有了堡壘機，距離真正的安全還有多遠？

近年來，各行業(yè)用戶對于數(shù)據(jù)安全的建設(shè)目標，正在逐漸從“單純防外部攻擊”轉(zhuǎn)向“內(nèi)外部環(huán)境下的數(shù)據(jù)安全使用”，這種視角的轉(zhuǎn)變代表企業(yè)和組織更加重視數(shù)據(jù)流轉(zhuǎn)過程中各個環(huán)節(jié)的管控，對于企業(yè)核心數(shù)據(jù)的訪問來自應(yīng)用和運維兩方面，而運維人員具有更高操作權(quán)限。

目前在信息化建設(shè)較為成熟的大型集團或組織，已經(jīng)形成了詳細的運維工作管理要求，以某運營商行業(yè)的信息安全管理規(guī)范為參考，能夠梳理出組織和企業(yè)對于數(shù)據(jù)運維安全，應(yīng)當(dāng)重點考慮的幾個角度和可參照的標準，同時將我們在此方面的技術(shù)思路呈現(xiàn)出來，供參考。

規(guī)范中的重點運維要求可歸納為以下四點：

權(quán)限明確、職責(zé)分離、最小特權(quán)

運維賬戶的權(quán)限分配應(yīng)當(dāng)遵循“權(quán)限明確、職責(zé)分離、最小特權(quán)”的原則。原則上一個賬號對應(yīng)一個用戶，而一個賬號擁有的權(quán)限是由其被賦于的崗位角色所決定的，應(yīng)按照角色或用戶組進行授權(quán)，而不是將單個權(quán)限直接賦予一個賬號。對權(quán)限相近的崗位角色進行合并，并對崗位角色的權(quán)限進行規(guī)范。在涉及客戶信息的系統(tǒng)中，崗位角色應(yīng)當(dāng)根據(jù)企業(yè)、部門的組織結(jié)構(gòu)和職責(zé)分配而設(shè)定；同時，應(yīng)當(dāng)根據(jù)崗位角色的需要對相關(guān)人員進行授權(quán)，不能根據(jù)人員需求或變更而設(shè)定崗位角色。不同的崗位角色擁有不同的權(quán)限。

角色定位、崗位職責(zé)、權(quán)限要求

規(guī)范中界定的運維角色有主機管理員、網(wǎng)絡(luò)管理員、數(shù)據(jù)庫管理員、應(yīng)用管理員、配置管理、服務(wù)監(jiān)控、安全管理等，于各省公司負責(zé)涉及客戶敏感信息的系統(tǒng)的維護管理和服務(wù)監(jiān)控的人員。其中：

l 主機管理員、網(wǎng)絡(luò)管理員、數(shù)據(jù)庫管理員、配置管理員等超級管理員無權(quán)查詢客戶信息；

l 應(yīng)用管理員有查詢權(quán)限，按照最小授權(quán)原則授權(quán)，可授予增加、刪除、修改、批量導(dǎo)入與導(dǎo)出、批量開通與取消、批量下載等針對客戶敏感信息操作的部分權(quán)限，但必須有嚴格的日志記錄；

l 具有批量操作權(quán)限的人員應(yīng)指定專人，人員范圍應(yīng)盡量小。

關(guān)于登錄及操作審批的規(guī)定

l 運維支撐人員對業(yè)務(wù)系統(tǒng)應(yīng)用層的訪問權(quán)限必須經(jīng)過業(yè)務(wù)管理部門審批，對系統(tǒng)層訪問權(quán)限必須經(jīng)過本部門領(lǐng)導(dǎo)審批。

l 運維支撐人員因統(tǒng)計取數(shù)、批量業(yè)務(wù)操作對客戶敏感信息查詢、變更操作時必須有業(yè)務(wù)管理部門的相關(guān)公文，并經(jīng)過部門領(lǐng)導(dǎo)審批。

l 支撐人員因系統(tǒng)維護進行客戶敏感信息的數(shù)據(jù)遷移（數(shù)據(jù)導(dǎo)入、導(dǎo)出、備份）必須填寫操作申請，并經(jīng)過部門主管審批。

關(guān)于敏感數(shù)據(jù)運維操作流程的規(guī)定：審批要求

運維支撐人員因業(yè)務(wù)投訴、統(tǒng)計取數(shù)、批量業(yè)務(wù)操作、批量數(shù)據(jù)修復(fù)等進行的客戶敏感信息查詢、變更必須提交操作申請，按照要求進行操作，不得擴大操作范圍，在工單中保留操作原因和來源的工單（公文）編號，并由專人負責(zé)審核。

當(dāng)前運維管理工作需求與現(xiàn)狀

以上管理規(guī)范中對于數(shù)據(jù)庫運維側(cè)的相關(guān)規(guī)定，對高細粒度的運維管控提出了要求：涉及到了運維人員身份鑒別，登錄及操作審批、運維操作流程精確審計以及集中的事中管控等方面。

傳統(tǒng)的數(shù)據(jù)庫運維工作的管理模式重在事前審批，審批通過后則由運維人員自行安排操作執(zhí)行，也可能由其他人員代操作，整個操作過程不定因素很多：

l 實際操作人是誰？

l 運維人員實際操作是否與申請一致？

l 出現(xiàn)誤操作，如何追溯？

l 如何管控來自內(nèi)部或第三方運維人員有意無意的高危操作？

目前，堡壘機是大多數(shù)企業(yè)的普遍解決方案。而事實上，由于缺乏對數(shù)據(jù)庫通訊協(xié)議的精確解析能力，堡壘機只能實現(xiàn)對操作人身份、操作目標庫等最基本的身份識別，這其中差了最關(guān)鍵的一環(huán)：對操作內(nèi)容、操作過程的有效管控。因此，對執(zhí)行過程進行透明化管控是數(shù)據(jù)庫安全運維系統(tǒng)的重要使命。另外，堡壘機對于圖形化操作只能進行錄屏，無法作到有效事中控制，未來風(fēng)險分析時也無法完成快速的檢索和定位。

數(shù)據(jù)庫安全運維細粒度管控技術(shù)分析

安華金和的數(shù)據(jù)庫安全運維系統(tǒng)DBController正是憑借著細粒度的運維管控優(yōu)勢，幫助眾多用戶實現(xiàn)了對數(shù)據(jù)庫的日常運維管理，有效提升運維管理的精細度和安全性。

運維身份認證細粒度控制

用戶風(fēng)險

某集團運維工作中，存在運維人員小張、小王、小李共享主機和數(shù)據(jù)庫賬戶的情況，一旦發(fā)生運維事故，怎么定位追責(zé)？

解決方案

通過雙因素認證機制，解決數(shù)據(jù)庫賬戶共享、運維主機共享場景下的運維人員精準身份鑒別及權(quán)限劃分問題。認證機制包括：

動態(tài)令牌：運維人員在登錄數(shù)據(jù)庫后，需要輸入動態(tài)令牌顯示的數(shù)字校驗身份，通過后方可執(zhí)行與身份相符的運維操作。

審批口令碼：運維人員提交申請并通過后獲得審批碼，運維人員登錄數(shù)據(jù)庫需提交審批碼，方可繼續(xù)執(zhí)行獲準的運維操作。

DBController可設(shè)置普通用戶、審批人、安全管理員、系統(tǒng)管理員、審計管理員五種角色，對應(yīng)不同操作權(quán)限。

l 普通用戶即一線運維人員，其權(quán)限是可以對執(zhí)行的語句進行申請并根據(jù)申請結(jié)果執(zhí)行操作；

l 審批人即運維主管或安全主管，對申請人申請的語句進行審批，也可以申請語句并執(zhí)行；

l 安全管理員可以制定管控對象和操作規(guī)則，對運維數(shù)據(jù)實時監(jiān)控，審計檢查；

l 系統(tǒng)管理員主要權(quán)限是對主機管理、內(nèi)存管理、網(wǎng)絡(luò)管理，管理數(shù)據(jù)庫，管理用戶。

l 審計管理員主要負責(zé)監(jiān)督普通用戶、審批人、安全管理員及系統(tǒng)管理員在系統(tǒng)中的操作。

應(yīng)用場景舉例

運維人員小張和小李共享主機和數(shù)據(jù)庫賬戶，DBController進行管控后，運維小張對數(shù)據(jù)庫進行訪問操作，當(dāng)執(zhí)行操作對象涉及敏感數(shù)據(jù)時，觸發(fā)DBController控制規(guī)則被攔截，于是小張登錄DBController對訪問對象和操作進行申請審批流程，審批通過后獲得審批口令碼；小張即便和小李共享主機和數(shù)據(jù)庫賬戶，由于操作前進行動態(tài)口令和審批口令碼認證，系統(tǒng)即可識別出操作人的真實身份，對小張審批通過后的語句可以合法放行；而小李沒有動態(tài)口令和審批口令碼認證，所以無法連接數(shù)據(jù)庫進行操作。

訪問對象細粒度控制

用戶風(fēng)險

公司運維人員（第三方運維人員A、內(nèi)部運維人員B、運維部門領(lǐng)導(dǎo)C）均可以訪問數(shù)據(jù)庫任意對象，敏感數(shù)據(jù)面臨更多泄露風(fēng)險。

解決方案

DBController系統(tǒng)可以對訪問數(shù)據(jù)庫對象進行細粒度管控，控制對象可以是庫，可以是表，也可以精細到列；管控對象可以包括用戶、登錄IP、客戶端工具、時間。

同時，系統(tǒng)可對運維人員訪問的敏感對象做細粒度控制，根據(jù)不同運維人員訪問敏感數(shù)據(jù)權(quán)限，能夠通過內(nèi)置的敏感數(shù)據(jù)訪問規(guī)則，對其訪問數(shù)據(jù)中的身份證號、銀行卡號、電話號碼、姓名、住址等敏感數(shù)據(jù)信息進行掩碼處理，實現(xiàn)敏感數(shù)據(jù)動態(tài)遮蔽，防止內(nèi)部運維人員泄露敏感數(shù)據(jù)。

應(yīng)用場景舉例

通過數(shù)據(jù)庫安全運維工具，安全管理員小張可以對公司內(nèi)部運維人員（運維人員A、B、C）運維訪問對象進行管控規(guī)則設(shè)置；

? 第三方運維人員A只能訪問公司數(shù)據(jù)庫里不涉及敏感信息的數(shù)據(jù)，而敏感數(shù)據(jù)則不能訪問

? 公司內(nèi)部運維人員B可以訪問數(shù)據(jù)庫很多對象，而訪問的敏感數(shù)據(jù)被遮蔽處理，看不到真實信息

? 公司運維部門領(lǐng)導(dǎo)C可以訪問數(shù)據(jù)庫任意對象，涉及敏感數(shù)據(jù)也能看到真實數(shù)據(jù)。

申請審批流程細粒度控制

用戶風(fēng)險

運維小張對數(shù)據(jù)庫中敏感字段進行修改操作，小張一不留神造成了誤操作，從而導(dǎo)致前端相關(guān)的業(yè)務(wù)訪問中止或出錯，造成企業(yè)直接損失。

解決方案

DBController可對運維人員提供運維審批細粒度控制，敏感數(shù)據(jù)操作行為需要經(jīng)過審批；審批通過后配發(fā)唯一口令碼，確保操作執(zhí)行者為信任用戶，執(zhí)行行為屬獲批行為。

系統(tǒng)支持設(shè)置多個審批員，避免審批人員出差或不在崗影響運維人員工作，只要有一個審批通過即可；同時系統(tǒng)也支持多級審批，提高運維審批強度和規(guī)范運維流程。

用戶可以通過第三方工具登錄數(shù)據(jù)庫進行操作，簡單口令認證，不改變原有工作習(xí)慣，口令通過者只能執(zhí)行其申請的操作內(nèi)容，杜絕誤操作及違規(guī)操作。未經(jīng)口令認證者無法操作敏感對象，防止越權(quán)操作。

應(yīng)用場景舉例

運維小張對數(shù)據(jù)庫進行訪問操作，當(dāng)執(zhí)行操作對象涉及敏感數(shù)據(jù)時，觸發(fā)DBController控制規(guī)則被攔截，于是小張登錄DBController對訪問對象和操作進行申請審批流程，審批人看到小張的申請工單詳情后給予了通過，小張獲得審批口令碼，完成登錄認證后成功執(zhí)行申請的操作，后又執(zhí)行非審批語句系統(tǒng)判為違規(guī)操作攔截，小張隨即又一次申請審批通過成功執(zhí)行該操作。運維登錄、操作細粒度控制

用戶風(fēng)險

由于未對運維人員操作時間、登錄IP加以限制，導(dǎo)致第三方運維人員小張通過其他IP在非工作時間進行運維操作，帶來運維安全隱患。

解決方案

DBController系統(tǒng)可對運維人員的IP、客戶端工具、賬號、時間等進行細粒度的登錄控制。

系統(tǒng)可以對于運維人員的執(zhí)行操作進行細粒度控制，涉及數(shù)據(jù)庫風(fēng)險行為SQL注入、漏洞攻擊、批量數(shù)據(jù)下載、危險SQL語句（如No where 、truncate）等，提供攔截、阻斷、實時告警等管控模式。

系統(tǒng)針對數(shù)據(jù)庫數(shù)據(jù)表，可按照受影響數(shù)據(jù)行數(shù)（閥值）進行精細管控，包括查詢、更新和刪除動作，超出閥值的行為進行阻斷或攔截，防止高危操作或大批量數(shù)據(jù)泄露。

應(yīng)用場景舉例

運維人員小張?zhí)峤坏牟僮鲗徟袝幸粋€針對操作對象的時間控制，即需要規(guī)定時間內(nèi)完成所申請的操作內(nèi)容，不在規(guī)定時間范圍內(nèi)操作則操作申請無效。對于審批后的定時任務(wù)，DBController可以在制定時間和周期完成規(guī)定腳本，并將執(zhí)行結(jié)果告知申請人和審批人。

結(jié)語

目前，由于數(shù)據(jù)資產(chǎn)的敏感度高，運維人員工作強度大以及運維外包形式普遍等原因，政府、金融、社保、運營商、能源、大型企業(yè)等用戶已經(jīng)開始越發(fā)重視數(shù)據(jù)運維安全的建設(shè)，技術(shù)手段的引入能夠更好的實現(xiàn)規(guī)范制度的落地，數(shù)據(jù)庫安全運維系統(tǒng)的功能開發(fā)和演進全部基于用戶側(cè)的真實需求。在整個數(shù)據(jù)安全治理的技術(shù)框架下，作為內(nèi)部訪問安全的重要一環(huán)，運維行為的細粒度管控效果，正在逐漸顯現(xiàn)出來，并能夠為用戶提供一種高效不出錯的安全方案。

生成海報

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關(guān)資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負任何法律責(zé)任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。