更多
一、背景
隨著數(shù)字化的發(fā)展,數(shù)據(jù)庫已成為各企事業(yè)單位業(yè)務(wù)運(yùn)營的基礎(chǔ),由于數(shù)據(jù)庫運(yùn)維人員掌握著最高權(quán)限,一旦運(yùn)維操作出現(xiàn)安全問題,比如數(shù)據(jù)庫誤操作、惡意刪除等,將會給企業(yè)或單位帶來巨大的損失。
2020年2月25日,“天降橫禍”,微盟官方宣稱,微盟的業(yè)務(wù)系統(tǒng)數(shù)據(jù)庫遭遇其公司運(yùn)維人員的刪除。犯罪嫌疑人為微盟研發(fā)中心運(yùn)維部核心運(yùn)維人員賀某,其在2月23日晚18點(diǎn)56分通過個人VPN登入公司內(nèi)網(wǎng)跳板機(jī),對微盟線上生產(chǎn)環(huán)境進(jìn)行了惡意破壞。后來,當(dāng)事人賀某被警方刑事拘留,而微盟在騰訊云的協(xié)作下,花了七天七夜才找回?cái)?shù)據(jù)再加上客戶賠付、數(shù)據(jù)恢復(fù)和加班支出,總計(jì)高達(dá)數(shù)千萬元。
2021 年1月6日,北京第一中級人民法院公布了一份刑事裁定書,前鏈家員工因不滿工作調(diào)整,刪了公司 9TB 數(shù)據(jù),鏈家為恢復(fù)及重新構(gòu)建財(cái)務(wù)系統(tǒng)共計(jì)花費(fèi)人民幣 18 萬元。
曾經(jīng)流傳在江湖的“刪庫跑路”傳說,沒想到真的會發(fā)生,而且這樣的事件還很多,透過事件看本質(zhì),也非常值得深思,其實(shí)就是數(shù)據(jù)安全問題,數(shù)據(jù)庫作為企業(yè)或單位最核心的IT信息系統(tǒng),重要性不言而喻,數(shù)據(jù)庫的安全性就是要保護(hù)數(shù)據(jù)庫,以防不合法使用所造成的數(shù)據(jù)泄露、纂改或破壞。在運(yùn)維場景下如何進(jìn)行數(shù)據(jù)庫安全管控,解決“刪庫跑路”的擔(dān)憂呢?昂楷結(jié)合多年的數(shù)據(jù)安全建設(shè)經(jīng)驗(yàn),探討一下數(shù)據(jù)庫安全管控的思路和技術(shù)手段。
二、傳統(tǒng)安全手段捉襟見肘
提起數(shù)據(jù)安全,我們想到的就是組織建設(shè)、制度流程、技術(shù)工具、人員能力,這是一套體系化的建設(shè)思路,也是最完美的方案,解決的是信息安全方面的問題,當(dāng)然這也需要獲得高層支持和資金支持,當(dāng)沒有足夠的資金投入到數(shù)據(jù)安全體系建設(shè)中,應(yīng)該如何利用標(biāo)準(zhǔn)化的產(chǎn)品技術(shù)工具來輔助我們提升安全能力,解決信息安全點(diǎn)、線的問題呢?這就是要重點(diǎn)談的內(nèi)容。
傳統(tǒng)安全手段一般采用堡壘機(jī)進(jìn)行運(yùn)維安全管控,但是堡壘機(jī)也存在安全“盲區(qū)”,對運(yùn)維人員操作行為只能以錄屏的方式進(jìn)行安全監(jiān)控;對于危險(xiǎn)SQL指令操作無法第一時(shí)間進(jìn)行阻斷處理,當(dāng)然不是說堡壘機(jī)不好,一個安全產(chǎn)品不能解決所有場景的問題,他的弊端需要依靠其他技術(shù)手段或管理手段來彌補(bǔ)。
三、數(shù)據(jù)庫安全管控應(yīng)對思路
信息安全領(lǐng)域有個概念叫縱深防御,強(qiáng)調(diào)是通過多層次、多維度的安全措施來構(gòu)建一個強(qiáng)大的安全防護(hù)體系,縱深防御模型的基本思路就是將信息網(wǎng)絡(luò)安全保護(hù)措施有機(jī)組合起來,針對保護(hù)對象,部署合適的安全措施,形成多道保護(hù)線,各安全措施能夠相互支持和補(bǔ)救,盡可能地阻斷攻擊者的威脅。針對運(yùn)維場景下的數(shù)據(jù)庫安全,昂楷有兩種應(yīng)對思路,這也是Ankki數(shù)據(jù)安全治理理念“精準(zhǔn)可視,安全可控”的體現(xiàn),具體思路如下:
使用數(shù)據(jù)安全中的數(shù)據(jù)庫防火墻技術(shù),對數(shù)據(jù)庫的協(xié)議進(jìn)行深度解析,通過主動防御機(jī)制,實(shí)現(xiàn)對數(shù)據(jù)庫訪問行為的控制,對危險(xiǎn)行為進(jìn)行阻斷,并且對阻斷的操作回話進(jìn)行審計(jì)記錄,實(shí)現(xiàn)事中監(jiān)控和事后審計(jì)的作用。
利舊堡壘機(jī),將傳統(tǒng)堡壘機(jī)技術(shù)與新的數(shù)據(jù)庫防火墻技術(shù)相結(jié)合,堡壘機(jī)做統(tǒng)一賬號管理、統(tǒng)一身份認(rèn)證、過程審計(jì),數(shù)據(jù)庫防火墻做數(shù)據(jù)庫協(xié)議操作級別的授權(quán)、管控、審批。在網(wǎng)絡(luò)方面,通過管控堡壘機(jī)及堡壘機(jī)前置機(jī)到數(shù)據(jù)庫的訪問關(guān)系,限制其他途徑訪問數(shù)據(jù)庫的通道。
四、數(shù)據(jù)庫安全管控技術(shù)手段
數(shù)據(jù)庫防火墻是數(shù)據(jù)庫安全管控的重要技術(shù)手段之一,Ankki數(shù)據(jù)庫防火墻充分考慮運(yùn)維場景的數(shù)據(jù)安全需求,從多點(diǎn)切實(shí)解決運(yùn)維側(cè)的數(shù)據(jù)安全。
權(quán)限管控。按照“知所必須、最小授權(quán)”的原則進(jìn)行授權(quán),使其只能訪問職責(zé)所需的數(shù)據(jù)信息,且具備職責(zé)所需的最小數(shù)據(jù)操作權(quán)限。數(shù)據(jù)庫防火墻通過細(xì)粒度的策略設(shè)置條件如用戶賬號、IP地址、操作行為、數(shù)據(jù)庫表或字段、影響行數(shù)、操作時(shí)間等等,制定靈活多變的數(shù)據(jù)防護(hù)策略,覆蓋各種具體實(shí)際的用戶使用場景。
敏感數(shù)據(jù)防護(hù)。數(shù)據(jù)庫防火墻自動發(fā)現(xiàn)數(shù)據(jù)庫對象中包含敏感數(shù)據(jù)類型,并進(jìn)行智能分類分級,可根據(jù)敏感字段定義敏感數(shù)據(jù)防護(hù)規(guī)則,進(jìn)行敏感字段的操作行為審計(jì)與防護(hù),可直接阻斷敏感數(shù)據(jù)未授權(quán)訪問。
高危操作防護(hù)。數(shù)據(jù)庫防火墻可以利用運(yùn)維人員的身份特征,控制使用者的操作權(quán)限,對高危操作如drop、truncate、不帶where條件的更新、不帶where條件的刪除、特權(quán)操作全程進(jìn)行審計(jì),并能實(shí)現(xiàn)數(shù)據(jù)庫操作命令行級阻斷,保持會話連接情況下實(shí)現(xiàn)違規(guī)操作的命令阻斷。
高危操作審批。數(shù)據(jù)庫防火墻集成審批電子流程,也可以與OA系統(tǒng)對接。針對確實(shí)需要進(jìn)行高危操作的運(yùn)維或開發(fā)人員,可在數(shù)據(jù)庫防火墻上提交高危操作的審批的工單,工單審批通過后,操作員可操作工單中的內(nèi)容,數(shù)據(jù)庫防火墻會在一定時(shí)間內(nèi)放行,通過此功能,可對高危操作進(jìn)行有效管控,在不影響業(yè)務(wù)的情況下保障運(yùn)維安全。
風(fēng)險(xiǎn)數(shù)據(jù)可視化。根據(jù)信息安全管理要求,數(shù)據(jù)庫防火墻記錄所有用戶對數(shù)據(jù)庫的操作行為,并對行為進(jìn)行全程細(xì)粒度的審計(jì)分析,自動化生成風(fēng)險(xiǎn)分析報(bào)表。
五、總結(jié)
數(shù)據(jù)安全無小事,對于任何企業(yè)或單位,刪庫跑路帶來的不止是經(jīng)濟(jì)上的損失,還會帶來負(fù)面影響,因此,應(yīng)該在平時(shí)就應(yīng)完善相應(yīng)的安全機(jī)制和管理制度,防患于未然。昂楷專注數(shù)據(jù)安全多年,可以為用戶提供點(diǎn)、線、面的專業(yè)數(shù)據(jù)安全治理解決方案,涵蓋需求溝通、方案設(shè)計(jì)、產(chǎn)品交付、安全服務(wù)。
題-4.jpg)
