近年來,各行業(yè)用戶對于數(shù)據(jù)安全的建設目標��,正在逐漸從“單純防外部攻擊”轉向“內(nèi)外部環(huán)境下的數(shù)據(jù)安全使用”�,這種視角的轉變代表企業(yè)和組織更加重視數(shù)據(jù)流轉過程中各個環(huán)節(jié)的管控,對于企業(yè)核心數(shù)據(jù)的訪問來自應用和運維兩方面����,而運維人員具有更高操作權限。
目前在信息化建設較為成熟的大型集團或組織���,已經(jīng)形成了詳細的運維工作管理要求�����,以某運營商行業(yè)的信息安全管理規(guī)范為參考���,能夠梳理出組織和企業(yè)對于數(shù)據(jù)運維安全�,應當重點考慮的幾個角度和可參照的標準�,同時將我們在此方面的技術思路呈現(xiàn)出來,供參考���。
規(guī)范中的重點運維要求可歸納為以下四點:
權限明確�、職責分離�、最小特權
運維賬戶的權限分配應當遵循“權限明確、職責分離�、最小特權”的原則。原則上一個賬號對應一個用戶��,而一個賬號擁有的權限是由其被賦于的崗位角色所決定的����,應按照角色或用戶組進行授權,而不是將單個權限直接賦予一個賬號����。對權限相近的崗位角色進行合并��,并對崗位角色的權限進行規(guī)范�����。在涉及客戶信息的系統(tǒng)中���,崗位角色應當根據(jù)企業(yè)��、部門的組織結構和職責分配而設定�����;同時��,應當根據(jù)崗位角色的需要對相關人員進行授權�,不能根據(jù)人員需求或變更而設定崗位角色。不同的崗位角色擁有不同的權限���。
角色定位���、崗位職責、權限要求
規(guī)范中界定的運維角色有主機管理員、網(wǎng)絡管理員��、數(shù)據(jù)庫管理員�、應用管理員、配置管理����、服務監(jiān)控、安全管理等���,于各省公司負責涉及客戶敏感信息的系統(tǒng)的維護管理和服務監(jiān)控的人員���。其中:
l 主機管理員、網(wǎng)絡管理員���、數(shù)據(jù)庫管理員���、配置管理員等超級管理員無權查詢客戶信息;
l 應用管理員有查詢權限�����,按照最小授權原則授權��,可授予增加、刪除��、修改���、批量導入與導出�����、批量開通與取消�����、批量下載等針對客戶敏感信息操作的部分權限���,但必須有嚴格的日志記錄��;
l 具有批量操作權限的人員應指定專人�����,人員范圍應盡量小��。
關于登錄及操作審批的規(guī)定
l 運維支撐人員對業(yè)務系統(tǒng)應用層的訪問權限必須經(jīng)過業(yè)務管理部門審批�����,對系統(tǒng)層訪問權限必須經(jīng)過本部門領導審批。
l 運維支撐人員因統(tǒng)計取數(shù)���、批量業(yè)務操作對客戶敏感信息查詢�、變更操作時必須有業(yè)務管理部門的相關公文����,并經(jīng)過部門領導審批。
l 支撐人員因系統(tǒng)維護進行客戶敏感信息的數(shù)據(jù)遷移(數(shù)據(jù)導入����、導出、備份)必須填寫操作申請�,并經(jīng)過部門主管審批。
關于敏感數(shù)據(jù)運維操作流程的規(guī)定:審批要求
運維支撐人員因業(yè)務投訴����、統(tǒng)計取數(shù)、批量業(yè)務操作���、批量數(shù)據(jù)修復等進行的客戶敏感信息查詢���、變更必須提交操作申請���,按照要求進行操作,不得擴大操作范圍�,在工單中保留操作原因和來源的工單(公文)編號,并由專人負責審核�����。
當前運維管理工作需求與現(xiàn)狀
以上管理規(guī)范中對于數(shù)據(jù)庫運維側的相關規(guī)定�����,對高細粒度的運維管控提出了要求:涉及到了運維人員身份鑒別�����,登錄及操作審批���、運維操作流程準確審計以及集中的事中管控等方面。
傳統(tǒng)的數(shù)據(jù)庫運維工作的管理模式重在事前審批�,審批通過后則由運維人員自行安排操作執(zhí)行,也可能由其他人員代操作��,整個操作過程不定因素很多:
l 實際操作人是誰����?
l 運維人員實際操作是否與申請一致���?
l 出現(xiàn)誤操作,如何追溯���?
l 如何管控來自內(nèi)部或第三方運維人員有意無意的高危操作��?
目前�����,堡壘機是大多數(shù)企業(yè)的普遍解決方案��。而事實上��,由于缺乏對數(shù)據(jù)庫通訊協(xié)議的準確解析能力�����,堡壘機只能實現(xiàn)對操作人身份�、操作目標庫等最基本的身份識別�,這其中差了最關鍵的一環(huán):對操作內(nèi)容、操作過程的有效管控��。因此,對執(zhí)行過程進行透明化管控是數(shù)據(jù)庫安全運維系統(tǒng)的重要使命�。另外,堡壘機對于圖形化操作只能進行錄屏����,無法作到有效事中控制,未來風險分析時也無法完成快速的檢索和定位����。
數(shù)據(jù)庫安全運維細粒度管控技術分析
安華金和的數(shù)據(jù)庫安全運維系統(tǒng)DBController正是憑借著細粒度的運維管控優(yōu)勢,幫助眾多用戶實現(xiàn)了對數(shù)據(jù)庫的日常運維管理��,有效提升運維管理的精細度和安全性�����。
運維身份認證細粒度控制
用戶風險
某集團運維工作中����,存在運維人員小張、小王��、小李共享主機和數(shù)據(jù)庫賬戶的情況�,一旦發(fā)生運維事故�,怎么定位追責��?
解決方案
通過雙因素認證機制�,解決數(shù)據(jù)庫賬戶共享�����、運維主機共享場景下的運維人員精準身份鑒別及權限劃分問題����。認證機制包括:
動態(tài)令牌:運維人員在登錄數(shù)據(jù)庫后,需要輸入動態(tài)令牌顯示的數(shù)字校驗身份�,通過后方可執(zhí)行與身份相符的運維操作。
審批口令碼:運維人員提交申請并通過后獲得審批碼���,運維人員登錄數(shù)據(jù)庫需提交審批碼���,方可繼續(xù)執(zhí)行獲準的運維操作。
DBController可設置普通用戶����、審批人、安全管理員���、系統(tǒng)管理員�、審計管理員五種角色,對應不同操作權限���。
l 普通用戶即一線運維人員����,其權限是可以對執(zhí)行的語句進行申請并根據(jù)申請結果執(zhí)行操作���;
l 審批人即運維主管或安全主管�,對申請人申請的語句進行審批�����,也可以申請語句并執(zhí)行�����;
l 安全管理員可以制定管控對象和操作規(guī)則��,對運維數(shù)據(jù)實時監(jiān)控�����,審計檢查;
l 系統(tǒng)管理員主要權限是對主機管理��、內(nèi)存管理���、網(wǎng)絡管理,管理數(shù)據(jù)庫���,管理用戶����。
l 審計管理員主要負責監(jiān)督普通用戶�����、審批人���、安全管理員及系統(tǒng)管理員在系統(tǒng)中的操作�����。
應用場景舉例
運維人員小張和小李共享主機和數(shù)據(jù)庫賬戶����,DBController進行管控后,運維小張對數(shù)據(jù)庫進行訪問操作�,當執(zhí)行操作對象涉及敏感數(shù)據(jù)時,觸發(fā)DBController控制規(guī)則被攔截�,于是小張登錄DBController對訪問對象和操作進行申請審批流程,審批通過后獲得審批口令碼�;小張即便和小李共享主機和數(shù)據(jù)庫賬戶,由于操作前進行動態(tài)口令和審批口令碼認證���,系統(tǒng)即可識別出操作人的真實身份��,對小張審批通過后的語句可以合法放行�����;而小李沒有動態(tài)口令和審批口令碼認證���,所以無法連接數(shù)據(jù)庫進行操作。
訪問對象細粒度控制
用戶風險
公司運維人員(第三方運維人員A���、內(nèi)部運維人員B�����、運維部門領導C)均可以訪問數(shù)據(jù)庫任意對象�����,敏感數(shù)據(jù)面臨更多泄露風險�。
解決方案
DBController系統(tǒng)可以對訪問數(shù)據(jù)庫對象進行細粒度管控,控制對象可以是庫�,可以是表����,也可以精細到列;管控對象可以包括用戶�����、登錄IP�、客戶端工具、時間��。
同時�����,系統(tǒng)可對運維人員訪問的敏感對象做細粒度控制���,根據(jù)不同運維人員訪問敏感數(shù)據(jù)權限�,能夠通過內(nèi)置的敏感數(shù)據(jù)訪問規(guī)則,對其訪問數(shù)據(jù)中的身份證號�����、銀行卡號�����、電話號碼�、姓名、住址等敏感數(shù)據(jù)信息進行掩碼處理����,實現(xiàn)敏感數(shù)據(jù)動態(tài)遮蔽,防止內(nèi)部運維人員泄露敏感數(shù)據(jù)��。
應用場景舉例
通過數(shù)據(jù)庫安全運維工具���,安全管理員小張可以對公司內(nèi)部運維人員(運維人員A���、B、C)運維訪問對象進行管控規(guī)則設置���;
? 第三方運維人員A只能訪問公司數(shù)據(jù)庫里不涉及敏感信息的數(shù)據(jù)�,而敏感數(shù)據(jù)則不能訪問
? 公司內(nèi)部運維人員B可以訪問數(shù)據(jù)庫很多對象,而訪問的敏感數(shù)據(jù)被遮蔽處理����,看不到真實信息
? 公司運維部門領導C可以訪問數(shù)據(jù)庫任意對象,涉及敏感數(shù)據(jù)也能看到真實數(shù)據(jù)�。
申請審批流程細粒度控制
用戶風險
運維小張對數(shù)據(jù)庫中敏感字段進行修改操作,小張一不留神造成了誤操作���,從而導致前端相關的業(yè)務訪問中止或出錯��,造成企業(yè)直接損失。
解決方案
DBController可對運維人員提供運維審批細粒度控制��,敏感數(shù)據(jù)操作行為需要經(jīng)過審批���;審批通過后配發(fā)唯一口令碼�����,確保操作執(zhí)行者為信任用戶�,執(zhí)行行為屬獲批行為�����。
系統(tǒng)支持設置多個審批員,避免審批人員出差或不在崗影響運維人員工作���,只要有一個審批通過即可�;同時系統(tǒng)也支持多級審批��,提高運維審批強度和規(guī)范運維流程���。
用戶可以通過第三方工具登錄數(shù)據(jù)庫進行操作���,簡單口令認證,不改變原有工作習慣����,口令通過者只能執(zhí)行其申請的操作內(nèi)容,杜絕誤操作及違規(guī)操作��。未經(jīng)口令認證者無法操作敏感對象���,防止越權操作����。
應用場景舉例
運維小張對數(shù)據(jù)庫進行訪問操作,當執(zhí)行操作對象涉及敏感數(shù)據(jù)時�,觸發(fā)DBController控制規(guī)則被攔截,于是小張登錄DBController對訪問對象和操作進行申請審批流程���,審批人看到小張的申請工單詳情后給予了通過��,小張獲得審批口令碼���,完成登錄認證后成功執(zhí)行申請的操作,后又執(zhí)行非審批語句系統(tǒng)判為違規(guī)操作攔截�,小張隨即又一次申請審批通過成功執(zhí)行該操作。運維登錄��、操作細粒度控制
用戶風險
由于未對運維人員操作時間�����、登錄IP加以限制��,導致第三方運維人員小張通過其他IP在非工作時間進行運維操作�����,帶來運維安全隱患�。
解決方案
DBController系統(tǒng)可對運維人員的IP���、客戶端工具�、賬號、時間等進行細粒度的登錄控制���。
系統(tǒng)可以對于運維人員的執(zhí)行操作進行細粒度控制���,涉及數(shù)據(jù)庫風險行為SQL注入、漏洞攻擊��、批量數(shù)據(jù)下載��、危險SQL語句(如No where �、truncate)等,提供攔截�、阻斷、實時告警等管控模式�����。
系統(tǒng)針對數(shù)據(jù)庫數(shù)據(jù)表����,可按照受影響數(shù)據(jù)行數(shù)(閥值)進行精細管控,包括查詢、更新和刪除動作���,超出閥值的行為進行阻斷或攔截�,防止高危操作或大批量數(shù)據(jù)泄露�。
應用場景舉例
運維人員小張?zhí)峤坏牟僮鲗徟袝幸粋€針對操作對象的時間控制,即需要規(guī)定時間內(nèi)完成所申請的操作內(nèi)容����,不在規(guī)定時間范圍內(nèi)操作則操作申請無效。對于審批后的定時任務�����,DBController可以在制定時間和周期完成規(guī)定腳本�����,并將執(zhí)行結果告知申請人和審批人�����。
結語
目前�,由于數(shù)據(jù)資產(chǎn)的敏感度高�����,運維人員工作強度大以及運維外包形式普遍等原因,政府����、金融、社保����、運營商、能源���、大型企業(yè)等用戶已經(jīng)開始越發(fā)重視數(shù)據(jù)運維安全的建設��,技術手段的引入能夠更好的實現(xiàn)規(guī)范制度的落地�,數(shù)據(jù)庫安全運維系統(tǒng)的功能開發(fā)和演進全部基于用戶側的真實需求��。在整個數(shù)據(jù)安全治理的技術框架下���,作為內(nèi)部訪問安全的重要一環(huán)�����,運維行為的細粒度管控效果���,正在逐漸顯現(xiàn)出來��,并能夠為用戶提供一種高效不出錯的安全方案���。
產(chǎn)品咨詢:4000 258 365 
