安華金和：數(shù)據(jù)庫(kù)運(yùn)維安全現(xiàn)狀調(diào)研報(bào)告

馬云說(shuō)過(guò)，數(shù)據(jù)是阿里最值錢的財(cái)富。數(shù)據(jù)的重要性又何止于阿里，信息化時(shí)代，數(shù)據(jù)之于很多企業(yè)來(lái)說(shuō)，幾乎是命脈。確保數(shù)據(jù)安全就是確保這個(gè)脈搏健康穩(wěn)定的跳動(dòng)。今天我們先撇開(kāi)數(shù)據(jù)庫(kù)安全的外患，從內(nèi)憂的角度來(lái)談?wù)剶?shù)據(jù)庫(kù)運(yùn)維安全。

近日，安華金和面向IT運(yùn)維領(lǐng)域展開(kāi)了一場(chǎng)關(guān)于“數(shù)據(jù)庫(kù)運(yùn)維安全現(xiàn)狀”的問(wèn)卷調(diào)查活動(dòng)。希望通過(guò)了解用戶的數(shù)據(jù)庫(kù)運(yùn)維場(chǎng)景及安全現(xiàn)狀，發(fā)現(xiàn)各行業(yè)用戶在數(shù)據(jù)庫(kù)運(yùn)維工作中的安全需求，并以此為參考進(jìn)行下一步安全產(chǎn)品的研發(fā)，為市場(chǎng)帶來(lái)真正具有用戶價(jià)值的安全產(chǎn)品。該問(wèn)卷調(diào)查活動(dòng)共獲取有效樣本144份，經(jīng)過(guò)數(shù)據(jù)統(tǒng)計(jì)分析，我們總結(jié)歸納了一些可參考結(jié)論，分享給關(guān)注數(shù)據(jù)庫(kù)安全的人士。

參與調(diào)查的人員來(lái)自各行各業(yè)，既包括政府，金融，能源，教育，又有制造業(yè)，互聯(lián)網(wǎng)，交通，醫(yī)療行業(yè)等。他們中以工程師和技術(shù)經(jīng)理居多，對(duì)于企業(yè)數(shù)據(jù)庫(kù)系統(tǒng)的技術(shù)原理及運(yùn)維操作比較了解，因此，本文所得調(diào)查結(jié)論的客觀性和專業(yè)度就得到了保障。

調(diào)查問(wèn)卷結(jié)論分析

數(shù)據(jù)庫(kù)運(yùn)維環(huán)境現(xiàn)狀

運(yùn)維環(huán)境越來(lái)越復(fù)雜，運(yùn)維安全變得越來(lái)越重要

1、數(shù)據(jù)庫(kù)服務(wù)器規(guī)模

在參與問(wèn)卷的144家單位中，半數(shù)以上的企業(yè)部署的數(shù)據(jù)庫(kù)服務(wù)器超過(guò)50臺(tái)，三成企業(yè)達(dá)到百臺(tái)規(guī)模。

圖 1.1 數(shù)據(jù)庫(kù)服務(wù)器規(guī)模

2、數(shù)據(jù)庫(kù)服務(wù)器部署位置分布

有44%的參與者反饋數(shù)據(jù)庫(kù)服務(wù)器部署在內(nèi)網(wǎng)環(huán)境中，另有49%反饋內(nèi)網(wǎng)及外網(wǎng)環(huán)境中均有部署。選擇單純部署于外網(wǎng)或不區(qū)分內(nèi)外網(wǎng)的比例僅有6%左右。

數(shù)據(jù)庫(kù)安全政策要求及安全檢查現(xiàn)狀

謀事要有方案安全要有標(biāo)準(zhǔn)

1、數(shù)據(jù)庫(kù)安全政策標(biāo)準(zhǔn)、安全檢查與使用工具

參與調(diào)查的企業(yè)中，需要通過(guò)等保檢查標(biāo)準(zhǔn)的企業(yè)占到51%，通過(guò)分保檢查標(biāo)準(zhǔn)的單位占35%，28%需要通過(guò)其他行業(yè)性安全標(biāo)準(zhǔn)。64%的單位對(duì)于數(shù)據(jù)庫(kù)會(huì)定期進(jìn)行安全檢查，但有一半的企業(yè)表示在安全檢查中沒(méi)有使用專業(yè)的檢查工具，這在一定程度上對(duì)于檢查結(jié)果的全面性和專業(yè)度有所影響。

圖1.2 安全政策合規(guī)需求

數(shù)據(jù)庫(kù)安全防護(hù)手段

數(shù)據(jù)庫(kù)安全防護(hù)意識(shí)仍有很大的宣灌空間

1、敏感數(shù)據(jù)與訪問(wèn)授權(quán)

數(shù)據(jù)安全威脅對(duì)企業(yè)來(lái)說(shuō)是致命打擊。值得欣喜的是，大多數(shù)單位都具備對(duì)核心數(shù)據(jù)的保護(hù)意識(shí)，但仍有近三成的企業(yè)尚未建立防護(hù)體系。在提供外網(wǎng)服務(wù)的應(yīng)用系統(tǒng)所用數(shù)據(jù)庫(kù)中，存有敏感數(shù)據(jù)的比例占到74%。79%的企業(yè)在運(yùn)維人員訪問(wèn)數(shù)據(jù)庫(kù)系統(tǒng)時(shí)必須得到授權(quán)。當(dāng)敏感數(shù)據(jù)用于第三方公司進(jìn)行開(kāi)發(fā)、測(cè)試、培訓(xùn)等環(huán)節(jié)前，38%的企業(yè)對(duì)敏感數(shù)據(jù)無(wú)防護(hù)手段，這是導(dǎo)致數(shù)據(jù)庫(kù)安全隱患的重要原因之一。

圖1.3 敏感信息的訪問(wèn)

2、數(shù)據(jù)庫(kù)安全管控，數(shù)據(jù)庫(kù)防火墻最受青睞

有超半數(shù)單位沒(méi)有使用專業(yè)的數(shù)據(jù)庫(kù)安全管控產(chǎn)品，近一半單位不能滿足數(shù)據(jù)庫(kù)管理制度的要求?？梢?jiàn)，對(duì)技術(shù)手段的認(rèn)知有待提高。目前所采取的數(shù)據(jù)庫(kù)安全管控技術(shù)手段中，數(shù)據(jù)庫(kù)防火墻最受青睞。調(diào)查顯示，49%的參與者已部署數(shù)據(jù)庫(kù)防火墻或數(shù)據(jù)庫(kù)訪問(wèn)管控平臺(tái)，23%只部署了堡壘機(jī)，29%未采取任何技術(shù)手段。

圖1.4 數(shù)據(jù)庫(kù)安全管控技術(shù)手段

3、審計(jì)到全面審計(jì)還有一段路要走

大部分企業(yè)會(huì)進(jìn)行數(shù)據(jù)庫(kù)訪問(wèn)審計(jì)，近三成單位只對(duì)少部分核心數(shù)據(jù)庫(kù)系統(tǒng)進(jìn)行審計(jì)。 可見(jiàn)目前大多數(shù)用戶對(duì)于數(shù)據(jù)庫(kù)審計(jì)接受度較高，在此趨勢(shì)下，小部分未采取審計(jì)手段的用戶可能被引導(dǎo)。

圖1.5數(shù)據(jù)庫(kù)訪問(wèn)審計(jì)的范圍

數(shù)據(jù)庫(kù)安全防護(hù)建議

工欲善其事必先利其器

1、在開(kāi)發(fā)、測(cè)試、培訓(xùn)等工作環(huán)節(jié)中，使用敏感數(shù)據(jù)前進(jìn)行脫敏處理是必要的，選擇專業(yè)工具能夠提高工作效率，保證數(shù)據(jù)處理效果及質(zhì)量。

目前專業(yè)數(shù)據(jù)庫(kù)脫敏和加密工具并沒(méi)有被廣泛使用，當(dāng)數(shù)據(jù)量的規(guī)模較大，各數(shù)據(jù)表、數(shù)據(jù)子集之間的關(guān)聯(lián)關(guān)系變得復(fù)雜，面對(duì)劇增的工作量，手工脫敏或加密就難以應(yīng)付，且無(wú)法保證處理質(zhì)量。這將導(dǎo)致外發(fā)數(shù)據(jù)無(wú)法滿足開(kāi)發(fā)、測(cè)試、分析等業(yè)務(wù)需求，影響結(jié)果準(zhǔn)確性，同時(shí)，耗費(fèi)的人力及時(shí)間成本往往得不償失。專業(yè)的數(shù)據(jù)庫(kù)脫敏工具可以保持原有數(shù)據(jù)類型和業(yè)務(wù)格式，保證長(zhǎng)度不變、數(shù)據(jù)內(nèi)涵不丟失，保持表間、表內(nèi)數(shù)據(jù)關(guān)聯(lián)關(guān)系，確保以上業(yè)務(wù)場(chǎng)景中的脫敏數(shù)據(jù)真實(shí)有效。同時(shí)提供動(dòng)態(tài)脫敏功能，對(duì)敏感數(shù)據(jù)進(jìn)行透明、實(shí)時(shí)脫敏，對(duì)數(shù)據(jù)庫(kù)用戶名、IP\客戶端類型、訪問(wèn)時(shí)間甚至業(yè)務(wù)用戶等多重身份進(jìn)行訪問(wèn)控制，提供多種安全策略。

2、使用專業(yè)有效的數(shù)據(jù)庫(kù)管控手段可以滿足細(xì)粒度的數(shù)據(jù)庫(kù)運(yùn)維管控，滿足數(shù)據(jù)庫(kù)管理制度要求，防止危險(xiǎn)訪問(wèn)行為。

使用專業(yè)的數(shù)據(jù)庫(kù)管控產(chǎn)品，通過(guò)對(duì)數(shù)據(jù)庫(kù)訪問(wèn)協(xié)議的精確解析，而非堡壘機(jī)單純對(duì)訪問(wèn)操作進(jìn)行錄屏，事后追責(zé)。

數(shù)據(jù)庫(kù)防火墻優(yōu)勢(shì)：基于對(duì)SQL語(yǔ)句的精準(zhǔn)解析，提供高危訪問(wèn)控制、SQL注入禁止、返回行數(shù)超標(biāo)禁止、SQL黑名單等技術(shù)功能，對(duì)于匹配策略的威脅操作實(shí)時(shí)攔截、阻斷。

數(shù)據(jù)庫(kù)訪問(wèn)管控平臺(tái)優(yōu)勢(shì)：專業(yè)的數(shù)據(jù)庫(kù)安全管控平臺(tái)在審批通過(guò)后返回唯一的操作碼，使用任意客戶端建立連接時(shí)，無(wú)操作碼或與原申請(qǐng)操作不符時(shí)，拒絕訪問(wèn)。提高操作準(zhǔn)確度，防止高危操作及誤操作。

3、運(yùn)維部門(mén)對(duì)整體數(shù)據(jù)庫(kù)訪問(wèn)行為有必要進(jìn)行實(shí)時(shí)有效的監(jiān)控與審計(jì)，審計(jì)產(chǎn)品的風(fēng)險(xiǎn)感知能力、審計(jì)效率及審計(jì)結(jié)果的準(zhǔn)確度是重要依據(jù)。

調(diào)查顯示大多數(shù)用戶已經(jīng)局部部署或全面部署數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)，在此基礎(chǔ)上，我們更應(yīng)關(guān)注審計(jì)產(chǎn)品是否專業(yè)，如數(shù)據(jù)庫(kù)流量是否全捕獲，對(duì)于長(zhǎng)語(yǔ)句、參數(shù)化語(yǔ)句等是否能夠精準(zhǔn)解析，是否具有風(fēng)險(xiǎn)感知能力，審計(jì)數(shù)據(jù)是否高效入庫(kù)，對(duì)審計(jì)結(jié)果是否能夠高效分析及檢索。這些關(guān)鍵點(diǎn)決定一款數(shù)據(jù)庫(kù)監(jiān)控與審計(jì)產(chǎn)品是否真正具有使用價(jià)值，而不是簡(jiǎn)單地解決有無(wú)問(wèn)題。

>>點(diǎn)擊下載完整版報(bào)告

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。