Leo Yeh's Blog

SAS 資訊安全 (20)

教學目標

初步了解 SAS 9 平台加密方法的基本概念。

重點概念

首先編碼技術偽裝密碼的方法主要在於防止隨意或非惡意地查看密碼,並且透過編碼將一個字元透過某種形式表查找轉換為另一個字元,而加密主要涉及透過使用數學運算將資料從一種形式轉換為另一種形式,通常是關鍵值。通常加密通常比編碼更難破解,請注意密碼保護是我們安全策略的重要組成部分,但是我們不應僅依靠密碼保護來滿足我們的所有資料安全需求,資料還應受到其他安全控制的保護,像是檔案系統權限,其他存取控制機制以及靜態和傳輸中的資料加密。

接著在 SAS 平台中主要提供 PROC PWENCODE 的編碼方法,目前從 SAS 9.4 M5 開始主要有 SAS001 至 SAS005,請參考下表。

編碼方法 使用資料加密演算法 編碼密碼和密鑰描述
SAS001 None 使用 BASE64 編碼的密碼。
SAS002(預設值) SASProprietary 使用 32 位元固定金鑰加密密碼。
SAS003 AES (Advanced EncryptionStandard), 使用 256 位元固定金鑰加上 16 位元隨機鹽值加密密碼。
SAS004 AES (Advanced EncryptionStandard), 使用 256 位元固定金鑰加上 64 位元隨機鹽值加密密碼。
SAS005 AES (Advanced EncryptionStandard), 使用 256 位元固定金鑰加上 64 位元隨機鹽值,以及其它迭代雜湊碼加密密碼。

請注意若要使用 SAS003、SAS004 和 SAS005 ,則僅限於我們具有 SAS/SECURE 才能夠透過使用行業標準加密和雜湊演算法來保護資料,此外隨機鹽值主要加強困難度,以及雜湊碼進行密碼驗證。

再來當我譬在安裝與設定期間無需進一步調整,就會透過 PROC PWENCODE 的編碼方法為靜態資料進行加密,尤其是針對在中繼資料存儲庫中的密碼和在設定檔中的密碼,而對於靜態資料進行加密,重點是保護中繼資料存儲庫和設定檔案中的密碼,當然我們更能夠加密 SAS 資料集。請注意在中繼資料存儲庫的內部帳號密碼主要是以 SHA256-10000, SHA256 或 MD5 雜湊編碼方式進行儲存。

最後當 SAS 平台中的服務帳號的密碼需要變更時,我們主要會透過 SAS Deployment Manager 更新密碼,因為這些密碼包含在設定檔案中。這時若我們輸入明文密碼,則該應用程式就透過 SAS Proprietary 編碼 (SAS002) 對於該密碼進行編碼之後儲存至中繼資料存儲庫和設定檔中,此外我們更能夠 PROC PWENCODE 的編碼方法產生不同加密強度的密碼進行輸入設定。

相關資源

⬅️ Go back