金仓数据库安全防护体系解析：从技术原理到落地实践

金仓数据库安全防护体系解析：从技术原理到落地实践

• • 一、用户身份与认证：筑牢安全第一道防线
  • • [1.1 三权分立：破解超级用户权限集中难题](#1.1 三权分立：破解超级用户权限集中难题)
    • [1.2 多维度身份认证：从口令保护到强身份校验](#1.2 多维度身份认证：从口令保护到强身份校验)
    • • （1）口令全生命周期安全管理
      • （2）多样化强身份认证
  • 二、权限与访问控制：精细化管控数据访问路径
  • • [2.1 权限与角色：简化权限管理流程](#2.1 权限与角色：简化权限管理流程)
    • • （1）权限分类与灵活授权
      • （2）PUBLIC角色：控制默认权限
    • [2.2 强制访问控制（MAC）：高敏感数据的刚性防护](#2.2 强制访问控制（MAC）：高敏感数据的刚性防护)
    • • （1）安全标记：数据敏感度的核心标识
      • （2）访问仲裁规则：刚性控制数据流向
  • 三、数据加密：全生命周期保护数据机密性
  • • [3.1 透明存储加密（TDE）：无感知加密保护](#3.1 透明存储加密（TDE）：无感知加密保护)
    • [3.2 数据传输加密：杜绝传输过程中的数据泄露](#3.2 数据传输加密：杜绝传输过程中的数据泄露)
    • [3.3 手动加密函数：主动防护敏感数据](#3.3 手动加密函数：主动防护敏感数据)
  • 总结：构建全流程、可落地的KingbaseES安全防护闭环

数字化转型的深入推进，让数据库成为企业核心数据资产的"承载中枢"，其安全防护能力直接决定企业数据主权与业务连续性。然而，超级用户权限集中、数据越权访问、传输存储泄露等安全痛点，始终困扰着企业运维与安全团队。

作为国内自主研发的高等级安全数据库，金仓数据库KingbaseES构建了覆盖"身份认证-权限管控-数据加密-运维应急"的全链条安全防护体系，既具备国家信息安全产品认证等权威资质，又能精准适配不同安全等级场景需求。本文将立足实战视角，深度拆解这套安全体系的核心特性，配套可直接复用的实操代码与配置细节，为企业提供一套从技术落地到日常运维的完整数据库安全解决方案。

一、用户身份与认证：筑牢安全第一道防线

数据库安全的第一道门槛，肯定是用户身份管得住、认的准。KingbaseES靠"三权分立"架构和多层认证机制把源头风险堵死，这也是我们每次部署必重点盯的基础配置，具体拆成两个核心方向：

1.1 三权分立：破解超级用户权限集中难题

以前很多数据库都有个通病：超级用户权限太大，出问题都没法追溯。KingbaseES在系统初始化时就直接解决了这个问题------自动建三类权责分明的管理员，形成互相牵制的格局：

• 数据库管理员（system）：管日常运维，比如建表、导数据这些，核心限制------碰不了安全配置和审计日志，避免越权改规则；

• 安全管理员（sso）：专管安全策略，比如设访问规则、管安全员账号，限制------不能碰业务数据和业务对象，防止干预业务；

• 审计管理员（sao）：只做审计相关的事，比如配审计规则、查操作日志，还能监督另外两个管理员，限制------没法创建业务相关的表、视图。

实操的时候要注意三个关键点：

• 权限边界不能破：system管不了sso和sao的账号，sso只能管同类型安全员，sao也只能维护审计员；

• 细化权限靠插件：加载sso_update_user插件就能进一步收权，比如不让system创建用户时自己设密码，代码很简单：

-- 加载权限细化插件
LOAD 'sso_update_user';
-- 限制system用户设置普通用户密码
ALTER SYSTEM SET sso.update_user.password_control = 'only_sso';
CALL sys_reload_conf();

这样就能让安全管理员统一管密码，从源头避免弱口令；

日常检查：定期用查询语句核对三类账号的权限，避免误配置：

-- 查看三类管理员账号及权限
SELECT usename, usecreatedb, usesuper, userepl FROM sys_user 
WHERE usename IN ('system', 'sso', 'sao');

1.2 多维度身份认证：从口令保护到强身份校验

光有权限拆分还不够，身份认证得有层次------普通业务用简单口令，高安全场景用强认证。下面分两种常见场景说实操配置：

（1）口令全生命周期安全管理

口令是基础，但很多安全事故都是弱口令导致的。我们实操中会从四个维度配置，每个维度都有具体要求和代码：

• 加密存储：默认scram-sha-256，政务场景切国密

-- 切换口令加密为SM3国密算法
ALTER SYSTEM SET password_encryption = 'sm3';
CALL sys_reload_conf();

• 复杂度管控：passwordcheck插件强制规则

-- 加载密码检查插件
CREATE EXTENSION passwordcheck;
-- 配置12位复杂度要求（postgresql.conf）
passwordcheck_min_length = 12

• 全周期管控：有效期与锁定策略

-- 设90天口令有效期
ALTER ROLE app_user VALID UNTIL '90 days';
-- 5次失败锁定30分钟
ALTER SYSTEM SET login_failed_lock_count = 5;

• 空闲连接防护：30分钟超时断开

ALTER SYSTEM SET client_idle_timeout = '30min';
CALL sys_reload_conf();

（2）多样化强身份认证

金融、政务这些高安全场景，单一口令不够，必须上强认证，四种常用方式的实操重点和代码：

• Kerberos认证（跨域）：sys_hba.conf配置

host all all 192.168.1.0/24 gss include_realm=0

• LDAP认证（统一身份）：对接企业LDAP

host all all 10.0.0.0/8 ldap ldapserver=ldap.company.com

• SSL客户端证书认证（防仿冒）

hostssl all all 172.16.0.0/12 scram-sha-256 clientcert=1

• 国密SM2认证（合规）

ALTER SYSTEM SET ssl_ciphers = 'SM2';
CALL sys_reload_conf();

这些认证不是随便配的，要按场景分：核心业务库只开SSL证书认证，只允许办公网IP段访问；普通查询库可以开LDAP统一认证。最后提醒下，所有认证规则都在sys_hba.conf里，改完要重载配置才能生效：

CALL sys_reload_conf();

二、权限与访问控制：精细化管控数据访问路径

身份认对了，接下来就是控制"能访问什么数据"。KingbaseES用RBAC角色模型，再加上自主访问（DAC）和强制访问（MAC）两种控制方式，能做到从库级到列级的精细管控。多部门协作的企业，这部分配置好了能少很多数据泄露风险，具体拆成角色管理和强制访问两部分说：

2.1 权限与角色：简化权限管理流程

（1）权限分类与灵活授权

权限分三类，不同层级的控制需求对应不同权限，实操中要精准分配，避免权限过大：

• 系统权限：仅核心管理员可拥有

-- 授予建库权限给system
GRANT CREATE DATABASE TO system;

• 对象权限：按业务分配表操作权限

-- 给业务用户查订单表权限
GRANT SELECT ON orders TO business_user;

• 列级权限：细化敏感字段访问

-- 仅财务可查基本工资列
GRANT SELECT (basic_salary) ON salary TO finance_user;

如果用户多、权限杂，一个个授权太麻烦，用角色管理效率高很多。核心思路是"按岗位建角色，按角色赋权限"，实操步骤和代码：

1. 创建角色

CREATE ROLE order_business;

2. 给角色赋权限

GRANT SELECT, INSERT ON orders TO order_business;

3. 角色赋用户

GRANT order_business TO user1, user2;

4. 调整角色权限

GRANT DELETE ON orders TO order_business;

（2）PUBLIC角色：控制默认权限

PUBLIC角色是个"共享角色"，所有用户都默认继承它的权限，默认有连接库、建临时表这些基础权限。实操中一定要注意收缩，不然普通用户可能乱建对象占资源。重点配置：

-- 撤销PUBLIC角色的建表权限

REVOKE CREATE ON SCHEMA public FROM PUBLIC;

-- 撤销PUBLIC角色的建临时表权限（按需）

REVOKE TEMPORARY ON DATABASE kingbase FROM PUBLIC;

-- 只给特定用户授予连接权限

GRANT CONNECT ON DATABASE kingbase TO business_user;

多租户场景下这步更关键，能避免不同租户的用户互相干扰资源。

2.2 强制访问控制（MAC）：高敏感数据的刚性防护

如果是政务、军工这种对数据安全要求极高的场景，光靠自主访问控制还不够，必须上强制访问控制（MAC）------不管用户有没有权限申请，不符合规则就绝对不让访问。核心是靠"安全标记"来管控，具体拆成标记创建和规则配置两步：

（1）安全标记：数据敏感度的核心标识

安全标记就像给数据和用户贴"安全标签"，标签由两部分组成，少了哪部分都不行：

• 等级：代表数据敏感程度，比如"普通"<"秘密"<"机密"，高等级能管低等级，不能反过来；

• 范围：代表数据所属部门，比如"财务""人事""研发"，只有同范围或包含范围的用户才能访问。

安全管理员要按步骤创建策略、等级、范围、标记，再给用户和数据分配，完整实操代码：

1. 创建强制访问策略SELECT sysmac.create_policy('p1', 'p1_column', false);

2. 创建敏感度等级
SELECT sysmac.create_level('p1', 'secret', 20);

3. 创建数据范围SELECT sysmac.create_compartment('p1', 'finance', 20);

4. 创建安全标记
SELECT sysmac.create_label('p1', 'secret:finance', 100);

5. 给用户分配标记
SELECT sysmac.set_role_label('p1', 'finance_mgr', 'secret:finance');

6. 给表分配标记
ALTER TABLE finance_core ADD COLUMN p1_column sysmac_label;

（2）访问仲裁规则：刚性控制数据流向

标记分配完，就靠"向下读、向上写"的规则来管控，这是硬性规则，改不了，具体理解和实操注意点：

• 读访问：用户标记必须"罩得住"数据标记。比如财务经理（机密+财务）能读财务普通数据（普通+财务），但人事用户（秘密+人事）读不了财务数据；

• 写访问：数据标记必须"罩得住"用户标记最小等级。比如财务普通用户（普通+财务）能往机密财务表写数据，但不能往人事表写。

-- 验证访问规则（只有符合规则才返回数据）
SELECT * FROM finance_core WHERE p1_column = sysmac_label('p1', 'confidential:finance');

这种刚性规则的好处是"不看人脸色"，不管谁申请，不符合标记规则就绝对访问不了。比如要让财务数据不被人事部门访问，只要把两者的范围标记分开，再配置规则就行，从技术上杜绝越权访问。

三、数据加密：全生命周期保护数据机密性

数据光防越权还不够，存储和传输过程中被窃取也不行。KingbaseES有三套加密机制：透明存储加密（TDE）、传输加密、手动加密，覆盖数据从存到用的全流程。我们实操中会按"存储必加密、传输必加密、敏感字段额外手动加密"的原则来配置，具体拆成三个部分说：

3.1 透明存储加密（TDE）：无感知加密保护

透明存储加密（TDE）最大的好处是"对应用透明"------不用改一行代码，数据存到磁盘就是加密的，读的时候自动解密。实操中常用表级和表空间级两种加密，按需选择：

• 表加密：适合单张敏感表，比如用户信息表，创建时直接加ENCRYPTED关键字，示例：

-- 自定义密钥加密（密钥要妥善保管）
CREATE TABLE user_info(
    id int PRIMARY KEY,
    id_card varchar(18) NOT NULL,
    phone varchar(11) NOT NULL
) ENCRYPTED BY 'Kingbase@2024#Sec';

-- 随机密钥加密（数据库自动生成管理密钥）
CREATE TABLE user_info(
    id int PRIMARY KEY,
    id_card varchar(18) NOT NULL
) ENCRYPTED;

• 表空间加密：适合批量敏感表，比如所有财务表，创建表空间时启用加密，后续建表指定这个表空间；
• 密钥管理：保障加密体系安全

加密的核心是密钥，密钥丢了数据就废了，实操注意三点：

1. 密钥存储：独立磁盘存放密钥文件，主密钥加密保护

2. 算法选择：支持对接加密卡

ALTER SYSTEM SET tde_encryption_device = 'hardware';

3. 定期备份：同步备份密钥文件

cp $KINGBASE_DATA/encryption/keyfile /backup/keyfile_$(date +%Y%m%d)

3.2 数据传输加密：杜绝传输过程中的数据泄露

数据在网络上传输，很容易被窃听篡改。KingbaseES用SSL协议加密传输，支持TLS1.2以上，配置步骤很固定，实操分三步，每步都有注意点：

1. 生成证书
openssl req -new -x509 -days 3650 -keyout root.key -out root.crt

2. 配置kingbase.conf
ssl = on
ssl_cert_file = '/data/cert/server.crt'

3. 配置sys_hba.conf
hostssl all all 192.168.0.0/16 scram-sha-256 clientcert=1

3.3 手动加密函数：主动防护敏感数据

有些超敏感字段，比如银行卡号、密码，除了存储加密，还需要手动加密后再存。KingbaseES提供了现成的加密函数，支持SM3、SM4、AES，实操中常用SM4加密，步骤：

1. 加密存储：插入数据时调用加密函数；

2. 解密查询：查询时调用解密函数；

3. 注意：密钥要单独管理，不能硬编码在代码里。

完整示例代码：

-- 1. 创建含敏感字段的表
CREATE TABLE user_bank(
    id int PRIMARY KEY,
    user_id int NOT NULL,
    bank_card varchar(100) NOT NULL  -- 存储加密后的银行卡号
);

-- 2. 插入数据时加密（密钥从安全密钥管理系统获取）
INSERT INTO user_bank(id, user_id, bank_card)
VALUES(1, 1001, sm4('622208XXXXXXXX1234', 'SecKey@2024#SM4', 0));

-- 3. 查询时解密
SELECT 
    id,
    user_id,
    sm4(bank_card, 'SecKey@2024#SM4', 1) AS bank_card  -- 1表示解密
FROM user_bank WHERE user_id = 1001;

-- 4. SM3哈希加密（适用于密码等无需解密的场景）
INSERT INTO user_auth(id, user_id, password)
VALUES(1, 1001, sm3('User@123456'));

总结：构建全流程、可落地的KingbaseES安全防护闭环

KingbaseES安全防护体系是"源头管控到兜底保障"的全流程方案，符合国内高等级合规要求。其防护逻辑层层递进：以身份认证筑牢第一道防线，通过权限管控精准界定数据访问范围，靠全周期加密保障数据机密性，借运维应急形成兜底闭环。

金仓数据库体系核心优势在于实用可落地，提供明确代码示例，兼顾普通企业与高安全等级场景需求，助力企业将安全能力转化为业务保障，筑牢核心数据资产屏障。