引言:
隨著國(guó)家對(duì)基礎(chǔ)軟件“自主可控“的政策推行�,去IOE的討伐之聲愈演愈烈,國(guó)產(chǎn)操作系統(tǒng)��、國(guó)產(chǎn)數(shù)據(jù)庫(kù)作為各大組織信息化的基礎(chǔ)應(yīng)用��,不同行業(yè)紛紛制
定政策���,開始向國(guó)產(chǎn)化傾斜��,以金融行業(yè)為首�,銀行IT采購(gòu)出新規(guī)����,發(fā)出了“國(guó)進(jìn)洋退”的積極信號(hào)。隨著斯諾登事件的曝光和事態(tài)延續(xù)��,信息安全,已經(jīng)上升為
國(guó)家戰(zhàn)略高度�����,引起全社會(huì)的關(guān)注��。本文重點(diǎn)圍繞數(shù)據(jù)庫(kù)安全����,談?wù)剶?shù)據(jù)庫(kù)作為各行業(yè)核心信息系統(tǒng)的后臺(tái)數(shù)據(jù)核心存儲(chǔ)設(shè)備�����,其安全國(guó)產(chǎn)化支持的演進(jìn)之路�����。
倪光南院士說(shuō):“未來(lái)十年����,將是中國(guó)軟件和信息服務(wù)走向全球,推動(dòng)中國(guó)成為軟件強(qiáng)國(guó)的十年���,也將是數(shù)據(jù)庫(kù)�����、中間件等國(guó)產(chǎn)基礎(chǔ)軟件快速發(fā)展的十年��?����!彪S著國(guó)家關(guān)于 “國(guó)產(chǎn)基礎(chǔ)軟件向自主可控”的政策導(dǎo)向�����,國(guó)內(nèi)各關(guān)鍵行業(yè)核心業(yè)務(wù)系統(tǒng)的后臺(tái)數(shù)據(jù)庫(kù)有逐漸被國(guó)產(chǎn)化替代的趨勢(shì)���。
國(guó)內(nèi)數(shù)據(jù)庫(kù)使用情況
目前����,國(guó)內(nèi)數(shù)據(jù)庫(kù)市場(chǎng)多被國(guó)外五大數(shù)據(jù)庫(kù)長(zhǎng)期占據(jù)�����。事實(shí)上���,數(shù)據(jù)庫(kù)經(jīng)由30多年的發(fā)展��,已形成高度壟斷格局��,五大商用數(shù)據(jù)庫(kù)占據(jù)全球90%以上的份
額�,它們包括:Oracle、DB2����、Informix�、Sybase、SQL
Server���。國(guó)產(chǎn)數(shù)據(jù)庫(kù)廠商隨著國(guó)產(chǎn)化政策的推進(jìn)�,國(guó)內(nèi)多個(gè)行業(yè)已經(jīng)開始了一些新的應(yīng)用���,國(guó)內(nèi)數(shù)據(jù)庫(kù)廠商主要有武漢達(dá)夢(mèng)(DM)���、人大金倉(cāng)
(kingbase)、南大通用(gbase)���、神州通用(oscar)四個(gè)����。隨著國(guó)內(nèi)數(shù)據(jù)庫(kù)技術(shù)的發(fā)展革新加之國(guó)家政策的導(dǎo)向,這些國(guó)產(chǎn)數(shù)據(jù)庫(kù)廠商近年
來(lái)發(fā)展勢(shì)頭良好:
達(dá)夢(mèng)廣泛應(yīng)用于國(guó)內(nèi)電子政務(wù)�����、電力��、航空����、鐵路、金融�����、通信等20多個(gè)行業(yè)��,優(yōu)勢(shì)是能夠深度兼容Oracle���,用戶業(yè)務(wù)系統(tǒng)幾乎不用修改�����,可對(duì)Oracle的快速替換�����,為各行業(yè)用戶數(shù)據(jù)庫(kù)基礎(chǔ)軟件實(shí)現(xiàn)快速國(guó)產(chǎn)化替代����。
金倉(cāng)在電子政務(wù)方面做得比較好,已為電子政務(wù)��、黨務(wù)��、國(guó)防��、電力����、金融等行業(yè)提供了自主可控的數(shù)據(jù)庫(kù)產(chǎn)品�����。其中近來(lái)在國(guó)家電網(wǎng)智能電網(wǎng)的應(yīng)用��,中組部黨員及公務(wù)員管理系統(tǒng)全國(guó)性部署應(yīng)用����,以及實(shí)現(xiàn)中國(guó)農(nóng)業(yè)銀行核心業(yè)務(wù)應(yīng)用等。
南大通用近期獲得IBM的informix授權(quán)拿到源代碼��,縮短與國(guó)際主流數(shù)據(jù)庫(kù)的差距,開始進(jìn)入電力��、金融�、運(yùn)營(yíng)商等領(lǐng)域,如農(nóng)業(yè)銀行總行�、國(guó)網(wǎng)電力調(diào)度中心、山東移動(dòng)等項(xiàng)目�����。
神州通用主要覆蓋政府�����、電信���、能源�����、交通�、網(wǎng)安�、國(guó)防和軍工等領(lǐng)域,也實(shí)現(xiàn)了國(guó)產(chǎn)數(shù)據(jù)庫(kù)在電信行業(yè)的大規(guī)模商用���。
隨著國(guó)產(chǎn)數(shù)據(jù)庫(kù)進(jìn)入各行業(yè)核心應(yīng)用��,這些數(shù)據(jù)庫(kù)使用過(guò)程中的安全問(wèn)題也逐漸浮現(xiàn)出來(lái)�����,成為各測(cè)評(píng)機(jī)構(gòu)�、安服團(tuán)隊(duì)和集團(tuán)檢查部門的檢查重點(diǎn),也是各行業(yè)信息安全部門重點(diǎn)防護(hù)的對(duì)象����。
國(guó)產(chǎn)數(shù)據(jù)庫(kù)安全
數(shù)據(jù)庫(kù)安全廠商安華金和,作為掌握數(shù)據(jù)庫(kù)的內(nèi)核技術(shù)和擁用全線數(shù)據(jù)庫(kù)安全產(chǎn)品的廠商��,在數(shù)據(jù)庫(kù)安全這個(gè)細(xì)分領(lǐng)域��,趕上了數(shù)據(jù)庫(kù)“基礎(chǔ)軟件國(guó)產(chǎn)化”的
高鐵���,圍繞數(shù)據(jù)庫(kù)安全事前、事中����、事后時(shí)間過(guò)程,分別推出四款產(chǎn)品�,數(shù)據(jù)庫(kù)漏掃(DBSCan)�、數(shù)據(jù)庫(kù)防火墻(DBFirewall)�����、數(shù)據(jù)庫(kù)加密
(DBCoffer)�、數(shù)據(jù)庫(kù)監(jiān)控與審計(jì)(DBAudit),不但支持國(guó)際主流數(shù)據(jù)庫(kù)Oracle����、DB2、Informix����、Sybase、SQL
Server不同類型不同版本�����,同時(shí)在國(guó)內(nèi)率先支持國(guó)產(chǎn)數(shù)據(jù)庫(kù)達(dá)夢(mèng)�、金倉(cāng)和南通。
以數(shù)據(jù)庫(kù)漏掃對(duì)國(guó)產(chǎn)數(shù)據(jù)庫(kù)達(dá)夢(mèng)����、金倉(cāng)和南通進(jìn)行安全風(fēng)險(xiǎn)評(píng)估舉例說(shuō)明,主要是針對(duì)數(shù)據(jù)庫(kù)檢測(cè)弱口令和安全配置核查�,同時(shí)針對(duì)每一款數(shù)據(jù)庫(kù)本身的特
性����,提供定制化的弱口令掃描方案����,以最小的代價(jià)提供最具效率的安全掃描體驗(yàn)。如電力行業(yè)���,使用DM6和DM7兩個(gè)版本的數(shù)據(jù)庫(kù)�����,雖然類型相同�,但數(shù)據(jù)庫(kù)端
口號(hào)����、安全配置項(xiàng)都有差異,數(shù)據(jù)庫(kù)漏掃支持兩個(gè)版本的自動(dòng)發(fā)現(xiàn)����、授權(quán)和非授權(quán)弱口令掃描��、幾百項(xiàng)安全配置核查����。
在弱口令掃描方面����,實(shí)現(xiàn)多種DBMS的密碼生成技術(shù)����,提供多個(gè)上萬(wàn)口令爆破庫(kù),實(shí)現(xiàn)快速的弱口令檢測(cè)方法���,密碼算法完全破解�,4位內(nèi)急速掃描����,每個(gè)
用戶掃描平均耗時(shí)低于2秒,還支持4位密碼掃描的CPU多核心協(xié)同工作�����。等保檢查要求中����,有對(duì)數(shù)據(jù)庫(kù)審計(jì)功能是否開啟的檢查要求,數(shù)據(jù)庫(kù)漏掃中對(duì)應(yīng)就有檢
測(cè)項(xiàng)。
這個(gè)檢測(cè)項(xiàng)可以自動(dòng)幫助安全測(cè)評(píng)人員查出當(dāng)前DM數(shù)據(jù)庫(kù)是否開啟審計(jì)選項(xiàng)����。
被測(cè)單位如果希望讓這個(gè)檢測(cè)項(xiàng)通過(guò),可以在達(dá)夢(mèng)控制臺(tái)工具->服務(wù)器配置->安全相關(guān)參數(shù)->修改 NABLE_AUDIT為1或2:
數(shù)據(jù)庫(kù)安全檢查中�����,關(guān)于數(shù)據(jù)庫(kù)審計(jì)功能的開啟與否���,有一個(gè)必選項(xiàng)���,安華金和專注于數(shù)據(jù)庫(kù)安全,與數(shù)據(jù)庫(kù)廠商經(jīng)常交流溝通�����,數(shù)據(jù)庫(kù)廠商建議數(shù)據(jù)庫(kù)審計(jì)
選項(xiàng)應(yīng)該是關(guān)閉的��,因?yàn)殚_啟會(huì)影響數(shù)據(jù)庫(kù)的性能����。我們建議數(shù)據(jù)庫(kù)自身審計(jì)選項(xiàng)不開啟,使用獨(dú)立的審計(jì)設(shè)備實(shí)現(xiàn)數(shù)據(jù)庫(kù)操作記錄功能���。
安華金和數(shù)據(jù)庫(kù)防火墻產(chǎn)品通過(guò)國(guó)產(chǎn)數(shù)據(jù)庫(kù)SQL協(xié)議分析����,根據(jù)預(yù)定的白名單���、黑名單策略決定讓合法的SQL操作通過(guò)執(zhí)行�����,讓可疑的非法違規(guī)操作禁
止�,從而形成一個(gè)數(shù)據(jù)庫(kù)的外圍防御圈,真正做到SQL危險(xiǎn)操作的主動(dòng)預(yù)防����、實(shí)時(shí)審計(jì),實(shí)現(xiàn)應(yīng)用和運(yùn)維側(cè)操作的全面審計(jì)和監(jiān)控?cái)r截�����。
安華金和數(shù)據(jù)庫(kù)審計(jì)產(chǎn)品通過(guò)準(zhǔn)確解析國(guó)產(chǎn)數(shù)據(jù)庫(kù)訪問(wèn)協(xié)議�,實(shí)時(shí)記錄網(wǎng)絡(luò)上的數(shù)據(jù)庫(kù)活動(dòng),對(duì)數(shù)據(jù)庫(kù)操作進(jìn)行細(xì)粒度審計(jì)的合規(guī)性管理����,對(duì)數(shù)據(jù)庫(kù)遭受到的風(fēng)險(xiǎn)行
為和對(duì)攻擊行為進(jìn)行告警,通過(guò)對(duì)用戶訪問(wèn)數(shù)據(jù)庫(kù)行為的記錄、分析和匯報(bào)���,用來(lái)幫助用戶事后生成合規(guī)報(bào)告�����、事故追根溯源�����,同時(shí)加強(qiáng)內(nèi)外部數(shù)據(jù)庫(kù)網(wǎng)絡(luò)行為記
錄�,提高數(shù)據(jù)資產(chǎn)安全��。
結(jié)語(yǔ)
隨著國(guó)產(chǎn)數(shù)據(jù)庫(kù)在國(guó)內(nèi)各行業(yè)核心應(yīng)用開始替代國(guó)際主流數(shù)據(jù)庫(kù)�,國(guó)產(chǎn)數(shù)據(jù)庫(kù)安全必不可少,安華金和依托自身在數(shù)據(jù)
庫(kù)內(nèi)核架構(gòu)方面的技術(shù)優(yōu)勢(shì)��,率先支持國(guó)產(chǎn)數(shù)據(jù)庫(kù)安全風(fēng)險(xiǎn)評(píng)估����、監(jiān)控與審計(jì)和數(shù)據(jù)庫(kù)安全防護(hù)。隨著國(guó)產(chǎn)數(shù)據(jù)庫(kù)的使用更加廣泛��,安華金和還準(zhǔn)備在數(shù)據(jù)庫(kù)加密和
權(quán)限控制���、數(shù)據(jù)庫(kù)代碼白盒安全性驗(yàn)證�、國(guó)產(chǎn)數(shù)據(jù)庫(kù)漏洞發(fā)現(xiàn)等方面深入進(jìn)行研究�����,為國(guó)產(chǎn)化數(shù)據(jù)安全保駕護(hù)航���。
產(chǎn)品咨詢:4000 258 365 
