近日,北京市第一中級人民法院對一起歷時(shí)逾兩年的“破壞計(jì)算機(jī)信息系統(tǒng)罪”案件二審駁回上訴���,維持原判!犯罪嫌疑人韓某案發(fā)時(shí)正任職某房屋中介網(wǎng)北京公司(以下簡稱A公司)數(shù)據(jù)庫管理員:
2018年6月����,韓某借其擔(dān)任A公司數(shù)據(jù)庫管理員且掌握公司財(cái)務(wù)系統(tǒng)root權(quán)限的便利�����,登錄財(cái)務(wù)系統(tǒng)服務(wù)器刪除了財(cái)務(wù)數(shù)據(jù)及相關(guān)應(yīng)用程序���,致使財(cái)務(wù)系統(tǒng)無法登錄�����。A公司為恢復(fù)數(shù)據(jù)及重新構(gòu)建財(cái)務(wù)系統(tǒng)花費(fèi)高達(dá)數(shù)十萬元����。整個(gè)案件的發(fā)展過程更堪稱一出教科書式的DBA“刪庫跑路”�,而這一切本可以避免!
近年來���,DBA等企業(yè)內(nèi)部高權(quán)限人員“刪庫”事件頻發(fā)�����,雖然具體手段有所不同���,但都暴露出企業(yè)運(yùn)維安全管理工作背后的隱患和風(fēng)險(xiǎn)!下文中,安華金和數(shù)據(jù)安全專家將以此案為引�,從數(shù)據(jù)庫及數(shù)據(jù)安全角度,圍繞“事前-事中-事后”三個(gè)不同階段��,對當(dāng)前普遍存在的數(shù)據(jù)庫運(yùn)維安全問題進(jìn)行分析解讀���,并給出防護(hù)建議:
事前
根據(jù)A公司發(fā)布的情況說明��,是其財(cái)務(wù)人員因無法登錄系統(tǒng)而最先上報(bào)“公司財(cái)務(wù)總賬系統(tǒng)出現(xiàn)故障”這一情況的�����。說明A公司在“事發(fā)”前,并未對韓某的犯罪行為有所察覺�,最終造成公司共計(jì)9TB財(cái)務(wù)系統(tǒng)數(shù)據(jù)被惡意刪除,危及公司正常運(yùn)營并蒙受較大經(jīng)濟(jì)損失�����。
1�、問題分析
諸如A公司這般發(fā)生企業(yè)內(nèi)部人員惡意刪庫的事件,近年來已屢見不鮮�����。究其根本,是企業(yè)對內(nèi)部人員賦予的權(quán)限過于寬松�����,且無有效手段對數(shù)據(jù)庫的運(yùn)維操作進(jìn)行全面監(jiān)控與管理�,最終在自以為安全的假象下����,給了“內(nèi)鬼燈下黑”的機(jī)會。企業(yè)的這種疏漏��,就像一顆定時(shí)炸彈��,“韓某們”可能只是因?yàn)橐恍┕ぷ髦械男∈戮托膽巡粷M�����、伺機(jī)報(bào)復(fù)�����,從而令企業(yè)數(shù)據(jù)核心資產(chǎn)時(shí)刻處于風(fēng)險(xiǎn)之中����。一旦爆發(fā)���,再去亡羊補(bǔ)牢,也難以挽回遭受的經(jīng)濟(jì)損失�����,以及對企業(yè)品牌�、聲譽(yù)上造成的負(fù)面影響
2、解決思路
針對內(nèi)部人員權(quán)限過高且處于“失控”狀態(tài)的情況�����,企業(yè)必須給予重視�。這類權(quán)限過高的內(nèi)部人員,對涉及企業(yè)核心資產(chǎn)的數(shù)據(jù)庫和應(yīng)用服務(wù)的分布更為了解���,就如同扼住了企業(yè)正常經(jīng)營和發(fā)展的咽喉命脈��;針對這類人員的訪問操作等行為���,管理者如果僅憑主觀意識判斷,而不依托客觀技術(shù)手段��,那么“刪庫跑路”將變得易如反掌��。
安華金和數(shù)據(jù)庫運(yùn)維管理系統(tǒng)(DOMS),能夠幫助企業(yè)規(guī)范運(yùn)維操作�����、細(xì)化運(yùn)維權(quán)限��、標(biāo)準(zhǔn)化運(yùn)維流程�。通過事前的申請及審批流程����,確保任何運(yùn)維人員想要做重要數(shù)據(jù)庫訪問操作時(shí),都需要先申請��,審批通過后再執(zhí)行��;若不提前完成申請與審批流程�,DOMS的訪問控制功能會在防護(hù)范圍內(nèi)對未授權(quán)的操作進(jìn)行攔截阻斷。此外����,DOMS的細(xì)粒度能夠針對具體表、字段的操作行為進(jìn)行控制��,還能具體到sql語句和sql腳本進(jìn)行申請與審批�����;加之DOMS可以提供針對數(shù)據(jù)庫本地訪問的控制手段,全面承接數(shù)據(jù)庫的訪問操作���,并通過規(guī)范化���、標(biāo)準(zhǔn)化的運(yùn)維操作流程,對批量數(shù)據(jù)刪除�、泄露等惡意操作進(jìn)行準(zhǔn)確、有效的事前阻截����,從而保障企業(yè)核心數(shù)據(jù)資產(chǎn)的安全。
DOMS申請審批流程
事中
除事前“失察”外��,不少像A公司這般遭遇“刪庫”的企業(yè)���,其在“事中止損”層面也大都束手無策����。安全防護(hù)系統(tǒng)的薄弱或缺失�,令企業(yè)對“韓某們”的惡意風(fēng)險(xiǎn)操作不具備有效的“攔截或阻斷”能力,因而難以在第一時(shí)間啟動“應(yīng)急措施”�,繼而任由事件造成的損失及負(fù)面影響不斷擴(kuò)大化��。
1�、問題分析
伴隨企業(yè)信息化建設(shè)的高速發(fā)展���,數(shù)據(jù)安全已成為衡量和判斷企業(yè)經(jīng)營健康程度的重要因素之一��。如果企業(yè)在資金����、人員投入上����,只關(guān)注那些能夠直接帶來效益的環(huán)節(jié)�,那么短時(shí)期內(nèi)取得的所謂發(fā)展成果,都將是“空中樓閣”�,隨時(shí)面臨垮塌的風(fēng)險(xiǎn)!應(yīng)當(dāng)部署專業(yè)的安全產(chǎn)品�,采用有效的技術(shù)手段,對“高權(quán)限人員�����、高危操作行為��、高風(fēng)險(xiǎn)事件”等進(jìn)行持續(xù)監(jiān)督及有效管控,發(fā)生問題及時(shí)阻斷�����!
2���、解決思路
DOMS系統(tǒng)能夠提供強(qiáng)大的策略引擎���,可將各類風(fēng)險(xiǎn)操作行為及問題對應(yīng)到“訪問規(guī)則、操作規(guī)則�����、信任規(guī)則�����、口令攻擊����、注入攻擊”等具體規(guī)則。一旦發(fā)生風(fēng)險(xiǎn)問題��,就會觸發(fā)相應(yīng)的規(guī)則,并執(zhí)行相應(yīng)的控制動作�����,從而及時(shí)��、有效地應(yīng)對各類數(shù)據(jù)安全威脅���。
DOMS涵蓋的規(guī)則種類
例如:當(dāng)發(fā)生高風(fēng)險(xiǎn)行為時(shí)�,策略引擎會根據(jù)事先已配置好的規(guī)則及策略觸發(fā)控制動作��,在第一時(shí)間對高危操作進(jìn)行攔截和阻斷�,將“韓某們”的惡意報(bào)復(fù)“刪庫”攻擊扼殺在萌芽階段,大大減少企業(yè)不必要的經(jīng)濟(jì)損失與聲譽(yù)損害�。同時(shí),安華金和建議廣大客戶完善應(yīng)急預(yù)案��,并做好關(guān)鍵數(shù)據(jù)備份���,盡可能降低安全事件對企業(yè)數(shù)據(jù)資產(chǎn)造成的不可逆損失。
事后
事發(fā)后����,韓某拒不認(rèn)罪,聲稱公司內(nèi)部管理混亂——他在入職后,雖然被分配了登錄管理系統(tǒng)的權(quán)限����,能夠在系統(tǒng)上安裝和刪除相關(guān)應(yīng)用程序;但與此同時(shí)�,公司張某、楊某�、高某及多家第三方合作公司人員都具備同樣的權(quán)限,他并不是能夠進(jìn)入公司內(nèi)網(wǎng)且有對應(yīng)主機(jī)名的唯一用戶�。雖經(jīng)司法機(jī)關(guān)詳細(xì)鑒定,確認(rèn)了韓某的犯罪事實(shí)����,但企業(yè)對數(shù)據(jù)安全防護(hù)工作的忽視,以及未嚴(yán)格執(zhí)行流程制度等問題�����,卻給了韓某“開脫罪責(zé)”的底氣�����,也大大削弱了數(shù)據(jù)安全防護(hù)體系本身應(yīng)對不法分子起到的震懾作用�。
1、問題分析
為什么韓某在事發(fā)后還敢“狡辯”����?是他“認(rèn)為”并沒有直接證據(jù)表明自己與這起“刪庫”事件有關(guān)�;而僅憑數(shù)據(jù)庫所在服務(wù)器上記錄的IP�����、mac和時(shí)間信息等日志“線索”進(jìn)行摸排和比對���,并不足以給他“定罪”���!雖然從一審結(jié)果來看,司法機(jī)關(guān)最終通過調(diào)查證實(shí)韓某的犯罪事實(shí)���,但整個(gè)取證環(huán)節(jié)確實(shí)較為繁瑣且不夠直接�,也給了韓某借機(jī)“拒不認(rèn)罪”的理由��,將案件拖入二審�����,試圖通過混淆視聽��,繼續(xù)為自己開脫罪責(zé)����。
2、解決思路
對于數(shù)據(jù)庫的運(yùn)維操作行為���,企業(yè)必須進(jìn)行全面的日志記錄�,這樣做不僅能為事后追溯提供更加準(zhǔn)確����、直觀、有效的證據(jù)��,同時(shí)也會對“心懷不軌”的運(yùn)維人員起到更有力的震懾作用��,讓運(yùn)維人員清楚自己對數(shù)據(jù)庫的所有操作行為都處于監(jiān)控之下�,那些原本可能滋生的“惡意”便不會再輕易付諸行動,從而大大降低因“主觀沖動”引發(fā)的“刪庫”等惡性安全事件���。
DOMS基于數(shù)據(jù)庫協(xié)議��,對所有數(shù)據(jù)庫操作行為進(jìn)行全面日志審計(jì)并形成記錄����,對“在什么時(shí)間��,以何種方式,對目標(biāo)數(shù)據(jù)庫進(jìn)行了哪些操作”能夠提供完整的操作記錄���,為事后追溯�、取證出示完整����、清晰、直接的證據(jù)鏈�。此外,DOMS還具備運(yùn)維身份管理功能��,可在運(yùn)維人員進(jìn)行數(shù)據(jù)庫訪問操作的同時(shí)進(jìn)行身份認(rèn)證�,根據(jù)不同身份的權(quán)限,賦予不同等級的數(shù)據(jù)庫訪問操作權(quán)限���;同時(shí)�����,還會將每一次數(shù)據(jù)庫運(yùn)維操作都標(biāo)識到具體的運(yùn)維人員�,即“是誰在什么時(shí)間�、以哪個(gè)客戶端IP、通過哪個(gè)數(shù)據(jù)庫用戶�、訪問了哪個(gè)數(shù)據(jù)庫�����、執(zhí)行了什么sql語句”等等,這樣經(jīng)過“實(shí)名化”的每一條sql語句和每次一數(shù)據(jù)庫訪問操作行為����,都會是一組完整的證據(jù)鏈,讓所有的惡意操作行為無處遁形����。DOMS通過“防治結(jié)合”,讓高權(quán)限“內(nèi)鬼”無處下手���、無路可逃�!
DOMS“實(shí)名化”操作日志記錄
核心優(yōu)勢
DOMS作為一款數(shù)據(jù)庫運(yùn)維安全管理產(chǎn)品����,除了提供有效的數(shù)據(jù)庫訪問控制手段外,還能為企業(yè)提供更多有效落實(shí)數(shù)據(jù)庫運(yùn)維安全工作的管理手段�,可概括為實(shí)現(xiàn)運(yùn)維安全管理的四化:
· 數(shù)據(jù)庫運(yùn)維操作透明化
通過運(yùn)維人員身份交付、身份認(rèn)證等手段��,統(tǒng)一管理復(fù)雜的運(yùn)維場景���,確保所有運(yùn)維人員執(zhí)行的數(shù)據(jù)庫操作�����、SQL語句等均能定位到人����、機(jī)器或工具,實(shí)現(xiàn)運(yùn)維操作的透明化�����。
· 數(shù)據(jù)庫運(yùn)維工作流程化
通過定義“事前審批����、事中管控、事后追溯”的標(biāo)準(zhǔn)化流程�,防止因操作失誤或惡意破壞等不可控行為導(dǎo)致數(shù)據(jù)資產(chǎn)遭受安全威脅,實(shí)現(xiàn)運(yùn)維操作的流程化�����。
· 數(shù)據(jù)庫運(yùn)維訪問標(biāo)準(zhǔn)規(guī)范化
針對數(shù)據(jù)庫訪問權(quán)限及操作行為�����,建立詳實(shí)的防護(hù)規(guī)則與策略;同時(shí)����,對數(shù)據(jù)庫用戶名�、密碼等進(jìn)行統(tǒng)一管理。通過以上兩種手段相結(jié)合的方式��,有效防止因內(nèi)部人員權(quán)限過大或數(shù)據(jù)庫密碼泄露等導(dǎo)致的生產(chǎn)數(shù)據(jù)批量外泄風(fēng)險(xiǎn)���,實(shí)現(xiàn)運(yùn)維訪問標(biāo)準(zhǔn)的規(guī)范化����。
· 數(shù)據(jù)庫運(yùn)維操作管理簡易化
通過可擴(kuò)展接口與用戶現(xiàn)有IT流程對接���,實(shí)現(xiàn)DOMS與用戶自身運(yùn)維流程的打通����;同時(shí)�����,支持DOMS在用戶原有系統(tǒng)上的單點(diǎn)登錄,實(shí)現(xiàn)運(yùn)維操作管理的簡易化���。
值得一提的是���,DOMS還能夠通過“代理部署+數(shù)據(jù)本地訪問控制”的方式,實(shí)現(xiàn)“無后門式”全面承接用戶的運(yùn)維管控工作�,并對敏感數(shù)據(jù)的訪問進(jìn)行動態(tài)脫敏,從而實(shí)現(xiàn)對敏感數(shù)據(jù)的有效隔離����、分而治之。
在圍觀“別人家的事兒”之余����,更應(yīng)當(dāng)從中汲取經(jīng)驗(yàn)教訓(xùn),做到旁觀者清�;勿要等問題發(fā)生在自己身上后,再去“亡羊補(bǔ)牢”��。信息時(shí)代�,數(shù)據(jù)庫運(yùn)維管理首重安全,企業(yè)應(yīng)更加注重安全運(yùn)維�����,相關(guān)工作須真正落地并形成常態(tài)化,讓數(shù)據(jù)使用自由而安全�!
產(chǎn)品咨詢:4000 258 365 
