關(guān)于數(shù)據(jù)庫安全,你該怎么辦?
來源:易賢網(wǎng) 閱讀:1300 次 日期:2015-09-24 15:08:47
溫馨提示:易賢網(wǎng)小編為您整理了“關(guān)于數(shù)據(jù)庫安全,你該怎么辦?”,方便廣大網(wǎng)友查閱!

一家有著多個分支機構(gòu)的大型企業(yè),IT信息化建設(shè)已是走在同行業(yè)的前列。企業(yè)的日常費用報銷、合同審批等流程均是通過企業(yè)自建的工作流系統(tǒng)完成,其后端核心數(shù)據(jù)庫是SQL Server。

兩件泄密事件

該公司曾遭遇兩次較嚴(yán)重的泄密事件,一次是對一項服務(wù)項目進行采購和招標(biāo)后,確定了意向的公司,并且在工作流中進行了相關(guān)審批。按公司規(guī)定,此事暫時還處于保密階段,但是相關(guān)信息很快便被泄露出去了,泄露原因卻無人知曉。還有一次,公司人員的工資明細莫名其妙的被極個別的人員知道,并在小范圍內(nèi)傳播。

雖然公司在暗中進行了調(diào)查(包括行政和技術(shù)的層面),卻沒有明顯的證據(jù)表明是哪個人的行為,以及通過哪些途徑竊取了數(shù)據(jù)。

痛定思痛,公司下決心部署了數(shù)據(jù)庫安全審計解決方案,之后再沒有發(fā)生過類似的泄密事件,而且也反推出了之前泄密事件發(fā)生的根源——和數(shù)據(jù)庫相關(guān),而且是內(nèi)部人員對數(shù)據(jù)庫進行查詢操作所為。

探尋數(shù)據(jù)庫安全風(fēng)險

從上述事例中可以看出,作為公司核心數(shù)據(jù)信息的存儲載體,數(shù)據(jù)庫的安全和審計尤為重要,一般企業(yè)的數(shù)據(jù)庫管理面臨如下的風(fēng)險或挑戰(zhàn):

1. 管理風(fēng)險

內(nèi)部員工的日常操作不夠規(guī)范;第三方維護人員的操作監(jiān)控缺失;離職員工可能在系統(tǒng)中留有后門等等。

2. 技術(shù)風(fēng)險

◆數(shù)據(jù)庫是一個龐大而復(fù)雜的系統(tǒng),出于穩(wěn)定性的考慮,往往對補丁的跟進非常延后,更主要的是企業(yè)內(nèi)部人員可以通過應(yīng)用層注入攻擊等將使數(shù)據(jù)庫處于一種受威脅的狀態(tài),而網(wǎng)絡(luò)層設(shè)備很難阻止此類攻擊。

◆對一些重要或敏感數(shù)據(jù)的誤操作,會帶來較大的風(fēng)險及損失,如何阻斷操作或警告是很大的挑戰(zhàn)。

3. 審計風(fēng)險

◆現(xiàn)有的依賴于數(shù)據(jù)庫日志文件的審計方法,存在諸多弊端,如數(shù)據(jù)庫審計功能的開啟會影響數(shù)據(jù)庫本身的性能。同時,數(shù)據(jù)庫日志文件本身存在被篡改的風(fēng)險,自身的日志審計也難以體現(xiàn)審計信息的有效性和權(quán)威性。

◆通過域組策略等的審計方法,亦不能滿足對審計的細粒度要求以及對操作者的記錄等。

◆有效的行為審計分析和靈活的審計策略缺失等。

再回頭來看第一部分的兩起泄密事件,或多或少均和管理風(fēng)險、技術(shù)風(fēng)險、審計風(fēng)險有關(guān)聯(lián)。如果這家公司在數(shù)據(jù)庫方面的操作流程規(guī)范,數(shù)據(jù)庫管理人員的職責(zé)明確,操作有監(jiān)控記錄的話,就可以實現(xiàn)對數(shù)據(jù)庫進行操作維護時要審批,且只有具備相應(yīng)權(quán)限的管理人員才能完成,同時也會對操作行為進行監(jiān)控記錄。

如果對一些重要的、敏感的數(shù)據(jù)進行操作時(如查詢工資表、如重要人名),有報警或是阻斷,在很大程度上也可以避免以上事件的發(fā)生。另外,如果有對全部或是部分的操作有記錄,且利于查詢或回放,就可以更好的定位原因及責(zé)任人。

魔高一尺道高一丈

那么,關(guān)于數(shù)據(jù)庫安全,到底要防范些什么,又該怎么去防呢?

1.管理制度及流程

制定相關(guān)的數(shù)據(jù)庫管理流程,不同的人員對數(shù)據(jù)庫的操作職責(zé)不一樣,所有人員對數(shù)據(jù)庫的操作均需要事前審批,對一些非常重要的操作需要二級以上審批。

申請操作時,需明確在什么人,什么時間,因為何事,對哪個數(shù)據(jù)庫(或表),進行什么樣的操作,可能有什么樣的風(fēng)險及采取的補救措施等。

名單

2. 技術(shù)手段和審計手段

一般可以采取業(yè)界已存在的且比較成熟的數(shù)據(jù)庫審計解決方案來實現(xiàn):

◆實時記錄用戶對數(shù)據(jù)庫系統(tǒng)的所有操作(如:插入、刪除、更新、用戶自定義操作等),并還原SQL操作命令包括源IP地址、目的IP地址、訪問時間、用戶名、數(shù)據(jù)庫操作類型、數(shù)據(jù)庫表名、字段名等,如此,可實現(xiàn)對數(shù)據(jù)庫安全事件準(zhǔn)確全程跟蹤定位。

名單

◆實時檢查數(shù)據(jù)庫不安全配置、數(shù)據(jù)庫潛在弱點、數(shù)據(jù)庫用戶弱口令、數(shù)據(jù)庫軟件補丁層次、數(shù)據(jù)庫潛藏木馬等。

◆進行全方位的多層(應(yīng)用層、中間層、數(shù)據(jù)庫層)的訪問審計,通過多層業(yè)務(wù)審計,實現(xiàn)數(shù)據(jù)操作原始訪問者的精確定位。

◆針對于數(shù)據(jù)庫的操作行為進行實時檢測,并預(yù)設(shè)置風(fēng)險控制策略,結(jié)合對數(shù)據(jù)庫活動的實時監(jiān)控信息,進行特征檢測,任何嘗試性的攻擊操作都將被檢測到并進行阻斷或告警;并支持通過郵件、短信、SYSLOG、SNMP、屏幕等方式告警。

名單

關(guān)于數(shù)據(jù)庫安全,你該怎么辦?

真實生產(chǎn)環(huán)境中的數(shù)據(jù)庫安全風(fēng)險不止這些,同樣的針對性解決方案也不少。當(dāng)然,完全使用自創(chuàng)的解決方案也是一種方法,如數(shù)據(jù)庫系統(tǒng)本身的安全加固。

數(shù)據(jù)庫安全極其重要,不能僅僅滿足于事后解決問題,更應(yīng)當(dāng)做到以事前預(yù)防為主。

啟明星辰公司數(shù)據(jù)庫審計專家點評

本文生動具體的從專業(yè)角度分析了數(shù)據(jù)庫安全的一個重要方面——審計。訪問行為審計不僅便于對違規(guī)操作進行溯源追查,一個好的審計產(chǎn)品還能夠幫助用戶梳理整個數(shù)據(jù)庫系統(tǒng)的安全水平,包括用戶權(quán)限的劃分、數(shù)據(jù)庫系統(tǒng)的安全狀態(tài),甚至包括關(guān)鍵數(shù)據(jù)庫表的訪問頻率及數(shù)據(jù)庫性能等等。該用戶使用的產(chǎn)品是啟明星辰天玥產(chǎn)品,天玥數(shù)據(jù)庫審計系列產(chǎn)品對數(shù)據(jù)庫訪問行為的細粒度審計、權(quán)限控制等方面做得非常深入細致。當(dāng)然,從系統(tǒng)安全角度考慮,對數(shù)據(jù)庫的漏洞檢查、配置安全檢測、訪問控制、攻擊防御都是值得重視的方面。

更多信息請查看IT技術(shù)專欄

更多信息請查看數(shù)據(jù)庫
易賢網(wǎng)手機網(wǎng)站地址:關(guān)于數(shù)據(jù)庫安全,你該怎么辦?
由于各方面情況的不斷調(diào)整與變化,易賢網(wǎng)提供的所有考試信息和咨詢回復(fù)僅供參考,敬請考生以權(quán)威部門公布的正式信息和咨詢?yōu)闇?zhǔn)!

2025國考·省考課程試聽報名

  • 報班類型
  • 姓名
  • 手機號
  • 驗證碼
關(guān)于我們 | 聯(lián)系我們 | 人才招聘 | 網(wǎng)站聲明 | 網(wǎng)站幫助 | 非正式的簡要咨詢 | 簡要咨詢須知 | 加入群交流 | 手機站點 | 投訴建議
工業(yè)和信息化部備案號:滇ICP備2023014141號-1 云南省教育廳備案號:云教ICP備0901021 滇公網(wǎng)安備53010202001879號 人力資源服務(wù)許可證:(云)人服證字(2023)第0102001523號
云南網(wǎng)警備案專用圖標(biāo)
聯(lián)系電話:0871-65099533/13759567129 獲取招聘考試信息及咨詢關(guān)注公眾號:hfpxwx
咨詢QQ:526150442(9:00—18:00)版權(quán)所有:易賢網(wǎng)
云南網(wǎng)警報警專用圖標(biāo)