金仓数据库安全防护体系解析：从技术原理到落地实践

- 一、用户身份与认证：筑牢安全第一道防线
- - 1.1 三权分立：破解超级用户权限集中难题
  - 1.2 多维度身份认证：从口令保护到强身份校验
  - - （1）口令全生命周期安全管理
    - （2）多样化强身份认证
- 二、权限与访问控制：精细化管控数据访问路径
- - 2.1 权限与角色：简化权限管理流程
  - - （1）权限分类与灵活授权
    - （2）PUBLIC角色：控制默认权限
  - 2.2 强制访问控制（MAC）：高敏感数据的刚性防护
  - - （1）安全标记：数据敏感度的核心标识
    - （2）访问仲裁规则：刚性控制数据流向
- 三、数据加密：全生命周期保护数据机密性
- - 3.1 透明存储加密（TDE）：无感知加密保护
  - 3.2 数据传输加密：杜绝传输过程中的数据泄露
  - 3.3 手动加密函数：主动防护敏感数据
- 总结：构建全流程、可落地的KingbaseES安全防护闭环

数字化转型的深入推进，让数据库成为企业核心数据资产的“承载中枢”，其安全防护能力直接决定企业数据主权与业务连续性。然而，超级用户权限集中、数据越权访问、传输存储泄露等安全痛点，始终困扰着企业运维与安全团队。

作为国内自主研发的高等级安全数据库，金仓数据库KingbaseES构建了覆盖“身份认证-权限管控-数据加密-运维应急”的全链条安全防护体系，既具备国家信息安全产品认证等权威资质，又能精准适配不同安全等级场景需求。本文将立足实战视角，深度拆解这套安全体系的核心特性，配套可直接复用的实操代码与配置细节，为企业提供一套从技术落地到日常运维的完整数据库安全解决方案。

一、用户身份与认证：筑牢安全第一道防线

数据库安全的第一道门槛，肯定是用户身份管得住、认的准。KingbaseES靠“三权分立”架构和多层认证机制把源头风险堵死，这也是我们每次部署必重点盯的基础配置，具体拆成两个核心方向：

1.1 三权分立：破解超级用户权限集中难题

以前很多数据库都有个通病：超级用户权限太大，出问题都没法追溯。KingbaseES在系统初始化时就直接解决了这个问题——自动建三类权责分明的管理员，形成互相牵制的格局：

数据库管理员（system）：管日常运维，比如建表、导数据这些，核心限制——碰不了安全配置和审计日志，避免越权改规则；
安全管理员（sso）：专管安全策略，比如设访问规则、管安全员账号，限制——不能碰业务数据和业务对象，防止干预业务；
审计管理员（sao）：只做审计相关的事，比如配审计规则、查操作日志，还能监督另外两个管理员，限制——没法创建业务相关的表、视图。

实操的时候要注意三个关键点：

权限边界不能破：system管不了sso和sao的账号，sso只能管同类型安全员，sao也只能维护审计员；
细化权限靠插件：加载sso_update_user插件就能进一步收权，比如不让system创建用户时自己设密码，代码很简单：

-- 加载权限细化插件LOAD'sso_update_user';-- 限制system用户设置普通用户密码ALTERSYSTEMSETsso.update_user.password_control='only_sso';CALLsys_reload_conf();

这样就能让安全管理员统一管密码，从源头避免弱口令；
日常检查：定期用查询语句核对三类账号的权限，避免误配置：

-- 查看三类管理员账号及权限SELECTusename,usecreatedb,usesuper,usereplFROMsys_userWHEREusenameIN('system','sso','sao');

1.2 多维度身份认证：从口令保护到强身份校验

光有权限拆分还不够，身份认证得有层次——普通业务用简单口令，高安全场景用强认证。下面分两种常见场景说实操配置：

（1）口令全生命周期安全管理

口令是基础，但很多安全事故都是弱口令导致的。我们实操中会从四个维度配置，每个维度都有具体要求和代码：

加密存储：默认scram-sha-256，政务场景切国密

-- 切换口令加密为SM3国密算法ALTERSYSTEMSETpassword_encryption='sm3';CALLsys_reload_conf();

复杂度管控：passwordcheck插件强制规则

-- 加载密码检查插件CREATEEXTENSION passwordcheck;-- 配置12位复杂度要求（postgresql.conf）passwordcheck_min_length=12

全周期管控：有效期与锁定策略

-- 设90天口令有效期ALTERROLE app_user VALID UNTIL'90 days';-- 5次失败锁定30分钟ALTERSYSTEMSETlogin_failed_lock_count=5;

空闲连接防护：30分钟超时断开

ALTERSYSTEMSETclient_idle_timeout='30min';CALLsys_reload_conf();

（2）多样化强身份认证

金融、政务这些高安全场景，单一口令不够，必须上强认证，四种常用方式的实操重点和代码：

Kerberos认证（跨域）：sys_hba.conf配置

hostallall192.168.1.0/24gss include_realm=0

LDAP认证（统一身份）：对接企业LDAP

hostallall10.0.0.0/8ldap ldapserver=ldap.company.com

SSL客户端证书认证（防仿冒）

hostsslallall172.16.0.0/12scram-sha-256clientcert=1

国密SM2认证（合规）

ALTERSYSTEMSETssl_ciphers='SM2';CALLsys_reload_conf();

这些认证不是随便配的，要按场景分：核心业务库只开SSL证书认证，只允许办公网IP段访问；普通查询库可以开LDAP统一认证。最后提醒下，所有认证规则都在sys_hba.conf里，改完要重载配置才能生效：

CALLsys_reload_conf();

二、权限与访问控制：精细化管控数据访问路径

身份认对了，接下来就是控制“能访问什么数据”。KingbaseES用RBAC角色模型，再加上自主访问（DAC）和强制访问（MAC）两种控制方式，能做到从库级到列级的精细管控。多部门协作的企业，这部分配置好了能少很多数据泄露风险，具体拆成角色管理和强制访问两部分说：

2.1 权限与角色：简化权限管理流程

（1）权限分类与灵活授权

权限分三类，不同层级的控制需求对应不同权限，实操中要精准分配，避免权限过大：

系统权限：仅核心管理员可拥有

-- 授予建库权限给systemGRANTCREATEDATABASETOsystem;

对象权限：按业务分配表操作权限

-- 给业务用户查订单表权限GRANTSELECTONordersTObusiness_user;

列级权限：细化敏感字段访问

-- 仅财务可查基本工资列GRANTSELECT(basic_salary)ONsalaryTOfinance_user;

如果用户多、权限杂，一个个授权太麻烦，用角色管理效率高很多。核心思路是“按岗位建角色，按角色赋权限”，实操步骤和代码：

创建角色

CREATEROLE order_business;

给角色赋权限

GRANTSELECT,INSERTONordersTOorder_business;

角色赋用户

GRANTorder_businessTOuser1,user2;

调整角色权限

GRANTDELETEONordersTOorder_business;

（2）PUBLIC角色：控制默认权限

PUBLIC角色是个“共享角色”，所有用户都默认继承它的权限，默认有连接库、建临时表这些基础权限。实操中一定要注意收缩，不然普通用户可能乱建对象占资源。重点配置：

– 撤销PUBLIC角色的建表权限

REVOKECREATEONSCHEMApublicFROMPUBLIC;

– 撤销PUBLIC角色的建临时表权限（按需）

REVOKETEMPORARYONDATABASEkingbaseFROMPUBLIC;

– 只给特定用户授予连接权限

GRANTCONNECTONDATABASEkingbaseTObusiness_user;

多租户场景下这步更关键，能避免不同租户的用户互相干扰资源。

2.2 强制访问控制（MAC）：高敏感数据的刚性防护

如果是政务、军工这种对数据安全要求极高的场景，光靠自主访问控制还不够，必须上强制访问控制（MAC）——不管用户有没有权限申请，不符合规则就绝对不让访问。核心是靠“安全标记”来管控，具体拆成标记创建和规则配置两步：

（1）安全标记：数据敏感度的核心标识

安全标记就像给数据和用户贴“安全标签”，标签由两部分组成，少了哪部分都不行：

等级：代表数据敏感程度，比如“普通”<“秘密”<“机密”，高等级能管低等级，不能反过来；
范围：代表数据所属部门，比如“财务”“人事”“研发”，只有同范围或包含范围的用户才能访问。

安全管理员要按步骤创建策略、等级、范围、标记，再给用户和数据分配，完整实操代码：

1.创建强制访问策略SELECTsysmac.create_policy('p1','p1_column',false);2.创建敏感度等级SELECTsysmac.create_level('p1','secret',20);3.创建数据范围SELECTsysmac.create_compartment('p1','finance',20);4.创建安全标记SELECTsysmac.create_label('p1','secret:finance',100);5.给用户分配标记SELECTsysmac.set_role_label('p1','finance_mgr','secret:finance');6.给表分配标记ALTERTABLEfinance_coreADDCOLUMNp1_column sysmac_label;

（2）访问仲裁规则：刚性控制数据流向

标记分配完，就靠“向下读、向上写”的规则来管控，这是硬性规则，改不了，具体理解和实操注意点：

读访问：用户标记必须“罩得住”数据标记。比如财务经理（机密+财务）能读财务普通数据（普通+财务），但人事用户（秘密+人事）读不了财务数据；
写访问：数据标记必须“罩得住”用户标记最小等级。比如财务普通用户（普通+财务）能往机密财务表写数据，但不能往人事表写。

-- 验证访问规则（只有符合规则才返回数据）SELECT*FROMfinance_coreWHEREp1_column=sysmac_label('p1','confidential:finance');

这种刚性规则的好处是“不看人脸色”，不管谁申请，不符合标记规则就绝对访问不了。比如要让财务数据不被人事部门访问，只要把两者的范围标记分开，再配置规则就行，从技术上杜绝越权访问。

三、数据加密：全生命周期保护数据机密性

数据光防越权还不够，存储和传输过程中被窃取也不行。KingbaseES有三套加密机制：透明存储加密（TDE）、传输加密、手动加密，覆盖数据从存到用的全流程。我们实操中会按“存储必加密、传输必加密、敏感字段额外手动加密”的原则来配置，具体拆成三个部分说：

3.1 透明存储加密（TDE）：无感知加密保护

透明存储加密（TDE）最大的好处是“对应用透明”——不用改一行代码，数据存到磁盘就是加密的，读的时候自动解密。实操中常用表级和表空间级两种加密，按需选择：

表加密：适合单张敏感表，比如用户信息表，创建时直接加ENCRYPTED关键字，示例：

-- 自定义密钥加密（密钥要妥善保管）CREATETABLEuser_info(idintPRIMARYKEY,id_cardvarchar(18)NOTNULL,phonevarchar(11)NOTNULL)ENCRYPTEDBY'Kingbase@2024#Sec';-- 随机密钥加密（数据库自动生成管理密钥）CREATETABLEuser_info(idintPRIMARYKEY,id_cardvarchar(18)NOTNULL)ENCRYPTED;

表空间加密：适合批量敏感表，比如所有财务表，创建表空间时启用加密，后续建表指定这个表空间；
密钥管理：保障加密体系安全

加密的核心是密钥，密钥丢了数据就废了，实操注意三点：

密钥存储：独立磁盘存放密钥文件，主密钥加密保护
算法选择：支持对接加密卡

ALTERSYSTEMSETtde_encryption_device='hardware';

定期备份：同步备份密钥文件

cp$KINGBASE_DATA/encryption/keyfile /backup/keyfile_$(date+%Y%m%d)

3.2 数据传输加密：杜绝传输过程中的数据泄露

数据在网络上传输，很容易被窃听篡改。KingbaseES用SSL协议加密传输，支持TLS1.2以上，配置步骤很固定，实操分三步，每步都有注意点：

1.生成证书 openssl req-new-x509-days3650-keyout root.key-outroot.crt2.配置kingbase.conf ssl=onssl_cert_file='/data/cert/server.crt'3.配置sys_hba.conf hostsslallall192.168.0.0/16scram-sha-256clientcert=1

3.3 手动加密函数：主动防护敏感数据

有些超敏感字段，比如银行卡号、密码，除了存储加密，还需要手动加密后再存。KingbaseES提供了现成的加密函数，支持SM3、SM4、AES，实操中常用SM4加密，步骤：

加密存储：插入数据时调用加密函数；
解密查询：查询时调用解密函数；
注意：密钥要单独管理，不能硬编码在代码里。

完整示例代码：

-- 1. 创建含敏感字段的表CREATETABLEuser_bank(idintPRIMARYKEY,user_idintNOTNULL,bank_cardvarchar(100)NOTNULL-- 存储加密后的银行卡号);-- 2. 插入数据时加密（密钥从安全密钥管理系统获取）INSERTINTOuser_bank(id,user_id,bank_card)VALUES(1,1001,sm4('622208XXXXXXXX1234','SecKey@2024#SM4',0));-- 3. 查询时解密SELECTid,user_id,sm4(bank_card,'SecKey@2024#SM4',1)ASbank_card-- 1表示解密FROMuser_bankWHEREuser_id=1001;-- 4. SM3哈希加密（适用于密码等无需解密的场景）INSERTINTOuser_auth(id,user_id,password)VALUES(1,1001,sm3('User@123456'));