数据库联网安全要求:使用SSL、TLS 协议安全传输数据
近日,网安标委发布《网络安全标准实践指南——数据库联网安全要求》(以下简称《安全要求》),对数据处理者使用数据库系统连接至公共网络场景下的安全技术要求、安全管理要求作出规定。
《安全要求》提出,数据在传输过程中应采用符合《信息安全技术 信息系统密码应用基本要求》要求的密码技术;数据处理者通过公共网络传输数据应使用通信加密协议(如 SSL、TLS 等)。而SSL证书遵循SSL/TLS安全协议,不仅可实现HTTPS加密,还能验证服务器真实身份,能确保传输数据的机密性和完整性。这正符合《安全要求》中对数据传输安全的相关要求,是保障数据库联网安全的关键技术。
图片来源:全国网络安全标准化技术委员会
SSL证书作为实现SSL/TLS协议的核心载体,能够全面响应《安全要求》中的规定,为数据库联网通信提供三位一体的安全保护。
01
确保数据机密性,防窃听
SSL证书在客户端与数据库服务器之间建立加密隧道,所有传输数据均经过高强度加密(支持RSA/ECC国际算法或SM2国密算法),即使被截获也无法破译,完全满足《安全要求》对数据机密性的保护要求。
02
保障数据完整性,防篡改
通过消息认证码(MAC)等机制,SSL/TLS协议可对传输数据进行校验。任何数据在传输中被篡改,接收方均能即时发现并丢弃,确保数据完整、可信,契合《安全要求》对完整性的要求。
03
实现身份强认证,防冒充
SSL证书由全球或国内可信的证书颁发机构(CA)验证服务器身份后签发。连接建立前,客户端会严格验证证书的真实性与有效性,确保连接的是真实的、可信的数据库服务器,有效抵御中间人攻击与身份伪造风险。
面对《安全要求》,数据处理者应尽快开展以下三方面工作。
梳理所有面向公共网络或跨网络域访问的数据库服务,评估现有传输通道是否已启用SSL/TLS加密。
选择可信CA:优先选择可提供国密算法支持、符合国内监管要求的权威CA机构(如天威诚信)。
匹配证书类型:根据数据库服务场景,选择OV(组织验证)型或EV(扩展验证)型SSL证书,以完成严格的身份认证。
强制加密连接:在数据库服务器与客户端配置中,强制要求使用SSL/TLS协议进行连接,禁用明文传输。
证书生命周期管理:设立自动化监控与续期流程,杜绝证书过期导致的业务中断。
协议与版本升级:定期更新SSL/TLS协议版本与加密套件,禁用已存在安全漏洞的旧版本(如SSL 2.0/3.0、TLS 1.0等)。
安全配置审计:定期对数据库的SSL/TLS配置进行安全审计与漏洞扫描。
