2020年5月建設(shè)銀行員工販賣5萬多條客戶個(gè)人信息�����、電話號碼�����、余額甚至交易記錄售賣給下家,進(jìn)行謀利��。
2020年8月�,不法分子與圓通快遞多位“內(nèi)鬼”勾結(jié),導(dǎo)致40萬條公民個(gè)人信息被泄露���。緊接著有媒體連日調(diào)查發(fā)現(xiàn)����,此現(xiàn)象不止圓通一家��,網(wǎng)上存在販賣快遞用戶信息的“黑產(chǎn)”鏈條�����,涉及申通�����、德邦����、EMS�、韻達(dá)等多家快遞公司���。大量包含快遞客戶姓名、住址�、電話的信息被打包在網(wǎng)上出售,每條售價(jià)從0.8元至10元不等...
以上只是數(shù)據(jù)庫安全事件中的冰山一角�,其中如企業(yè)內(nèi)部DBA刪庫跑路、惡意報(bào)復(fù)類事件更是屢見不鮮��。用戶個(gè)人信息等企業(yè)敏感數(shù)據(jù)被批量泄露��、惡意刪除或于暗網(wǎng)售賣等現(xiàn)象層出不窮���,無不揭示當(dāng)前各行業(yè)的一個(gè)普遍現(xiàn)狀����,即企業(yè)對內(nèi)部的數(shù)據(jù)安全防范意識淡薄�,數(shù)據(jù)安全相關(guān)工作落實(shí)不到位!
刨析企業(yè)內(nèi)部數(shù)據(jù)安全風(fēng)險(xiǎn)
1���、企業(yè)數(shù)字化轉(zhuǎn)型帶來時(shí)代性安全風(fēng)險(xiǎn)
隨著企業(yè)數(shù)據(jù)化轉(zhuǎn)型的加速發(fā)展��,數(shù)據(jù)儼然已成為企業(yè)最有價(jià)值的資產(chǎn)?�,F(xiàn)如今數(shù)據(jù)不再是傳統(tǒng)意義上的靜態(tài)存儲����,為了支撐企業(yè)業(yè)務(wù)發(fā)展,逐漸演變成數(shù)據(jù)交換�、共享變得愈加頻繁的發(fā)展趨勢。因此����,如何實(shí)現(xiàn)數(shù)據(jù)在“流動過程中創(chuàng)造價(jià)值”的同時(shí),保障數(shù)據(jù)安全����,防止發(fā)生上述數(shù)據(jù)泄露的安全事件,是企業(yè)可持續(xù)發(fā)展中面臨的重要課題��。
2�、企業(yè)數(shù)據(jù)運(yùn)維場景復(fù)雜性帶來安全風(fēng)險(xiǎn)
在數(shù)據(jù)運(yùn)維場景中,可以分兩個(gè)方向考慮�����,一個(gè)是數(shù)據(jù)運(yùn)維場景復(fù)雜�����,一個(gè)是運(yùn)維人員權(quán)限寬泛��。隨著企業(yè)發(fā)展���,機(jī)房建設(shè)���、人員波動、業(yè)務(wù)系統(tǒng)擴(kuò)容會變得愈加頻繁��,帶來了復(fù)雜的運(yùn)維場景����,例如公用數(shù)據(jù)庫賬號、公用運(yùn)維主機(jī)�����、公用的操作系統(tǒng)賬號等��;與此同時(shí)����,數(shù)據(jù)的運(yùn)維管理工作仍是傳統(tǒng)的“企業(yè)運(yùn)維人員+一大堆第三方廠商人員”模式。面對如此復(fù)雜�����、混亂的運(yùn)維場景,如果不具備有效的����、細(xì)粒度的管控能力,那么諸如數(shù)據(jù)被誤操作��、惡意批量刪除�、高權(quán)限用戶的濫用、敏感數(shù)據(jù)的泄露等數(shù)據(jù)安全事件的發(fā)生�,將難以避免,并對企業(yè)造成不可估量的經(jīng)濟(jì)損失與聲譽(yù)損害���。
3�、企業(yè)數(shù)據(jù)安全落實(shí)不到位帶來安全風(fēng)險(xiǎn)
(1)傳統(tǒng)網(wǎng)絡(luò)安全手段無法滿足當(dāng)今的數(shù)據(jù)安全需求
傳統(tǒng)的網(wǎng)絡(luò)安全訪問控制����,都是基于“安全體系以網(wǎng)絡(luò)為中心”的立場,主要涉及網(wǎng)絡(luò)安全域��、防火墻�����、網(wǎng)絡(luò)訪問控制等場景��,特別是以堡壘機(jī)為代表的企業(yè)內(nèi)部運(yùn)維的網(wǎng)絡(luò)訪問控制設(shè)備被大量使用����,訪問控制元素包含:運(yùn)維用戶、運(yùn)維客戶端地址��、資源地址��、協(xié)議��、時(shí)間��,基于列舉的這些元素�����,不難看出網(wǎng)絡(luò)層的安全控制還是以通過劃分獨(dú)立數(shù)據(jù)網(wǎng)絡(luò)區(qū)域和運(yùn)維管理區(qū)域?yàn)橹鲗?dǎo)��,以IP資源(協(xié)議端口)為對象來構(gòu)建網(wǎng)絡(luò)層的安全���,這樣的控制力度較為寬泛����,是涵蓋不了如今以“數(shù)據(jù)”為中心構(gòu)建的資產(chǎn)體系帶來的數(shù)據(jù)流動、交換���、訪問等更為復(fù)雜���、精細(xì)的場景。
而基于“安全體系以數(shù)據(jù)為中心”的數(shù)據(jù)安全理念則更貼近安全目標(biāo)����,因?yàn)閿?shù)據(jù)安全主要依靠的是一種“協(xié)議解析”技術(shù),對數(shù)據(jù)庫流量協(xié)議數(shù)據(jù)包進(jìn)行全協(xié)議解碼�,從數(shù)據(jù)庫協(xié)議、應(yīng)用協(xié)議中抽取出更為細(xì)粒度的SQL語句以及應(yīng)用客戶端�、訪問源IP、目標(biāo)數(shù)據(jù)庫IP����、數(shù)據(jù)庫用戶、數(shù)據(jù)庫實(shí)例等信息�����,以該技術(shù)為基礎(chǔ)進(jìn)行數(shù)據(jù)級的細(xì)粒度控制手段�,才能滿足企業(yè)內(nèi)部數(shù)據(jù)傳輸、數(shù)據(jù)訪問�、數(shù)據(jù)處理的更高細(xì)粒度的訪問準(zhǔn)入控制要求��。
(網(wǎng)絡(luò)控制元素與協(xié)議解析控制元素舉例比對)
(2)數(shù)據(jù)庫自身權(quán)限控制無法有效落實(shí)數(shù)據(jù)安全工作
在數(shù)據(jù)庫中有兩類賬戶��,一類是管理員賬戶��,另外一類是普通賬戶。這兩類賬戶若只依托于數(shù)據(jù)庫自身權(quán)限的管理控制�,就會造成DBA高權(quán)限賬戶的權(quán)限不在控制范圍內(nèi),存在安全漏洞�����;對于普通賬戶如果依托于數(shù)據(jù)自身權(quán)限的管理����,是無法控制普通用戶關(guān)于數(shù)據(jù)庫下的字段級、數(shù)據(jù)級����、訪問響應(yīng)返回等細(xì)粒度訪問權(quán)限的控制。且數(shù)據(jù)庫自身審計(jì)日志存儲周期有限��,無法為企業(yè)管理工作提供有效的事后追溯���、統(tǒng)計(jì)分析等關(guān)鍵能力�����,再加上我們上述提到的數(shù)據(jù)運(yùn)維場景的復(fù)雜性�����,如果存在高權(quán)限賬戶的濫用���、普通賬戶的越權(quán)使用����、數(shù)據(jù)庫密碼泄露等問題����,那么數(shù)據(jù)庫自身權(quán)限的控制能力面對復(fù)雜的數(shù)據(jù)運(yùn)維場景只能捉襟見肘。
綜上���,安華金和推出以協(xié)議解析技術(shù)為基礎(chǔ)的數(shù)據(jù)庫運(yùn)維管理系統(tǒng)DOMS����,作為獨(dú)立于企業(yè)外第三方的一款安全產(chǎn)品�����,在滿足合規(guī)的同時(shí),從企業(yè)內(nèi)部數(shù)據(jù)實(shí)際運(yùn)維場景出發(fā)����,以數(shù)據(jù)資產(chǎn)為核心,獨(dú)立于數(shù)據(jù)庫自身權(quán)限以外����,為企業(yè)內(nèi)部數(shù)據(jù)庫的安全構(gòu)建更加全面����、細(xì)粒度的安全訪問防控能力,有效落實(shí)企業(yè)內(nèi)部數(shù)據(jù)運(yùn)維安全管控方面的工作��,希望以安華十逾年數(shù)據(jù)安全治理經(jīng)驗(yàn)���,為流通�����、共享數(shù)據(jù)的安全建設(shè)提供更多可借鑒的思路�。
產(chǎn)品咨詢:4000 258 365 
