從能源行業(yè)數(shù)據(jù)庫(kù)安全檢測(cè)報(bào)告觀行業(yè)安全現(xiàn)狀

作為國(guó)家基礎(chǔ)性產(chǎn)業(yè),能源行業(yè)的信息化建設(shè)自上世紀(jì)60年代啟動(dòng)。信息化程度日趨成熟,很大程度上提高了行業(yè)內(nèi)企業(yè)管理效率及核心競(jìng)爭(zhēng)力,但與此同時(shí),隨著能源行業(yè)多項(xiàng)業(yè)務(wù)系統(tǒng)的上線,核心業(yè)務(wù)數(shù)據(jù)的存儲(chǔ)與管理面臨更大的挑戰(zhàn),業(yè)務(wù)數(shù)據(jù)、用戶數(shù)據(jù)以及各類財(cái)務(wù)、人力等內(nèi)部運(yùn)營(yíng)敏感信息,一旦遭到泄露或篡改,將影響業(yè)務(wù)系統(tǒng)的正常運(yùn)轉(zhuǎn),關(guān)系民生。近年來(lái),能源行業(yè)對(duì)于核心數(shù)據(jù)庫(kù)的安全防護(hù),已經(jīng)在行業(yè)內(nèi)獲得關(guān)注。

安華金和近些年為能源行業(yè)多家用戶進(jìn)行過(guò)數(shù)據(jù)庫(kù)安全評(píng)估,整體情況并不樂觀,我們看到有用戶檢測(cè)結(jié)果顯示,未通過(guò)項(xiàng)中高危漏洞占比達(dá)到近三成。在幾輪的安全評(píng)估之后,我們從中歸納總結(jié)出幾類安全問題,由于該行業(yè)的信息系統(tǒng)大多為統(tǒng)一標(biāo)準(zhǔn),幾類問題可以說(shuō)是整個(gè)行業(yè)的數(shù)據(jù)庫(kù)安全通病。

以某能源行業(yè)北方某分公司數(shù)據(jù)庫(kù)安全加固項(xiàng)目為例,用戶在進(jìn)行數(shù)據(jù)庫(kù)加固項(xiàng)目規(guī)劃前,首先對(duì)核心數(shù)據(jù)庫(kù)系統(tǒng)進(jìn)行了一次全面的安全檢查,希望根據(jù)檢測(cè)報(bào)告制定有針對(duì)性的加固方案。

本次安全檢查利用安華金和數(shù)據(jù)庫(kù)漏洞掃描系統(tǒng),檢測(cè)共涉及1000余檢測(cè)項(xiàng),結(jié)果顯示未通過(guò)項(xiàng)為50余項(xiàng),其中高危風(fēng)險(xiǎn)占比21%,中、低危風(fēng)險(xiǎn)占58%,其余為存在潛在風(fēng)險(xiǎn)的警告提示。風(fēng)險(xiǎn)等級(jí)主要根據(jù)各類安全漏洞、隱患可能導(dǎo)致的危害程度來(lái)評(píng)定。

綜合檢測(cè)結(jié)果,以及與用戶交流數(shù)據(jù)庫(kù)系統(tǒng)的運(yùn)維情況,安華金和對(duì)能源行業(yè)整體數(shù)據(jù)庫(kù)安全問題及隱患進(jìn)行了歸納與總結(jié),希望可以為該行業(yè)用戶數(shù)據(jù)庫(kù)安全治理提供一些參考:

用戶對(duì)自身數(shù)據(jù)資產(chǎn)具體情況不完全清晰

數(shù)據(jù)庫(kù)安全狀況的檢測(cè)和后期加固,需要用戶提供自身數(shù)據(jù)庫(kù)系統(tǒng)的詳細(xì)架構(gòu)、數(shù)據(jù)表分布和使用情況等,例如信息系統(tǒng)中數(shù)據(jù)資產(chǎn)的規(guī)模和分布是怎樣?數(shù)據(jù)資產(chǎn)之間的關(guān)聯(lián)關(guān)系是怎樣?哪些數(shù)據(jù)需要進(jìn)行安全防護(hù)?哪些數(shù)據(jù)應(yīng)該清理?我們發(fā)現(xiàn),數(shù)據(jù)這些問題有些用戶并不能梳理清楚。這將直接影響后續(xù)數(shù)據(jù)庫(kù)安全加固建設(shè)方向的準(zhǔn)確制定,在后期方案落地過(guò)程中也將面臨諸多問題。

數(shù)據(jù)庫(kù)系統(tǒng)自身存在的安全漏洞無(wú)法實(shí)時(shí)更新補(bǔ)丁

檢測(cè)未通過(guò)項(xiàng)中數(shù)據(jù)庫(kù)自身的安全漏洞占比不小,這個(gè)結(jié)果在我們的預(yù)料之中,該能源行業(yè)主要使用的數(shù)據(jù)庫(kù)系統(tǒng)為Oracle、MySQL、Postgre、SQL Server等主流數(shù)據(jù)庫(kù)類型。我們知道,越是成熟、廣泛應(yīng)用的數(shù)據(jù)庫(kù),被發(fā)現(xiàn)的自身漏洞反而越多,雖然數(shù)據(jù)庫(kù)廠商能夠及時(shí)發(fā)布補(bǔ)丁,但出于時(shí)間、人力成本及對(duì)關(guān)鍵業(yè)務(wù)系統(tǒng)運(yùn)轉(zhuǎn)連續(xù)性的考慮,戶很難做到頻繁的更新補(bǔ)丁、重啟系統(tǒng)。利用諸如SQL注入、緩沖區(qū)溢出、權(quán)限提升等安全漏洞,發(fā)起威脅攻擊正是黑客們最常用的攻擊手段。

數(shù)據(jù)庫(kù)系統(tǒng)存在的弱口令賬戶、缺省賬戶以及低安全配置,構(gòu)成潛在安全隱患

數(shù)據(jù)庫(kù)用戶密碼過(guò)于簡(jiǎn)單易猜,檢測(cè)工具識(shí)別為弱口令賬戶,此外,掃描結(jié)果顯示,用戶數(shù)據(jù)庫(kù)系統(tǒng)中仍然存在一些未修改過(guò)初始密碼的賬戶,即為缺省賬戶。拿Oracle來(lái)說(shuō),各版本數(shù)據(jù)庫(kù)系統(tǒng)共計(jì)700多個(gè)賬戶,出廠自帶的原始用戶名和密碼大多類似,稍有數(shù)據(jù)庫(kù)操作經(jīng)驗(yàn)的人很容易破解。弱口令和缺省賬戶的存在,成為外部人員暴力破解,入侵?jǐn)?shù)據(jù)庫(kù)的捷徑,不容小覷,以下是在檢查中發(fā)現(xiàn)的部分缺省用戶:

上文我們提到,該能源行業(yè)信息化程度較高,各類業(yè)務(wù)系統(tǒng)的開發(fā)、測(cè)試、運(yùn)維等需要耗費(fèi)大量的人力成本,第三方外包顯然是最為合適的方式,對(duì)于第三方運(yùn)維工作,外包人員往往被授予數(shù)據(jù)庫(kù)最高權(quán)限;而對(duì)于開發(fā)、測(cè)試等外包項(xiàng)目則需要將部分或全庫(kù)數(shù)據(jù)外發(fā),誰(shuí)來(lái)保障他們的可信度?另一方面,檢測(cè)中安華金和數(shù)據(jù)庫(kù)漏洞掃描系統(tǒng)對(duì)低安全性的系統(tǒng)配置項(xiàng)進(jìn)行了警告,如各類權(quán)限分配不當(dāng)、參數(shù)設(shè)置不當(dāng)、登陸次數(shù)不受限等等。配置缺陷屬于潛在隱患,可能形成安全風(fēng)險(xiǎn)或系統(tǒng)性能的損耗。下面列舉個(gè)別配置缺陷警告:

對(duì)于擁有高權(quán)限的內(nèi)部運(yùn)維人員、第三方人員,無(wú)有效的細(xì)粒度管控措施

反觀內(nèi)部,本就掌握數(shù)據(jù)庫(kù)最高權(quán)限的運(yùn)維人員同樣存在安全風(fēng)險(xiǎn),我們了解到,一名運(yùn)維人員常常肩負(fù)多個(gè)大型業(yè)務(wù)系統(tǒng)及數(shù)據(jù)庫(kù)服務(wù)器的運(yùn)維管理職責(zé),工作強(qiáng)度高峰期時(shí),誤操作在所難免。這種情況下,沒有采取有效的細(xì)粒度管控措施,則無(wú)法確保高權(quán)限用戶的增刪改查操作是否符合原業(yè)務(wù)需求,近年來(lái)的多起數(shù)據(jù)泄露事件顯示,越來(lái)越多的泄露或丟失原因開始指向內(nèi)部人員或第三方外包人員。

基于上述在能源行業(yè)用戶中顯現(xiàn)的真實(shí)問題,安華金和給予有效的安全加固建議

1、針對(duì)數(shù)據(jù)資產(chǎn)進(jìn)行全面梳理

在進(jìn)行數(shù)據(jù)庫(kù)安全防護(hù)之前,安華金和首先建議用戶對(duì)企業(yè)內(nèi)數(shù)據(jù)資產(chǎn)進(jìn)行梳理,理清企業(yè)數(shù)據(jù)資產(chǎn)數(shù)量、其中的關(guān)聯(lián)關(guān)系,形成統(tǒng)一規(guī)范的登記備案流程,這個(gè)步驟對(duì)于IT建設(shè)較早的大型企事業(yè)單位來(lái)說(shuō),是決定一系列數(shù)據(jù)庫(kù)安全防護(hù)動(dòng)作的先決條件。

2、實(shí)現(xiàn)高細(xì)粒度的事中安全管控

安華金和建議,引入專業(yè)的數(shù)據(jù)庫(kù)防火墻,基于對(duì)SQL語(yǔ)句的精確解析,可以對(duì)數(shù)據(jù)庫(kù)進(jìn)行高細(xì)粒度的主動(dòng)安全管控,需要特別提到的是,數(shù)據(jù)庫(kù)防火墻(DBFirewall)因其特有的虛擬補(bǔ)丁功能,能夠提供漏洞特征檢測(cè)能力,不改造數(shù)據(jù)程序的前提下,及時(shí)更新數(shù)據(jù)庫(kù)補(bǔ)丁,避免數(shù)據(jù)庫(kù)安全風(fēng)險(xiǎn)。

3、針對(duì)數(shù)據(jù)庫(kù)操作進(jìn)行實(shí)行審批管控

針對(duì)數(shù)據(jù)庫(kù)操作不當(dāng)?shù)男袨?,更多體現(xiàn)在數(shù)據(jù)庫(kù)運(yùn)維人員身上,為了實(shí)現(xiàn)對(duì)運(yùn)維側(cè)的數(shù)據(jù)庫(kù)操作行為監(jiān)管審批,安華金和數(shù)據(jù)庫(kù)安全運(yùn)維系統(tǒng)應(yīng)運(yùn)而生,該產(chǎn)品中引入規(guī)范的操作審批流程與機(jī)制,對(duì)內(nèi)部或第三方運(yùn)維人員的操作申請(qǐng)細(xì)化至語(yǔ)句級(jí)別的審批,同時(shí)提示操作申請(qǐng)的風(fēng)險(xiǎn)度,并確保實(shí)際操作、執(zhí)行人與原申請(qǐng)保持一致。

4、使用專業(yè)的脫敏工具保證數(shù)據(jù)脫敏效果

當(dāng)敏感數(shù)據(jù)需要外發(fā)時(shí),為保證真實(shí)數(shù)據(jù)不被泄露,脫敏處理是必要手段。既要確保真實(shí)數(shù)據(jù)被擾亂,同時(shí)又不影響開發(fā)、測(cè)試、分析等工作的順暢進(jìn)行,引入專業(yè)的數(shù)據(jù)脫敏工具能夠輸出這樣的高質(zhì)量脫敏結(jié)果。同時(shí),面對(duì)該能源行業(yè)各類應(yīng)用系統(tǒng)對(duì)數(shù)據(jù)庫(kù)的訪問,動(dòng)態(tài)脫敏技術(shù),能夠滿足應(yīng)用客戶端對(duì)數(shù)據(jù)庫(kù)的實(shí)時(shí)訪問,動(dòng)態(tài)脫敏,確保只釋放權(quán)限內(nèi)的敏感數(shù)據(jù)滿足業(yè)務(wù)需要。

5、針對(duì)數(shù)據(jù)庫(kù)操作進(jìn)行實(shí)時(shí)風(fēng)險(xiǎn)感知,全面審計(jì)告警

數(shù)據(jù)庫(kù)監(jiān)控與審計(jì)系統(tǒng),通過(guò)旁路部署在不影響業(yè)務(wù)運(yùn)轉(zhuǎn)的前提下,幫助數(shù)據(jù)庫(kù)運(yùn)維人員實(shí)現(xiàn)全面的數(shù)據(jù)庫(kù)訪問行為進(jìn)行分析,捕獲數(shù)據(jù)庫(kù)登陸的異常行為,比如頻繁出現(xiàn)的數(shù)據(jù)庫(kù)登陸用戶口令異常等。通過(guò)審計(jì)記錄,可以對(duì)來(lái)自運(yùn)維側(cè)或應(yīng)用側(cè)執(zhí)行的失敗sql語(yǔ)句進(jìn)行分析匯總,發(fā)現(xiàn)可能出現(xiàn)的邏輯錯(cuò)誤或?qū)?shù)據(jù)庫(kù)構(gòu)成威脅的異常訪問行為,比如權(quán)限不足的用戶嘗試對(duì)數(shù)據(jù)庫(kù)敏感信息進(jìn)行越權(quán)訪問或變更。

安華金和面向能源行業(yè),針對(duì)多家用戶單位進(jìn)行數(shù)據(jù)庫(kù)安全檢測(cè)后總結(jié)提煉,希望可以讓用戶意識(shí)到數(shù)據(jù)庫(kù)安全防護(hù)的重要性,并有效幫助用戶解決核心數(shù)據(jù)安全問題,所推出的行業(yè)化解決方案能夠切實(shí)解決用戶痛點(diǎn),發(fā)揮產(chǎn)品及方案的最大價(jià)值。產(chǎn)品在用戶端拒絕做“僵尸機(jī)”,真正實(shí)現(xiàn)企業(yè)與用戶之間的價(jià)值共贏。

極客網(wǎng)企業(yè)會(huì)員

免責(zé)聲明:本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說(shuō)明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。

2016-12-27
從能源行業(yè)數(shù)據(jù)庫(kù)安全檢測(cè)報(bào)告觀行業(yè)安全現(xiàn)狀
安華金和近些年為能源行業(yè)多家用戶進(jìn)行過(guò)數(shù)據(jù)庫(kù)安全評(píng)估,整體情況并不樂觀,我們看到有用戶檢測(cè)結(jié)果顯示,未通過(guò)項(xiàng)中高危漏洞占比達(dá)到近三成。

長(zhǎng)按掃碼 閱讀全文