隨著國家對基礎軟件“自主可控“的政策推行,去IOE的討伐之聲愈演愈烈,國產操作系統、國產數據庫作為各大組織信息化的基礎應用,不同行業紛紛制 定政策,開始向國產化傾斜,以金融行業為首,銀行IT采購出新規,發出了“國進洋退”的積極信號。隨著斯諾登事件的曝光和事態延續,信息安全,已經上升為 國家戰略高度,引起全社會的關注。本文重點圍繞數據庫安全,談談數據庫作為各行業核心信息系統的后臺數據核心存儲設備,其安全國產化支持的演進之路。
倪光南院士說:“未來十年,將是中國軟件和信息服務走向全球,推動中國成為軟件強國的十年,也將是數據庫、中間件等國產基礎軟件快速發展的十年。”隨著國家關于 “國產基礎軟件向自主可控”的政策導向,國內各關鍵行業核心業務系統的后臺數據庫有逐漸被國產化替代的趨勢。
目前,國內數據庫市場多被國外五大數據庫長期占據。事實上,數據庫經由30多年的發展,已形成高度壟斷格局,五大商用數據庫占據全球90%以上的份 額,它們包括:Oracle、DB2、Informix、Sybase、SQL Server。國產數據庫廠商隨著國產化政策的推進,國內多個行業已經開始了一些新的應用,國內數據庫廠商主要有武漢達夢(DM)、人大金倉 (kingbase)、南大通用(gbase)、神州通用(oscar)四個。隨著國內數據庫技術的發展革新加之國家政策的導向,這些國產數據庫廠商近年 來發展勢頭良好:
達夢廣泛應用于國內電子政務、電力、航空、鐵路、金融、通信等20多個行業,優勢是能夠深度兼容Oracle,用戶業務系統幾乎不用修改,可對Oracle的快速替換,為各行業用戶數據庫基礎軟件實現快速國產化替代。
金倉在電子政務方面做得比較好,已為電子政務、黨務、國防、電力、金融等行業提供了自主可控的數據庫產品。其中近來在國家電網智能電網的應用,中組部黨員及公務員管理系統全國性部署應用,以及實現中國農業銀行核心業務應用等。
南大通用近期獲得IBM的informix授權拿到源代碼,縮短與國際主流數據庫的差距,開始進入電力、金融、運營商等領域,如農業銀行總行、國網電力調度中心、山東移動等項目。
神州通用主要覆蓋政府、電信、能源、交通、網安、國防和軍工等領域,也實現了國產數據庫在電信行業的大規模商用。
隨著國產數據庫進入各行業核心應用,這些數據庫使用過程中的安全問題也逐漸浮現出來,成為各測評機構、安服團隊和集團檢查部門的檢查重點,也是各行業信息安全部門重點防護的對象。
數據庫安全廠商安華金和,作為掌握數據庫的內核技術和擁用全線數據庫安全產品的廠商,在數據庫安全這個細分領域,趕上了數據庫“基礎軟件國產化”的 高鐵,圍繞數據庫安全事前、事中、事后時間過程,分別推出四款產品,數據庫漏掃(DBSCan)、數據庫防火墻(DBFirewall)、數據庫加密 (DBCoffer)、數據庫監控與審計(DBAudit),不但支持國際主流數據庫Oracle、DB2、Informix、Sybase、SQL Server不同類型不同版本,同時在國內率先支持國產數據庫達夢、金倉和南通。
以數據庫漏掃對國產數據庫達夢、金倉和南通進行安全風險評估舉例說明,主要是針對數據庫檢測弱口令和安全配置核查,同時針對每一款數據庫本身的特 性,提供定制化的弱口令掃描方案,以最小的代價提供最具效率的安全掃描體驗。如電力行業,使用DM6和DM7兩個版本的數據庫,雖然類型相同,但數據庫端 口號、安全配置項都有差異,數據庫漏掃支持兩個版本的自動發現、授權和非授權弱口令掃描、幾百項安全配置核查。
在弱口令掃描方面,實現多種DBMS的密碼生成技術,提供多個上萬口令爆破庫,實現快速的弱口令檢測方法,密碼算法完全破解,4位內急速掃描,每個 用戶掃描平均耗時低于2秒,還支持4位密碼掃描的CPU多核心協同工作。等保檢查要求中,有對數據庫審計功能是否開啟的檢查要求,數據庫漏掃中對應就有檢 測項。
這個檢測項可以自動幫助安全測評人員查出當前DM數據庫是否開啟審計選項。
被測單位如果希望讓這個檢測項通過,可以在達夢控制臺工具->服務器配置->安全相關參數->修改 NABLE_AUDIT為1或2:
數據庫安全檢查中,關于數據庫審計功能的開啟與否,有一個必選項,安華金和專注于數據庫安全,與數據庫廠商經常交流溝通,數據庫廠商建議數據庫審計 選項應該是關閉的,因為開啟會影響數據庫的性能。我們建議數據庫自身審計選項不開啟,使用獨立的審計設備實現數據庫操作記錄功能。
安華金和數據庫防火墻產品通過國產數據庫SQL協議分析,根據預定的白名單、黑名單策略決定讓合法的SQL操作通過執行,讓可疑的非法違規操作禁
止,從而形成一個數據庫的外圍防御圈,真正做到SQL危險操作的主動預防、實時審計,實現應用和運維側操作的全面審計和監控攔截。
安華金和數據庫審計產品通過準確解析國產數據庫訪問協議,實時記錄網絡上的數據庫活動,對數據庫操作進行細粒度審計的合規性管理,對數據庫遭受到的風險行
為和對攻擊行為進行告警,通過對用戶訪問數據庫行為的記錄、分析和匯報,用來幫助用戶事后生成合規報告、事故追根溯源,同時加強內外部數據庫網絡行為記
錄,提高數據資產安全。
隨著國產數據庫在國內各行業核心應用開始替代國際主流數據庫,國產數據庫安全必不可少,安華金和依托自身在數據 庫內核架構方面的技術優勢,率先支持國產數據庫安全風險評估、監控與審計和數據庫安全防護。隨著國產數據庫的使用更加廣泛,安華金和還準備在數據庫加密和 權限控制、數據庫代碼白盒安全性驗證、國產數據庫漏洞發現等方面深入進行研究,為國產化數據安全保駕護航。
產品咨詢:4000 258 365 
