HGDB安全機(jī)制+-+瀚高+-+咸士杰

1、HGDB安全機(jī)制PART 01對(duì)象權(quán)限管理對(duì)象權(quán)限管理三權(quán)分立權(quán)限控制安全策略參數(shù)對(duì)象權(quán)限管理三權(quán)分立是對(duì)數(shù)據(jù)庫系統(tǒng)管理員的權(quán)限實(shí)施了分離，使系統(tǒng)中不存超級(jí)管理員/超 級(jí)用戶和權(quán)限過高的角色和用戶，降低安全隱患和風(fēng)險(xiǎn)。 數(shù)據(jù)庫系統(tǒng)中存在相互獨(dú)立、相互制約的系統(tǒng)管理員（SYSDBA）、安全保密管 理員（SYSSSO）和安全審計(jì)員（SYSSAO）三個(gè)管理員角色。系統(tǒng)管理員主要負(fù)責(zé)系統(tǒng)運(yùn)行維護(hù)和生成用戶身份標(biāo)識(shí)符；安全保密管理員主要負(fù)責(zé)用戶權(quán)限設(shè)定、安全策略配置管理；安全審計(jì)員主要負(fù)責(zé)對(duì)數(shù)據(jù)庫所有用戶操作行為審計(jì)的策略設(shè)置和審計(jì)記錄的查詢與分析。對(duì)象權(quán)限管理在三權(quán)分立開啟的情況下，三個(gè)管理員用戶和普

2、通用戶對(duì)數(shù)據(jù)庫對(duì)象的權(quán)限各不相同。 詳細(xì)權(quán)限列表參考管理手冊(cè)對(duì)象權(quán)限管理在三權(quán)分立開啟的情況下，安全策略可通過以下參數(shù)進(jìn)行配置。 對(duì)象權(quán)限管理對(duì)象權(quán)限管理參數(shù)修改注意密碼策略修改后，重新設(shè)置密碼才會(huì)遵循新的策略。對(duì)象權(quán)限管理參數(shù)修改與身份鑒別相關(guān)的安全參數(shù)有:hg_idcheck.子參數(shù)名。子參數(shù)包括：enable、wdlock、wdlocktime、pwdvaliduntil、pwdpolicy。 使用 syssso 用戶修改和查看身份鑒別相關(guān)的參數(shù)。 打開身份鑒別： select set_secure_param(hg_idcheck.enable,on); 設(shè)置密碼規(guī)則： select

3、set_secure_param(hg_idcheck.pwdpolicy,highest); 設(shè)置密碼連續(xù)錯(cuò)誤次數(shù)： select set_secure_param(hg_idcheck.pwdlock,7); 設(shè)置密碼有效期： select set_secure_param(hg_idcheck.pwdvaliduntil,256); PART 02數(shù)據(jù)加密數(shù)據(jù)加密FDE備份加密新一代加密技術(shù)數(shù)據(jù)加密FDE，全稱 Full Database Encryption ，全數(shù)據(jù)庫加密，即對(duì)數(shù)據(jù)庫保存在持久化 介質(zhì)（比如磁盤，CD 等）中的數(shù)據(jù)進(jìn)行全數(shù)據(jù)庫的加密操作。其原理即在緩沖層和持久化層之間

4、進(jìn)行加密，對(duì)緩沖層的數(shù)據(jù)以數(shù)據(jù)庫 PAGE 頁的 8K 作為基礎(chǔ)，加密后寫入介質(zhì)，讀數(shù)據(jù)反之。優(yōu)點(diǎn)在于使保存在介質(zhì)中的數(shù)據(jù)更加安全，如有惡意操作員進(jìn)行數(shù)據(jù)介質(zhì)的竊取行為，在進(jìn)行介質(zhì)中的數(shù)據(jù)恢復(fù)時(shí)，也不能通過數(shù)據(jù)重新導(dǎo)入的方式，進(jìn)行數(shù)據(jù)恢復(fù)處理，這樣保護(hù)了數(shù)據(jù)的安全性。但數(shù)據(jù)加密也會(huì)導(dǎo)致數(shù)據(jù)寫入和讀取的速率變慢，需要在數(shù)據(jù)庫安全和數(shù)據(jù)庫性能之間進(jìn)行權(quán)衡，是否啟用此功能。數(shù)據(jù)加密數(shù)據(jù)加密加密的文件數(shù)據(jù)加密加密密鑰密鑰目前存儲(chǔ)在 global/pg_control 文件中，以加密后的密鑰形式進(jìn)行二進(jìn)制封裝保 存，非明文保存。 數(shù)據(jù)加密備份加密根據(jù)目前備份過程中，備份出的數(shù)據(jù)都為明文，而在備份數(shù)據(jù)的傳

5、輸或者使用過程中，都有可能出現(xiàn)備份數(shù)據(jù)丟失的情況。在這種情況下，需要對(duì)備份出的數(shù)據(jù)進(jìn)行加密處理。目前使用 pg_dump 進(jìn)行加密備份時(shí)，只支持-Fc 格式。進(jìn)行恢復(fù)時(shí)，只能使用 pg_restore 工具進(jìn)行恢復(fù)，需要輸入口令，該口令需要與 pg_dump 設(shè)定的口令一致。 使用的方式： 進(jìn)行備份時(shí)：使用 pg_dump -Fc -d 數(shù)據(jù)庫名稱 -e “口令” 輸出文件名稱 進(jìn)行恢復(fù)時(shí)：使用 pg_restore -d 數(shù)據(jù)庫名稱 -r “口令“ -Fc 輸出文件名稱 數(shù)據(jù)加密新一代機(jī)密技術(shù)在對(duì)安全性要求比較嚴(yán)格，或者數(shù)據(jù)庫管理員不受信任的環(huán)境中（如數(shù)據(jù)庫托管維護(hù)服務(wù)，云數(shù)據(jù)庫等場(chǎng)景）可以

6、使用增強(qiáng)數(shù)據(jù)透明加密功能來防止數(shù)據(jù)的泄露。此功能可以使數(shù)據(jù)庫中存取的數(shù)據(jù)始終為密文，并且支持密文做等值比較等一些數(shù)據(jù)操 作。 使用增強(qiáng)數(shù)據(jù)透明加密功能需要兩臺(tái)服務(wù)器，一臺(tái)為加密機(jī)，一臺(tái)為數(shù)據(jù)庫服務(wù) 器。使用過程中，數(shù)據(jù)會(huì)先經(jīng)過加密機(jī)處理再進(jìn)入數(shù)據(jù)庫服務(wù)器，取出數(shù)據(jù)亦然。而 若不經(jīng)過加密機(jī)直接操作數(shù)據(jù)庫服務(wù)器則看到數(shù)據(jù)均為密文。 PART 03數(shù)據(jù)訪問控制數(shù)據(jù)訪問控制自主訪問控制強(qiáng)制訪問控制數(shù)據(jù)訪問控制自助訪問控制一旦一個(gè)對(duì)象被創(chuàng)建，它會(huì)被分配一個(gè)所有者。所有者通常是執(zhí)行創(chuàng)建語句的角色。對(duì)于大部分類型的對(duì)象，初始狀態(tài)下只有所有者能夠?qū)υ搶?duì)象做任何事情。為了允許其他角色使用它，必須分配權(quán)限。有多種

7、不同的權(quán)限：SELECT、INSERT、UPDATE、DELETE、TRUNCATE、 REFERENCES、TRIGGER、CREATE、CONNECT、TEMPORARY、EXECUTE 以及 USAGE?？梢詰?yīng)用于一個(gè)特定對(duì)象的權(quán)限隨著對(duì)象的類型（模式對(duì)象、表、序列等）而不同。詳細(xì)的權(quán)限參考管理手冊(cè)數(shù)據(jù)訪問控制要分配權(quán)限，可以使用 GRANT 命令。例如，如果 joe 是一個(gè)已有角色，而accounts 是一個(gè)已有表，更新該表的權(quán)限可以按如下方式授權(quán)：GRANT UPDATE ON accounts TO joe;用 ALL 取代特定權(quán)限會(huì)把與對(duì)象類型相關(guān)的所有權(quán)限全部授權(quán)。一個(gè)特殊的名

8、為 PUBLIC 的“角色”可以用來向系統(tǒng)中的每一個(gè)角色授予一個(gè)權(quán) 限。同時(shí)，在數(shù)據(jù)庫中有很多用戶時(shí)可以設(shè)置“組”角色來幫助管理權(quán)限。 數(shù)據(jù)訪問控制為了撤銷一個(gè)權(quán)限，使用 REVOKE 命令： REVOKE ALL ON accounts FROM PUBLIC;對(duì)象擁有者的特殊權(quán)限（即執(zhí)行 DROP、GRANT、REVOKE 等的權(quán)力）總是隱式地屬于擁有者，并且不能被授予或撤銷。一般情況下，只有對(duì)象擁有者可以授予或撤銷一個(gè)對(duì)象上的權(quán)限。但是可以在授予權(quán)限時(shí)使用“with grant option”來允許接收人將權(quán)限轉(zhuǎn)授給其他人。如果后來授予選項(xiàng)被撤銷，則所有從接收人那里獲得的權(quán)限（直接或者通

9、過授權(quán)鏈獲得）都將被撤銷。數(shù)據(jù)訪問控制下表顯示了 ACL（訪問控制列表）值中用于這些權(quán)限類型的單字母縮寫。數(shù)據(jù)訪問控制已授予特定對(duì)象的權(quán)限顯示為 aclitem 項(xiàng)的列表，其中每個(gè) aclitem 項(xiàng)描述了特定授予者授予給一個(gè)被授與者的權(quán)限。 例如，syssao=arwdDxt/syssao 指明角色 syssao 具有 SELECT（r）、INSERT(a)、UPDATE(w)、DELETE（d）、TRUNCATE(D)、REFERENCE(x)、TRIGGER(t)。均由角色syssao 授予。即syssao是這個(gè)對(duì)象的擁有者。 數(shù)據(jù)訪問控制強(qiáng)制訪問控制是在現(xiàn)有系統(tǒng)自帶的自主訪問控制的基礎(chǔ)

10、上進(jìn)行對(duì)用戶默認(rèn)權(quán)限的進(jìn)一步限制，通過調(diào)整用戶的安全標(biāo)記從而限制或允許用戶行為。安全標(biāo)記為特定格式的字符串，由安全級(jí)別（即敏感度）和安全類別（即類別）組成。敏感度范圍為 s0s15 共 16 個(gè)級(jí)別，類別范圍為 c0c1023 共 1024 個(gè)類別。其中敏感度 s0s15 為安全級(jí)別的遞進(jìn)關(guān)系，而類別之間并沒有級(jí)別高低的關(guān)系。安全標(biāo)記的支配關(guān)系：安全標(biāo)記的支配關(guān)系： 在比較安全標(biāo)記時(shí)，若標(biāo)記 L1 敏感度大于等于標(biāo)記 L2 敏感度且 L1 類別包含 L2 類別，則稱 L1 支配 L2。例如安全標(biāo)記“s1:c0,c1,c2”支配標(biāo)記“s0:c0,c1”。若安全級(jí)別和 安全類別全部相等則稱這兩個(gè)安

11、全標(biāo)記相等。其余情況算作不可比較。數(shù)據(jù)訪問控制訪問控制：訪問控制： 訪問控制可以分為表級(jí)訪問控制和行級(jí)訪問控制，默認(rèn)為行級(jí)訪問控制規(guī)則。目前支持對(duì)表，視圖，序列的訪問控制。 以對(duì)象表為例以對(duì)象表為例 在表級(jí)訪問控制下當(dāng)通過執(zhí)行 select 語句從表中查詢數(shù)據(jù)時(shí)需要用戶安全標(biāo)記支配表的安全標(biāo)記，否則提示錯(cuò)誤，例如用戶標(biāo)記“s1:c0.c1023”,表的安全標(biāo)記為“s0:c0.c1023”則可以執(zhí)行查詢。在行級(jí)訪問控制下，執(zhí)行 SELECT 將不再判斷表的安全標(biāo)記，將根據(jù)表中每一行的安全標(biāo)記進(jìn)行判斷，若用戶安全標(biāo)記可以支配該行的安全標(biāo)記，那么返回結(jié)果否則不返回。例如用戶安全標(biāo)記標(biāo)記為“s1:c0

12、.c1023”，那么該用戶可以通過執(zhí)行 SELECT查詢表中任何行安全標(biāo)記被“s1:c0.c1023”支配的記錄。 數(shù)據(jù)訪問控制強(qiáng)制訪問控制，安全標(biāo)記的修改，使用系統(tǒng)內(nèi)置函數(shù)操作PART 04安全審計(jì)安全審計(jì)安全審計(jì)安全審計(jì)功能對(duì)用戶的操作進(jìn)程審計(jì)，并把審計(jì)日志生成在 hgaudit 下。若打開審計(jì)歸檔開關(guān)并配置審計(jì)歸檔路徑，則每寫完一個(gè)審計(jì)日志文件，該文件會(huì)被歸檔到歸檔路徑中。安全審計(jì)審計(jì)信息包括log_time 記錄時(shí)間 risklevel 風(fēng)險(xiǎn)等級(jí) audittype 審計(jì)類型：包含 system(系統(tǒng)審計(jì)事件)，statement(語句 審計(jì)事件)，object(對(duì)象審計(jì)事件) ope

13、r_opts 審計(jì)語句類型（支持的語句見 12.5） username 用戶名 安全審計(jì)審計(jì)管理員可以通過審計(jì)導(dǎo)入工具 hgaudit_imp 把指定的審計(jì)文件導(dǎo)入public.hg_t_audit_log 表中，審計(jì)管理員可以查看該表。 hgaudit_imp 使用時(shí)，會(huì)驗(yàn)證審計(jì)管理員的密碼。安全審計(jì)安全審計(jì)參數(shù)配置 審計(jì)管理員，可以對(duì)安全審計(jì)參數(shù)進(jìn)行配置，能夠配置的審計(jì)相關(guān)項(xiàng)目如下所 示： show_audit_param - hg_audit = on, + hg_audit_analyze = off, + hg_audit_alarm = email, + hg_audit_alar

14、m_email = + hg_audit_logsize = 16MB, + hg_audit_file_archive_mode = off, + hg_audit_file_archive_dest = + 審計(jì)管理員可以通過 select show_audit_param();來查看當(dāng)前的審計(jì)策略配置。安全審計(jì)每個(gè)參數(shù)的說明如下： hg_audit：審計(jì)總開關(guān)，默認(rèn)為 on。 hg_audit_analyze：審計(jì)分析開關(guān)，on 表示需要檢查用戶配置的審計(jì)事件風(fēng)險(xiǎn)等 級(jí)，并根據(jù)風(fēng)險(xiǎn)等級(jí)進(jìn)行處理，off 表示只記錄審計(jì)記錄，而不處理風(fēng)險(xiǎn)等級(jí)，默認(rèn)為 off. hg_audit_alarm:

15、審計(jì)告警方式，當(dāng)前只支持 email 方式，即當(dāng)需要進(jìn)行審計(jì)告警 時(shí)，發(fā)送郵件到 hg_audit_alarm_email 所配置的郵箱. hg_audit_alarm_email：審計(jì)告警郵箱. hg_audit_logsize：生成的審計(jì)文件大小，可配置的范圍為 16MB1GB；默認(rèn)為 16MB。 安全審計(jì)hg_audit_file_archive_mode：審計(jì)自動(dòng)歸檔模式的開關(guān)，on 表示打開審計(jì)文件自動(dòng) 歸檔，審計(jì)歸檔進(jìn)程掃描 hgaudit/audit_archive_ready 下的 ready 文件，把相應(yīng)的審計(jì)日志文件歸檔到 hg_audit_file_archive_des

16、t 指定的路徑下。默認(rèn)為 off hg_audit_file_archive_dest: 審計(jì)歸檔路徑，只支持絕對(duì)路徑。設(shè)定的路徑必須存在 且數(shù)據(jù)庫運(yùn)行用戶對(duì)其有寫權(quán)限。 審計(jì)管理員可以用 select set_audit_param()函數(shù)來設(shè)置上述配置，第一個(gè)參數(shù)是要 配置的參數(shù)名稱，后邊是要設(shè)置的值，兩個(gè)參數(shù)全部都是字符串類型。安全審計(jì)審計(jì)管理員可以對(duì)安全審計(jì)策略進(jìn)行配置，可以配置語句審計(jì)與對(duì)象審計(jì)。 配置語句審計(jì)的語法為： audit statement_opts by username|all whenever not successful 其中： statement_opts：語句

17、審計(jì)事件列表（支持的語句見 12.5）支持指定多個(gè)語句類型，用逗號(hào)分隔；如果對(duì)所有語句進(jìn)行審計(jì)，則使用 all，此時(shí)，對(duì)每一種語句記錄一條審計(jì)配置項(xiàng)；該參數(shù)不能為空。 username：要審計(jì)的用戶名稱。指定 all 表示所有用戶。支持指定多個(gè)用戶，用戶間用逗號(hào)分隔。為每個(gè)用戶記錄一條審計(jì)配置項(xiàng)。 whenever not successful：審計(jì)模式。whenever successful 表示只對(duì)成功的事件進(jìn)行審計(jì)。whenever not successful 表示只對(duì)失敗的事件進(jìn)行審計(jì)。不指定表示不論成功失敗均進(jìn)行審計(jì)。安全審計(jì)配置后的語句審計(jì)策略可以通過系統(tǒng)視圖 hgaudit_s

18、tatement 查看 比如： highgo= audit create table by all whenever successful;highgo= select * from hgaudit_statement; confid | userid | auditevent | auditmode | risklevel -+-+-+-+- 16384 | 0 | CREATE TABLE | SUCCESSFUL | 0 (1 row) 安全審計(jì)審計(jì)管理員可以刪除已配置的語句審計(jì)策略，語法分兩種 noaudit statement_opts by username|all wheneve

19、r not successful cascade noaudit statement confid cascade cascade 關(guān)鍵字表示，如果該審計(jì)配置項(xiàng)配置了審計(jì)分析規(guī)則，則連同審計(jì)分析規(guī)則一同刪除。安全審計(jì)配置對(duì)象審計(jì)的語法為： audit object_opts on objtype schema.objname.colname by username|all whenever not successful 配置之后的對(duì)象審計(jì)策略可以通過系統(tǒng)視圖 hgaudit_object 查看。安全審計(jì)用戶可以通過參數(shù) hg_audit_analyze，hg_audit_alarm，hg_audit_alarm_email 來配 置告警的方式。 當(dāng) hg_audit_analyze 為 on，hg_audit_alarm 為 email,且 hg_audit_alarm_email 為有效郵箱的時(shí)候，告警方式即為向郵箱 hg_audit_alarm_email 發(fā)送告警郵件,并向 系統(tǒng)日志中輸出 warning.若只有 hg_audit_analyze 為 on，其他兩個(gè)參數(shù)未配置或無效，則只向系統(tǒng)日志中