安華金和：數(shù)據(jù)庫運(yùn)維安全現(xiàn)狀調(diào)研報告

馬云說過，數(shù)據(jù)是阿里最值錢的財富。數(shù)據(jù)的重要性又何止于阿里，信息化時代，數(shù)據(jù)之于很多企業(yè)來說，幾乎是命脈。確保數(shù)據(jù)安全就是確保這個脈搏健康穩(wěn)定的跳動。今天我們先撇開數(shù)據(jù)庫安全的外患，從內(nèi)憂的角度來談?wù)剶?shù)據(jù)庫運(yùn)維安全。

近日，安華金和面向IT運(yùn)維領(lǐng)域展開了一場關(guān)于“數(shù)據(jù)庫運(yùn)維安全現(xiàn)狀”的問卷調(diào)查活動。希望通過了解用戶的數(shù)據(jù)庫運(yùn)維場景及安全現(xiàn)狀，發(fā)現(xiàn)各行業(yè)用戶在數(shù)據(jù)庫運(yùn)維工作中的安全需求，并以此為參考進(jìn)行下一步安全產(chǎn)品的研發(fā)，為市場帶來真正具有用戶價值的安全產(chǎn)品。該問卷調(diào)查活動共獲取有效樣本144份，經(jīng)過數(shù)據(jù)統(tǒng)計分析，我們總結(jié)歸納了一些可參考結(jié)論，分享給關(guān)注數(shù)據(jù)庫安全的人士。

參與調(diào)查的人員來自各行各業(yè)，既包括政府，金融，能源，教育，又有制造業(yè)，互聯(lián)網(wǎng)，交通，醫(yī)療行業(yè)等。他們中以工程師和技術(shù)經(jīng)理居多，對于企業(yè)數(shù)據(jù)庫系統(tǒng)的技術(shù)原理及運(yùn)維操作比較了解，因此，本文所得調(diào)查結(jié)論的客觀性和專業(yè)度就得到了保障。

調(diào)查問卷結(jié)論分析

數(shù)據(jù)庫運(yùn)維環(huán)境現(xiàn)狀

運(yùn)維環(huán)境越來越復(fù)雜，運(yùn)維安全變得越來越重要

1、數(shù)據(jù)庫服務(wù)器規(guī)模

在參與問卷的144家單位中，半數(shù)以上的企業(yè)部署的數(shù)據(jù)庫服務(wù)器超過50臺，三成企業(yè)達(dá)到百臺規(guī)模。

圖 1.1 數(shù)據(jù)庫服務(wù)器規(guī)模

2、數(shù)據(jù)庫服務(wù)器部署位置分布

有44%的參與者反饋數(shù)據(jù)庫服務(wù)器部署在內(nèi)網(wǎng)環(huán)境中，另有49%反饋內(nèi)網(wǎng)及外網(wǎng)環(huán)境中均有部署。選擇單純部署于外網(wǎng)或不區(qū)分內(nèi)外網(wǎng)的比例僅有6%左右。

數(shù)據(jù)庫安全政策要求及安全檢查現(xiàn)狀

謀事要有方案安全要有標(biāo)準(zhǔn)

1、數(shù)據(jù)庫安全政策標(biāo)準(zhǔn)、安全檢查與使用工具

參與調(diào)查的企業(yè)中，需要通過等保檢查標(biāo)準(zhǔn)的企業(yè)占到51%，通過分保檢查標(biāo)準(zhǔn)的單位占35%，28%需要通過其他行業(yè)性安全標(biāo)準(zhǔn)。64%的單位對于數(shù)據(jù)庫會定期進(jìn)行安全檢查，但有一半的企業(yè)表示在安全檢查中沒有使用專業(yè)的檢查工具，這在一定程度上對于檢查結(jié)果的全面性和專業(yè)度有所影響。

圖1.2 安全政策合規(guī)需求

數(shù)據(jù)庫安全防護(hù)手段

數(shù)據(jù)庫安全防護(hù)意識仍有很大的宣灌空間

1、敏感數(shù)據(jù)與訪問授權(quán)

數(shù)據(jù)安全威脅對企業(yè)來說是致命打擊。值得欣喜的是，大多數(shù)單位都具備對核心數(shù)據(jù)的保護(hù)意識，但仍有近三成的企業(yè)尚未建立防護(hù)體系。在提供外網(wǎng)服務(wù)的應(yīng)用系統(tǒng)所用數(shù)據(jù)庫中，存有敏感數(shù)據(jù)的比例占到74%。79%的企業(yè)在運(yùn)維人員訪問數(shù)據(jù)庫系統(tǒng)時必須得到授權(quán)。當(dāng)敏感數(shù)據(jù)用于第三方公司進(jìn)行開發(fā)、測試、培訓(xùn)等環(huán)節(jié)前，38%的企業(yè)對敏感數(shù)據(jù)無防護(hù)手段，這是導(dǎo)致數(shù)據(jù)庫安全隱患的重要原因之一。

圖1.3 敏感信息的訪問

2、數(shù)據(jù)庫安全管控，數(shù)據(jù)庫防火墻最受青睞

有超半數(shù)單位沒有使用專業(yè)的數(shù)據(jù)庫安全管控產(chǎn)品，近一半單位不能滿足數(shù)據(jù)庫管理制度的要求?？梢?，對技術(shù)手段的認(rèn)知有待提高。目前所采取的數(shù)據(jù)庫安全管控技術(shù)手段中，數(shù)據(jù)庫防火墻最受青睞。調(diào)查顯示，49%的參與者已部署數(shù)據(jù)庫防火墻或數(shù)據(jù)庫訪問管控平臺，23%只部署了堡壘機(jī)，29%未采取任何技術(shù)手段。

圖1.4 數(shù)據(jù)庫安全管控技術(shù)手段

3、審計到全面審計還有一段路要走

大部分企業(yè)會進(jìn)行數(shù)據(jù)庫訪問審計，近三成單位只對少部分核心數(shù)據(jù)庫系統(tǒng)進(jìn)行審計。 可見目前大多數(shù)用戶對于數(shù)據(jù)庫審計接受度較高，在此趨勢下，小部分未采取審計手段的用戶可能被引導(dǎo)。

圖1.5數(shù)據(jù)庫訪問審計的范圍

數(shù)據(jù)庫安全防護(hù)建議

工欲善其事必先利其器

1、在開發(fā)、測試、培訓(xùn)等工作環(huán)節(jié)中，使用敏感數(shù)據(jù)前進(jìn)行脫敏處理是必要的，選擇專業(yè)工具能夠提高工作效率，保證數(shù)據(jù)處理效果及質(zhì)量。

目前專業(yè)數(shù)據(jù)庫脫敏和加密工具并沒有被廣泛使用，當(dāng)數(shù)據(jù)量的規(guī)模較大，各數(shù)據(jù)表、數(shù)據(jù)子集之間的關(guān)聯(lián)關(guān)系變得復(fù)雜，面對劇增的工作量，手工脫敏或加密就難以應(yīng)付，且無法保證處理質(zhì)量。這將導(dǎo)致外發(fā)數(shù)據(jù)無法滿足開發(fā)、測試、分析等業(yè)務(wù)需求，影響結(jié)果準(zhǔn)確性，同時，耗費的人力及時間成本往往得不償失。專業(yè)的數(shù)據(jù)庫脫敏工具可以保持原有數(shù)據(jù)類型和業(yè)務(wù)格式，保證長度不變、數(shù)據(jù)內(nèi)涵不丟失，保持表間、表內(nèi)數(shù)據(jù)關(guān)聯(lián)關(guān)系，確保以上業(yè)務(wù)場景中的脫敏數(shù)據(jù)真實有效。同時提供動態(tài)脫敏功能，對敏感數(shù)據(jù)進(jìn)行透明、實時脫敏，對數(shù)據(jù)庫用戶名、IP\客戶端類型、訪問時間甚至業(yè)務(wù)用戶等多重身份進(jìn)行訪問控制，提供多種安全策略。

2、使用專業(yè)有效的數(shù)據(jù)庫管控手段可以滿足細(xì)粒度的數(shù)據(jù)庫運(yùn)維管控，滿足數(shù)據(jù)庫管理制度要求，防止危險訪問行為。

使用專業(yè)的數(shù)據(jù)庫管控產(chǎn)品，通過對數(shù)據(jù)庫訪問協(xié)議的精確解析，而非堡壘機(jī)單純對訪問操作進(jìn)行錄屏，事后追責(zé)。

數(shù)據(jù)庫防火墻優(yōu)勢：基于對SQL語句的精準(zhǔn)解析，提供高危訪問控制、SQL注入禁止、返回行數(shù)超標(biāo)禁止、SQL黑名單等技術(shù)功能，對于匹配策略的威脅操作實時攔截、阻斷。

數(shù)據(jù)庫訪問管控平臺優(yōu)勢：專業(yè)的數(shù)據(jù)庫安全管控平臺在審批通過后返回唯一的操作碼，使用任意客戶端建立連接時，無操作碼或與原申請操作不符時，拒絕訪問。提高操作準(zhǔn)確度，防止高危操作及誤操作。

3、運(yùn)維部門對整體數(shù)據(jù)庫訪問行為有必要進(jìn)行實時有效的監(jiān)控與審計，審計產(chǎn)品的風(fēng)險感知能力、審計效率及審計結(jié)果的準(zhǔn)確度是重要依據(jù)。

調(diào)查顯示大多數(shù)用戶已經(jīng)局部部署或全面部署數(shù)據(jù)庫審計系統(tǒng)，在此基礎(chǔ)上，我們更應(yīng)關(guān)注審計產(chǎn)品是否專業(yè)，如數(shù)據(jù)庫流量是否全捕獲，對于長語句、參數(shù)化語句等是否能夠精準(zhǔn)解析，是否具有風(fēng)險感知能力，審計數(shù)據(jù)是否高效入庫，對審計結(jié)果是否能夠高效分析及檢索。這些關(guān)鍵點決定一款數(shù)據(jù)庫監(jiān)控與審計產(chǎn)品是否真正具有使用價值，而不是簡單地解決有無問題。

>>點擊下載完整版報告

生成海報

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進(jìn)一步核實，并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。