2020年5月建設(shè)銀行員工販賣5萬多條客戶個人信息�����、電話號碼、余額甚至交易記錄售賣給下家�,進(jìn)行謀利����。
2020年8月��,不法分子與圓通快遞多位“內(nèi)鬼”勾結(jié),導(dǎo)致40萬條公民個人信息被泄露��。緊接著有媒體連日調(diào)查發(fā)現(xiàn)�����,此現(xiàn)象不止圓通一家,網(wǎng)上存在販賣快遞用戶信息的“黑產(chǎn)”鏈條���,涉及申通����、德邦����、EMS���、韻達(dá)等多家快遞公司���。大量包含快遞客戶姓名��、住址、電話的信息被打包在網(wǎng)上出售����,每條售價從0.8元至10元不等...
以上只是數(shù)據(jù)庫安全事件中的冰山一角,其中如企業(yè)內(nèi)部DBA刪庫跑路����、惡意報(bào)復(fù)類事件更是屢見不鮮��。用戶個人信息等企業(yè)敏感數(shù)據(jù)被批量泄露�����、惡意刪除或于暗網(wǎng)售賣等現(xiàn)象層出不窮��,無不揭示當(dāng)前各行業(yè)的一個普遍現(xiàn)狀,即企業(yè)對內(nèi)部的數(shù)據(jù)安全防范意識淡薄�����,數(shù)據(jù)安全相關(guān)工作落實(shí)不到位�!
刨析企業(yè)內(nèi)部數(shù)據(jù)安全風(fēng)險(xiǎn)
1����、企業(yè)數(shù)字化轉(zhuǎn)型帶來時代性安全風(fēng)險(xiǎn)
隨著企業(yè)數(shù)據(jù)化轉(zhuǎn)型的加速發(fā)展�����,數(shù)據(jù)儼然已成為企業(yè)最有價值的資產(chǎn)?�,F(xiàn)如今數(shù)據(jù)不再是傳統(tǒng)意義上的靜態(tài)存儲���,為了支撐企業(yè)業(yè)務(wù)發(fā)展,逐漸演變成數(shù)據(jù)交換��、共享變得愈加頻繁的發(fā)展趨勢���。因此,如何實(shí)現(xiàn)數(shù)據(jù)在“流動過程中創(chuàng)造價值”的同時��,保障數(shù)據(jù)安全�,防止發(fā)生上述數(shù)據(jù)泄露的安全事件�,是企業(yè)可持續(xù)發(fā)展中面臨的重要課題�。
2����、企業(yè)數(shù)據(jù)運(yùn)維場景復(fù)雜性帶來安全風(fēng)險(xiǎn)
在數(shù)據(jù)運(yùn)維場景中,可以分兩個方向考慮��,一個是數(shù)據(jù)運(yùn)維場景復(fù)雜,一個是運(yùn)維人員權(quán)限寬泛�����。隨著企業(yè)發(fā)展�,機(jī)房建設(shè)、人員波動���、業(yè)務(wù)系統(tǒng)擴(kuò)容會變得愈加頻繁����,帶來了復(fù)雜的運(yùn)維場景�����,例如公用數(shù)據(jù)庫賬號��、公用運(yùn)維主機(jī)����、公用的操作系統(tǒng)賬號等����;與此同時���,數(shù)據(jù)的運(yùn)維管理工作仍是傳統(tǒng)的“企業(yè)運(yùn)維人員+一大堆第三方廠商人員”模式��。面對如此復(fù)雜���、混亂的運(yùn)維場景,如果不具備有效的���、細(xì)粒度的管控能力,那么諸如數(shù)據(jù)被誤操作�、惡意批量刪除、高權(quán)限用戶的濫用��、敏感數(shù)據(jù)的泄露等數(shù)據(jù)安全事件的發(fā)生�,將難以避免���,并對企業(yè)造成不可估量的經(jīng)濟(jì)損失與聲譽(yù)損害�����。
3�����、企業(yè)數(shù)據(jù)安全落實(shí)不到位帶來安全風(fēng)險(xiǎn)
(1)傳統(tǒng)網(wǎng)絡(luò)安全手段無法滿足當(dāng)今的數(shù)據(jù)安全需求
傳統(tǒng)的網(wǎng)絡(luò)安全訪問控制�����,都是基于“安全體系以網(wǎng)絡(luò)為中心”的立場,主要涉及網(wǎng)絡(luò)安全域�、防火墻���、網(wǎng)絡(luò)訪問控制等場景����,特別是以堡壘機(jī)為代表的企業(yè)內(nèi)部運(yùn)維的網(wǎng)絡(luò)訪問控制設(shè)備被大量使用�����,訪問控制元素包含:運(yùn)維用戶�����、運(yùn)維客戶端地址、資源地址�����、協(xié)議����、時間�,基于列舉的這些元素���,不難看出網(wǎng)絡(luò)層的安全控制還是以通過劃分獨(dú)立數(shù)據(jù)網(wǎng)絡(luò)區(qū)域和運(yùn)維管理區(qū)域?yàn)橹鲗?dǎo),以IP資源(協(xié)議端口)為對象來構(gòu)建網(wǎng)絡(luò)層的安全�,這樣的控制力度較為寬泛�,是涵蓋不了如今以“數(shù)據(jù)”為中心構(gòu)建的資產(chǎn)體系帶來的數(shù)據(jù)流動、交換���、訪問等更為復(fù)雜、精細(xì)的場景���。
而基于“安全體系以數(shù)據(jù)為中心”的數(shù)據(jù)安全理念則更貼近安全目標(biāo)�����,因?yàn)閿?shù)據(jù)安全主要依靠的是一種“協(xié)議解析”技術(shù)�,對數(shù)據(jù)庫流量協(xié)議數(shù)據(jù)包進(jìn)行全協(xié)議解碼����,從數(shù)據(jù)庫協(xié)議�����、應(yīng)用協(xié)議中抽取出更為細(xì)粒度的SQL語句以及應(yīng)用客戶端���、訪問源IP��、目標(biāo)數(shù)據(jù)庫IP��、數(shù)據(jù)庫用戶�、數(shù)據(jù)庫實(shí)例等信息�,以該技術(shù)為基礎(chǔ)進(jìn)行數(shù)據(jù)級的細(xì)粒度控制手段,才能滿足企業(yè)內(nèi)部數(shù)據(jù)傳輸��、數(shù)據(jù)訪問、數(shù)據(jù)處理的更高細(xì)粒度的訪問準(zhǔn)入控制要求�。
(網(wǎng)絡(luò)控制元素與協(xié)議解析控制元素舉例比對)
(2)數(shù)據(jù)庫自身權(quán)限控制無法有效落實(shí)數(shù)據(jù)安全工作
在數(shù)據(jù)庫中有兩類賬戶����,一類是管理員賬戶,另外一類是普通賬戶����。這兩類賬戶若只依托于數(shù)據(jù)庫自身權(quán)限的管理控制���,就會造成DBA高權(quán)限賬戶的權(quán)限不在控制范圍內(nèi),存在安全漏洞���;對于普通賬戶如果依托于數(shù)據(jù)自身權(quán)限的管理,是無法控制普通用戶關(guān)于數(shù)據(jù)庫下的字段級�����、數(shù)據(jù)級�����、訪問響應(yīng)返回等細(xì)粒度訪問權(quán)限的控制�����。且數(shù)據(jù)庫自身審計(jì)日志存儲周期有限�����,無法為企業(yè)管理工作提供有效的事后追溯、統(tǒng)計(jì)分析等關(guān)鍵能力�,再加上我們上述提到的數(shù)據(jù)運(yùn)維場景的復(fù)雜性�,如果存在高權(quán)限賬戶的濫用、普通賬戶的越權(quán)使用�、數(shù)據(jù)庫密碼泄露等問題���,那么數(shù)據(jù)庫自身權(quán)限的控制能力面對復(fù)雜的數(shù)據(jù)運(yùn)維場景只能捉襟見肘。
綜上��,安華金和推出以協(xié)議解析技術(shù)為基礎(chǔ)的數(shù)據(jù)庫運(yùn)維管理系統(tǒng)DOMS��,作為獨(dú)立于企業(yè)外第三方的一款安全產(chǎn)品���,在滿足合規(guī)的同時,從企業(yè)內(nèi)部數(shù)據(jù)實(shí)際運(yùn)維場景出發(fā)�,以數(shù)據(jù)資產(chǎn)為核心��,獨(dú)立于數(shù)據(jù)庫自身權(quán)限以外�����,為企業(yè)內(nèi)部數(shù)據(jù)庫的安全構(gòu)建更加全面、細(xì)粒度的安全訪問防控能力���,有效落實(shí)企業(yè)內(nèi)部數(shù)據(jù)運(yùn)維安全管控方面的工作,希望以安華十逾年數(shù)據(jù)安全治理經(jīng)驗(yàn)�����,為流通�����、共享數(shù)據(jù)的安全建設(shè)提供更多可借鑒的思路���。
產(chǎn)品咨詢:4000 258 365 
