安全增强选件
Vastbase E100本身具备较强的安全性,而针对需要满足更强安全性要求的场景,比如说为满足《GB/T 20273-2006信息安全技术数据库管理系统安全技术要求》等政策法规而进行安全性增强整改等,Vastbase E100提供安全性增强的选项,以帮助用户提升数据库的安全性与合规性。
强制访问控制
强制访问控制使用数据安全标签实现:
数据安全标签
数据安全标签是根据客体和主体的敏感标记对客体访问实行限制的一种方法。Vastbase E100数据库安全增强选件利用敏感标记和策略来实现强制访问控制。
通过对涉及敏感数据的行进行敏感数据标签,并配置读写策略,用户可实现对存在敏感数据的记录根据用户权限级别进行访问限制上的区分。此配置必须由具备”数据库安全员”身份的用户进行修改,可实现对包括数据库管理员在内的非授权用户的数据访问权限进行控制,有效防止敏感数据泄露。
Vastbase E100数据库数据安全标签可以是表级、行级或者是列级,甚至是混合策略。
数据库审计
Vastbase E100安全增强选项提供了对所有数据库用户的行为进行事后审计的能力。通过独立的审计库auditdb,记录发生于每一个开启了行为审计的库上的所有用户的操作,并由审计员对用户行为的合规性进行监督,及时发现违规操作或具有安全风险的不合理操作,以便做出预警或发起安全整改。
Vastbase E100安全增强选项的目前提供三种类型的审计:
身份鉴别审计
审计用户登录数据库事件。
语句审计
审计用户执行的所有SQL语句。
对象审计
审计用户对数据对象的DDL和DML等操作。
只有审计员具备对审计库auditdb的记录进行查询的权限,以及对审计规则进行新建、修改和删除。
透明存储加密
为了防止数据文件被窃取后泄露用户数据,Vastbase E100安全增强选项提供了全库透明加密功能。该功能使用完整性校验算法CRC以及加密算法AES256实现,数据将在写入磁盘时被自动加密,从磁盘中读取时被自动解密,整个过程对用户以及上层应用是透明的。由于数据读写时需要进行额外的加解密操作,故会对数据库性能造成一定影响。