引言:
随着国家对基础软件“自主可控“的政策推行,去IOE的讨伐之声愈演愈烈,国产操作系统、国产数据库作为各大组织信息化的基础应用,不同行业纷纷制定政策,开始向国产化倾斜,以金融行业为首,银行IT采购出新规,发出了“国进洋退”的积极信号。随着斯诺登事件的曝光和事态延续,信息安全,已经上升为国家战略高度,引起全社会的关注。安华金和重点围绕数据库安全,谈谈数据库作为各行业核心信息系统的后台数据核心存储设备,其安全国产化支持的演进之路。
倪光南院士说:“未来十年,将是中国软件和信息服务走向全球,推动中国成为软件强国的十年,也将是数据库、中间件等国产基础软件快速发展的十年。”随着国家关于 “国产基础软件向自主可控”的政策导向,国内各关键行业核心业务系统的后台数据库有逐渐被国产化替代的趋势。
国内数据库使用情况
目前,国内数据库市场多被国外五大数据库长期占据。事实上,数据库经由30多年的发展,已形成高度垄断格局,五大商用数据库占据全球90%以上的份额,它们包括:Oracle、DB2、Informix、Sybase、SQL Server。国产数据库厂商随着国产化政策的推进,国内多个行业已经开始了一些新的应用,国内数据库厂商主要有武汉达梦(DM)、人大金仓(kingbase)、南大通用(gbase)、神州通用(oscar)四个。随着国内数据库技术的发展革新加之国家政策的导向,这些国产数据库厂商近年来发展势头良好:
达梦广泛应用于国内电子政务、电力、航空、铁路、金融、通信等20多个行业,优势是能够深度兼容Oracle,用户业务系统几乎不用修改,可对Oracle的快速替换,为各行业用户数据库基础软件实现快速国产化替代。
金仓在电子政务方面做得比较好,已为电子政务、党务、国防、电力、金融等行业提供了自主可控的数据库产品。其中近来在国家电网智能电网的应用,中组部党员及公务员管理系统全国性部署应用,以及实现中国农业银行核心业务应用等。
南大通用近期获得IBM的informix授权拿到源代码,缩短与国际主流数据库的差距,开始进入电力、金融、运营商等领域,如农业银行总行、国网电力调度中心、山东移动等项目。
神州通用主要覆盖政府、电信、能源、交通、网安、国防和军工等领域,也实现了国产数据库在电信行业的大规模商用。
随着国产数据库进入各行业核心应用,这些数据库使用过程中的安全问题也逐渐浮现出来,成为各测评机构、安服团队和集团检查部门的检查重点,也是各行业信息安全部门重点防护的对象。
国产数据库安全
数据库安全厂商安华金和,作为唯一掌握数据库的内核技术和唯一拥用全线数据库安全产品的厂商,在数据库安全这个细分领域,赶上了数据库“基础软件国产化”的高铁,围绕数据库安全事前、事中、事后时间过程,分别推出四款产品,数据库漏扫(DBSCan)、数据库防火墙(DBFirewall)、数据库加密(DBCoffer)、数据库监控与审计(DBAudit),不但支持国际主流数据库Oracle、DB2、Informix、Sybase、SQL Server不同类型不同版本,同时在国内率先支持国产数据库达梦、金仓和南通。
以数据库漏扫对国产数据库达梦、金仓和南通进行安全风险评估举例说明,主要是针对数据库检测弱口令和安全配置核查,同时针对每一款数据库本身的特性,提供定制化的弱口令扫描方案,以最小的代价提供最具效率的安全扫描体验。如电力行业,使用DM6和DM7两个版本的数据库,虽然类型相同,但数据库端口号、安全配置项都有差异,数据库漏扫支持两个版本的自动发现、授权和非授权弱口令扫描、几百项安全配置核查。
在弱口令扫描方面,实现多种DBMS的密码生成技术,提供多个上万口令爆破库,实现快速的弱口令检测方法,密码算法完全破解,4位内急速扫描,每个用户扫描平均耗时低于2秒,还支持4位密码扫描的CPU多核心协同工作。等保检查要求中,有对数据库审计功能是否开启的检查要求,数据库漏扫中对应就有检测项。
这个检测项可以自动帮助安全测评人员查出当前DM数据库是否开启审计选项。
被测单位如果希望让这个检测项通过,可以在达梦控制台工具->服务器配置->安全相关参数->修改 NABLE_AUDIT为1或2:
数据库安全检查中,关于数据库审计功能的开启与否,有一个必选项,安华金和专注于数据库安全,与数据库厂商经常交流沟通,数据库厂商建议数据库审计选项应该是关闭的,因为开启会影响数据库的性能。我们建议数据库自身审计选项不开启,使用独立的审计设备实现数据库操作记录功能。
安华金和数据库防火墙产品通过国产数据库SQL协议分析,根据预定的白名单、黑名单策略决定让合法的SQL操作通过执行,让可疑的非法违规操作禁止,从而形成一个数据库的外围防御圈,真正做到SQL危险操作的主动预防、实时审计,实现应用和运维侧操作的全面审计和监控拦截。
安华金和数据库审计产品通过精确解析国产数据库访问协议,实时记录网络上的数据库活动,对数据库操作进行细粒度审计的合规性管理,对数据库遭受到的风险行为和对攻击行为进行告警,通过对用户访问数据库行为的记录、分析和汇报,用来帮助用户事后生成合规报告、事故追根溯源,同时加强内外部数据库网络行为记录,提高数据资产安全。
结语
随着国产数据库在国内各行业核心应用开始替代国际主流数据库,国产数据库安全必不可少,安华金和依托自身在数据库内核架构方面的技术优势,率先支持国产数据库安全风险评估、监控与审计和数据库安全防护。随着国产数据库的使用更加广泛,安华金和还准备在数据库加密和权限控制、数据库代码白盒安全性验证、国产数据库漏洞发现等方面深入进行研究,为国产化数据安全保驾护航。