• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

H3C SecPath DE2000系列数据库加密与访问控制系统 典型配置举例(E6701)-5W100

手册下载

H3C SecPath DE2000系列数据库加密与访问控制系统 典型配置举例(E6701)-5W100-整本手册.pdf  (1.62 MB)

  • 发布时间:2021/9/2 13:45:20
  • 浏览量:
  • 下载量:

H3C SecPath DE2000系列数据库加密与访问控制系统

典型配置举例

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Copyright © 2021 新华三技术有限公司 版权所有,保留一切权利。

非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。

除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。

本文档中的信息可能变动,恕不另行通知。



1 简介

H3C SecPath DE2000数据库加密与访问控制系统提供对敏感数据加密的功能。在对敏感数据进行加密的基础上增加访问授权机制,任何访问被加密数据的人或应用事先必须经过授权,拥有合法访问权限才能正常访问加密后的数据。

H3C SecPath DE2000数据库加密与访问控制系统支持Oracle (10g11g12c19c)数据库、达梦(DM7DM8)数据库、SQL Server20122014201620172019)数据库、KingbaseV7)、PostgreSQL10)、DB210.5)、Gauss100数据库的列加密;并支持oracle11.2.0.4及以上版本)表空间加密、mysql5.7.11及以上版本)表加密、kingbaseV8R6版本)表加密以及sqlserver2012及以上版本)库加密。

2 配置前提

本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。

3 适用产品和版本

适用产品:

H3C SecPath DE2000

适用版本:H3C i-Ware Software,Version 3.1,ESS 6701版本及之后版本

表3-1 数据库版本支持列表

数据库类型

数据库版本

oracle

列加密:oracle 10.2.0.4.0 /11.2.0.1.0 /11.2.0.4.0/12.2.0.1.0/19.0.0.0.0
表空间加密:Oracle11.2.0.4/12.2.0.1.0/19.0.0.0.0

db2

V10.5.0.5,V11.5.0.1077

sqlserver

SQLserver 2012-11.0.3000.0/2017-14.0.1000.169
库加密:SQLserver 2012-11.0.3000.0企业版

达梦

达梦V7.6.1.60/V8 0x7000a

高斯db

GaussDB_T_1.0.2.SPC010.B012

postgresql

PostgreSQL 10.4 on x86_64-pc-linux-gnu

人大金仓

kingbase7.1.2.0832
表空间加密:Kingbase V008R006C002B0016

Mysql

表空间加密:MySQL 5.7.32/8.0.23

 

4 典型配置

4.1  列加解密功能典型配置

4.1.1  组网需求

数据库加密与访问控制系统采用旁路部署方式,数据库加密与访问控制系统与用户数据库系统路由可达即可,现有系统及网络拓扑均无需改动。

图4-1 组网图

 

4.1.2  配置思路

按照组网图组网。

(1)     登录数据库加密与访问控制系统

(2)     添加数据源并安装插件

(3)     加密队列配置

(4)     查看队列任务

(5)     解密队列配置

4.1.3  配置步骤

1. 登录数据库加密与访问控制系统

在浏览器中输入URLhttps://服务器IP地址:9595(如https://192.168.0.1:9595),进入数据库加密与访问控制系统登录页面,输入管理员用户名admin、输入密码(默认admin)、输入验证码,点击登录按钮。

图4-2 登录web页面

 

2. 添加数据源并安装插件

(1)     进入“数据源配置>添加数据源>”页面点击“添加数据源”按钮,进入添加数据源窗口。

图4-3 数据源配置页面-添加数据源按钮

 

图4-4 添加数据源配置窗口

表4-1 添加数据源配置参数说明

参数

配置方式

作用

数据源配置名

输入框

自定义资产名称

数据库类型

下拉选择框

选择要连接的数据源类型

版本

下拉选择框

选择要连接的数据库版本

数据库IP

输入框

输入要连接的数据库IP地址

数据库端口

输入框

输入要连接的数据库端口地址

用户名

输入框

输入要连接的数据库账号,数据库账号需要按加密需求设定权限,TDEINSTALL用户满足加密权限要求,建议为TDEINSTALL

密码

输入框

输入要连接数据库账号对应的数据库密码

实例名

输入框

输入要连接数据库对应的实例名

授权代理端口

输入框

输入加密设备上设置为授权代理端口值,授权代理端口用作表/库加密连接。

 

(2)     填写数据库信息,点击测试数据库连接,成功后点击下一步; 

图4-5 测试数据库连接页面

 

(3)     填写主机信息,点击测试主机连接,成功后点击下一步;

图4-6 测试主机连接页面

 

表4-2 主机配置参数说明

参数

配置方式

作用

主机IP

输入框

输入数据库所在服务器的IP地址

主机端口

输入框

输入数据库所在服务器的ssh服务端口

用户名

输入框

输入数据库所在服务器的操作系统用户名

密码

输入框

输入数据库所在服务器的操作系统用户对应的密码

字符集

输入框

输入数据库所在服务器操作系统的字符集编码

主机操作系统

自动获取

显示数据库所在服务器的操作系统类型

内核

自动获取

显示数据库所在服务器的操作系统内核信息

指标监控阈值

输入框

输入对数据库所在服务器操作系统的资源监控阈值,超过该值时暂停加密

 

注意事项数据库服务器需要支持ssh服务连接。ssh服务开启方式如下

a.     首先查看是否安装ssh

¡     查看ssh版本:ssh V

¡     查看ssh状态:sudo service sshd status

¡     通过查看安装包的方式查看是否安装sshrpm qa|grep ssh

b.     如果需要远程连接SSH,需要把22端口在防火墙上开放。开放防火墙22端口方法如下:

¡     查看22端口:grep port /etc/ssh/sshd_config

¡     开放端口命令: /sbin/iptables -I INPUT -p tcp --dport 8080 -j ACCEPT

¡     保存:/etc/rc.d/init.d/iptables save

¡     重启服务:/etc/init.d/iptables restart

¡     查看端口是否开放:/sbin/iptables -L -n

c.     安装ssh服务方法如下

¡     sudo yum install sshd

¡     通过yum安装ssh yum install ssh

d.     开启ssh服务方法如下:

¡     执行命令/etc/init.d/sshd start

¡     执行命令/etc/init.d/sshd stop

¡     执行命令/etc/init.d/sshd restart

(4)     填写日志信息,点击测试日志连接,成功后点击“保存”按钮,后续可根据自己设置的路径在对应主机服务器上获取日志文件。日志路径获取方法如下:

·     查询数据库官方手册,得到数据库日志文件名称。

·     结合数据库官方手册以及实际数据库的安装目录情况,在数据库日志文件名输入框输入实际日志文件路径即可。

图4-7 测试日志连接页面

 

图4-8 服务器上获取日志文件

 

表4-3 日志信息参数说明

参数

配置方式

作用

数据库日志文件名

输入框

输入数据库服务器上的数据库日志文件路径,以便下载数据库日志文件

 

(5)     在数据源配置页面选择需要安装插件的数据源,点击插件按钮下的开关安装插件。

图4-9 安装插件成功状态

3. 加密队列配置

(1)     进入“列加密>加密队列配置”页面,在库选择栏选择已安装的数据库,在被加密表栏选择加密模式、加密表,点击“确定”按钮;

图4-10 选择加密模式/加密表页面

 

(2)     点击下一步后进入用户授权页面,在需要进行授权的用户后面勾选权限“查询、添加、修改、删除”操作,点击“授权”按钮。

 

图4-11 用户授权页面

 

(3)     进行用户授权后进入初始化表页面,在加密方式栏选择需要使用的加密方式,在加密算法栏选择需要使用的加密算法,在被加密列名栏选择需要加密的列名并保存无权限缺省值,点击“初始化表”按钮,初始化表成功,进入加密测试界面。

图4-12 始化表页面

 

表4-4 初始化参数说明

参数

配置方式

作用

库选择

下拉框

选择已安装插件支持列加密的数据库

被加密表

下拉框

选择支持加密的模式和表

加密方式

单选项

选择加密方式为一列一密和一行一密,密指代密钥

加密算法

下拉框

选择加密时使用的算法

加密列表-选择

勾选框

选择要加密的列

加密列表-无权限缺省值

输入框

输入加密状态显示的值

加密列表-操作

按钮

输入缺省值后保存按钮

 

(4)     点击加密测试后点击下一步查看加密队列信息,点击“配置完成”按钮;

图4-13 加密队列配置

表4-5 加密队列配置参数说明

参数

配置方式

作用

 每批条数

输入框

输入每批加密的条数

周期

输入框

输入新插入数据的加密周期时间

线程数

输入框

输入执行加密队列的线程数

启动队列

勾选框

选择配置完成后队列的默认运行状态

 

4. 查看队列任务

进入“列加密>查看队列任务”页面点击“查看”按钮。

图4-14 查看队列任务页面

 

图4-15 查看队列任务

 

表4-6 查看队列任务参数说明

参数

配置方式

作用

每次加密

输入框

输入下一批次加密的处理条数

线程数

输入框

输入下一批次执行加密的线程数

 

5. 解密队列配置

(1)     进入“列加密>解密队列配置”页面,在库选择栏选择已安装的数据库,在被加密表栏选择加密模式、被加密表名,点击“确定”按钮;

图4-16 选择加密模式/加密表页面

 

(2)     选择被加密列表,点击“加密测试”按钮后点击下一步查看解密队列信息,点击“配置完成”

图4-17 对加密的表进行解密队列配置

表4-7 解密队列配置参数说明

参数

配置方式

作用

每批条数

输入框

输入每次加密执行的数据量,单位行

周期

输入框

输入新插入数据的解密周期时间

线程数

输入框

输入执行解密队列的线程数

启动队列

勾选框

选择解密队列配置完成后默认队列任务状态

回滚表结构

勾选框

选择解密队列配置完成后是否自动进行回滚表结构,默认勾选表示配置完成后自动回滚表结构

 

(3)     等待解密队列完成。

图4-18   解密完成

 

4.1.4  验证配置

(1)     下载dbeaver数据库连接工具并安装,下载链接为https://dbeaver.io/download/

(2)     打开dbeaver,点击右上角添加数据库按钮。

图4-19 添加数据库按钮

 

(3)     选择数据库类型,选择后点击下一步。

图4-20 选择数据库类型

 

(4)     输入数据源或者目标源数据库的连接信息,测试连接成功后并保存该连接。

图4-21 输入数据库连接信息

 

(5)     保存连接后,新建sql编辑器按钮建立执行sql的窗口。

图4-22 新建sql编辑器

 

(6)     sql窗口输入查询语句查询加密前后的数据,如SELECT t.* FROM TEST.ALL_3 t;

图4-23 执行sql查询

 

(7)     使用未授权的用户对加密后的表数据进行查询,数据显示默认缺省值;

图4-24 未授权用户查询加密表   

 

(8)     使用授权用户对加密后的表数据进行查询,数据显示明文

图4-25 授权用户查询加密表

 

(9)     使用未授权用户对解密后的表数据进行查询,数据显示明文

图4-26 未授权用户查询解密后的表

4.2  oracle表空间加密配置

4.2.1  组网需求

数据库加密与访问控制系统采用旁路部署方式,数据库加密与访问控制系统与用户数据库系统路由可达即可,现有系统及网络拓扑均无需改动。

图4-27 组网图

 

4.2.2  配置思路

按照组网图组网。

(1)     登录数据库加密与访问控制系统

(2)     添加数据源并安装插件

(3)     新增加密表空间

(4)     表空间加密

(5)     索引重建

(6)     表空间授权

(7)     表空间解密

(8)     索引重建

4.2.3  配置步骤

1. 登录数据库加密与访问控制系统

在浏览器中输入URLhttps://服务器IP地址:9595(如https://192.168.0.1:9595),进入管理平台登录页面,输入管理员用户名admin、输入密码(默认admin)、输入验证码,点击登录按钮。

图4-28 登录web页面

 

2. 添加数据源并安装插件

(1)     安全管理员登录管理平台,进入“数据源配置>添加数据源>”页面点击“添加数据源”按钮,进入添加数据源窗口,填写数据库信息,点击测试数据库连接成功后,点击下一步;

图4-29 添加测试数据库连接页面

表4-8 添加数据来源参数说明

参数

配置方式

作用

数据源配置名

输入框

自定义资产名称

数据库类型

下拉选择框

选择要连接的数据源类型

版本

下拉选择框

选择要连接的数据库版本

数据库IP

输入框

输入要连接的数据库IP地址

数据库端口

输入框

输入要连接的数据库端口地址

用户名

输入框

输入要连接的数据库账号,建议为TDEINSTALL

密码

输入框

输入要连接数据库账号对应的数据库密码

实例名

输入框

输入要连接数据库对应的实例名

授权代理端口

输入框

输入加密设备上设置为授权代理端口值,授权代理端口用作表/库加密连接。

 

(2)     填写主机信息,点击测试主机连接,成功后点击下一步;

图4-30 测试主机连接页面

表4-9 添加主机信息参数说明

参数

配置方式

作用

主机IP

输入框

输入数据库所在服务器的IP地址

主机端口

输入框

输入数据库所在服务器的ssh服务端口

用户名

输入框

输入数据库所在服务器的操作系统用户名

密码

输入框

输入数据库所在服务器的操作系统用户对应的密码

字符集

输入框

输入数据库所在服务器操作系统的字符集编码

主机操作系统

自动获取

显示数据库所在服务器的操作系统类型

内核

自动获取

显示数据库所在服务器的操作系统内核信息

指标监控阈值

输入框

输入对数据库所在服务器操作系统的资源监控阈值,超过该值时暂停加密

 

注意事项数据库服务器需要支持ssh服务连接。ssh服务开启方式如下

a.     首先查看是否安装ssh

¡     查看ssh版本:ssh V

¡     查看ssh状态:sudo service sshd status

¡     通过查看安装包的方式查看是否安装sshrpm qa|grep ssh

b.     如果需要远程连接SSH,需要把22端口在防火墙上开放。开放防火墙22端口方法如下:

¡     查看22端口:grep port /etc/ssh/sshd_config

¡     开放端口命令: /sbin/iptables -I INPUT -p tcp --dport 8080 -j ACCEPT

¡     保存:/etc/rc.d/init.d/iptables save

¡     重启服务:/etc/init.d/iptables restart

¡     查看端口是否开放:/sbin/iptables -L -n

c.     安装ssh服务方法如下

¡     sudo yum install sshd

¡     通过yum安装ssh yum install ssh

d.     开启ssh服务方法如下:

¡     执行命令/etc/init.d/sshd start

¡     执行命令/etc/init.d/sshd stop

¡     执行命令/etc/init.d/sshd restart

(3)     填写日志信息,点击测试日志连接,成功后点击“保存”按钮,后续可根据自己设置的路径在对应主机服务器上获取日志文件。日志路径获取方法如下:

·     查询数据库官方手册,得到数据库日志文件名称。

·     结合数据库官方手册以及实际数据库的安装目录情况,在数据库日志文件名输入框输入实际日志文件路径即可。

图4-31 测试日志连接页面

 

图4-32 获取日志文件

 

表4-10 添加日志信息参数说明

参数

配置方式

作用

数据库日志文件名

输入框

输入数据库服务器上的数据库日志文件路径,以便下载数据库日志文件

(4)     在数据源配置页面选择需要安装插件的数据源,点击插件按钮下的开关安装插件(插件操作需要手动)。

图4-33 安装插件

 

3. 新增加密表空间

进入“Oracle表空间加密>表空间信息>新增加密表空间”页面选择已安装的数据库,点击“新增加密表空间”按钮进入“新增加密表空间”页面填写加密表空间名称、初始路径、初始大小、自动增长、最大空间、加密算法后点击“确定”按钮。

图4-34 新增加密表空间页面

表4-11 新增加密表空间参数说明

参数

配置方式

作用

加密表空间名称

输入框

输入新建的加密表空间名称

新增文件

按钮

配置新建加密表空间参数:包括初始路径、初始大小、自动增长、最大空间

加密算法

下拉框

选择加密表空间的加密算法

 

4. 表空间加密

进入“Oracle表空间加密>表空间加密>”页面选择已安装数据库,选择需要加密测试表移至加密表空间后勾选操作,点击“加密”按钮弹出加密窗口,点击“确定”按钮。

图4-35 表空间加密页面

 

图4-36 表空间加密弹窗

 

图4-37 表空间加密完成

 

5. 加密表索引重建

进入“Oracle表空间加密>表空间加密”页面点击需要重建索引的表后方的“查看”按钮进入重建索引页面,如4-38所示,选择失效索引移至加密表空间,勾选操作,点击“确定”按钮后等待索引状态变为有效。

图4-38 索引重建按钮

 

图4-39 加密表索引重建页面

 

图4-40 加密表索引重建完成

 

6. 表空间授权

进入“Oracle表空间加密>Oracle表空间授权”页面选择已加密的数据库,选择已加密表点击权限设置下的“用户授权”按钮进入用户授权页面选择增、删、改、查操作,点击“确定”按钮;表空间用户授权页面

图4-41 进行表空间用户授权

 

7. 表空间解密

进入“Oracle表空间加密>表空间解密>”页面选择已安装的数据库,在需要解密的表后选择要移动到的未加密的表空间,勾选操作后点击“解密”按钮,出现解密弹窗,点击“确定”按钮。

图4-42 Oracle表空间解密页面

 

图4-43 Oracle表空间解密弹窗

图4-44 Oracle表空间解密成功

 

8. 解密表索引重建

进入“Oracle表空间加密>表空间加密>”页面选择已安装的数据库,点击已完成解密的表后方的“查看”按钮进入重建索引页面所示;选择失效索引移至表空间,勾选操作,点击“确定”按钮后等待索引状态变为有效。

图4-45 解密表索引重建按钮

 

图4-46 解密表索引重建页面

 

图4-47 解密表索引重建完成

 

4.2.4  验证配置

(1)     数据库连接步骤参考配置步骤

(2)     对加密后的表查询,加密后测试表移到加密表空间下。通过数据库加密与访问控制系统IP+授权代理端口访问,未授权用户无法查询加密表数据。已授权用户可以正常查询加密表数据。.

图4-48 加密测试表所在表空间

 

图4-49 未授权用户查询加密表数据

 

图4-50 已授权用户查询加密表数据

 

(3)     对解密后的表查询,解密后测试表移到新表空间下用户可以正常查询解密后的表数据。

图4-51 解密测试表所在表空间

 

图4-52 查询解密表数据

 

4.3  mysql表加密配置

4.3.1  组网需求

数据库加密与访问控制系统采用旁路部署方式,数据库加密与访问控制系统与用户数据库系统路由可达即可,现有系统及网络拓扑均无需改动。

图4-53 组网图

 

4.3.2  配置思路

按照组网图组网。

(1)     登录数据库加密与访问控制系统

(2)     添加数据源

(3)     数据表加密

(4)     mysql表空间授权

(5)     数据表解密

4.3.3  配置步骤

1. 登录数据库加密与访问控制系统

在浏览器中输入URLhttps://服务器IP地址:9595(如https://192.168.0.1:9595),进入管理平台登录页面,输入管理员用户名admin、输入密码(默认admin)、输入验证码,点击登录按钮。

图4-54 登录web页面

 

2. 添加数据源

(1)     安全管理员登录管理平台,进入“数据源配置>添加数据源>”页面点击“添加数据源”按钮,进入添加数据源窗口,填写数据库信息,点击测试数据库连接成功后,点击下一步;

图4-55 添加测试数据库连接页面

表4-12 添加数据来源参数说明

参数

配置方式

作用

数据源配置名

输入框

自定义资产名称

数据库类型

下拉选择框

选择要连接的数据源类型

版本

下拉选择框

选择要连接的数据库版本

数据库IP

输入框

输入要连接的数据库IP地址

数据库端口

输入框

输入要连接的数据库端口地址

用户名

输入框

输入要连接的数据库账号,建议为TDEINSTALL

密码

输入框

输入要连接数据库账号对应的数据库密码

实例名

输入框

输入要连接数据库对应的实例名

授权代理端口

输入框

输入加密设备上设置为授权代理端口值,授权代理端口用作表/库加密连接。

 

(2)     填写主机信息,点击测试主机连接,成功后点击下一步;

测试主机连接页面

 

表4-13 添加主机信息参数说明

参数

配置方式

作用

主机IP

输入框

输入数据库所在服务器的IP地址

主机端口

输入框

输入数据库所在服务器的ssh服务端口

用户名

输入框

输入数据库所在服务器的操作系统用户名

密码

输入框

输入数据库所在服务器的操作系统用户对应的密码

字符集

输入框

输入数据库所在服务器操作系统的字符集编码

主机操作系统

自动获取

显示数据库所在服务器的操作系统类型

内核

自动获取

显示数据库所在服务器的操作系统内核信息

指标监控阈值

输入框

输入对数据库所在服务器操作系统的资源监控阈值,超过该值时暂停加密

 

注意事项数据库服务器需要支持ssh服务连接。ssh服务开启方式如下

a.     首先查看是否安装ssh

¡     查看ssh版本:ssh V

¡     查看ssh状态:sudo service sshd status

¡     通过查看安装包的方式查看是否安装sshrpm qa|grep ssh

b.     如果需要远程连接SSH,需要把22端口在防火墙上开放。开放防火墙22端口方法如下:

¡     查看22端口:grep port /etc/ssh/sshd_config

¡     开放端口命令: /sbin/iptables -I INPUT -p tcp --dport 8080 -j ACCEPT

¡     保存:/etc/rc.d/init.d/iptables save

¡     重启服务:/etc/init.d/iptables restart

¡     查看端口是否开放:/sbin/iptables -L -n

c.     安装ssh服务方法如下

¡     sudo yum install sshd

¡     通过yum安装ssh yum install ssh

d.     开启ssh服务方法如下:

¡     执行命令/etc/init.d/sshd start

¡     执行命令/etc/init.d/sshd stop

¡     执行命令/etc/init.d/sshd restart

(3)     填写日志信息,点击测试日志连接,成功后点击“保存”按钮,后续可根据自己设置的路径在对应主机服务器上获取日志文件。日志路径获取方法如下:

·     查询数据库官方手册,得到数据库日志文件名称。

·     结合数据库官方手册以及实际数据库的安装目录情况,在数据库日志文件名输入框输入实际日志文件路径即可。

图4-56 测试日志连接页面

图4-57 获取日志文件

 

表4-14 添加日志信息参数说明

参数

配置方式

作用

数据库日志文件名

输入框

输入数据库服务器上的数据库日志文件路径,以便下载数据库日志文件

 

3. 表空间加密

进入“mysql表加密>数据表加密>”页面选择已安装数据库,选择需要加密测试表后勾选操作,点击“加密”按钮弹出加密窗口,点击“确定”按钮。

图4-58 数据表加密页面

 

图4-59 数据表加密完成

 

4. mysql表空间授权

进入“mysql表空间加密>mysql表空间授权”页面选择已加密的数据库,选择已加密表点击权限设置下的“用户授权”按钮进入用户授权页面选择增、删、改、查操作,点击“确定”按钮。

图4-60 表空间用户授权页面

图4-61 进行表空间用户授权

 

5. 表空间解密

进入“mysql表加密>数据表解密>”页面选择已安装的数据库,在需要解密的表上勾选操作后,点击“解密”按钮。

图4-62 mysql数据表解密页面

 

图4-63 mysql数据表解密成功

 

4.3.4  验证配置

(1)     数据库连接步骤参考配置步骤。

(2)     对加密后的表查询,通过数据库加密与访问控制系统IP+授权代理端口访问,未授权用户无法查询加密表数据。已授权用户可以正常查询加密表数据。.

图4-64 未授权用户查询加密表数据

图4-65 已授权用户查询加密表数据

 

(3)     对解密后的表查询用户可以正常查询解密后的表数据。

图4-66 查询解密表数据

 

4.4  sqlserver库加密配置

4.4.1  组网需求

数据库加密与访问控制系统采用旁路部署方式,数据库加密与访问控制系统与用户数据库系统路由可达即可,现有系统及网络拓扑均无需改动。

图4-67 组网图

 

4.4.2  配置思路

按照组网图组网。

(1)     登录数据库加密与访问控制系统

(2)     添加数据源并安装插件

(3)     插件配置

(4)     数据库加密

(5)     数据库解密

4.4.3  配置步骤

1. 登录数据库加密与访问控制系统

在浏览器中输入URLhttps://服务器IP地址:9595(如https://192.168.0.1:9595),进入管理平台登录页面,输入管理员用户名admin、输入密码(默认admin)、输入验证码,点击登录按钮。

图4-68 登录web页面

 

2. 添加数据源并安装插件

(1)     安全管理员登录管理平台,进入“数据源配置>添加数据源>”页面点击“添加数据源”按钮,进入添加数据源窗口,填写数据库信息,点击测试数据库连接成功后,点击下一步;

图4-69 添加测试数据库连接页面

表4-15 添加数据来源参数说明

参数

配置方式

作用

数据源配置名

输入框

自定义资产名称

数据库类型

下拉选择框

选择要连接的数据源类型

版本

下拉选择框

选择要连接的数据库版本

数据库IP

输入框

输入要连接的数据库IP地址

数据库端口

输入框

输入要连接的数据库端口地址

用户名

输入框

输入要连接的数据库账号,建议为TDEINSTALL

密码

输入框

输入要连接数据库账号对应的数据库密码

实例名

输入框

输入要连接数据库对应的实例名

授权代理端口

输入框

输入加密设备上设置为授权代理端口值,授权代理端口用作表/库加密连接。

 

(2)     填写主机信息,点击测试主机连接,成功后点击下一步;

图4-70 测试主机连接页面

表4-16 添加主机信息参数说明

参数

配置方式

作用

主机IP

输入框

输入数据库所在服务器的IP地址

主机端口

输入框

输入数据库所在服务器的ssh服务端口

用户名

输入框

输入数据库所在服务器的操作系统用户名

密码

输入框

输入数据库所在服务器的操作系统用户对应的密码

字符集

输入框

输入数据库所在服务器操作系统的字符集编码

主机操作系统

自动获取

显示数据库所在服务器的操作系统类型

内核

自动获取

显示数据库所在服务器的操作系统内核信息

指标监控阈值

输入框

输入对数据库所在服务器操作系统的资源监控阈值,超过该值时暂停加密

注意事项数据库服务器需要支持ssh服务连接。ssh服务开启方式如下

a.     首先查看是否安装ssh

¡     查看ssh版本:ssh V

¡     查看ssh状态:sudo service sshd status

¡     通过查看安装包的方式查看是否安装sshrpm qa|grep ssh

b.     如果需要远程连接SSH,需要把22端口在防火墙上开放。开放防火墙22端口方法如下:

¡     查看22端口:grep port /etc/ssh/sshd_config

¡     开放端口命令: /sbin/iptables -I INPUT -p tcp --dport 8080 -j ACCEPT

¡     保存:/etc/rc.d/init.d/iptables save

¡     重启服务:/etc/init.d/iptables restart

¡     查看端口是否开放:/sbin/iptables -L -n

c.     安装ssh服务方法如下

¡     sudo yum install sshd

¡     通过yum安装ssh yum install ssh

d.     开启ssh服务方法如下:

¡     执行命令/etc/init.d/sshd start

¡     执行命令/etc/init.d/sshd stop

¡     执行命令/etc/init.d/sshd restart

(3)     填写日志信息,点击测试日志连接,成功后点击“保存”按钮,后续可根据自己设置的路径在对应主机服务器上获取日志文件。日志路径获取方法如下:

·     查询数据库官方手册,得到数据库日志文件名称。

·     结合数据库官方手册以及实际数据库的安装目录情况,在数据库日志文件名输入框输入实际日志文件路径即可。

图4-71 测试日志连接页面

 

图4-72 获取日志文件

 

表4-17 添加日志信息参数说明

参数

配置方式

作用

数据库日志文件名

输入框

输入数据库服务器上的数据库日志文件路径,以便下载数据库日志文件

(4)     在数据源配置页面选择需要安装插件的数据源,点击插件按钮下的开关安装插件(插件操作需要手动)。

图4-73 安装插件

 

3. 插件配置

进入“sqlserver库加密>插件配置”页面,点击“操作按钮”,填写密钥保存路径,点击“确定”按钮后,点击安装插件按钮,安装成功后如图。

图4-74 操作按钮

 

图4-75 设置密钥保存路径

 

图4-76 安装插件

 

4. 数据库加密

进入“sqlserver库加密>数据库加密”页面选择已安装数据库,选择“加密算法”后,选择需要加密测试表,点击“加密”按钮。

图4-77 数据库加密页面

 

图4-78 数据库加密完成

 

5. 数据库解密

进入sqlserver库加密>数据库解密”页面选择已安装的数据库,在需要解密的表后勾选操作后点击“解密”按钮。

图4-79 数据库解密界面

 

图4-80 数据库解密成功

 

4.4.4  验证配置

(1)     数据库连接步骤参考配置步骤。

(2)     可在前台界面通过查看加解密状态验证是否加解密成功,详见配置步骤。

4.5  kingbase表加密配置

4.5.1  组网需求

数据库加密与访问控制系统采用旁路部署方式,数据库加密与访问控制系统与用户数据库系统路由可达即可,现有系统及网络拓扑均无需改动。

图4-81 组网图

 

4.5.2  配置思路

按照组网图组网。

(1)     登录数据库加密与访问控制系统

(2)     添加数据源并安装插件

(3)     kingbase表加解密

4.5.3  配置步骤

1. 登录数据库加密与访问控制系统

在浏览器中输入URLhttps://服务器IP地址:9595(如https://192.168.0.1:9595),进入管理平台登录页面,输入管理员用户名admin、输入密码(默认admin)、输入验证码,点击登录按钮。

图4-82 登录web页面

 

2. 添加数据源

(1)     安全管理员登录管理平台,进入“数据源配置>添加数据源>”页面点击“添加数据源”按钮,进入添加数据源窗口,填写数据库信息,点击测试数据库连接成功后,点击下一步;

图4-83 添加测试数据库连接页面

 

表4-18 添加数据来源参数说明

参数

配置方式

作用

数据源配置名

输入框

自定义资产名称

数据库类型

下拉选择框

选择要连接的数据源类型

版本

下拉选择框

选择要连接的数据库版本

数据库IP

输入框

输入要连接的数据库IP地址

数据库端口

输入框

输入要连接的数据库端口地址

用户名

输入框

输入要连接的数据库账号,建议为TDEINSTALL

密码

输入框

输入要连接数据库账号对应的数据库密码

实例名

输入框

输入要连接数据库对应的实例名

授权代理端口

输入框

输入加密设备上设置为授权代理端口值,授权代理端口用作表/库加密连接。

 

(2)     填写主机信息,点击测试主机连接,成功后点击下一步;

图4-84 测试主机连接页面

表4-19 添加主机信息参数说明

参数

配置方式

作用

主机IP

输入框

输入数据库所在服务器的IP地址

主机端口

输入框

输入数据库所在服务器的ssh服务端口

用户名

输入框

输入数据库所在服务器的操作系统用户名

密码

输入框

输入数据库所在服务器的操作系统用户对应的密码

字符集

输入框

输入数据库所在服务器操作系统的字符集编码

主机操作系统

自动获取

显示数据库所在服务器的操作系统类型

内核

自动获取

显示数据库所在服务器的操作系统内核信息

指标监控阈值

输入框

输入对数据库所在服务器操作系统的资源监控阈值,超过该值时暂停加密

注意事项数据库服务器需要支持ssh服务连接。ssh服务开启方式如下

a.     首先查看是否安装ssh

¡     查看ssh版本:ssh V

¡     查看ssh状态:sudo service sshd status

¡     通过查看安装包的方式查看是否安装sshrpm qa|grep ssh

b.     如果需要远程连接SSH,需要把22端口在防火墙上开放。开放防火墙22端口方法如下:

¡     查看22端口:grep port /etc/ssh/sshd_config

¡     开放端口命令: /sbin/iptables -I INPUT -p tcp --dport 8080 -j ACCEPT

¡     保存:/etc/rc.d/init.d/iptables save

¡     重启服务:/etc/init.d/iptables restart

¡     查看端口是否开放:/sbin/iptables -L -n

c.     安装ssh服务方法如下

¡     sudo yum install sshd

¡     通过yum安装ssh yum install ssh

d.     开启ssh服务方法如下:

¡     执行命令/etc/init.d/sshd start

¡     执行命令/etc/init.d/sshd stop

¡     执行命令/etc/init.d/sshd restart

(3)     填写日志信息,点击测试日志连接,成功后点击“保存”按钮,后续可根据自己设置的路径在对应主机服务器上获取日志文件。日志路径获取方法如下:

·     查询数据库官方手册,得到数据库日志文件名称。

·     结合数据库官方手册以及实际数据库的安装目录情况,在数据库日志文件名输入框输入实际日志文件路径即可。

图4-85 测试日志连接页面

 

图4-86 获取日志文件

 

表4-20 添加日志信息参数说明

参数

配置方式

作用

数据库日志文件名

输入框

输入数据库服务器上的数据库日志文件路径,以便下载数据库日志文件

3. kingbase表加解密

进入“kingbase表加密>kingbase表加解密”页面选择已安装数据库,选择需要加密测试表移至加密表空间后,点击“操作”按钮。选择已加密的表,点击操作按钮,则可完成解密

图4-87 kingbase表加密页面

图4-88 kingbase表加密成功

 

图4-89 kingbase表解密完成

4.5.4  验证配置

(1)     数据库连接步骤参考配置步骤。

(2)     可在前台界面通过查看加解密状态验证是否加解密成功,详见配置步骤。

新华三官网
联系我们