1、技术创新,变革未来数据库管理安全等级保护技术要求1信息安全与等级保护信息安全与等级保护国家政策与标准规范国家政策与标准规范等保工作内容与建设流程等保工作内容与建设流程4325数据库管理安全基本要求数据库管理安全基本要求数据库管理安全分级要求数据库管理安全分级要求数据库安全检查分析数据库安全检查分析5信息安全的宏观范畴信息安全的宏观范畴分保(密保) 分三级(绝密、机密、秘密) 涉密环境(网络、终端、应用系统及数据)的信息安全等保 分五级 非涉密环境(网络、终端、应用系统及数据)的信息安全信息安全与等级保护信息安全与等级保护信息系统等级保护的定义信息系统等级保护的定义 是指对国家秘密信息、法人和其
2、他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。 什么是等级保护什么是等级保护 根据信息和信息系统遭到破坏或泄露后,对国家安全、社会秩序、公共利益及公民、法人和其他组织的合法权益的危害程度来进行定级。1、受侵害客体;2、受侵害程度;等级保护的等级划分准则等级保护的等级划分准则等级 对象 侵害客体 侵害程度 监管强度 第一级 合法权益 损害 自主保护 合法权益 严重损害 第二级 一般系统 社会秩序和公共利益 损害 指导 社会秩序和公共利益 严重损害 第三级 国家
3、安全 损害 监督检查 社会秩序和公共利益 特别严重损害 第四级 重要系统 国家安全 严重损害 强制监督检查 第五级 极端重要系统 国家安全 特别严重损害 专门监督检查 等级保护的等级划分准则等级保护的等级划分准则等级保护涉及的几个基本概念等级保护涉及的几个基本概念访问:读、写、执行安全策略安全审计强制访问控制第一级 用户自主保护级第二级 系统审计保护第三级 安全标记保护第四级 结构化保护第五级 访问验证保护用户自主控制资源访问访问行为需要被审计通过标记实现强制访问控制可信计算基结构化所有的过程都需要验证等级保护的等级划分准则等级保护的等级划分准则第一级 自主安全保护第二级 审计安全保护第三级
4、强制安全保护第四级 结构化保护第五级 访问验证保护级自主访问控制自主访问控制 身份鉴别身份鉴别 完整性保护完整性保护自主访问控制自主访问控制 身份鉴别身份鉴别 完整性保护完整性保护系统审计系统审计 客体重用客体重用自主访问控制自主访问控制 身份鉴别身份鉴别 完整性保护完整性保护系统审计系统审计 客体重用客体重用强制访问控制强制访问控制 标记标记自主访问控制自主访问控制 身份鉴别身份鉴别 完整性保护完整性保护系统审计系统审计 客体重用客体重用强制访问控制强制访问控制 标记标记自主访问控制自主访问控制 身份鉴别身份鉴别 完整性保护完整性保护系统审计系统审计 客体重用客体重用强制访问控制强制访问控制
5、 标记标记隐蔽通道分析隐蔽通道分析 可信路径可信路径隐蔽通道分析隐蔽通道分析 可信路径可信路径可信恢复可信恢复 等级保护的等级划分准则等级保护的等级划分准则1信息安全与等级保护信息安全与等级保护国家政策与标准规范国家政策与标准规范等保工作内容与建设流程等保工作内容与建设流程4325数据库管理安全基本要求数据库管理安全基本要求数据库管理安全分级要求数据库管理安全分级要求数据库安全检查分析数据库安全检查分析5颁布时间颁布时间文件名称文件名称文号文号颁布机构颁布机构内容及意义内容及意义19941994年年2 2月月1818日日中华人民共和国中华人民共和国计算机信息系统安计算机信息系统安全保护条例全保
6、护条例国务院国务院147147号令号令国务院国务院第一次第一次提出信息系统要实行提出信息系统要实行等级保护,并确定了等级保等级保护,并确定了等级保护的职责单位。护的职责单位。20032003年年9 9月月7 7日日国家信息化领导国家信息化领导小组关于加强信息小组关于加强信息安全保障工作的意安全保障工作的意见见中办国办发中办国办发200327200327号号中共中央办公厅中共中央办公厅国务院办公厅国务院办公厅等级保护工作的开展必须分等级保护工作的开展必须分步骤、分阶段、有计划的实步骤、分阶段、有计划的实施。明确了信息安全等级保施。明确了信息安全等级保护制度的护制度的基本内容基本内容。200420
7、04年年9 9月月1515日日关于信息安全等关于信息安全等级保护工作的实施级保护工作的实施意见意见公通字公通字200466200466号号公安部公安部国家保密局国家保密局国家密码管理委国家密码管理委员会办公室员会办公室(国家密码管理(国家密码管理局)局)国务院信息化工国务院信息化工作办公室作办公室将等级保护从计算机信息系将等级保护从计算机信息系统安全保护的一项制度提升统安全保护的一项制度提升到国家信息安全保障的一项到国家信息安全保障的一项基本制度基本制度。20072007年年6 6月月2222日日信息安全等级保信息安全等级保护管理办法护管理办法公通字公通字200743200743号号明确了信息
8、安全等级保护制明确了信息安全等级保护制度的度的基本内容、流程及工作基本内容、流程及工作要求要求,明确了信息系统运营,明确了信息系统运营使用单位和主管部门、监管使用单位和主管部门、监管部门在信息安全等级保护工部门在信息安全等级保护工作中的作中的职责、任务职责、任务。20072007年年7 7月月1616日日关于开展全国重关于开展全国重要信息系统安全等要信息系统安全等级保护定级工作的级保护定级工作的通知通知公信安公信安20078612007861号号就就定级范围、定级工作主要定级范围、定级工作主要内容、定级工作要求内容、定级工作要求等事项等事项进行了通知。进行了通知。 等级保护的国家政策等级保护的
9、国家政策等级保护的技术标准规范等级保护的技术标准规范GB17859-1999GB17859-1999 计算机信息系统安全保护等级划分准则计算机信息系统安全保护等级划分准则信息系统安全等级保护定级指南信息系统安全等级保护定级指南GB/T20269-2006GB/T20269-2006 信息系统安全管理要求信息系统安全管理要求GB/T20282-2006 GB/T20282-2006 信息安全技术信息安全技术 信息系统安全工程管理要求信息系统安全工程管理要求GB/T 20270-2006GB/T 20270-2006信息安全技术信息安全技术 网络基础安全技术要求网络基础安全技术要求GB/T 202
10、71-2006GB/T 20271-2006信息安全技术信息安全技术 信息系统通用安全技术要求信息系统通用安全技术要求GB/T 20272-2006GB/T 20272-2006信息安全技术信息安全技术 操作系统安全技术要求操作系统安全技术要求GB/T 20273-2006GB/T 20273-2006信息安全技术信息安全技术 数据库管理系统通用安全技术要求数据库管理系统通用安全技术要求GB/T22239-2008GB/T22239-2008信息安全技术信息安全技术 信息系统安全等级保护基本要求信息系统安全等级保护基本要求信息安全技术信息安全技术 信息系统等级保护安全设计技术要求信息系统等级保
11、护安全设计技术要求 ( (已送批已送批) )信息系统安全等级保护实施指南信息系统安全等级保护实施指南GB/T20009-2005信息安全技术 操作系统安全评估准则国家已出台70多个国标、行标以及报批标准,从基础、设计、实施、管理、制度等各个方面对等保系统提出了要求和建议。计算机信息系统安全保护等级划分准则(GB 17859-1999) 信息安全技术 信息系统通用安全技术要求 (GB/T 20271-2006) 信息安全技术 操作系统安全技术要求 (GB/T 20272-2006)信息安全技术 信息系统安全等级保护基本要求(GB/T 22239-2008)信息安全技术 信息系统等级保护安全设计技
12、术要求 面向评估者技术标准: 面向建设者技术标准:等级保护的技术标准规范等级保护的技术标准规范信息安全技术 信息系统安全工程管理要求(GB/T 20282-2006)信息系统安全管理体系标准(ISO/IEC 27001) 信息安全技术 信息系统安全等级保护实施指南( GB/T xxxxx-2007 ) 管理类标准:等保方案类标准:系统定级类标准:信息安全技术 信息系统安全保护等级定级指南(GB/T 22240-2008) 等级保护的技术标准规范等级保护的技术标准规范信息系统安全等级保护基本要求(GB/T 22239-2008) 信息系统等级保护安全设计技术要求(已审批) 计算机信息系统安全保护
13、等级划分准则(GB 17859-1999) 国家已出台约70余个标准,重点需要了解的有:等级保护的技术标准规范等级保护的技术标准规范信息安全等级保护管理办法 公安机关负责信息安全等级保护工作的监督、检查、指导 公安部及地方公安部门、网监部门国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导 国家保密局及地方保密局国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导 国密办及地方密码管理局 /办国务院信息化领导小组负责等级保护工作的部门间协调 国信办、工信部及地方信息办等级保护测评机构负责按照国家相关技术标准和要求对信息系统进行等级保护的分析测评工作等级保护各参与部门的
14、角色定位等级保护各参与部门的角色定位1信息安全与等级保护信息安全与等级保护国家政策与标准规范国家政策与标准规范等保工作内容与建设流程等保工作内容与建设流程4325数据库管理安全基本要求数据库管理安全基本要求数据库管理安全分级要求数据库管理安全分级要求数据库安全检查分析数据库安全检查分析5 等级保护的建设目标等级保护的建设目标 某级信息系统技术要求管理要求 基本要求建立安全技术体系建立安全管理体系具有某级安全保护能力的系统 等级保护的建设要求等级保护的建设要求 物理安全层面控制点物理安全层面控制点 网络安全层面控制点网络安全层面控制点 主机安全层面控制点主机安全层面控制点 应用安全层面控制点应用
15、安全层面控制点 数据安全层面控制点数据安全层面控制点安全管理制度层面控制点的逐级变化安全管理制度层面控制点的逐级变化 安全管理机构层面控制点安全管理机构层面控制点 人员安全管理层面控制点人员安全管理层面控制点 系统运维管理层面控制点系统运维管理层面控制点 等级保护的建设要求等级保护的建设要求 网络安全1. 网络结构安全2. 网络访问控制3. 网络安全审计4. 边界完整性检查5. 网络入侵防范6. 恶意代码防护7. 网络防护设备 主机安全1. 身份鉴别2. 强制访问控制3. 系统安全审计4. 剩余信息保护5. 入侵防范6. 恶意代码防范7. 资源控制 应用安全 1.身份认证 2. 安全审计 3.
16、 剩余信息保护 4. 通信完整性和机密性保护 数据安全1.数据机密性保护 2.数据完整性保护 5.控制软件容错; 6.严格的访问; 7. 自动保护功能; 8. 资源控制; 等级保护的建设模式等级保护的建设模式满足政策要求满足标准要求满足用户自身要求安全现状差异性分析基本要求 等级保护的体系架构等级保护的体系架构通信网络区域边界计算环境安全管理中心构筑由安全管理中心统一管理下的计算环境、区域边界、通信网络三重防御体系。安全区域边界安全通信网络 等级保护的技术实现依据等级保护的技术实现依据1.信息系统定级2.等保建设立项3.信息安全威胁分析4.等保方案设计5.安全体系部署6.等保体系测评 等级保护
17、整改建设流程等级保护整改建设流程 流程一:信息系统定级流程一:信息系统定级 2007年开始,我国在全国范围展开了信息系统等级保护的定级工作,并在公安部进行了相关的备案。定级依据:信息系统安全保护等级定级指南(国家) XX行业信息系统安全保护等级定级指南谁主管、运营谁定级;拟确定为四级以上的信息系统需请国家信息安全保护等级专家评审委员会评审;信息系统定级情况要在公安部门报备;根据信息和信息系统遭到破坏或泄露后,对国家安全、社会秩序、公共利益及公民、法人和其他组织的合法权益的危害程度来进行定级。受侵害的客体对客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级
18、社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级1.受侵害客体;2.受侵害程度; 流程一:信息系统定级流程一:信息系统定级 信息系统等级保护建设,经过信息系统的运营、管理部门以及有关政府部门的批准,并列入信息系统运营单位或政府计划的过程。一项基本国策,一项基本制度,具有政策的强制性是办公电子化、业务信息化发展必需的保障手段用户业务开展的实际需求 流程二:等保建设立项流程二:等保建设立项需请相应级别、具有资质的测评中心进行风险评估; 风险评估是对信息资产面临的威胁、存在的弱点、造成的影响,以及三者综合作用而带来风险的可能性的评估。风险评估是确定信息安全需求的一个重要途径。风险评估完
19、成后出具评估报告和整改意见; 流程三:风险评估流程三:风险评估整改意见需求分析总体设计详细设计应急方案灾备方案方案与产品安全性论证项目预算项目实施方案设计产品选型技术指标信息系统等保体系建设目标 流程四:等保方案设计思路流程四:等保方案设计思路重视安全 技管兼行遵循政策 符合标准需求主导 突出重点整体规划 分步实施全局管理 统一标准适度安全 减少影响 流程四:等保方案设计原则流程四:等保方案设计原则满足政策要求满足标准要求满足用户自身要求安全现状差异性分析基本要求 流程四:需求分析方法流程四:需求分析方法安全现状与安全现状与基本要求基本要求的差异分析对照的差异分析对照标准要求是否满足相应措施物
20、理安全网络安全主机安全应用安全数据安全 流程四:需求分析方法流程四:需求分析方法二、安全需求分析一、项目背景四、等保技术体系设计三、方案总体设计六、等保管理安全设计五、等保物理安全设计八、产品选型与技术指标七、应急与灾备设计九、方案与产品安全性论证十一、实施方案设计十、项目预算经过信息安全等级保护专家论证通过 流程四:设计方案章节流程四:设计方案章节通信网络区域边界计算环境安全管理中心 流程四:等保体系整体架构流程四:等保体系整体架构统一规划,分步实施规范管理,责任落实确保安全,影响最小专家论证,内部验收计算环境区域边界通信网络 流程五:等保体系部署流程五:等保体系部署等保体系达标需请相应级别
21、、具有资质的测评中心进行等保测评;等保测评完成后出具测评报告和整改意见;等保体系测评信息等保整改通过未通过 以相应的政策、标准为基准,对等保体系进行风险评测,从面临的威胁、存在的弱点、造成的影响,以及三者综合作用角度,分析信息系统的等保体系是否达标。 流程六:等保体系测评流程六:等保体系测评安全区域边界安全通信网络构筑由安全管理中心统一管理下的计算环境、区域边界、通信网络三重防御体系。 流程七:等保体系整改建设完成流程七:等保体系整改建设完成1信息安全与等级保护信息安全与等级保护国家政策与标准规范国家政策与标准规范等保工作内容与建设流程等保工作内容与建设流程4325数据库管理安全基本要求数据库
22、管理安全基本要求数据库管理安全分级要求数据库管理安全分级要求数据库安全检查分析数据库安全检查分析5 数据库管理系统是信息系统的重要组成部分,特别是对于存储存储和管理数据资源管理数据资源的数据服务器是必不可少的。 数据库管理系统的主要功能是对数据信息进行结构化组织数据信息进行结构化组织与管理与管理,并提供方便的检索和使用。当前,常见的数据库结构为关系模式,多以表结构形式表示。 数据库管理系统安全就是要对数据库中存储的数据信息进行安全保护安全保护,使其免遭由于人为的和自然的原因所带来的泄露泄露、破坏破坏和不可用不可用的情况。 数据库管理系统介绍数据库管理系统介绍 数据库管理系统的安全既要考虑数据库
23、管理系统的安全运行保护,也要考虑对数据库管理系统中所存储存储、传输传输和处理处理的数据信息的保护(包括以库结构形式存储的用户数据信息和以其他形式存储的由数据库管理系统使用的数据信息)。 由于攻击和威胁既可能是针对数据库管理系统运行的,也可能是针对数据库管理系统中所存储、传输和处理的数据信息的保密性、完整性保密性、完整性和可用性可用性的,所以对数据库管理系统的安全保护的功能要求,需要从系统安全系统安全运行运行和信息安全保护信息安全保护两方面综合进行考虑。数据库管理系统的安全范围数据库管理系统的安全范围 标记 用户数据完整性身份鉴别 用户数据保密性安全审计 自主访问控制推理控制 强制访问控制可性路
24、径 数据流控制数据库管理系统安全功能基本要求数据库管理系统安全功能基本要求访问控制安全策略访问控制安全策略 应采用确定的安全策略模型实现强制访问控制。当前常用的安全策略模型是多级安全模型多级安全模型。该模型将安全控制范围该模型将安全控制范围内的所有主、客体成分通过标记设置敏感标记内的所有主、客体成分通过标记设置敏感标记。并按简单保密性原则确定的规则从下读、向上写,根据访问者主体和被访问者客体的敏感标记来实现主、客体之间每次访问的强制性控制。根据数据库管理系统的运行环境的不同强制访问控制分为: 1、 在单一计算机系统上或网络环境的多机系统上运行的单一数据库管理系统,访问控制所需的敏感标记存储在统
25、一访问控制所需的敏感标记存储在统一的数据库字典中,使用单一的访问规则实现的数据库字典中,使用单一的访问规则实现 2、 在网络环境的多机系统上运行的分布式数据库系统全局应用的强制访问控制应在全局DBMS层实现,局域应用的强制访问控制应在局部DBMS层实现。其所采用的访问规则是一致的。 访问控制粒度及特点访问控制粒度及特点 应根据数据库特点和不同安全保护等级的不同要求实现不同粒度的访问控制。这些特点主要是:1、数据以特定结构格式存放客体的粒度可以是关系数据库的表关系数据库的表、视图视图、元组元组(记录记录)、列列(字段字段)、元素元素(每个元组的字段每个元组的字段)、日志日志、片段片段、分区分区、
26、快照快照、约束约束和规则规则、DBMS核心代码核心代码、用户应用程序、存储过程、触发器、各种访问接口等用户应用程序、存储过程、触发器、各种访问接口等2、数据库系统有完整定义的访问操作3、 数据库是数据与逻辑的统一数据库中不仅存放了数据还存放了大量的用于管理和使用这些数据的程序这些程序和数据同样需要进行保护以防止未授权的使用、篡改、增加或破坏。4、 数据库中的三级结构(物理结构、逻辑结构、概念模型结构物理结构、逻辑结构、概念模型结构)和两种数据独立性(物理独立性、逻辑独立性物理独立性、逻辑独立性)大大减轻数据库应用程序的维护工作量但是由于不同的逻辑结构可能对应于相同的物理结构给访问控制带来新的问
27、题应对访问规则进行一致性检查5、分布式数据库管理系统中全局应用的访问控制应在全局DBMS层实现局部应用的访问控制应在局部DBMS层实现并根据需要各自选择不同的访问控制策略不同的访问控制策略。安全审计安全审计数据库管理系统的安全审计数据库管理系统的安全审计 1、建立独立独立的安全审计系统审计系统2、定义与数据库安全相关的审计事件3、设置专门的安全审计员4、设置专门用于存储数据库系统审计数据的安全审计库5、提供适用于数据库系统的安全审计设置、分析和查阅的工具。用户数据完整性用户数据完整性1、数据库管理系统应确保数据库中的用户数据具有实体完整性实体完整性和参照完整性参照完整性。关系之间的参照完整性规
28、则是“连接”关系运算正确执行的前提。2、用户定义基本表时应说明主键主键、外键被引用表外键被引用表、列列和引用行引用行为为。当数据录入、更新、删除时应由数据库管理系统根据说明自动维护实体完整性和参照完整性。用户定义完整性用户定义完整性1、数据库管理系统应提供支持用户定义完整性的功能。系统应提供定义和检查用户定义完整性规则的机制其目的是用统一的方式由系统处理而不是由应用程序完成从而不仅可以简化应用程序还提高了完整性保证的可靠性。 2、数据库管理系统应支持为约束或断言命名(或提供默认名称)定义检查时间、延迟模式或设置默认检查时间和延迟模式支持约束和断言的撤消。1、用户定义基本表基本表时应定义主键和外
29、键。主键和外键。2、对于候选键候选键应由用户指明其唯一性。唯一性。3、对于外键用户应指明被引用关系和引用行为。外键用户应指明被引用关系和引用行为。4、应由数据库管理系统检查对主键、外键、候选键数据操作是否符合完整性要求不允许提交任何违反完整性的事务。5、删除或更新某元组时数据库管理系统应检查该元组是否含有外键若有应根据用户预定义的引用行为进行删除。数据操作的完整性数据操作的完整性用户数据保密性用户数据保密性1、存储数据保密性存储数据保密性数据库管理系统应确保数据库中存储的用户数据的保密性。2、传输数据保密性传输数据保密性数据库管理系统应确保数据库中传输的用户数据的保密性。 数据库管理系统大量使
30、用的动态资源多由操作系统分配。实现客体安全重用的操作系统客体安全重用的操作系统和数据库管理系统数据库管理系统应满足以下要求:1、数据库管理系统提出资源分配要求如创建新库、数据库设备初始化等所得到的资源不应包含该客体以前的任何信息内容。不应包含该客体以前的任何信息内容。2、数据库管理系统提出资源索回要求应确保这些资源中的全部信息被清除。3、数据库管理系统要求创建新的数据库用户进程应确保分配给每个进程的确保分配给每个进程的资源不包含残留信息资源不包含残留信息 。4、数据库管理系统应确保已经被删除或被释放的信息不再是可用的。已经被删除或被释放的信息不再是可用的。客体重用客体重用可信路径可信路径 在数
31、据库用户进行注册或进行其他安全性操作时应提供用户之间的可信通信通路实现用户与SSF间的安全数据交换。推理控制推理控制 应采用推理控制的方法防止数据库中的用户数据被非授权地获取。 运用推理方法获取权限以外的数据库信息是一种较为隐蔽的信息攻击方法。 在具有较高安全级别要求的数据库系统中应考虑对这种攻击的防御。1信息安全与等级保护国家政策与标准规范等保工作内容与建设流程4325数据库管理安全基本要求数据库管理安全分级要求数据库安全检查分析5数据库管理安全分级要求数据库管理安全分级要求用户自主保护级系统审计保护级结构化保护级访问验证保护级安全标记保护级数据库管理安全功能数据库管理安全功能安全功能身份鉴
32、别资源利用配置管理安全管理自主访问控制用户数据完整性自身安全保护物理安全保护运行安全保护数据安全保护生存周期支持 身份鉴别包括对用户的身份进行标识身份进行标识和鉴别鉴别。根据GBT 202712006中的要求从以下方面设计和实现数据库管理系统的身份鉴别功能: 1、对进入数据库管理系统的用户进行身份标识按以下要求设计 凡需进入数据库管理系统的用户应先进行标识(建立账号建立账号)数据库管理系统用户标识一般使用用户名用户名和用户标识符用户标识符(UIDUID)2、对登录到数据库管理系统的用户身份的真实性进行鉴别按以下要求设计采用口令进行鉴别并在每次用户登录系统时进行鉴别口令应是不可见的并在存储时有安
33、全保护通过对不成功的鉴别尝试的值(包括尝试次数和时间的阈值)进行预先定义并明确规定达到该值时应采取的措施来实现鉴别失败的处理。 3、对注册到数据库管理系统的用户应按以下要求设计和实现用户一主体绑定功能将用户进程与所有者用户相关联使用户进程的行为可以追溯到进程的所有者用户将系统进程动态地与当前服务要求者用户相关联使系统进程的行为可以追溯到当前服务的要求者用户。 身份鉴别身份鉴别自主访问控制自主访问控制 自主访问控制,访问操作、访问规则、和授权传播的描述按照GBT 202712006中的要求从以下方面设计和实现数据库管理系统的自主访问控制功能 : 1、允许命名用户的身份规定并控制对客体的访问并阻止
34、非授权用户对客体的访问 2、用目录表访问控制、存取控制表访问控制、能力表访问控制等访问控制表访问控制确定主体对客体的访问权限 3、自主访问控制主体的粒度应是用户级客体的粒度应是表级和或记录、字段级 4、自主访问控制应与身份鉴别和审计相结合通过确认用户身份的真实性和记录用户的各种成功的或不成功的访问使用户对自己的行为承担明确的责任 5、应限制授权传播要求对不可传播的授权进行明确定义提供支持由系统自动检查并限制这些授权的传播。 按GBT 20271-2006中的要求从以下方面实现的运行安全保护 1、系统在设计时不应留有“后门”。即不应以维护、支持或操作需要为借口设计。2、安全结构应是一个独立的、严
35、格定义的系统软件的一个子集并应防止外部干扰和破坏如修改其代码或数据结构 。3、应提供设置和升级配置参数的安装机制在初始化和对与安全有关的数据结构进行保护之前应对用户和管理员的安全策略属性进行定义。4、当数据库管理系统安装完成后在普通用户访问之前系统应配置好初始用户和管理员职责、审计参数、系统审计跟踪设置以及对客体的合适的访问控制。5、在失败或中断后应保护其以最小的损害得到恢复并按照失败保护中所描述的内容实现对SSF出现失败时的处理。 运行安全保护运行安全保护 按GBT 202712006中的要求从以下方面进行的开发 1、按非形式化安全策略模型、完全定义的外部接口、描述性高层设计、SSF子集实现
36、、SSF内部结构层次化、描述性低层设计、非形式化对应性说明的要求进行设计2、系统的设计和开发应保护数据的完整性例如检查数据更新的规则多重输入的正确处理返回状态的检查中间结果的检查合理值输入检查事务处理更新的正确性检查等 3、在内部代码检查时应解决潜在的安全缺陷关闭或取消所有的后门4、交付的软件和文档应进行关于安全缺陷的定期的和书面的检查并将检查结果告知用户 5、由系统控制的敏感数据敏感数据如口令、密钥口令、密钥等不应在未受保护的程序或文档中以明文形式存储6、应以书面形式提供给用户关于软件所有权法律保护的指南。 开开 发发应按GBT 202712006中要求从以下方面实现访问控制:1、按会话建立
37、机制的要求对会话建立的管理进行设计。在建立会话之前应鉴别用户的身份登录机制不允许鉴别机制本身被旁路。 2、按多重并发会话限定中基本限定的要求进行会话管理的设计。在基于基本标识的基础上SSF应限制系统的并发会话的最大数量并应利用默认值作为会话次数的限定数。 3、按可选属性范围限定的要求选择某种会话安全属性的所有失败的尝试对用来建立会话的安全属性的范围进行限制。 4、成功登录系统后应记录并向用户显示以下数据: 日期、时间、来源和上次成功登录系统的情况日期、时间、来源和上次成功登录系统的情况上次成功访问系统以来身份鉴别失败的情况上次成功访问系统以来身份鉴别失败的情况 应显示口令到期的天数应显示口令到
38、期的天数 成功或不成功的事件次数的显示可以用整数计数、时间戳列表等表述方法。成功或不成功的事件次数的显示可以用整数计数、时间戳列表等表述方法。 5、在规定的未使用时限后系统应断开会话或重新鉴别用户系统应提供时限的默认值。 6、当用户鉴别过程不正确的次数达到系统规定的次数时系统应退出登录过程并终止。7、系统应提供一种机制能按时间、进入方式、地点、网络地址或端口等条件规定哪些用户能进入系统。 访问控制访问控制 数据库管理系统DBMS是指对以库结构形式存储在计算机系统中的数据进行管理的人机系统。安全的数据库管理系统需要有相应的安全硬件、安全操作系统来支持并在硬件、软件和人员方面有自身的特殊要求。 硬
39、件方面由于数据库存放大量数据DBMS自身体积大因此对硬件资源提出了较高要求主要是:1、应有足够大的内存用来运行操作系统、DBMS核心模块和应用程序及作为数据缓冲区2、应有大容量的直接存取存储设备和用作数据备份的存储介质如磁带等3、应有较高的数据传输能力应尽量降低因安全策略如加密传输、事务管理的实施带来的附加开销保证系统的可用性 4、实现某些安全功能如数据加密/解密可能需要附加硬件及对附加硬件的管理。 软件方面包括I)BMS、支持DBMS运行的操作系统及其接口的安全与数据库管理系统的安全密切相关应为数据库管理系统提供安全的支持。 人员管理方面数据库管理系统应有专门的安全管理机构和人员设置包括数据
40、库系统管理员、数据库系统安全员、数据库系统审计员。数据库管理系统安全的特殊要求数据库管理系统安全的特殊要求 数据库管理系统的安全性主要体现在:数据库管理系统的安全性主要体现在:1、保密性保护存储在数据库中的数据不被泄露和未授权的获取2、完整性保护存储在数据库中的数据不被破坏和删除3、一致性确保存储在数据库中的数据满足实体完整性、参照完整性和用户定义完整性要求 4、可用性确保存储在数据库中的数据不因人为的和自然的原因对授权用户不可用。数据库管理系统的安全性数据库管理系统的安全性 数据库管理系统的用户管理数据库管理系统的用户管理 具有以下特点:具有以下特点:1、拥有大量用户且用户具有不同身份享有不
41、同权限 2、需要对特权用户(如数据库系统管理员、安全管理员审计员)进行严格管理3、数据库系统可以包含多个数据库,一个用户可以同时使用多个数据库。1信息安全与等级保护国家政策与标准规范等保工作内容与建设流程4325数据库管理安全基本要求数据库管理安全分级要求数据库安全检查分析51 1)检查用户口令复杂度,找出弱口令和配置安全策略;)检查用户口令复杂度,找出弱口令和配置安全策略;2 2)数据库账户权限设置不当;)数据库账户权限设置不当;3 3)数据库中多余的运维账户或过期账户未被及时清除;)数据库中多余的运维账户或过期账户未被及时清除;4 4)数据库安全审计功能处于关闭状态;)数据库安全审计功能处
42、于关闭状态;5 5)数据库补丁未升级和高、中等级漏洞,如:)数据库补丁未升级和高、中等级漏洞,如:SQLSQL注入注入和缓冲区溢出漏洞,带有攻击性,要引起重视。和缓冲区溢出漏洞,带有攻击性,要引起重视。 数据库安全检测,一般需要在应用系统不繁忙的时候使用数据库漏扫工具进行自动化的数据库弱点评估,按等保要求一般检测如下几点:数据库安全检测数据库安全检测 检查用户口令复杂度,找出弱口令弱口令和配置安全策略配置安全策略,首先要求对数据库弱口令的检测要有充足的弱口令字典弱口令字典和口令算法破解程序口令算法破解程序,通过能够通过授权和非授权的弱口令扫描方式,实现弱口令的自动化发现,同时提供与口令和缺省账
43、户相关的安全配置项检查和修复建议,如:连续登连续登录的失败次数录的失败次数、登录失败后锁定时间登录失败后锁定时间、密码账户的有效期密码账户的有效期等。 数据库账户密码管理数据库账户密码管理 数据库安全审计功能处于关闭状态;从数据库运行性能考虑不推荐开启审计功能,开启审计功能会对生产数据库产生一定的性能影响,但是数据库的操作必须要有独立的审计日志,在出现非法篡改非法篡改和数据泄漏数据泄漏的时候,能够追责和定责,而且这些审计数据要符合数据的独立性独立性、完整完整性性和安全性安全性,因此,美创建议采用全面、精确的数据库审计设备来实现数据库操作记录。数据库安全审计数据库安全审计 上述这两点要通过检测工
44、具和人工确认共同完成,首先要通过数据库漏扫工具快速发现当前数据库类型都有哪些账户和他们的权限,但是,这些账户只有通过与系统管理员核实,才有可能确定是否属于废弃的运维账户忘记回收了,账户的权限过大,过期账户是否锁定或删除,正确处理这些账户才能防止被黑客恶意提权,利用这些账户篡改和查询敏感信息。1、数据库账户权限设置不当;数据库账户权限设置不当;2、数据库中多余的运维账户或过期账户未被及时清除;数据库中多余的运维账户或过期账户未被及时清除;权限管理权限管理 数据库补丁未升级和高、中等级漏洞,如:SQLSQL注入注入和缓冲区溢出漏洞缓冲区溢出漏洞,带有攻击性,要引起重视。 数据库补丁未升级和安全漏洞
45、问题,如果检测出来单纯靠升级数据库补丁的方式来解决,有可能在升级补丁后影响前台应用,建议采用数据库防火墙的虚拟补丁数据库防火墙的虚拟补丁实现网络层的数据库漏洞防护。补丁漏洞补丁漏洞数据库安全综合防御数据库安全综合防御验证:变更账户验证为终端验证。监视失败数据库登录。链路加密:网络链路加密权限:建立账户管理员,授权管理员和DBA的三权分离机制。监视账户和权限:监视任意的账户和权限操作。敏感数据:敏感数据从DBA脱离,使DBA不再天然访问敏感数据。DDL监视:任意的DDL监视,关注对象变更。SQL注入监视:监视SQL注入敏感对象访问监视:监视敏感对象的访问漏洞访问监视:监视漏洞访问及时修复安全补丁
46、系统包访问监视:监视系统包的访问完整性检查:定期执行完整性比对检查版本管理:定期执行版本管理PUBLIC权限:收回不必要的PUBLIC权限,尤其是涉及到网络功能。卸载不必要的功能:仅仅安装需要的组件。操作系统访问:除非应用必须,任何人禁止访问操作系统。不要仅仅依赖基于网络的审计,网络审计存在审计不全面等问题。数据库安全综合防御数据库安全综合防御 保护敏感数据,避免在运维过程中泄露保护敏感数据,避免在运维过程中泄露- 敏感数据定义和分级分类- 隔离特权账户与敏感数据 运维人员管理与运维合规管理运维人员管理与运维合规管理- DBA等运维人员合规管理- 丰富多种的法规遵循模板与各种管理性报表,满足相
47、关标准要求 危险性操作控制、数据库误操作防御与快速恢复危险性操作控制、数据库误操作防御与快速恢复- 危险性操作访问控制、降低误操作的发生概率- 引入垃圾箱机制,快速恢复误操作 构建黑客入侵的最后防线,保障数据的保密性、完整性和有效性构建黑客入侵的最后防线,保障数据的保密性、完整性和有效性- 脱离依赖账户密码的数据库准入机制,阻断入侵者进入数据库- 隔离并保护敏感数据,阻击入侵者访问和破坏- 受保护的敏感操作,阻断入侵者进一步操作 运维工作日志、风险告警和风险分析报告运维工作日志、风险告警和风险分析报告- 全面实时洞察运维操作、及时响应安全风险- 日常性运维工作日志和运维安全报告- 多种安全报表展示形式谢谢聆听
