數(shù)據(jù)安全治理關(guān)鍵技術(shù)之?dāng)?shù)據(jù)庫(kù)脫敏技術(shù)詳解
數(shù)據(jù)安全治理之API監(jiān)測(cè)系統(tǒng) ,解決API接口安全問(wèn)題【安華金和】
新一代數(shù)據(jù)庫(kù)脫敏技術(shù),為敏感數(shù)據(jù)建立保護(hù)盾!
數(shù)據(jù)庫(kù)脫敏系統(tǒng)與金融行業(yè)案例解讀
數(shù)據(jù)安全治理建設(shè)思路的著力點(diǎn)——數(shù)據(jù)安全咨詢服務(wù)【安華金和】
數(shù)據(jù)庫(kù)防火墻功能有哪些?-數(shù)據(jù)安全-安華金和
數(shù)據(jù)安全關(guān)鍵技術(shù)之?dāng)?shù)據(jù)庫(kù)脫敏技術(shù)詳解【安華金和】
中國(guó)數(shù)據(jù)安全治理落地指導(dǎo)書(shū)籍《數(shù)據(jù)安全治理白皮書(shū)5.0》正式發(fā)布(附下載)
近年來(lái),針對(duì)企業(yè)和組織機(jī)構(gòu)的撞庫(kù)、拖庫(kù)攻擊事件頻發(fā),黑客常通過(guò)社會(huì)工程學(xué)或暴力破解等手段獲取數(shù)據(jù)庫(kù)賬號(hào)信息,并借此盜取數(shù)據(jù)庫(kù)內(nèi)存儲(chǔ)的組織及個(gè)人隱私信息,繼而達(dá)到破壞或牟利等非法企圖。某上市集團(tuán)公司(以下簡(jiǎn)稱“A集團(tuán)”)因組織架構(gòu)與業(yè)務(wù)需求,其重要業(yè)務(wù)應(yīng)用服務(wù)器及業(yè)務(wù)后臺(tái)數(shù)據(jù)庫(kù)服務(wù)器被分別部署在總部大樓和分支機(jī)構(gòu)機(jī)房,且兩個(gè)機(jī)房間的物理距離較遠(yuǎn),應(yīng)用系統(tǒng)服務(wù)器與后臺(tái)數(shù)據(jù)庫(kù)只能通過(guò)互聯(lián)網(wǎng)進(jìn)行通訊,導(dǎo)致數(shù)據(jù)庫(kù)服務(wù)器暴露于公網(wǎng)之上。
圖1:網(wǎng)絡(luò)架構(gòu)示意圖
如圖可知,A集團(tuán)原有業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)架構(gòu)雖然能夠保證業(yè)務(wù)系統(tǒng)和后臺(tái)數(shù)據(jù)庫(kù)的正常通訊,但也令其業(yè)務(wù)系統(tǒng)后臺(tái)數(shù)據(jù)庫(kù)直接面臨來(lái)自互聯(lián)網(wǎng)的攻擊威脅;其中,針對(duì)數(shù)據(jù)庫(kù)賬號(hào)的暴力破解是最具威脅的攻擊方式之一。
所謂“暴力破解”,是對(duì)用“窮舉法”破解密碼方法的形象稱呼——那是一種針對(duì)密碼的破譯方法,即對(duì)數(shù)據(jù)庫(kù)密碼進(jìn)行逐個(gè)推算直到找出真正的密碼為止。黑客等外部滲透攻擊者可通過(guò)外網(wǎng)掃描或指定目標(biāo)數(shù)據(jù)庫(kù)IP地址、賬戶名和密碼字典以實(shí)施密碼爆破,一旦數(shù)據(jù)庫(kù)密碼被此種嘗試登錄的方式破解,隨之而來(lái)的將是針對(duì)企業(yè)重要敏感數(shù)據(jù)的竊取或破壞行為,后果難以估量。因此,A集團(tuán)必須盡早采取有效的數(shù)據(jù)安全防護(hù)措施,以避免重大經(jīng)濟(jì)損失和企業(yè)聲譽(yù)損害的發(fā)生。
威脅分析
A集團(tuán)通過(guò)應(yīng)用安華金和數(shù)據(jù)庫(kù)安全審計(jì)產(chǎn)品,發(fā)現(xiàn)了大量的登錄異常告警。在對(duì)失敗登錄日志進(jìn)行分析后發(fā)現(xiàn),確認(rèn)是來(lái)自互聯(lián)網(wǎng)的大量未知IP在持續(xù)實(shí)施對(duì)該業(yè)務(wù)系統(tǒng)后臺(tái)數(shù)據(jù)庫(kù)的海量主動(dòng)會(huì)話發(fā)起,以及對(duì)數(shù)據(jù)庫(kù)賬號(hào)的嘗試登錄行為。
圖2:失敗登錄行為
經(jīng)過(guò)對(duì)業(yè)務(wù)系統(tǒng)IP源及數(shù)據(jù)庫(kù)運(yùn)維IP的統(tǒng)計(jì)分析,并結(jié)合安全審計(jì)系統(tǒng)日志與網(wǎng)絡(luò)日志進(jìn)行比對(duì),確認(rèn)了部分持續(xù)性的數(shù)據(jù)庫(kù)嘗試登錄行為正是來(lái)自互聯(lián)網(wǎng)的暴力破解攻擊。
解決方案
由于A集團(tuán)的整體網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)原因,無(wú)法調(diào)整服務(wù)器的物理部署位置。為此,安華金和專門針對(duì)A集團(tuán)的客觀環(huán)境設(shè)計(jì)并實(shí)施了如下數(shù)據(jù)安全加固方案:
1、數(shù)據(jù)庫(kù)安全審計(jì)系統(tǒng)開(kāi)啟“短時(shí)間內(nèi)多次失敗登錄告警”規(guī)則。當(dāng)已知或未知的數(shù)據(jù)庫(kù)用戶在5分鐘內(nèi)連續(xù)登錄失敗5次及以上時(shí),系統(tǒng)將馬上記錄風(fēng)險(xiǎn),并通過(guò)郵件實(shí)時(shí)推送告警信息至數(shù)據(jù)庫(kù)管理員郵箱;數(shù)據(jù)庫(kù)管理員在收到郵件告警通知后,即可于第一時(shí)間驗(yàn)證賬號(hào)訪問(wèn)合法性,并針對(duì)風(fēng)險(xiǎn)訪問(wèn)的出處進(jìn)行準(zhǔn)確溯源、追責(zé);
2、開(kāi)啟數(shù)據(jù)庫(kù)防暴力破解策略,當(dāng)檢測(cè)到超過(guò)10次錯(cuò)誤嘗試后,對(duì)該用戶執(zhí)行鎖定;
3、于數(shù)據(jù)庫(kù)服務(wù)器所在網(wǎng)絡(luò)出口的防火墻上開(kāi)啟訪問(wèn)控制規(guī)則。通過(guò)白名單機(jī)制,禁止業(yè)務(wù)系統(tǒng)服務(wù)器以外的IP訪問(wèn)數(shù)據(jù)庫(kù)服務(wù)器;同時(shí),修改數(shù)據(jù)庫(kù)服務(wù)器缺省端口,并對(duì)外禁用除數(shù)據(jù)庫(kù)協(xié)議以外的、所有端口的訪問(wèn);
4、數(shù)據(jù)庫(kù)管理員如需對(duì)數(shù)據(jù)庫(kù)服務(wù)器進(jìn)行運(yùn)維操作,需要通過(guò)VPN通道實(shí)現(xiàn)訪問(wèn)。
防護(hù)建議
1、梳理數(shù)據(jù)庫(kù)賬號(hào)及權(quán)限分布情況,加強(qiáng)數(shù)據(jù)庫(kù)密碼長(zhǎng)度、復(fù)雜度,并定期修改運(yùn)維賬戶登錄密碼;
2、對(duì)數(shù)據(jù)庫(kù)賬號(hào)的“錯(cuò)誤認(rèn)證”行為進(jìn)行計(jì)數(shù)并給予限制,如:用戶密碼超過(guò)5次錯(cuò)誤嘗試后,該用戶被執(zhí)行鎖定;
3、加強(qiáng)對(duì)臨時(shí)數(shù)據(jù)庫(kù)賬號(hào)的管理,同時(shí)停用、注銷過(guò)期臨時(shí)賬號(hào);
4、如條件允許,可通過(guò)修改數(shù)據(jù)庫(kù)缺省訪問(wèn)端口,實(shí)現(xiàn)隱藏?cái)?shù)據(jù)庫(kù)的目的;
5、通過(guò)網(wǎng)絡(luò)防火墻、交換機(jī)配置URL訪問(wèn)控制策略,限制除業(yè)務(wù)系統(tǒng)主機(jī)、數(shù)據(jù)庫(kù)運(yùn)維主機(jī)以外的IP地址訪問(wèn)數(shù)據(jù)庫(kù)服務(wù)器,避免暴露數(shù)據(jù)庫(kù)服務(wù)器IP地址;
6、嚴(yán)格限制數(shù)據(jù)庫(kù)服務(wù)器21、22、3389等端口的使用,禁止數(shù)據(jù)庫(kù)運(yùn)維跳板機(jī)以外的IP使用遠(yuǎn)程連接的方式登錄、管理數(shù)據(jù)庫(kù);
7、加強(qiáng)對(duì)數(shù)據(jù)庫(kù)操作行為的審計(jì),非特殊情況下禁止數(shù)據(jù)庫(kù)服務(wù)器本地的SQL操作;
8、及時(shí)修復(fù)數(shù)據(jù)庫(kù)漏洞,防范攻擊者通過(guò)數(shù)據(jù)庫(kù)認(rèn)證協(xié)議漏洞實(shí)現(xiàn)對(duì)數(shù)據(jù)庫(kù)的暴力破解。
試用申請(qǐng)
在線咨詢
咨詢電話
TOP