数据保密性
参考文档:通信加密 | 达梦技术文档
测评项:a)应采用密码技术保证重要数据在传输过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等;
达梦数据库的SSL模式运行于TCP/IP四层模式时,在传统双向认证的基础上区分为SSL认证(证书验证)和SSL加密(数据传输)
| ENABLE_ENCRYPT 数值 | SSL认证(鉴别数据) | SSL加密(业务数据等) |
| 0 | aes-256-cfb | 无 |
| 1 | 启用,以SSL证书算法为准 | 启用,以当前会话为准 |
| 2 | 启用,以SSL证书算法为准 | 无 |
| 4 | aes-256-cfb | 启用,以当前会话为准(客户端未配置则不加密) |
SELECT * FROM V$PARAMETER WHERE NAME='ENABLE_ENCRYPT';
SELECT CYT_NAME FROM V$CIPHERS WHERE (CYT_TYPE=1 OR CYT_TYPE=2 ) AND (WORK_MODE!='ECB_NOPAD' AND WORK_MODE!='CBC_NOPAD');
SELECT * FROM V$PARAMETER WHERE NAME='COMM_ENCRYPT_NAME';
达梦数据库的SSL模式支持低版本TLS,建议手动核查 dm.ini 的会话版本。MIN_SSL_VERSION 应取值为 0x0303 或 0x0304 。
达梦数据库的SSL模式也支持运行于TCP/IP七层模式。当SSL证书未配置时,应用层也存在未加密的可能性。
| COMM_ENCRYPT_NAME 数值 | 业务数据等 |
| NULL | 未加密 |
| 数值不规范 | aes-256-cfb |
| 数值规范 | 以实际为准 |
测评项:b)应采用密码技术保证重要数据在存储过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等。
DM 提供了全面的数据加密的功能,包括:
透明加密:自带的,在透明加密中,密钥生成、密钥管理和加解密过程由数据库管理系统自动完成,用户不可见。透明加密主要分全库加密、表空间透明加密、表列透明加密。
全库加密:指定全库加密时,在 DM 数据库服务器启动及运行的过程中,需要对处理的所有数据页通过指定的加密算法和 DM 自动生成的密钥进行加解密处理。
(1)查看是否指定全库加密(若加密,则值应为1,否则为未加密):
select SF_GET_ENCRYPT_NAME();
(2)表空间透明加密(与全库加密冲突,二者只能选择其一)
SELECT
TABLESPACE_NAME,
ENCRYPTED
FROM
DBA_TABLESPACES;
(3)表列透明加密:
SELECT * FROM DBA_ENCRYPTED_COLUMNS;
半透明加密:需要用户制定存储加密密钥(同上)。
非透明加密:需要用户通过其他第三方接口实现加密。
注:数据完整性以及保密性更详细资料请查阅:https://eco.dameng.com/document/dm/zh-cn/pm/storage-encryption.html