前言
用户数据安全性说明¶
总体来说,海盒数据库提供给用户管理、存储各种类型的表、视图、存储过程、触发器等数据库对象,以及用户数据的存储与计算能力。数据库本身并不收集或传输、扩散用户的任何数据。 尤其是海盒数据库不会将用户任何数据收集到公司或其他第三方。
用户安装或使用海盒数据库时,涉及用户环境、用户名口令等可能与用户数据相关的功能包括以下几类:
用户登录认证数据¶
用户通过ssql等API或客户端连接海盒数据库时,需先完成用户认证。认证时,需将用户名,认证方式及内容从用户本地客户端传输至用户server端,此时涉及用户数据传输。 通过配置hba访问控制,可以密文的形式传输口令。可启用客户端与服务端的ssl连接机制,启用后涉及传输均为加密方式。支持kerberos认证、LDAP认证等安全认证机制。 使用图形化工具(sdadmin)时,先通过浏览器登录sdadmin服务端,此时用户名和密码以http方式明文传输。完成登录认证后即登入管理系统,sdadmin的sever端使用存储在系统表中的数据库连接信息连接数据库服务器。连接方式支持ssl连接机制,启用后涉及传输均为加密方式。
用户名和密码¶
用户通过客户端创建或修改用户、角色时涉及用户名与密码的传输与存储,此时需将用户名,认证方式及密码从用户本地客户端传输至用户server端,传输过程如启用ssl连接机制,传输内容均为密文;数据库内系统表中,用户名为明文存储、密码为加密存储。支持用户自定义密码复杂度策略,避免弱口令。 用户可以通过启用实例级透明存储加密或表级透明存储加密,此时用户信息会加密存储。
系统日志数据¶
数据库安装部署后,运行时会产生系统日志,系统日志分为多个级别,包括:debug5、debug4、debug3、debug2、debug1、info、notice、warning、error、log、fatal、panic。当系统日志级别低于上述某个级别时,会记录到系统日志中。
配置debug5时会记录全部用户操作。
系统日志存储在数据库server端$SDHOME/sd_log目录下,日志文件可设置保留周期,以普通文本文件存储,不加密。系统日志存储在数据库服务器本地,只有能访问数据库服务器的管理员才能查看日志。
审计日志数据¶
海盒数据库支持数据库审计功能,启用审计功能后可设置相应审计策略来记录不同类型的SQL语句。海盒数据库审计日志存储在server端的$SDHOME/log目录下,普通文本文件,不加密。只有审计管理员sd_sao才能查询审计日志的内容。
运行监控信息数据¶
海盒数据库提供的图形化管理工具首页仪表盘会实时读取server端系统表,通过图形化工具收集信息包括:事务统计、元组操作统计、数据块I/O统计、活跃会话统计等。 用户需要使用正确的口令登录sdadmin系统。进入后在数据库的hba访问控制下连接数据库server端获取系统监控信息。