式对象并不指具体的某个结构或模式对象而是一类结构或模式对象的泛称。通常包括 DBMS 提供的 DDL、DML、DQL、DCL、TCL 等语句引发的事件。简称为语句级审计或语句审计。 模式对象级别审计 也称为 SCHEMA OBJECT AUDITING指在某个确定的模式对象上进行 SELECT 或 DML 操作时引发的事件进行审计。模式对象包括表、视图、物化视图、过程、函数、序列。模式对象不包括有依附关系的对象如依附于表的索引、约束、触发器、分区表等。简称为模式对象级审计或对象审计。
如果要达到完全符合那么需要引入第三方数据库审计 一般来说开启自身审计只能给部分符合不过kingbase的审计功能如果全部开启时可以给符合的但审计全开会极大影响数据库的性能请务必和客户沟通好。 kingbase的审计参数如下 查看sql语句如下 show sysaudit.enable; show sysaudit.userevent; show sysaudit.syntaxerror; show sysaudit.serverevent; b) 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息
在28448中这一项是这么要求的
应核查审计记录信息是否包括事件的日期和时间、主体标识、客体标识、事件类型、事件是否成功及其他与审计相关的信息。
如果引入了数据库审计系统这里就写数据库审计系统的日志内容如果开启的是自身审计则可以参考下表
列名说明session_id会话idproc_id进程号vxid虚事务idxid事务iduser_id用户idusername用户名remote_addrip地址/端口db_id数据库iddb_name会话idrule_id审计策略编号rule_type审计类型opr_type操作类型obj_type对象类型schm_id模式idschm_name模式名obj_id对象idobj_name对象名sqltextSQL文本params参数errcodeSQLSTATE错误码errmsg错误消息内容audit_ts操作时间result结果操作成功是success失败是failurerecord_type审计记录类型预留aud_client客户端名字server_type集群时服务器类型M是主机S是备机 数据库审计员sao需要查询视图sysaudit_record_sao可以查看超级用户包括数据库管理员system和数据库安全员sso的审计日志 select * from sysaudit_record_sao; 数据库安全员sso需要查询视图sysaudit_record_sso可以查看普通用户和数据库审计员sao的审计日志 select * from sysaudit_record_sso;
c) 应对审计记录进行保护定期备份避免受到未预期的删除、修改或覆盖等
根据28448的要求应核查是否采取了保护措施对审计记录进行保护;应核查是否采取技术措施对审计记录进行定期备份,并核查其备份策略。 在kingbaseES中审计记录可以通过手动调用函数或者设置自动转储参数的方式进行转储, 转储之前要提前设置转储目录, 否则会转储失败。不推荐将转储目录放在data目录下。 查看的sql如下 show sysaudit.auditlog_dump_di; 至于日志保护kingbase自身只有sso和sao的用户可以查看审计日志能够满足测评项要求。
d) 应对审计进程进行保护防止未经授权的中断。
根据28448的要求:应测试验证通过非审计管理员的其他账户来中断审计进程,验证审计进程是否受到保护。 KingbaseES数据库中对审计功能设置了开关。审计功能关闭时数据库不会发生审计动作也无法将审计设置应用到数据库中。审计员sao如果要使 KingbaseES 系统中的审计设置生效必须打开该审计开关。 在KingbaseES启动之前通过修改 kingbase.conf 文件将 sysaudit.enable 设置为on或off 在KingbaseES启动后以审计员用户连接数据库利用ALTER SYSTEM命令将 sysaudit.enable 设置为on | off。打开或关闭审计开关重载配置后数据库系统中的审计功能立即生效或失效。 打开或关闭审计开关并重载的命令 ALTER SYSTEM SET sysaudit.enable on | off; CALL sys_reload_conf();
可以试试使用非审计员账户执行。
四、入侵防范
a) 应遵循最小安装的原则仅安装需要的组件和应用程序
根据28448的要求我们应该核查下列内容 1)应核查是否遵循最小安装原则: 2)应核查是否未安装非必要的组件和应用程序
kingbaseES拥有非常多的扩展插件可以通过下列命令查询安装的扩展插件 \dx b) 应关闭不需要的系统服务、默认共享和高危端口
这一项给不适用。数据库不涉及。
c) 应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制
根据28448的要求我们需要核查配置文件或参数是否对终端接入范围进行限制。
在kingbaseES中有一个强身份认证的功能开启后可以对身份鉴别进行强认证其中就有对ip地址段进行限制的配置。 可以通过查看sys_hba.conf配置文件去查看相关的配置信息具体可参考https://help.kingbase.com.cn/v8.6.7.24/safety/safety-guide/Managing-Strong-Authentication.html?highlight地址 的6.2章节
d) 应提供数据有效性检验功能保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求
对数据库来说该项直接不适用。一般是应用或者管理软件才会有这一项。
e) 应能发现可能存在的已知漏洞并在经过充分测试评估后及时修补漏洞
该项需结合漏扫是否定期进行漏扫具有漏扫报告、初测是否发现高风险漏洞复测后高风险漏洞是否被修补。
f) 应能够检测到对重要节点进行入侵的行为并在发生严重入侵事件时提供报警。
数据库不涉及此项不适用。
五、恶意代码防范
应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为并将其有效阻断。
数据库不涉及此项直接不适用。
六、可信验证
可基于可信根对计算设备的系统引导程序、 系统程序、重要配置参数和应用程序等进行可信验证并在应用程序的关键执行环节进行动态可信验证在检测到其可信性受到破坏后进行报警并将验证结果形成审计记录送至安全管理中心。
直接不符合。
七、数据完整性
a)应采用校验技术或密码技术保证重要数据在传输过程中的完整性包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等
传输完整性一般看SSL有没有开就行。
b) 应采用校验技术或密码技术保证重要数据在存储过程中的完整性包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。
在kingbaseES中关于存储加密的算法的描述如下 通过在每个数据块头增加数据水印KingbaseES实现了数据存储过程中的完整性校验和保护。每次读磁盘时自动进行数据水印校验。每次写磁盘时自动更新数据水印。 数据校验支持CRC、SM3、SM3_HMAC算法可以在初始化数据目录时指定使用的校验算法。此外KingbaseES还支持国密算法校验。
八、数据保密性
a)应采用密码技术保证重要数据在传输过程中的保密性包括但不限于鉴别数据、重要业务数据和重要个人信息等
传输保密性一般看SSL有没有开就行。
b)应采用密码技术保证重要数据在存储过程中的保密性包括但不限于鉴别数据、重要业务数据和重要个人信息等。
传输保密性kingbaseES数据库有一个手动加密的机制可以自行设置密码算法对敏感数据进行加密详见https://help.kingbase.com.cn/v8/safety/safety-guide/data-access-protect.html?highlight加密#safety-safety-guide-data-access-protect--page-root但是默认的加密算法暂时未知还在查找产品文档中。
九、数据备份恢复
a)应提供重要数据的本地数据备份与恢复功能
咨询甲方备份策略和备份恢复测试相关。
b)应提供异地实时备份功能利用通信网络将重要数据实时备份至备份场地
需要注意的是三级要求的异地备份是实时备份。
c)应提供重要数据处理系统的热冗余保证系统的高可用性。
看所在服务器是否集群部署。
十、剩余信息保护
a) 应保证鉴别信息所在的存储空间被释放或重新分配前得到完全清除
退出后需要重新输入用户名密码的话直接给符合。
b) 应保证存有敏感数据的存储空间被释放或重新分配前得到完全清除。
这个需要问甲方说有没有针对存放敏感信息的存储介质做废弃处理。比如建立敏感数据的擦除机制硬盘报废后进行物理毁坏处理等等。
给大家的福利
零基础入门
对于从来没有接触过网络安全的同学我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线大家跟着这个大的方向学习准没问题。
1️⃣零基础入门
① 学习路线
对于从来没有接触过网络安全的同学我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线大家跟着这个大的方向学习准没问题。 ② 路线对应学习视频
同时每个成长路线对应的板块都有配套的视频提供 因篇幅有限仅展示部分资料 2️⃣视频配套资料国内外网安书籍、文档
① 文档和书籍资料 ② 黑客技术 因篇幅有限仅展示部分资料 4️⃣网络安全面试题 5️⃣汇总 所有资料 ⚡️ 朋友们如果有需要全套 《网络安全入门进阶学习资源包》扫码获取~
