数据保密性
参考文档:通信加密 | 达梦技术文档
测评项:a)应采用密码技术保证重要数据在传输过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等;
达梦数据库的SSL模式运行于TCP/IP四层模式时,在传统双向认证的基础上区分为SSL认证(证书验证)和SSL加密(数据传输)
| ENABLE_ENCRYPT 数值 | SSL认证(鉴别数据) | SSL加密(业务数据等) |
| 0 | aes-256-cfb | 无 |
| 1 | 启用,以SSL证书算法为准 | 启用,以当前会话为准 |
| 2 | 启用,以SSL证书算法为准 | 无 |
| 4 | aes-256-cfb | 启用,以当前会话为准(客户端未配置则不加密) |
SELECT * FROM V$PARAMETER WHERE NAME='ENABLE_ENCRYPT';
达梦数据库的SSL模式支持低版本TLS,建议手动核查 dm.ini 的会话版本。MIN_SSL_VERSION 应取值为 0x0303 或 0x0304 。
达梦数据库的SSL模式也支持运行于TCP/IP七层模式。当SSL证书未配置时,应用层也存在未加密的可能性。
| COMM_ENCRYPT_NAME 数值 | 业务数据等 |
| NULL | 未加密 |
| 数值不规范 | aes-256-cfb |
| 数值规范 | 以实际为准 |
// 当前会话已采用的加密算法
SELECT * FROM V$PARAMETER WHERE NAME='COMM_ENCRYPT_NAME';
// 达梦数据库可支持的算法
SELECT CYT_NAME FROM V$CIPHERS WHERE (CYT_TYPE=1 OR CYT_TYPE=2 ) AND (WORK_MODE!='ECB_NOPAD' AND WORK_MODE!='CBC_NOPAD');
测评项:b)应采用密码技术保证重要数据在存储过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等。
数据库创建时支持定义 ENCRYPT_NAME 进行全库加密,但未定义则不加密。
select SF_GET_ENCRYPT_NAME();
参考文档:登录用户名密码增强加密 | 达梦技术文档
当全盘加密未开启时,达梦数据库支持使用公私钥对称加密对鉴别数据进行保存。相关公私钥保存路径查阅 dm_svc.conf 中 LOGIN_CERTIFICATE 的配置路径(通常在 SYSTEM_PATH ),常见名称有 dm_login.prikey 等。
No comments to display
No comments to display