马云说过,数据是阿里最值钱的财富。数据的重要性又何止于阿里,信息化时代,数据之于很多企业来说,几乎是命脉。确保数据安全就是确保这个脉搏健康稳定的跳动。今天我们先撇开数据库安全的外患,从内忧的角度来谈谈数据库运维安全。
近日,安华金和面向IT运维领域展开了一场关于“数据库运维安全现状”的问卷调查活动。希望通过了解用户的数据库运维场景及安全现状,发现各行业用户在数据库运维工作中的安全需求,并以此为参考进行下一步安全产品的研发,为市场带来真正具有用户价值的安全产品。该问卷调查活动共获取有效样本144份,经过数据统计分析,我们总结归纳了一些可参考结论,分享给关注数据库安全的人士。
参与调查的人员来自各行各业,既包括政府,金融,能源,教育,又有制造业,互联网,交通,医疗行业等。他们中以工程师和技术经理居多,对于企业数据库系统的技术原理及运维操作比较了解,因此,本文所得调查结论的客观性和专业度就得到了保障。
调查问卷结论分析
数据库运维环境现状
运维环境越来越复杂,运维安全变得越来越重要
1、数据库服务器规模
在参与问卷的144家单位中,半数以上的企业部署的数据库服务器超过50台,三成企业达到百台规模。
图 1.1 数据库服务器规模
2、数据库服务器部署位置分布
有44%的参与者反馈数据库服务器部署在内网环境中,另有49%反馈内网及外网环境中均有部署。选择单纯部署于外网或不区分内外网的比例仅有6%左右。
数据库安全政策要求及安全检查现状
谋事要有方案安全要有标准
1、数据库安全政策标准、安全检查与使用工具
参与调查的企业中,需要通过等保检查标准的企业占到51%,通过分保检查标准的单位占35%,28%需要通过其他行业性安全标准。64%的单位对于数据库会定期进行安全检查,但有一半的企业表示在安全检查中没有使用专业的检查工具,这在一定程度上对于检查结果的全面性和专业度有所影响。
图1.2 安全政策合规需求
数据库安全防护手段
数据库安全防护意识仍有很大的宣灌空间
1、敏感数据与访问授权
数据安全威胁对企业来说是致命打击。值得欣喜的是,大多数单位都具备对核心数据的保护意识,但仍有近三成的企业尚未建立防护体系。在提供外网服务的应用系统所用数据库中,存有敏感数据的比例占到74%。79%的企业在运维人员访问数据库系统时必须得到授权。当敏感数据用于第三方公司进行开发、测试、培训等环节前,38%的企业对敏感数据无防护手段,这是导致数据库安全隐患的重要原因之一。
图1.3 敏感信息的访问
2、数据库安全管控,数据库防火墙最受青睐
有超半数单位没有使用专业的数据库安全管控产品,近一半单位不能满足数据库管理制度的要求。可见,对技术手段的认知有待提高。目前所采取的数据库安全管控技术手段中,数据库防火墙最受青睐。调查显示,49%的参与者已部署数据库防火墙或数据库访问管控平台,23%只部署了堡垒机,29%未采取任何技术手段。
图1.4 数据库安全管控技术手段
3、审计到全面审计还有一段路要走
大部分企业会进行数据库访问审计,近三成单位只对少部分核心数据库系统进行审计。 可见目前大多数用户对于数据库审计接受度较高,在此趋势下,小部分未采取审计手段的用户可能被引导。
图1.5数据库访问审计的范围
数据库安全防护建议
工欲善其事必先利其器
1、在开发、测试、培训等工作环节中,使用敏感数据前进行脱敏处理是必要的,选择专业工具能够提高工作效率,保证数据处理效果及质量。
目前专业数据库脱敏和加密工具并没有被广泛使用,当数据量的规模较大,各数据表、数据子集之间的关联关系变得复杂,面对剧增的工作量,手工脱敏或加密就难以应付,且无法保证处理质量。这将导致外发数据无法满足开发、测试、分析等业务需求,影响结果准确性,同时,耗费的人力及时间成本往往得不偿失。专业的数据库脱敏工具可以保持原有数据类型和业务格式,保证长度不变、数据内涵不丢失,保持表间、表内数据关联关系,确保以上业务场景中的脱敏数据真实有效。同时提供动态脱敏功能,对敏感数据进行透明、实时脱敏,对数据库用户名、IP\客户端类型、访问时间甚至业务用户等多重身份进行访问控制,提供多种安全策略。
2、使用专业有效的数据库管控手段可以满足细粒度的数据库运维管控,满足数据库管理制度要求,防止危险访问行为。
使用专业的数据库管控产品,通过对数据库访问协议的精确解析,而非堡垒机单纯对访问操作进行录屏,事后追责。
数据库防火墙优势:基于对SQL语句的精准解析,提供高危访问控制、SQL注入禁止、返回行数超标禁止、SQL黑名单等技术功能,对于匹配策略的威胁操作实时拦截、阻断。
数据库访问管控平台优势:专业的数据库安全管控平台在审批通过后返回唯一的操作码,使用任意客户端建立连接时,无操作码或与原申请操作不符时,拒绝访问。提高操作准确度,防止高危操作及误操作。
3、运维部门对整体数据库访问行为有必要进行实时有效的监控与审计,审计产品的风险感知能力、审计效率及审计结果的准确度是重要依据。
调查显示大多数用户已经局部部署或全面部署数据库审计系统,在此基础上,我们更应关注审计产品是否专业,如数据库流量是否全捕获,对于长语句、参数化语句等是否能够精准解析,是否具有风险感知能力,审计数据是否高效入库,对审计结果是否能够高效分析及检索。这些关键点决定一款数据库监控与审计产品是否真正具有使用价值,而不是简单地解决有无问题。
>>点击下载完整版报告
免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。