民營企業(yè)作為國民經濟發(fā)展的重要組成,伴隨著經濟全球化發(fā)展��,企業(yè)管理借鑒了國外先進的現(xiàn)代企業(yè)管理模式���。當前,全球信息化進程的不斷發(fā)展�����,這給民營企業(yè)管理方式帶來一個新的發(fā)展方向�。企業(yè)管理信息化建設和發(fā)展對提高企業(yè)市場競爭力具有重要的推進作用。
同時�,隨著企業(yè)市場競爭環(huán)境的加劇,民營企業(yè)的經營模式和制造模式也發(fā)生了重大轉變��,數(shù)字化信息化系統(tǒng)的應用越來越廣泛�。而數(shù)據(jù)庫作為民營企業(yè)信息技術的核心和基礎,承載著企業(yè)重要的關鍵業(yè)務���,并逐漸成為其在商業(yè)活動最具有戰(zhàn)略性的資產�����。因為����,數(shù)據(jù)庫的安全穩(wěn)定運行決定著業(yè)務系統(tǒng)能否正常使用。其次�,企業(yè)內部存儲的大量敏感信息,包括生產或交易明細���、客戶資料等極其重要和敏感的數(shù)據(jù)�。而這些信息一旦被篡改或者泄露�,輕則造成企業(yè)的經濟損失,重則影響企業(yè)形象和社會聲譽�����,并且也會為競爭對手創(chuàng)造商業(yè)機會�。可見���,數(shù)據(jù)庫安全對民營企業(yè)至關重要�。
但在數(shù)據(jù)庫安全防護方面,很多企業(yè)還略顯薄弱�,主要表現(xiàn)在以下幾點:
2.1 數(shù)據(jù)庫口令強度問題
在很多Oracle數(shù)據(jù)庫中,存在著很多數(shù)量的默認賬號��,而客戶通常對這些默認賬號不進行任何安全防護����,這就很容易被黑客利用。
2.2 補丁升級滯后
由于種種原因造成的補丁升級不及時造成的數(shù)據(jù)庫安全隱患��。
2.3 默認安全策略
默認安全策略主要包括口令策略�、口令有效時間�����、默認組件以及默認的遠程訪問安全策略等�。
2.4 危險存儲過程
危險的存儲過程往往會對數(shù)據(jù)庫造成巨大的安全隱患。一些時候黑客在對數(shù)據(jù)庫系統(tǒng)進行入侵時�,往往會借助存儲過程來實現(xiàn)對客戶系統(tǒng)的入侵。
2.5 敏感信息泄密威脅
在企業(yè)的業(yè)務系統(tǒng)中����,有大量的個人信息、企業(yè)信息��、信譽信息等敏感數(shù)據(jù),會存在內部數(shù)據(jù)庫維護人員����、外部攻擊者利用數(shù)據(jù)庫存在的高權限賬戶或者漏洞,直接獲取企業(yè)大量敏感信息的安全隱患�。
2.6 綜合防護程度較低
目前,很多系統(tǒng)的數(shù)據(jù)庫�����,綜合防護措施程度較低���,很多用戶對于數(shù)據(jù)庫訪問沒有設定訪問策略�,而很多用戶則是嚴重違反安全條例���,將數(shù)據(jù)庫主機和應用服務主機設定成一臺��,還有用戶是防火墻沒有有效的安全設定����,防火墻幾乎等于擺設��,這些安全問題就造成了黑客或病毒的異?���;钴S�,對用戶的系統(tǒng)造成了極大的威脅�。
2.7 外部SQL注入攻擊威脅
隨著信息化建設的普及,各行業(yè)對外開放應用服務越來越廣泛��,非法用戶可以通過互聯(lián)網對業(yè)務系統(tǒng)進行試探和攻擊行為��,利用SQL注入等技術非法入侵業(yè)務平臺數(shù)據(jù)庫系統(tǒng)���,有目的竊取����、篡改�、破壞�、拷貝重要數(shù)據(jù),從而造成信息泄露��。
3.1 員工監(jiān)守自盜
在企業(yè)內部�,運維人員����、數(shù)據(jù)庫管理人員擁著諸多高級權限和不受約束,當內部人員通過高權限賬戶進行犯罪時企業(yè)通常不能及時察覺和防范,事后也無法進行追溯分析�,針對員工的堅守自盜取加強內部數(shù)據(jù)安全管理已經成為企業(yè)最為頭痛的問題。
3.2 數(shù)據(jù)庫遭劫持勒索
數(shù)據(jù)庫被劫持勒索往往是企業(yè)最為頭疼的問題��,攻擊者通過故意散播攜帶勒索病毒�����,引誘下載工具軟件從而發(fā)起勒索攻擊����。當企業(yè)的數(shù)據(jù)庫遭受勒索攻擊后,數(shù)據(jù)庫會被黑客完全控制��,數(shù)據(jù)庫會被鎖死而不能進行操作�����、相應的業(yè)務系統(tǒng)也會面臨癱瘓�����,只有當企業(yè)交付高昂的贖金后其數(shù)據(jù)庫才能被解鎖�。
3.3 數(shù)據(jù)庫遭受黑客攻擊
黑客利用Web應用漏洞,進行SQL注入�����,或以Web應用服務器為跳板,利用數(shù)據(jù)庫自身漏洞進行攻擊和侵入�����。
企業(yè)的數(shù)據(jù)庫系統(tǒng)應實現(xiàn)對數(shù)據(jù)的動態(tài)監(jiān)管����,自動化完成對數(shù)據(jù)的定期檢查,針對為安全管理人員�����、數(shù)據(jù)管理員和受控人員建立敏感數(shù)據(jù)安全管控的平臺����。將數(shù)據(jù)的類型及敏感程度進行整體管理,并針對不同級別的數(shù)據(jù)的操作及流轉進行管理����、審計����,可以將數(shù)據(jù)分布情況以及使用情況進行可視化處理�����,生成數(shù)據(jù)分析報告��,并依托分析報告完成數(shù)據(jù)安全風險評估�����,最終做出合理建議��,為企業(yè)提升數(shù)據(jù)庫安全管理工作水平��。
4.1 監(jiān)察預警�,系統(tǒng)漏洞掃描
企業(yè)應通過數(shù)據(jù)庫漏洞掃描系統(tǒng)進行實時檢查����,對數(shù)據(jù)庫安全狀況的監(jiān)控�����,包括相關安全配置����、連接狀況�、用戶變更狀況���、權限變更狀況�����、代碼變更狀況等全方面的安全狀況評估���;建立安全基線,實現(xiàn)安全變化狀況報告與分析��。
對于數(shù)據(jù)庫勒索劫持攻擊�,大部分勒索、后門類攻擊都會存在一定的潛伏期��,通過定期安全檢查可以在攻擊行為爆發(fā)前�,發(fā)現(xiàn)潛伏在數(shù)據(jù)庫中的威脅,防止攻擊爆發(fā)后的數(shù)據(jù)資產損失�����。
4.2 主動防御�����,規(guī)范管理方式
企業(yè)應通過數(shù)據(jù)庫安全運維技術���,對數(shù)據(jù)庫運維的訪問和操作行為加強審批管控��。數(shù)據(jù)庫安全運維系統(tǒng)��,可以對所有數(shù)據(jù)庫運維的訪問和操作建立規(guī)范的運維流程�����,包括事前審批����,事中控制���,事后記錄操作信息�����,進而實現(xiàn)全運維流程的管理����,實現(xiàn)防高危操作��、防“內鬼”泄密的行為。
4.3 底線防守
企業(yè)應通過對數(shù)據(jù)進行底層加密�,來防止由于明文存儲引起的泄密、 防止外部非法入侵竊取敏感數(shù)據(jù)��、 防止內部高權限用戶數(shù)據(jù)竊取��、防止合法用戶違規(guī)數(shù)據(jù)訪問���。數(shù)據(jù)庫加密技術能夠確保即使拿走了磁盤�,對方也無法看懂數(shù)據(jù)����。
4.4 事后追查
對數(shù)據(jù)庫協(xié)議進行精確識別,企業(yè)應通過數(shù)據(jù)庫審計記錄和回放針對統(tǒng)計數(shù)據(jù)庫的攻擊行為���、篡改行為��、泄密行為���、誤操作等行為,為事后追溯定責提供準確依據(jù)�,同時對上述行為提供郵件、短信、聲音等多種報警方式���。
“我們集團是多元的組織架構���,技術路線多樣��,人員組成復雜��,安華金和數(shù)據(jù)庫審計和脫敏的產品組合有效提高業(yè)務系統(tǒng)的數(shù)據(jù)安全性�����,并且�,本土品牌在服務和合規(guī)上,也能滿足我們的要求�����,通過一年的運轉��,集團計劃加大在數(shù)據(jù)安全管理上的投入���?����!?/p>
--某大型跨國集團安全管理崗
產品咨詢:4000 258 365 
