據(jù)國外專業(yè)機(jī)構(gòu)調(diào)研結(jié)果顯示����,“內(nèi)部風(fēng)險”已成為當(dāng)前企業(yè)數(shù)據(jù)泄露的首要原因。在此背景下��,國內(nèi)某安防領(lǐng)軍企業(yè)在持續(xù)推動自身信息化建設(shè)及規(guī)模擴(kuò)張的過程中����,數(shù)據(jù)已成為其核心資產(chǎn)之一;如何保障存有各類關(guān)鍵業(yè)務(wù)信息的數(shù)據(jù)庫及數(shù)據(jù)資產(chǎn)的安全�����,是該客戶落實(shí)數(shù)據(jù)安全防護(hù)工作的重中之重�。
一方面,該客戶數(shù)據(jù)庫中存有大量企業(yè)核心業(yè)務(wù)數(shù)據(jù)及個人隱私信息���;另一方面����,開發(fā)�、測試、運(yùn)維等內(nèi)部人員需要訪問或操作數(shù)據(jù)庫中的數(shù)據(jù)�����,從而為該安防企業(yè)的數(shù)據(jù)安全帶來了巨大的隱患和風(fēng)險,亟需開展行之有效的數(shù)據(jù)庫安全運(yùn)維與管理工作���。
痛點(diǎn)分析
1����、數(shù)據(jù)訪問路徑眾多�,無統(tǒng)一運(yùn)維入口
數(shù)據(jù)分散存儲在公司自建機(jī)房的物理服務(wù)器、虛擬化及公有云環(huán)境中���,且生產(chǎn)庫與測試庫的服務(wù)器網(wǎng)絡(luò)隔離,導(dǎo)致不同環(huán)境下的數(shù)據(jù)運(yùn)維訪問路徑不一致���,無法形成有效的集中管理����。
2����、通過現(xiàn)有網(wǎng)絡(luò)堡壘機(jī)實(shí)現(xiàn)數(shù)據(jù)運(yùn)維,存在管理缺陷
為規(guī)范數(shù)據(jù)運(yùn)維工作流程��,該客戶對部分運(yùn)維人員采用“通過登錄堡壘機(jī)調(diào)用前置機(jī)數(shù)據(jù)庫客戶端工具”的方式,實(shí)現(xiàn)對數(shù)據(jù)庫的登錄����、運(yùn)維等操作。
圖1:堡壘機(jī)數(shù)據(jù)運(yùn)維管理缺陷
但是�,這種通過現(xiàn)有網(wǎng)絡(luò)堡壘機(jī)實(shí)現(xiàn)數(shù)據(jù)運(yùn)維的方式,卻存在如下管理缺陷:
· 通過堡壘機(jī)訪問數(shù)據(jù)庫���,必須調(diào)用堡壘機(jī)前置機(jī)上的客戶端工具��,堡壘機(jī)本身無法識別訪問數(shù)據(jù)庫用戶的身份�����;
· 對數(shù)據(jù)庫風(fēng)險操作及誤操作等行為無法進(jìn)行實(shí)時告警��、阻斷�;
· 海量的錄屏和鍵盤追蹤日志分析困難�����,對各類運(yùn)維協(xié)議只做簡單過濾�,審計(jì)日志僅基于關(guān)鍵字過濾,而對數(shù)據(jù)庫協(xié)議��、語法不具備進(jìn)一步分析的能力;
· 存在通過堡壘機(jī)前置機(jī)直連登錄數(shù)據(jù)庫服務(wù)器�,從而實(shí)現(xiàn)本地?cái)?shù)據(jù)運(yùn)維等風(fēng)險操作的可能。
3����、數(shù)據(jù)庫賬號共用情況泛濫,安全事件無法精準(zhǔn)溯源
圖2:共用數(shù)據(jù)庫賬號問題
運(yùn)維人員需要同時掌握AD域����、堡壘機(jī)和每個數(shù)據(jù)庫對應(yīng)的賬號信息,造成數(shù)據(jù)運(yùn)維流程復(fù)雜且賬號管理無序����;此外,普遍存在多個運(yùn)維人員使用同一賬號和共用設(shè)備訪問數(shù)據(jù)的情況��,導(dǎo)致無法準(zhǔn)確定位數(shù)據(jù)庫運(yùn)維人員的自然人身份信息��,繼而在發(fā)生安全事件后無法進(jìn)行精準(zhǔn)溯源�����。
4�、缺乏針對數(shù)據(jù)運(yùn)維風(fēng)險操作的有效管控機(jī)制
1. 針對高權(quán)限用戶訪問����、操作數(shù)據(jù)及數(shù)據(jù)庫對象等行為無法管控�����;
2. 缺乏在運(yùn)維過程中針對數(shù)據(jù)風(fēng)險操作行為的識別與管控��,包含且不限于:整表查詢操作�����、批量數(shù)據(jù)導(dǎo)出�����、批量數(shù)據(jù)篡改�����、不帶where條件的更新刪除操作��、數(shù)據(jù)庫賬號提權(quán)等��;
3. 缺乏針對誤操作行為的管控能力����,過度依賴于自然人的精準(zhǔn)操作,一旦出現(xiàn)失誤將直接導(dǎo)致數(shù)據(jù)安全時間的發(fā)生����。
5、數(shù)據(jù)運(yùn)維操作過程中�,審計(jì)手段的缺失
不具備詳細(xì)的數(shù)據(jù)庫運(yùn)維訪問與操作行為記錄,例如:訪問數(shù)據(jù)的用戶(IP���、賬號�、時間)�����、操作(增��、刪��、改���、查)、對象(表�、字段)等信息。在發(fā)生數(shù)據(jù)庫安全事件(數(shù)據(jù)篡改���、泄露等)后無法為事件追責(zé)��、定責(zé)提供準(zhǔn)確有效的依據(jù)���,也無法還原數(shù)據(jù)的執(zhí)行情況�����。
解決方案
1����、規(guī)范訪問路徑��、建立數(shù)據(jù)運(yùn)維的唯一通道
自建機(jī)房環(huán)境:通過在路由交換����、網(wǎng)絡(luò)防火墻等設(shè)備上添加ACL訪問控制規(guī)則,切斷其它數(shù)據(jù)的訪問途徑��,以數(shù)據(jù)安全運(yùn)維系統(tǒng)作為唯一的數(shù)據(jù)運(yùn)維入口��,從而起到數(shù)據(jù)庫堡壘機(jī)般的作用���;
云環(huán)境:通過數(shù)據(jù)庫自身安全機(jī)制添加運(yùn)維白名單�,僅允許數(shù)據(jù)安全運(yùn)維系統(tǒng)代理IP訪問對應(yīng)目標(biāo)數(shù)據(jù)庫。
2�����、對運(yùn)維賬號���、數(shù)據(jù)庫賬號���、訪問權(quán)限進(jìn)行集中管理
增強(qiáng)數(shù)據(jù)庫細(xì)粒度訪問控制能力,限制未授權(quán)用戶����、未授權(quán)時間段訪問未授權(quán)的數(shù)據(jù)庫,僅允許授權(quán)用戶在得到審批賦予的訪問權(quán)限后登錄數(shù)據(jù)庫執(zhí)行相關(guān)運(yùn)維操作����。同時,精簡數(shù)據(jù)運(yùn)維流程����,通過安全運(yùn)維系統(tǒng)實(shí)現(xiàn)對數(shù)據(jù)庫賬號的集中管理,并采用密碼橋技術(shù)對運(yùn)維人員隱藏?cái)?shù)據(jù)庫真實(shí)賬號信息�,實(shí)現(xiàn)通過運(yùn)維賬號即可完成數(shù)據(jù)庫登錄的目的�����。
圖3:原有數(shù)據(jù)運(yùn)維流程
圖4:集成運(yùn)維平臺流程示意圖
通過高度集成、統(tǒng)一的數(shù)據(jù)庫安全運(yùn)維管理平臺�,采用運(yùn)維賬號申請、運(yùn)維權(quán)限申請�、運(yùn)維時間控制、多級審批等模塊�����,實(shí)現(xiàn)數(shù)據(jù)運(yùn)維的統(tǒng)一路徑管理��,而無需在企業(yè)工單系統(tǒng)�����、郵件����、安全設(shè)備之間來回切換操作,大大減少多部門協(xié)作及溝通成本:
· 建立運(yùn)維賬號及訪問權(quán)限的申請��、審批機(jī)制
打破該客戶原有賬號及訪問權(quán)限“分散管理�、多平臺切換”的機(jī)制,通過統(tǒng)一平臺完成申請、審批等流程�;審批完成后,安全運(yùn)維系統(tǒng)將根據(jù)申請條件自動綁定運(yùn)維賬號并關(guān)聯(lián)訪問控制策略��,不再需要網(wǎng)絡(luò)安全員人工干預(yù)�。
· 建立自然人身份識別管控與審計(jì)機(jī)制
運(yùn)維賬號與數(shù)據(jù)庫賬號關(guān)聯(lián)綁定,并于審計(jì)���、管控條件中增加運(yùn)維員工自然人身份信息�,支持以自然人信息為條件的告警�、攔截與審計(jì)。
· 建立數(shù)據(jù)運(yùn)維全過程的同一賬號登錄機(jī)制
使用數(shù)據(jù)庫密碼橋技術(shù)���,通過更改登陸包的方式將運(yùn)維賬號密碼映射成數(shù)據(jù)庫的正確密碼����;在對運(yùn)維人員隱藏?cái)?shù)據(jù)庫真實(shí)賬號的前提下�,讓其能夠通過運(yùn)維賬號連接上數(shù)據(jù)庫,以解決共用數(shù)據(jù)庫賬號帶來的“審計(jì)無法溯源���、數(shù)據(jù)庫賬號弱口令”等問題�����。同時����,數(shù)據(jù)庫變更密碼后,只需要修改安全運(yùn)維系統(tǒng)密碼橋的映射表��,而無需逐一通知運(yùn)維人員��。
3�����、增強(qiáng)的數(shù)據(jù)庫權(quán)控體系
精確到Schema級別的數(shù)據(jù)庫權(quán)限管控�,有效制約來自內(nèi)部人員的惡意訪問及攻擊等行為����;規(guī)范化的運(yùn)維流程控制,精準(zhǔn)的DDL�����、DML等操作行為告警����、審計(jì)���、攔截能力,有效避免針對數(shù)據(jù)的風(fēng)險操作或誤操作等行為���。
客戶價值
· 實(shí)現(xiàn)企業(yè)現(xiàn)網(wǎng)環(huán)境內(nèi)“線上��、線下數(shù)據(jù)的統(tǒng)一集中管控”����,達(dá)成企業(yè)對自身數(shù)據(jù)合規(guī)性安全建設(shè)的目標(biāo)����。
· 通過一體化數(shù)據(jù)運(yùn)維管控平臺,集成運(yùn)維賬號申請����、數(shù)據(jù)訪問權(quán)限申請、在線審批��、數(shù)據(jù)流量代理訪問等功能�,實(shí)現(xiàn)運(yùn)維賬號與數(shù)據(jù)庫賬號自動關(guān)聯(lián)、數(shù)據(jù)訪問策略審批完成后自動下發(fā)等智能化運(yùn)維操作����,為數(shù)據(jù)管理��、數(shù)據(jù)運(yùn)維和網(wǎng)絡(luò)安全管理人員節(jié)省大量中間操作環(huán)節(jié)及在不同平臺間切換上的時間開支��,極大降低了數(shù)據(jù)運(yùn)維工作的時間成本�。
· 實(shí)現(xiàn)細(xì)粒度數(shù)據(jù)運(yùn)維管理���,基于精確協(xié)議解析技術(shù)對數(shù)據(jù)庫的運(yùn)維行為提供更加精細(xì)粒度的管控����,控制對象可精確到字段級別���,對數(shù)據(jù)增刪改查、數(shù)據(jù)竊取��、批量刪除等高危行為或誤操作實(shí)現(xiàn)可管�����、可控��。
· 提供完備的數(shù)據(jù)運(yùn)維審計(jì)記錄與分析能力��,便于安全事件發(fā)生后的溯源與追責(zé)���、定責(zé)����。同時,能夠?qū)崿F(xiàn)對數(shù)據(jù)庫賬號的集中管理����,解決了多人共用數(shù)據(jù)庫賬號無法溯源、定責(zé)的問題�。
產(chǎn)品咨詢:4000 258 365 
