如今,国产数据库市场繁花似锦,厂商百舸争流。国产数据库突围的势头,就像大江东去不可阻挡。但表面红火的国产数据库市场实则暗流涌动,就像江面迷雾笼罩,路人难识其本来面目,国产数据库真正的自主可控之路还很漫长。
在数据安全体系中的重要性堪比银行的金库。数据库安全是数据安全体系的基石,数据库的安全稳定运行也直接决定着业务系统能否正常使用。没有数据库安全,数据的采集分类、数据管控等整个数据安全生命周期中做的努力都变得毫无意义。
国产数据库概况
国产数据库是指由国家自主研发力量研制的数据库系统,具有较强的可控性和安全性。现已形成神舟数据、人大金仓、达梦等传统数据库以及中科院软件所安捷实时数据库。国产数据库产品已经广泛使用在国家电网、国土资源、审计、铁路系统、电力、银行、通信等关键信息基础设施领域。围绕数据库安全,我国制定了国家标准《信息安全技术数据库管理系统安全技术要求》(GB/T 20273—2019) ,该标准规定了数据库管理系统的五个安全等级及其所需要的安全技术要求。
国产数据库安全分析
国产数据库系统主要面临的安全风险分析如下:
国产数据库安全漏洞
因为数据库的复杂性和软件编程安全问题,国产数据库的设计和代码实现可能存在安全漏洞,导致国产数据库面临安全风险。
例如,达梦数据库服务器存在越权访问漏洞(漏洞编号:CNVD-2017-31606),攻击者可利用漏洞非法获取拥有数据库最高权限的DBA角色权限,进而实现对整个数据库的控制,包括增、删、改、查等各类关键操作,通过恶意篡改数据将造成应用系统瘫痪或直接的经济损失,甚至可以获取数据库中的核心数据资产。
南大通用GBASE数据库存在拒绝服务漏洞(漏洞编号:CNVD-2016-09750) ,南大通用GBASE 数据库8.3版本存在拒绝服务漏洞,任意用户登录上GBASE后调用astest函数使用特定参数,最终会导致GBASE用尽所有内存而宥机,攻击者可利用该漏洞导致拒绝服务。
一些国产数据库依赖第三方系统组件的安全
国产数据库所依赖的第三方系统组件存在安全漏洞引发的安全风险问题。例如Open SSL协议安全漏洞,该漏洞对国产数据库网络传输数据有安全影响。
国产数据库系统安全配置的安全
对国产数据库系统的安全敏感配置不当,构成系统安全威胁。常见的安全配置不当包括未启用国产数据库安全功能、设置数据库弱口令、开放过多的服务端门、使用非安全远程登录工具等。
国产数据库支持平台的安全
产数据库受制于操作系统而产生的安全问题。例如,操作系统的安全问题导致数据库文件被窃取或破坏,甚至失去控制。
那么,国产数据库应如何寻找自主开发出安全可控的数据库产品呢?软江图灵人工智能通过对数据库安全防护技术的研究,制动一套针对国产数据库的安全防护机制。
在安全机制方面,软江图灵人工智能数据库(Protein DB)自主研发多个高等级的安全特性,提供三权分立安全管理机制、用户标识与鉴别、自主访问控制、强制访问控制、存储加密、资源限制、安全审计等功能。
数据库安全功能通过对登录进数据库系统的用户进行更为有效的身份鉴别,权限限制,用户数据本地加密等措施来保证用户数据在访问、存储过程中的有效保护。
安全功能开关用于控制安全功能的开启和关闭。安全功能开关作用于数据库实例初始化时,Protein DB的安全功能是以插件化的形式实现的,当用户需要启用安全功能时,可以利用初始化工具通过参数指定打开开关。(注意:当安全功能开关开启时,由于三权分立的策略影响,会改变Protein DB的默认用户数量,带有安全功能的实例初始化后不可逆)
Protein DB安全数据库有独立的安全审计系统,设置专门的审计管理系统,主要负责审计相关参数配置,以及对系统审计日志进行审查分析。
安全审计是和安全功能开关绑定的,当打开安全功能后,审计进程默认启动,可以通过参数配置修改审计范围。审计会记录系统级事件、用户行为、数据库会话连接、数据库配置参数修改、数据库对象访问等行为,通过查看审计信息,安全审计员可以查看用户访问的形式以及曾试图对该系统进行的操作,从而采取积极、有效的应对措施。Protein DB提供审计表直接查看和函数查看两种方式,提供查询接口解决查询表时存在字段不清晰、海量数据时查询慢的问题。
国产数据库市场仍然竞争激烈,软江图灵人工智能能在用自身数据库弯道超车已经证明其对行业数据库积累的经验之多,技术之成熟,但要在赛道长久领先,只有脚踏实地的专注于数据库产品本身,不断磨砺完善产品才有未来。在国产数据库安全自主可控的路上,软江图灵人工智能砥砺前行,必定为中国数据库产业的快速发展贡献力量。
