前文中��,對(duì)企業(yè)內(nèi)部面臨的各類(lèi)數(shù)據(jù)安全風(fēng)險(xiǎn)進(jìn)行了梳理分析��。本篇里����,我們將聚焦“對(duì)癥下藥”��,結(jié)合“產(chǎn)品與方案”����,介紹構(gòu)建企業(yè)內(nèi)部數(shù)據(jù)運(yùn)維安全管理工作的解決思路����。
今天,企業(yè)內(nèi)部數(shù)據(jù)安全普遍存在諸多安全風(fēng)險(xiǎn)�,除需具備協(xié)議解析等核心技術(shù)能力之外,還應(yīng)結(jié)合企業(yè)實(shí)際數(shù)據(jù)運(yùn)維場(chǎng)景�����,通過(guò)“身份管理、事前規(guī)范授權(quán)流程���、事中訪問(wèn)控制及事后追溯”等方法��,有效落實(shí)企業(yè)內(nèi)部數(shù)據(jù)運(yùn)維安全管理工作�。為此���,安華金和提出“構(gòu)建安全架構(gòu)五元組方法論”��,即:
1����、身份認(rèn)證
通過(guò)身份交付和身份認(rèn)證�����,確定訪問(wèn)來(lái)源的用戶主體是誰(shuí)���。
2��、授權(quán)
授予某些用戶主體“允許或拒絕訪問(wèn)數(shù)據(jù)庫(kù)資產(chǎn)”的權(quán)限���,形成用戶主體�����、數(shù)據(jù)資產(chǎn)與訪問(wèn)權(quán)限三者之間映射關(guān)系的授權(quán)列表�。
3���、訪問(wèn)控制
通過(guò)控制手段���,依據(jù)授權(quán)列表,實(shí)現(xiàn)訪問(wèn)過(guò)程中的阻斷�、攔截、放行�,構(gòu)建細(xì)粒度訪問(wèn)控制模型���。
4�����、審計(jì)
形成事件追溯日志��。
5����、數(shù)據(jù)資產(chǎn)保護(hù)
將數(shù)據(jù)資產(chǎn)分級(jí),針對(duì)不同級(jí)別的“數(shù)據(jù)庫(kù)����、普通數(shù)據(jù)、敏感數(shù)據(jù)”等數(shù)據(jù)資產(chǎn)施以相應(yīng)的保護(hù)�����,真正實(shí)現(xiàn)分而治之���。
安華金和DOMS數(shù)據(jù)運(yùn)維安全架構(gòu)五元組
1����、身份認(rèn)證
面對(duì)企業(yè)內(nèi)部復(fù)雜的運(yùn)維場(chǎng)景�����,DOMS提出運(yùn)維身份認(rèn)證的概念�����,首先將身份認(rèn)證作為構(gòu)建數(shù)據(jù)運(yùn)維管理的第一步�,包括身份交付、身份認(rèn)證兩部分,目的是梳理出企業(yè)內(nèi)部涉及的運(yùn)維場(chǎng)景全部納入DOMS管理的范圍內(nèi)��,并賦予對(duì)應(yīng)的運(yùn)維身份���,為后續(xù)的授權(quán)和訪問(wèn)控制打好基礎(chǔ)���。
(1)身份交付統(tǒng)一管理復(fù)雜數(shù)據(jù)運(yùn)維場(chǎng)景
DOMS對(duì)于運(yùn)維身份的理解,不僅局限于運(yùn)維人員�����,而是結(jié)合企業(yè)內(nèi)部實(shí)際運(yùn)維工作場(chǎng)景����,將應(yīng)用程序、運(yùn)維主機(jī)�、數(shù)據(jù)庫(kù)訪問(wèn)工具、應(yīng)用服務(wù)器���、以及高權(quán)限數(shù)據(jù)庫(kù)賬戶、普通數(shù)據(jù)庫(kù)賬戶等納入到運(yùn)維身份管理范疇��。通過(guò)身份交付梳理出復(fù)雜的運(yùn)維場(chǎng)景�,并通過(guò)身份定義賦予這些運(yùn)維身份對(duì)應(yīng)的屬性,包括:運(yùn)維人員姓名����、工號(hào)�����、部門(mén)�����、終端PC機(jī)的IP地址�����、MAC地址��、主機(jī)名稱(chēng)���、工具名稱(chēng)等;以上屬性����,正是DOMS通過(guò)運(yùn)維身份進(jìn)行訪問(wèn)控制的重要判斷依據(jù)之一。
身份類(lèi)型與對(duì)應(yīng)定義的屬性舉例
除此之外�,DOMS的運(yùn)維身份還可與企業(yè)內(nèi)部現(xiàn)有的用戶管理平臺(tái)(如LDAP、AD域等)進(jìn)行對(duì)接,將企業(yè)內(nèi)部上崗����、下崗、部門(mén)變動(dòng)等帶來(lái)的賬號(hào)變動(dòng)同步到DOMS���,并實(shí)現(xiàn)簡(jiǎn)易化管理與自助服務(wù)請(qǐng)求��。
(2)身份認(rèn)證創(chuàng)建訪問(wèn)零信任
DOMS通過(guò)“身份認(rèn)證”功能在每個(gè)運(yùn)維身份���、用戶、資產(chǎn)和數(shù)據(jù)交換過(guò)程中創(chuàng)建訪問(wèn)零信任��,目的是將數(shù)據(jù)的訪問(wèn)權(quán)限進(jìn)行收斂����,集中管理,防止高權(quán)限用戶濫用�����。
通過(guò)硬Ukey��、軟證書(shū)�、Web頁(yè)面認(rèn)證、雙因素認(rèn)證等工具��,將上述所有定義的運(yùn)維身份進(jìn)行唯一標(biāo)識(shí)��,在數(shù)據(jù)訪問(wèn)過(guò)程中進(jìn)行身份認(rèn)證���,并與DOMS的訪問(wèn)控制策略交互����;認(rèn)證通過(guò)后����,根據(jù)授權(quán)列表實(shí)現(xiàn)數(shù)據(jù)庫(kù)準(zhǔn)入、細(xì)粒度訪問(wèn)控制等管理���。
我們把運(yùn)維訪問(wèn)場(chǎng)景比作去動(dòng)物園���,購(gòu)買(mǎi)門(mén)票就是身份交付,刷票進(jìn)園就好比是身份認(rèn)證��,只有手握門(mén)票的人才能夠有資格入園觀光���;而入園后���,能看園區(qū)內(nèi)哪些景點(diǎn)���,觀看哪些動(dòng)物,就要看所持門(mén)票賦予的資格了���,即下面要詳細(xì)介紹的授權(quán)與訪問(wèn)控制�����。
DOMS運(yùn)維身份�、授權(quán)�、訪問(wèn)控制邏輯關(guān)系
2、授權(quán)
(1)依據(jù)運(yùn)維身份授予數(shù)據(jù)資產(chǎn)訪問(wèn)權(quán)限
授權(quán)的目的是將運(yùn)維身份�����、數(shù)據(jù)資產(chǎn)��、訪問(wèn)權(quán)限三者建立映射關(guān)系����,使得所有數(shù)據(jù)訪問(wèn)權(quán)限能夠按照運(yùn)維身份恰如其分的進(jìn)行分配,實(shí)現(xiàn)對(duì)運(yùn)維工作的最小化權(quán)限劃分�,包括數(shù)據(jù)庫(kù)用戶名��、密碼的統(tǒng)一管理以及授權(quán)下發(fā)�,并會(huì)對(duì)授權(quán)流程進(jìn)行規(guī)范化的申請(qǐng)�、審批���,只有審批通過(guò)后�����,才有權(quán)限執(zhí)行具體的SQL語(yǔ)句��、訪問(wèn)操作����。
(2)數(shù)據(jù)庫(kù)用戶名密碼統(tǒng)一管理���、授權(quán)
DOMS會(huì)為企業(yè)提供數(shù)據(jù)庫(kù)用戶名�、密碼統(tǒng)一管理能力�,目的是防止運(yùn)維過(guò)程中泄露密碼以及運(yùn)維人員隨意創(chuàng)建數(shù)據(jù)庫(kù)用戶。主要依托的是安華金和獨(dú)立研發(fā)并獲取專(zhuān)利的“密碼橋”技術(shù)�����,DOMS根據(jù)運(yùn)維身份直接授權(quán)或經(jīng)過(guò)申請(qǐng)、審批的流程���,將DOMS創(chuàng)建的一套“虛假的數(shù)據(jù)庫(kù)用戶名��、密碼”來(lái)替代數(shù)據(jù)庫(kù)真實(shí)的數(shù)據(jù)庫(kù)用戶名�、密碼���,進(jìn)行數(shù)據(jù)庫(kù)登陸��,并在創(chuàng)建初期同時(shí)進(jìn)行運(yùn)維身份的定義���,所以登陸數(shù)據(jù)庫(kù)的同時(shí)還會(huì)進(jìn)行身份認(rèn)證,若在授權(quán)的范圍內(nèi)才可成功登陸數(shù)據(jù)庫(kù)��。此外����,由于安華金和的“密碼橋”技術(shù)是基于秘鑰計(jì)算方式實(shí)現(xiàn)的,所以DOMS可與客戶現(xiàn)有密碼管理平臺(tái)對(duì)接��,實(shí)現(xiàn)一套賬號(hào)無(wú)縫銜接登陸數(shù)據(jù)庫(kù)�,并進(jìn)行認(rèn)證。
(3)通過(guò)“申請(qǐng)審批”規(guī)范運(yùn)維授權(quán)流程
對(duì)于運(yùn)維管理�,最重要的一步就是預(yù)前處理��,通過(guò)規(guī)范化的授權(quán)流程���,提前將風(fēng)險(xiǎn)縮小到可控范圍內(nèi)。DOMS提供的申請(qǐng)�、審批流程���,在運(yùn)維人員對(duì)重要SQL語(yǔ)句��、SQL腳本����、核心數(shù)據(jù)執(zhí)行訪問(wèn)前����,必須先通過(guò)“申請(qǐng)?zhí)岢龉危⒔?jīng)過(guò)負(fù)責(zé)人審批通過(guò)后”��,才可獲得執(zhí)行權(quán)限���,否則會(huì)被攔截����、阻斷。這一事前干預(yù)處理�����,能夠大大減少運(yùn)維操作中經(jīng)常出現(xiàn)的誤操作(no where全表更新)�、高風(fēng)險(xiǎn)操作(delete、truncate數(shù)據(jù)批量刪除)���、泄露數(shù)據(jù)(expdp數(shù)據(jù)批量導(dǎo)出)等問(wèn)題����,并提供與企業(yè)現(xiàn)有ITSM��、OA等系統(tǒng)的標(biāo)準(zhǔn)對(duì)外接口�,從而實(shí)現(xiàn)面向不同平臺(tái)的統(tǒng)一申請(qǐng)及審批操作流程。
DOMS申請(qǐng)審批流程示意圖
3�����、訪問(wèn)控制
DOMS首先從網(wǎng)絡(luò)部署層面出發(fā)�����,以數(shù)據(jù)庫(kù)為中心進(jìn)行 “代理部署”;同時(shí)��,在“數(shù)據(jù)庫(kù)本地建立訪問(wèn)控制”�����,通過(guò)“兩手抓”的方式建立全面��、無(wú)死角的運(yùn)維網(wǎng)絡(luò)鏈接控制����。之后,依據(jù)運(yùn)維身份進(jìn)行數(shù)據(jù)庫(kù)級(jí)的準(zhǔn)入控制�����,繼而進(jìn)行實(shí)例���、表級(jí)訪問(wèn)控制,最后細(xì)粒度達(dá)到字段級(jí)��、數(shù)據(jù)級(jí)訪問(wèn)控制��。通過(guò)層層把關(guān)����、逐步認(rèn)證�,最終構(gòu)建一個(gè)全面的�����、細(xì)粒度的訪問(wèn)控制模型�����。
(1)代理部署+本地訪問(wèn)控制
以數(shù)據(jù)庫(kù)為中心����,DOMS進(jìn)行代理部署,從根本上解決運(yùn)維人員直接接觸數(shù)據(jù)庫(kù)的問(wèn)題���。所有的訪問(wèn)源通過(guò)訪問(wèn)DOMS的代理IP����、PORT來(lái)替代真實(shí)的數(shù)據(jù)庫(kù)IP�、PORT;DOMS則通過(guò)“代理劫持+轉(zhuǎn)發(fā)”的技術(shù)實(shí)現(xiàn)訪問(wèn)控制�。此外,為防“繞過(guò)”�,DOMS還支持在數(shù)據(jù)庫(kù)本地安裝插件以實(shí)現(xiàn)本地訪問(wèn)控制的功能,從而達(dá)到“無(wú)后門(mén)”式全面承接運(yùn)維管控工作的能力,無(wú)論是普通權(quán)限還是高權(quán)限都將被納入到DOMS統(tǒng)一的訪問(wèn)控制管理內(nèi)��。
DOMS“代理部署+本地訪問(wèn)控制”部署示意圖
(2)數(shù)據(jù)庫(kù)準(zhǔn)入
DOMS采用雙因素�、WEB認(rèn)證以及上文所述的密碼橋等技術(shù)手段,實(shí)現(xiàn)了數(shù)據(jù)庫(kù)級(jí)的身份認(rèn)證�;認(rèn)證通過(guò)后,才僅允許合法的�、可信任的人或設(shè)備接入數(shù)據(jù)庫(kù),即實(shí)現(xiàn)數(shù)據(jù)庫(kù)準(zhǔn)入���;并實(shí)時(shí)檢測(cè)密碼猜測(cè)和密碼泄露風(fēng)險(xiǎn)���,全面防御密碼攻擊,構(gòu)建數(shù)據(jù)庫(kù)“第一道”防御體系��。
WEB認(rèn)證實(shí)現(xiàn)數(shù)據(jù)庫(kù)登陸準(zhǔn)入
(3)構(gòu)建細(xì)粒度訪問(wèn)控制模型
DOMS以協(xié)議解析技術(shù)為基礎(chǔ)�,從全流量中抽取出SQL語(yǔ)句����、表對(duì)象、字段�、操作類(lèi)型(DDL、DCL�、DML等)、訪問(wèn)源、訪問(wèn)目標(biāo)等信息���,依據(jù)這些細(xì)粒度元素創(chuàng)建多種類(lèi)型訪問(wèn)控制規(guī)則��,DOMS的訪問(wèn)控制規(guī)則類(lèi)型如下:
DOMS訪問(wèn)控制規(guī)則類(lèi)型
在不同的運(yùn)維場(chǎng)景下�,通過(guò)身份認(rèn)證識(shí)別出針對(duì)不同運(yùn)維身份所授予的數(shù)據(jù)訪問(wèn)權(quán)限后����,DOMS會(huì)按照事先配置的訪問(wèn)規(guī)則準(zhǔn)確執(zhí)行阻斷、攔截�、放行等控制動(dòng)作,達(dá)到依據(jù)運(yùn)維身份授權(quán)構(gòu)建細(xì)粒度訪問(wèn)控制模型的目的��。
DOMS依據(jù)運(yùn)維身份構(gòu)建數(shù)據(jù)資產(chǎn)細(xì)粒度訪問(wèn)控制矩陣模型
4�、審計(jì)
(1)“實(shí)名化”審計(jì)用于事后追溯
對(duì)于數(shù)據(jù)庫(kù)的運(yùn)維操作行為,企業(yè)必須進(jìn)行全面的日制記錄用于事后追溯��。DOMS基于數(shù)據(jù)庫(kù)協(xié)議�,結(jié)合身份認(rèn)證手段,將每一個(gè)數(shù)據(jù)運(yùn)維操作都標(biāo)識(shí)到具體的運(yùn)維人員���,即“是誰(shuí)在什么時(shí)間��、以哪個(gè)客戶端IP�����、通過(guò)哪個(gè)數(shù)據(jù)庫(kù)用戶�����、訪問(wèn)了哪個(gè)數(shù)據(jù)庫(kù)�����、執(zhí)行了什么sql語(yǔ)句”等等����,這樣經(jīng)過(guò)“實(shí)名化”的每一條sql語(yǔ)句和每次一數(shù)據(jù)庫(kù)訪問(wèn)操作行為,都是風(fēng)險(xiǎn)事后追溯一組無(wú)法推翻的�、完整的證據(jù)鏈。
DOMS“實(shí)名化”操作日志記錄
(2)審計(jì)日志統(tǒng)計(jì)分析內(nèi)部數(shù)據(jù)運(yùn)維風(fēng)險(xiǎn)
DOMS基于審計(jì)日志����,以運(yùn)維人員、觸發(fā)風(fēng)險(xiǎn)top��、會(huì)話�、SQL等維度進(jìn)行統(tǒng)計(jì)分析�����,形成展示界面及報(bào)表,為日后企業(yè)內(nèi)部數(shù)據(jù)的整體運(yùn)維管理工作提供有效依據(jù)�����。
5�����、數(shù)據(jù)資產(chǎn)保護(hù)
(1)敏感數(shù)據(jù)與普通數(shù)據(jù)的運(yùn)維分而治之
數(shù)據(jù)資產(chǎn)保護(hù)�,首要就是將普通數(shù)據(jù)與敏感數(shù)據(jù)的安全訪問(wèn)管控能力進(jìn)行有效隔離,針對(duì)不同數(shù)據(jù)進(jìn)行不同的處理�。除上述細(xì)粒度訪問(wèn)控制模型外,還需要針對(duì)核心敏感數(shù)據(jù)資產(chǎn)實(shí)現(xiàn)訪問(wèn)過(guò)程中的實(shí)時(shí)動(dòng)態(tài)脫敏�����,以確保不同用戶具備不同的敏感數(shù)據(jù)訪問(wèn)權(quán)限�,從而達(dá)到敏感數(shù)據(jù)與普通數(shù)據(jù)在運(yùn)維過(guò)程中的“分而治之”。
(2)敏感數(shù)據(jù)資產(chǎn)梳理
DOMS敏感數(shù)據(jù)資產(chǎn)梳理能力�����,是從企業(yè)內(nèi)部龐大的數(shù)據(jù)資產(chǎn)中有效梳理出敏感數(shù)據(jù)的所在位置��,達(dá)到“庫(kù)—>表—>字段級(jí)”的細(xì)粒度,以整體展現(xiàn)敏感數(shù)據(jù)的分布情況�,從而為構(gòu)建敏感數(shù)據(jù)訪問(wèn)控制、動(dòng)態(tài)脫敏等防控能力打下基礎(chǔ)����。
(3)敏感數(shù)據(jù)動(dòng)態(tài)脫敏
DOMS為防止企業(yè)核心敏感數(shù)據(jù)資產(chǎn)的泄露,可提供敏感數(shù)據(jù)在訪問(wèn)過(guò)程中的實(shí)時(shí)動(dòng)態(tài)脫敏能力��,脫敏的同時(shí)也支持敏感數(shù)據(jù)細(xì)粒度訪問(wèn)控制��,還可通過(guò)申請(qǐng)審批流程獲取訪問(wèn)授權(quán)��。除此之外��,結(jié)合身份認(rèn)證手段�,達(dá)到針對(duì)不同的訪問(wèn)運(yùn)維身份實(shí)現(xiàn)不同的脫敏效果,保障敏感數(shù)據(jù)資產(chǎn)安全����。
DOMS依據(jù)不同運(yùn)維身份脫敏不同效果示意圖
面對(duì)企業(yè)內(nèi)部數(shù)據(jù)安全存在的風(fēng)險(xiǎn),安華金和DOMS以訪問(wèn)控制為手段�,以運(yùn)維身份為抓手,以流程為規(guī)范�,制定適當(dāng)?shù)脑L問(wèn)決策,并允許風(fēng)險(xiǎn)/合規(guī)管理人員權(quán)限分離��,快速識(shí)別違規(guī)行為�����,幫助確定風(fēng)險(xiǎn)區(qū)域和訪問(wèn)優(yōu)化����,提供針對(duì)風(fēng)險(xiǎn)用戶及其行為清晰直觀的視覺(jué)洞察與審計(jì)能力。
此外���,安華金和可提供DOMS與堡壘機(jī)聯(lián)動(dòng)的整體解決方案�����,通過(guò)將訪問(wèn)來(lái)源定位到堡壘機(jī)訪問(wèn)的真實(shí)自然人��,達(dá)到針對(duì)真實(shí)自然人的訪問(wèn)控制和審計(jì)�����,實(shí)現(xiàn)從網(wǎng)絡(luò)層到數(shù)據(jù)層�,全面�����、有效落實(shí)企業(yè)內(nèi)部數(shù)據(jù)運(yùn)維安全。
拓展閱讀:「安華金和」如何有效落實(shí)企業(yè)內(nèi)部數(shù)據(jù)運(yùn)維安全(一)
產(chǎn)品咨詢:4000 258 365 
