“互聯(lián)網(wǎng)之父”羅伯特·卡恩在2015年預(yù)測:“全球?qū)⒃谑旰筮M入全數(shù)字化時代����!“隨著云計算、大數(shù)據(jù)����、移動互聯(lián)網(wǎng)等
技術(shù)的日趨成熟,未來,數(shù)字化技術(shù)將進入人類活動的全部領(lǐng)域�,到那時,每個人將擁有一顆數(shù)字的”芯“��,社交�、生活、工作��、娛樂全部基于網(wǎng)絡(luò)應(yīng)用�,人們的所
有行為將以數(shù)據(jù)的形式,游走在與現(xiàn)實生 活平行的網(wǎng)絡(luò)空間中�。數(shù)字時代的來臨,究竟是好事還是壞事����?相信每個人心中都充滿了疑惑。
信息技術(shù)瞬息萬變�,享受數(shù)字生活帶來的便利是人們所渴望的,但是���,當數(shù)字可以承載一個人的全部行為�����,數(shù)據(jù)泄露將意味著對
方可以洞悉你的一切���。便利背后潛藏的安全威脅����,是整個人類社會面臨的重大挑戰(zhàn)����。6月17日����,2016年網(wǎng)絡(luò)安全峰會在北京富力萬麗酒店召開,安華金和作為
專業(yè)的數(shù)據(jù)庫安全企業(yè)受邀參加�,高級安全顧問譚峻楠發(fā)表演講。對于數(shù)字時代�����,各行業(yè)都將面臨的數(shù)據(jù)安全威脅及如何應(yīng)對�,安華金和表達了自己的思考。
大多數(shù)用戶對于傳統(tǒng)IT架構(gòu)的需求以穩(wěn)健性為主���,業(yè)務(wù)系統(tǒng)運轉(zhuǎn)正常最為重要��,安全性則為次要考慮���。通過與用戶接觸����,我們發(fā)現(xiàn)大多數(shù)用戶對于數(shù)據(jù)庫安全普遍存在誤區(qū)�。
誤區(qū)一:數(shù)據(jù)庫自身的安全保障體系已經(jīng)很完備,具有足夠的安全控制手段��。
事實上��,要做到完備的數(shù)據(jù)庫安全防護難度很大�。據(jù)統(tǒng)計,從2007年至今�,CVE漏洞庫一共公布數(shù)據(jù)庫漏洞2000余個,其中核心系統(tǒng)中應(yīng)用最廣泛的oracle數(shù)據(jù)庫漏洞即占了一半的比例���。如此數(shù)量的安全漏洞���,將直接引發(fā)數(shù)據(jù)泄露風險。《Verzion2015年數(shù)據(jù)泄露調(diào)查報告》同樣印證了這個觀點�, 報告中顯示“數(shù)據(jù)泄漏事件發(fā)生的主要原因中,90%來自數(shù)據(jù)庫威脅�。” 事實證明�,用戶對于數(shù)據(jù)庫的安全防護遠遠不夠���。
誤區(qū)二:內(nèi)部人員是可信的
從數(shù)據(jù)庫系統(tǒng)的開發(fā)到運維,過程中牽涉的開發(fā)人員����、第三方運維人員、內(nèi)部人員等可以通過不同途徑直接訪問數(shù)據(jù)庫�。當發(fā)現(xiàn)篡改商業(yè)數(shù)據(jù)、竊取國家機密�,可以帶來豐厚的利益,這時�����,傳統(tǒng)可信的人也成為風險源�����。
誤區(qū)三:當前我們在網(wǎng)絡(luò)層的數(shù)據(jù)庫防護手段已經(jīng)足夠保證數(shù)據(jù)庫不被非法訪問
當下����,大多數(shù)用戶已意識到信息安全的重要性�,并進行網(wǎng)絡(luò)安全產(chǎn)品的部署,但用戶常常陷入誤區(qū):認為只要部署了堡壘機�����、網(wǎng)
絡(luò)防火墻、IPS/IDS等傳統(tǒng)網(wǎng)安產(chǎn)品���,就可以保障內(nèi)部的核心數(shù)據(jù)庫不受威脅�。事實上��,黑客們曾多次公開表示:繞過WAF訪問數(shù)據(jù)庫“輕而易舉“�����。網(wǎng)絡(luò)
防火墻不對數(shù)據(jù)庫通訊協(xié)議進行控制���,IPS/IDS也無法準確防御針對數(shù)據(jù)庫的攻擊����,即使避過了所有外部攻擊�,開發(fā)時種植在應(yīng)用系統(tǒng)中的后門程序如何監(jiān)
管?
由于人們在意識上的誤區(qū)����,數(shù)據(jù)庫系統(tǒng)常常直接暴露在網(wǎng)絡(luò)中而不設(shè)防。針對數(shù)據(jù)庫潛在安全風險��,安華金和提出構(gòu)建數(shù)據(jù)庫安全縱深防御體系:
巡檢梳理:數(shù)據(jù)庫漏洞掃描
對數(shù)據(jù)庫中的業(yè)務(wù)系統(tǒng)、IP地址���、管理人員�����、安全策略等進行梳理��,找到數(shù)據(jù)庫安全弱點��,對漏洞���、弱口令,低策略����,權(quán)限寬泛等內(nèi)容提出加固建議����,增強數(shù)據(jù)庫自身免疫力。
主動防御:數(shù)據(jù)庫防火墻
利用虛擬補丁技術(shù)���,防止外部漏洞攻擊����;通過內(nèi)部人員訪問權(quán)限的控制,防止誤操作和非授權(quán)行為��;通過閾值控制��,防止數(shù)據(jù)批量大面積泄密���。
底線防守:數(shù)據(jù)庫加密����、數(shù)據(jù)庫脫敏
通過對數(shù)據(jù)庫核心數(shù)據(jù)加密�����,防止敏感數(shù)據(jù)明文泄露���;通過靜態(tài)�、動態(tài)脫敏技術(shù)��,對核心數(shù)據(jù)進行脫敏處理�,使敏感數(shù)據(jù)自由應(yīng)用于開發(fā)、測試、培訓(xùn)�����、數(shù)據(jù)分析等各類場景需求���。
事后追查:數(shù)據(jù)庫審計
實時記錄數(shù)據(jù)庫操作���,進行細粒度審計,對數(shù)據(jù)庫遭受到的風險行為進行告警��。通過對用戶訪問行為的記錄��、分析��,幫助用戶生成合規(guī)報告��、事故追根溯源�����,提高數(shù)據(jù)資產(chǎn)安全性���。
對于傳統(tǒng)IT架構(gòu)中的數(shù)據(jù)庫安全問題,用戶尚且存在諸多誤區(qū),那么隨著近年來大數(shù)據(jù)��、云計算技術(shù)的迅猛發(fā)展����,當用戶逐步將業(yè)務(wù)向云平臺轉(zhuǎn)移之前,是否會著重考慮云端數(shù)據(jù)安全問題���?
IT架構(gòu)的變化讓用戶的關(guān)注點從穩(wěn)定性向安全性轉(zhuǎn)變
當云平臺逐漸成為互聯(lián)網(wǎng)時代的IT基礎(chǔ)設(shè)施��,用戶的需求也正在發(fā)生轉(zhuǎn)變���。據(jù)統(tǒng)計,云計算所面臨的挑戰(zhàn)中�,75%的用戶在安全性上猶豫不決,而在這
75%的用戶中�,對于數(shù)據(jù)安全問題抱有疑慮的用戶又占到74%。譚峻楠總結(jié):對于傳統(tǒng)IT架構(gòu)的需求�����,穩(wěn)定性排在首位����,而現(xiàn)在�,當核心數(shù)據(jù)資產(chǎn)轉(zhuǎn)移至云環(huán)
境中�����,用戶最為擔心的一定是安全性���。譚峻楠著重介紹了云環(huán)
下數(shù)據(jù)庫面臨的三大主要安全威脅:
威脅一:虛擬機內(nèi)部攻擊
虛擬機處于資源池中��,任一臺虛擬機都可以從內(nèi)部發(fā)起針對數(shù)據(jù)庫的攻擊行為���,如何有效防護由云內(nèi)部發(fā)生的的攻擊行為依然是個難題。
威脅二:云服務(wù)商人員切入
復(fù)雜的云環(huán)境需要大量運維人員�����,包括內(nèi)部運維人員��、業(yè)務(wù)開發(fā)運維人員����、云服務(wù)商運維人員等各類角色,擁有數(shù)據(jù)庫訪問權(quán)限�����,如果不能嚴格管理和控制各類人員訪問權(quán)限�����,內(nèi)部泄露風險將成為最大隱患�。
威脅三:數(shù)據(jù)泄露風險加大
傳統(tǒng)IT架構(gòu)下,數(shù)據(jù)分庫存儲��。云環(huán)境下���,這種相對隔離的架構(gòu)被打破��,大量數(shù)據(jù)高度集中�,一個數(shù)據(jù)庫被攻破��,整個數(shù)據(jù)安全體系將被瓦解����。
云平臺的應(yīng)用尚未完全成熟,諸多安全問題懸而未解����,安華金和基于自身多年的數(shù)據(jù)庫研發(fā)經(jīng)驗,將現(xiàn)有的數(shù)據(jù)庫安全防護體系延伸至云端��,提出云端數(shù)據(jù)安全防護思路:
云端內(nèi)外攻擊的防御
將安華金和數(shù)據(jù)庫防火墻部署于云端的虛擬機上,利用獨有的云端部署和云端處理能力�,對于虛擬機內(nèi)部及虛擬機之間的訪問行為進行監(jiān)控和過濾,實時阻斷內(nèi)部攻擊行為�。
云端大數(shù)據(jù)的審計
云平臺上高度集中的巨量數(shù)據(jù),對于數(shù)據(jù)庫審計產(chǎn)品的性能提出挑戰(zhàn)�,安華金和數(shù)據(jù)庫審計產(chǎn)品具備大數(shù)據(jù)審計能力,實時審計云端數(shù)據(jù)庫訪問行為��,發(fā)現(xiàn)事件關(guān)聯(lián)關(guān)系����。在保證每秒百萬級的數(shù)據(jù)處理速度同時,微秒����、毫秒級的低延遲性將業(yè)務(wù)速度影響降至最低。
云端敏感數(shù)據(jù)加密
敏感數(shù)據(jù)放在云端���,用戶最擔心的是可控性�,對此���,安華金和數(shù)據(jù)庫保險箱可實現(xiàn)�����,只有掌握密鑰的應(yīng)用系統(tǒng)或企業(yè)用戶才能得到真實數(shù)據(jù)����,并確保密鑰非公共��,只掌握在用戶自己手中�����。
從傳統(tǒng)IT架構(gòu)到趨于成熟的云服務(wù)平臺���,我們在追求更便捷����、更智能的道路上不斷探索和前進��。如同高樓拔地而起前必然先穩(wěn)固地基����,信息系統(tǒng)亦是如此,
人類大踏步邁入數(shù)字時代����,但我們對安全的需求不應(yīng)放松一刻��。當每個人的行為和財產(chǎn)變得高度數(shù)字化�����,數(shù)據(jù)庫安全的重要程度已不容忽視�,安華金和愿與用戶攜
手���,為企業(yè)信息系統(tǒng)提供專業(yè)數(shù)據(jù)庫安全防護��,讓我們追求進步的腳步自如而堅定���。
產(chǎn)品咨詢:4000 258 365 
