前文中���,對企業(yè)內(nèi)部面臨的各類數(shù)據(jù)安全風(fēng)險(xiǎn)進(jìn)行了梳理分析���。本篇里,我們將聚焦“對癥下藥”�,結(jié)合“產(chǎn)品與方案”,介紹構(gòu)建企業(yè)內(nèi)部數(shù)據(jù)運(yùn)維安全管理工作的解決思路�����。
今天����,企業(yè)內(nèi)部數(shù)據(jù)安全普遍存在諸多安全風(fēng)險(xiǎn),除需具備協(xié)議解析等核心技術(shù)能力之外�,還應(yīng)結(jié)合企業(yè)實(shí)際數(shù)據(jù)運(yùn)維場景,通過“身份管理����、事前規(guī)范授權(quán)流程、事中訪問控制及事后追溯”等方法���,有效落實(shí)企業(yè)內(nèi)部數(shù)據(jù)運(yùn)維安全管理工作���。為此��,安華金和提出“構(gòu)建安全架構(gòu)五元組方法論”���,即:
1、身份認(rèn)證
通過身份交付和身份認(rèn)證����,確定訪問來源的用戶主體是誰�。
2、授權(quán)
授予某些用戶主體“允許或拒絕訪問數(shù)據(jù)庫資產(chǎn)”的權(quán)限�,形成用戶主體、數(shù)據(jù)資產(chǎn)與訪問權(quán)限三者之間映射關(guān)系的授權(quán)列表�。
3、訪問控制
通過控制手段�,依據(jù)授權(quán)列表,實(shí)現(xiàn)訪問過程中的阻斷�、攔截、放行�,構(gòu)建細(xì)粒度訪問控制模型。
4�����、審計(jì)
形成事件追溯日志。
5����、數(shù)據(jù)資產(chǎn)保護(hù)
將數(shù)據(jù)資產(chǎn)分級,針對不同級別的“數(shù)據(jù)庫���、普通數(shù)據(jù)�、敏感數(shù)據(jù)”等數(shù)據(jù)資產(chǎn)施以相應(yīng)的保護(hù)���,真正實(shí)現(xiàn)分而治之���。
安華金和DOMS數(shù)據(jù)運(yùn)維安全架構(gòu)五元組
1、身份認(rèn)證
面對企業(yè)內(nèi)部復(fù)雜的運(yùn)維場景����,DOMS提出運(yùn)維身份認(rèn)證的概念,首先將身份認(rèn)證作為構(gòu)建數(shù)據(jù)運(yùn)維管理的第一步����,包括身份交付、身份認(rèn)證兩部分,目的是梳理出企業(yè)內(nèi)部涉及的運(yùn)維場景全部納入DOMS管理的范圍內(nèi)�����,并賦予對應(yīng)的運(yùn)維身份��,為后續(xù)的授權(quán)和訪問控制打好基礎(chǔ)�。
(1)身份交付統(tǒng)一管理復(fù)雜數(shù)據(jù)運(yùn)維場景
DOMS對于運(yùn)維身份的理解,不僅局限于運(yùn)維人員���,而是結(jié)合企業(yè)內(nèi)部實(shí)際運(yùn)維工作場景��,將應(yīng)用程序�����、運(yùn)維主機(jī)、數(shù)據(jù)庫訪問工具�、應(yīng)用服務(wù)器、以及高權(quán)限數(shù)據(jù)庫賬戶����、普通數(shù)據(jù)庫賬戶等納入到運(yùn)維身份管理范疇。通過身份交付梳理出復(fù)雜的運(yùn)維場景����,并通過身份定義賦予這些運(yùn)維身份對應(yīng)的屬性��,包括:運(yùn)維人員姓名����、工號(hào)�����、部門���、終端PC機(jī)的IP地址�、MAC地址��、主機(jī)名稱���、工具名稱等���;以上屬性,正是DOMS通過運(yùn)維身份進(jìn)行訪問控制的重要判斷依據(jù)之一�����。
身份類型與對應(yīng)定義的屬性舉例
除此之外,DOMS的運(yùn)維身份還可與企業(yè)內(nèi)部現(xiàn)有的用戶管理平臺(tái)(如LDAP���、AD域等)進(jìn)行對接�����,將企業(yè)內(nèi)部上崗��、下崗�、部門變動(dòng)等帶來的賬號(hào)變動(dòng)同步到DOMS��,并實(shí)現(xiàn)簡易化管理與自助服務(wù)請求�����。
(2)身份認(rèn)證創(chuàng)建訪問零信任
DOMS通過“身份認(rèn)證”功能在每個(gè)運(yùn)維身份��、用戶��、資產(chǎn)和數(shù)據(jù)交換過程中創(chuàng)建訪問零信任����,目的是將數(shù)據(jù)的訪問權(quán)限進(jìn)行收斂�,集中管理,防止高權(quán)限用戶濫用。
通過硬Ukey����、軟證書、Web頁面認(rèn)證�、雙因素認(rèn)證等工具,將上述所有定義的運(yùn)維身份進(jìn)行唯一標(biāo)識(shí)����,在數(shù)據(jù)訪問過程中進(jìn)行身份認(rèn)證,并與DOMS的訪問控制策略交互���;認(rèn)證通過后��,根據(jù)授權(quán)列表實(shí)現(xiàn)數(shù)據(jù)庫準(zhǔn)入��、細(xì)粒度訪問控制等管理�。
我們把運(yùn)維訪問場景比作去動(dòng)物園��,購買門票就是身份交付�����,刷票進(jìn)園就好比是身份認(rèn)證����,只有手握門票的人才能夠有資格入園觀光����;而入園后�����,能看園區(qū)內(nèi)哪些景點(diǎn)�����,觀看哪些動(dòng)物�����,就要看所持門票賦予的資格了�����,即下面要詳細(xì)介紹的授權(quán)與訪問控制�����。
DOMS運(yùn)維身份���、授權(quán)����、訪問控制邏輯關(guān)系
2�、授權(quán)
(1)依據(jù)運(yùn)維身份授予數(shù)據(jù)資產(chǎn)訪問權(quán)限
授權(quán)的目的是將運(yùn)維身份、數(shù)據(jù)資產(chǎn)�����、訪問權(quán)限三者建立映射關(guān)系����,使得所有數(shù)據(jù)訪問權(quán)限能夠按照運(yùn)維身份恰如其分的進(jìn)行分配,實(shí)現(xiàn)對運(yùn)維工作的最小化權(quán)限劃分�����,包括數(shù)據(jù)庫用戶名����、密碼的統(tǒng)一管理以及授權(quán)下發(fā),并會(huì)對授權(quán)流程進(jìn)行規(guī)范化的申請�����、審批,只有審批通過后��,才有權(quán)限執(zhí)行具體的SQL語句���、訪問操作�����。
(2)數(shù)據(jù)庫用戶名密碼統(tǒng)一管理�、授權(quán)
DOMS會(huì)為企業(yè)提供數(shù)據(jù)庫用戶名����、密碼統(tǒng)一管理能力,目的是防止運(yùn)維過程中泄露密碼以及運(yùn)維人員隨意創(chuàng)建數(shù)據(jù)庫用戶�。主要依托的是安華金和獨(dú)立研發(fā)并獲取專利的“密碼橋”技術(shù),DOMS根據(jù)運(yùn)維身份直接授權(quán)或經(jīng)過申請�、審批的流程,將DOMS創(chuàng)建的一套“虛假的數(shù)據(jù)庫用戶名�、密碼”來替代數(shù)據(jù)庫真實(shí)的數(shù)據(jù)庫用戶名、密碼���,進(jìn)行數(shù)據(jù)庫登陸�����,并在創(chuàng)建初期同時(shí)進(jìn)行運(yùn)維身份的定義���,所以登陸數(shù)據(jù)庫的同時(shí)還會(huì)進(jìn)行身份認(rèn)證,若在授權(quán)的范圍內(nèi)才可成功登陸數(shù)據(jù)庫�����。此外����,由于安華金和的“密碼橋”技術(shù)是基于秘鑰計(jì)算方式實(shí)現(xiàn)的,所以DOMS可與客戶現(xiàn)有密碼管理平臺(tái)對接�����,實(shí)現(xiàn)一套賬號(hào)無縫銜接登陸數(shù)據(jù)庫�����,并進(jìn)行認(rèn)證�。
(3)通過“申請審批”規(guī)范運(yùn)維授權(quán)流程
對于運(yùn)維管理,最重要的一步就是預(yù)前處理�,通過規(guī)范化的授權(quán)流程,提前將風(fēng)險(xiǎn)縮小到可控范圍內(nèi)����。DOMS提供的申請�����、審批流程���,在運(yùn)維人員對重要SQL語句、SQL腳本��、核心數(shù)據(jù)執(zhí)行訪問前��,必須先通過“申請?zhí)岢龉?��,并?jīng)過負(fù)責(zé)人審批通過后”�����,才可獲得執(zhí)行權(quán)限����,否則會(huì)被攔截����、阻斷��。這一事前干預(yù)處理���,能夠大大減少運(yùn)維操作中經(jīng)常出現(xiàn)的誤操作(no where全表更新)、高風(fēng)險(xiǎn)操作(delete����、truncate數(shù)據(jù)批量刪除)���、泄露數(shù)據(jù)(expdp數(shù)據(jù)批量導(dǎo)出)等問題�����,并提供與企業(yè)現(xiàn)有ITSM�����、OA等系統(tǒng)的標(biāo)準(zhǔn)對外接口��,從而實(shí)現(xiàn)面向不同平臺(tái)的統(tǒng)一申請及審批操作流程�����。
DOMS申請審批流程示意圖
3��、訪問控制
DOMS首先從網(wǎng)絡(luò)部署層面出發(fā)�,以數(shù)據(jù)庫為中心進(jìn)行 “代理部署”;同時(shí)���,在“數(shù)據(jù)庫本地建立訪問控制”����,通過“兩手抓”的方式建立全面����、無死角的運(yùn)維網(wǎng)絡(luò)鏈接控制。之后����,依據(jù)運(yùn)維身份進(jìn)行數(shù)據(jù)庫級的準(zhǔn)入控制,繼而進(jìn)行實(shí)例����、表級訪問控制,最后細(xì)粒度達(dá)到字段級��、數(shù)據(jù)級訪問控制���。通過層層把關(guān)��、逐步認(rèn)證��,最終構(gòu)建一個(gè)全面的��、細(xì)粒度的訪問控制模型���。
(1)代理部署+本地訪問控制
以數(shù)據(jù)庫為中心��,DOMS進(jìn)行代理部署���,從根本上解決運(yùn)維人員直接接觸數(shù)據(jù)庫的問題���。所有的訪問源通過訪問DOMS的代理IP����、PORT來替代真實(shí)的數(shù)據(jù)庫IP��、PORT��;DOMS則通過“代理劫持+轉(zhuǎn)發(fā)”的技術(shù)實(shí)現(xiàn)訪問控制�。此外�,為防“繞過”�����,DOMS還支持在數(shù)據(jù)庫本地安裝插件以實(shí)現(xiàn)本地訪問控制的功能�,從而達(dá)到“無后門”式全面承接運(yùn)維管控工作的能力,無論是普通權(quán)限還是高權(quán)限都將被納入到DOMS統(tǒng)一的訪問控制管理內(nèi)����。
DOMS“代理部署+本地訪問控制”部署示意圖
(2)數(shù)據(jù)庫準(zhǔn)入
DOMS采用雙因素、WEB認(rèn)證以及上文所述的密碼橋等技術(shù)手段����,實(shí)現(xiàn)了數(shù)據(jù)庫級的身份認(rèn)證;認(rèn)證通過后��,才僅允許合法的����、可信任的人或設(shè)備接入數(shù)據(jù)庫,即實(shí)現(xiàn)數(shù)據(jù)庫準(zhǔn)入�;并實(shí)時(shí)檢測密碼猜測和密碼泄露風(fēng)險(xiǎn),全面防御密碼攻擊����,構(gòu)建數(shù)據(jù)庫“第一道”防御體系����。
WEB認(rèn)證實(shí)現(xiàn)數(shù)據(jù)庫登陸準(zhǔn)入
(3)構(gòu)建細(xì)粒度訪問控制模型
DOMS以協(xié)議解析技術(shù)為基礎(chǔ)��,從全流量中抽取出SQL語句��、表對象����、字段、操作類型(DDL���、DCL����、DML等)�����、訪問源��、訪問目標(biāo)等信息����,依據(jù)這些細(xì)粒度元素創(chuàng)建多種類型訪問控制規(guī)則,DOMS的訪問控制規(guī)則類型如下:
DOMS訪問控制規(guī)則類型
在不同的運(yùn)維場景下�����,通過身份認(rèn)證識(shí)別出針對不同運(yùn)維身份所授予的數(shù)據(jù)訪問權(quán)限后�,DOMS會(huì)按照事先配置的訪問規(guī)則準(zhǔn)確執(zhí)行阻斷、攔截��、放行等控制動(dòng)作����,達(dá)到依據(jù)運(yùn)維身份授權(quán)構(gòu)建細(xì)粒度訪問控制模型的目的。
DOMS依據(jù)運(yùn)維身份構(gòu)建數(shù)據(jù)資產(chǎn)細(xì)粒度訪問控制矩陣模型
4����、審計(jì)
(1)“實(shí)名化”審計(jì)用于事后追溯
對于數(shù)據(jù)庫的運(yùn)維操作行為,企業(yè)必須進(jìn)行全面的日制記錄用于事后追溯��。DOMS基于數(shù)據(jù)庫協(xié)議��,結(jié)合身份認(rèn)證手段�,將每一個(gè)數(shù)據(jù)運(yùn)維操作都標(biāo)識(shí)到具體的運(yùn)維人員,即“是誰在什么時(shí)間�、以哪個(gè)客戶端IP、通過哪個(gè)數(shù)據(jù)庫用戶�����、訪問了哪個(gè)數(shù)據(jù)庫、執(zhí)行了什么sql語句”等等��,這樣經(jīng)過“實(shí)名化”的每一條sql語句和每次一數(shù)據(jù)庫訪問操作行為�,都是風(fēng)險(xiǎn)事后追溯一組無法推翻的、完整的證據(jù)鏈�����。
DOMS“實(shí)名化”操作日志記錄
(2)審計(jì)日志統(tǒng)計(jì)分析內(nèi)部數(shù)據(jù)運(yùn)維風(fēng)險(xiǎn)
DOMS基于審計(jì)日志�����,以運(yùn)維人員����、觸發(fā)風(fēng)險(xiǎn)top、會(huì)話�、SQL等維度進(jìn)行統(tǒng)計(jì)分析,形成展示界面及報(bào)表�,為日后企業(yè)內(nèi)部數(shù)據(jù)的整體運(yùn)維管理工作提供有效依據(jù)��。
5���、數(shù)據(jù)資產(chǎn)保護(hù)
(1)敏感數(shù)據(jù)與普通數(shù)據(jù)的運(yùn)維分而治之
數(shù)據(jù)資產(chǎn)保護(hù)���,首要就是將普通數(shù)據(jù)與敏感數(shù)據(jù)的安全訪問管控能力進(jìn)行有效隔離��,針對不同數(shù)據(jù)進(jìn)行不同的處理�。除上述細(xì)粒度訪問控制模型外���,還需要針對核心敏感數(shù)據(jù)資產(chǎn)實(shí)現(xiàn)訪問過程中的實(shí)時(shí)動(dòng)態(tài)脫敏�����,以確保不同用戶具備不同的敏感數(shù)據(jù)訪問權(quán)限���,從而達(dá)到敏感數(shù)據(jù)與普通數(shù)據(jù)在運(yùn)維過程中的“分而治之”。
(2)敏感數(shù)據(jù)資產(chǎn)梳理
DOMS敏感數(shù)據(jù)資產(chǎn)梳理能力�,是從企業(yè)內(nèi)部龐大的數(shù)據(jù)資產(chǎn)中有效梳理出敏感數(shù)據(jù)的所在位置,達(dá)到“庫—>表—>字段級”的細(xì)粒度��,以整體展現(xiàn)敏感數(shù)據(jù)的分布情況���,從而為構(gòu)建敏感數(shù)據(jù)訪問控制��、動(dòng)態(tài)脫敏等防控能力打下基礎(chǔ)�。
(3)敏感數(shù)據(jù)動(dòng)態(tài)脫敏
DOMS為防止企業(yè)核心敏感數(shù)據(jù)資產(chǎn)的泄露,可提供敏感數(shù)據(jù)在訪問過程中的實(shí)時(shí)動(dòng)態(tài)脫敏能力��,脫敏的同時(shí)也支持敏感數(shù)據(jù)細(xì)粒度訪問控制�,還可通過申請審批流程獲取訪問授權(quán)。除此之外��,結(jié)合身份認(rèn)證手段�����,達(dá)到針對不同的訪問運(yùn)維身份實(shí)現(xiàn)不同的脫敏效果���,保障敏感數(shù)據(jù)資產(chǎn)安全�。
DOMS依據(jù)不同運(yùn)維身份脫敏不同效果示意圖
面對企業(yè)內(nèi)部數(shù)據(jù)安全存在的風(fēng)險(xiǎn)�����,安華金和DOMS以訪問控制為手段�����,以運(yùn)維身份為抓手���,以流程為規(guī)范��,制定適當(dāng)?shù)脑L問決策����,并允許風(fēng)險(xiǎn)/合規(guī)管理人員權(quán)限分離�����,快速識(shí)別違規(guī)行為�,幫助確定風(fēng)險(xiǎn)區(qū)域和訪問優(yōu)化,提供針對風(fēng)險(xiǎn)用戶及其行為清晰直觀的視覺洞察與審計(jì)能力�。
此外,安華金和可提供DOMS與堡壘機(jī)聯(lián)動(dòng)的整體解決方案��,通過將訪問來源定位到堡壘機(jī)訪問的真實(shí)自然人��,達(dá)到針對真實(shí)自然人的訪問控制和審計(jì)���,實(shí)現(xiàn)從網(wǎng)絡(luò)層到數(shù)據(jù)層�����,全面��、有效落實(shí)企業(yè)內(nèi)部數(shù)據(jù)運(yùn)維安全�。
拓展閱讀:「安華金和」如何有效落實(shí)企業(yè)內(nèi)部數(shù)據(jù)運(yùn)維安全(一)
產(chǎn)品咨詢:4000 258 365 
