等保2.0数据库测评之人大金仓（KingbaseES）数据库测评.pdf

等保2.0数据库测评之⼈⼤⾦仓KingbaseES数据库测评

⼀､⼈⼤⾦仓数据库介绍

⾦仓数据库管理系统KingbaseESV8R6是⼀个⼤型通⽤数据库管理系统DBMS

该产品⾯向事务处理类应⽤兼顾各类数据分析类应⽤可⽤于管理信息系统､业务

及⽣产系统､决策⽀持系统､多维数据分析､全⽂检索､地理信息系统､图⽚搜索等

的承载数据库｡KingbaseESV8R6提供可在电⼒､⾦融､电信等核⼼业务系统⾼度

容错稳定可靠的功能体系｡

本次安装环境为Windows10专业版操作系统数据库版本为V8R6单机部署过程⽐

较简单就不在此进⾏讲解｡本⽂针对KingbaseES等保测评进⾏实际操作不妥之处

还恳请留⾔指正共同学习｡

KingbaseES能⼒结构图

⼆､等保测评

身份鉴别

a)应对登录的⽤户进⾏身份标识和鉴别身份标识具有唯⼀性身份鉴别

信息具有复杂度要求并定期更换

1KingbaseES⽀持基于强化⼝令的身份鉴别它包括对数据库⽤户施加⼝令复杂度

检查､账户和⼝令有效期限设置､账户锁定等安全策略管理等机制｡此外

KingbaseES还⽀持基于Kerberos､Radius､LDAP认证协议和CA等技术在内的与

第三⽅身份认证产品相结合的外部统⼀身份鉴别或集中化身份认证⽅式｡

如果直接进⼊数据库则未对⽤户进⾏身份鉴别判不符合

如果⽆法登录则表明对⽤户进⾏了身份鉴别则需要根据⼝令策略再进⾏判定｡

2KingbaseES通过插件的⽅式来进⾏⼝令的复杂度管理修改kingbase.conf⽂件

中shared_preload_libraries参数后重启数据库创建插件并打开密码复杂度开关｡

密码复杂度开关默认为关闭状态｡

b)应具有登录失败处理功能应配置并启⽤结束会话､限制⾮法登录次数

和当登录连接超时⾃动退出等相关措施

1)KingbaseES通过插件的⽅式来进⾏登录失败处理管理修改

kingbase.conf⽂件中shared_preload_libraries参数后重启数据库｡

允许⽤户连续登录失败的最⼤次数通过参数sys_audlog.error_user_connect_times

配置⽤户登录失败的次数⼤于超过该值⽤户⾃动锁定取值范围为

[0,INT_MAX]缺省为

0｡

设置密码连续最⼤失败次数为10

ALTERSYSTEMSETsys_audlog.max_error_user_connect_times=10;

CALLsys_reload_conf();

⽤户登录失败次数的最⼤值界限通过参数

sys_audlog.max_error_user_connect_times配置error_user_connect_times的

最⼤取值取值范围为[0,INT_MAX]缺省为2147483647｡

设置密码连续最⼤失败次数为6

ALTERSYSTEMSETsys_audlog.error_user_connect_times=6;

CALLsys_reload_conf();

1.⽤户被锁定时间通过参数sys_audlog.error_user_connect_interval配置若⽤

户被锁定的时间