據國外專業機構調研結果顯示,“內部風險”已成為當前企業數據泄露的首要原因���。在此背景下���,國內某安防領軍企業在持續推動自身信息化建設及規模擴張的過程中��,數據已成為其核心資產之一���;如何保障存有各類關鍵業務信息的數據庫及數據資產的安全���,是該客戶落實數據安全防護工作的重中之重�。
一方面,該客戶數據庫中存有大量企業核心業務數據及個人隱私信息;另一方面,開發���、測試、運維等內部人員需要訪問或操作數據庫中的數據,從而為該安防企業的數據安全帶來了巨大的隱患和風險����,亟需開展行之有效的數據庫安全運維與管理工作�����。
痛點分析
1、數據訪問路徑眾多���,無統一運維入口
數據分散存儲在公司自建機房的物理服務器、虛擬化及公有云環境中���,且生產庫與測試庫的服務器網絡隔離,導致不同環境下的數據運維訪問路徑不一致��,無法形成有效的集中管理����。
2、通過現有網絡堡壘機實現數據運維,存在管理缺陷
為規范數據運維工作流程�,該客戶對部分運維人員采用“通過登錄堡壘機調用前置機數據庫客戶端工具”的方式���,實現對數據庫的登錄���、運維等操作�����。
圖1:堡壘機數據運維管理缺陷
但是����,這種通過現有網絡堡壘機實現數據運維的方式,卻存在如下管理缺陷:
· 通過堡壘機訪問數據庫��,必須調用堡壘機前置機上的客戶端工具����,堡壘機本身無法識別訪問數據庫用戶的身份;
· 對數據庫風險操作及誤操作等行為無法進行實時告警��、阻斷��;
· 海量的錄屏和鍵盤追蹤日志分析困難���,對各類運維協議只做簡單過濾�,審計日志僅基于關鍵字過濾�,而對數據庫協議、語法不具備進一步分析的能力��;
· 存在通過堡壘機前置機直連登錄數據庫服務器����,從而實現本地數據運維等風險操作的可能。
3�����、數據庫賬號共用情況泛濫����,安全事件無法精準溯源
圖2:共用數據庫賬號問題
運維人員需要同時掌握AD域、堡壘機和每個數據庫對應的賬號信息�����,造成數據運維流程復雜且賬號管理無序��;此外�,普遍存在多個運維人員使用同一賬號和共用設備訪問數據的情況���,導致無法準確定位數據庫運維人員的自然人身份信息�,繼而在發生安全事件后無法進行精準溯源。
4��、缺乏針對數據運維風險操作的有效管控機制
1. 針對高權限用戶訪問��、操作數據及數據庫對象等行為無法管控����;
2. 缺乏在運維過程中針對數據風險操作行為的識別與管控�,包含且不限于:整表查詢操作、批量數據導出��、批量數據篡改�、不帶where條件的更新刪除操作、數據庫賬號提權等��;
3. 缺乏針對誤操作行為的管控能力���,過度依賴于自然人的精準操作��,一旦出現失誤將直接導致數據安全時間的發生��。
5、數據運維操作過程中�,審計手段的缺失
不具備詳細的數據庫運維訪問與操作行為記錄���,例如:訪問數據的用戶(IP���、賬號��、時間)�����、操作(增�、刪�、改、查)、對象(表�����、字段)等信息����。在發生數據庫安全事件(數據篡改、泄露等)后無法為事件追責��、定責提供準確有效的依據����,也無法還原數據的執行情況。
解決方案
1、規范訪問路徑、建立數據運維的唯一通道
自建機房環境:通過在路由交換�����、網絡防火墻等設備上添加ACL訪問控制規則�,切斷其它數據的訪問途徑,以數據安全運維系統作為唯一的數據運維入口,從而起到數據庫堡壘機般的作用�;
云環境:通過數據庫自身安全機制添加運維白名單����,僅允許數據安全運維系統代理IP訪問對應目標數據庫����。
2、對運維賬號、數據庫賬號、訪問權限進行集中管理
增強數據庫細粒度訪問控制能力,限制未授權用戶、未授權時間段訪問未授權的數據庫,僅允許授權用戶在得到審批賦予的訪問權限后登錄數據庫執行相關運維操作。同時��,精簡數據運維流程���,通過安全運維系統實現對數據庫賬號的集中管理����,并采用密碼橋技術對運維人員隱藏數據庫真實賬號信息,實現通過運維賬號即可完成數據庫登錄的目的�。
圖3:原有數據運維流程
圖4:集成運維平臺流程示意圖
通過高度集成�����、統一的數據庫安全運維管理平臺,采用運維賬號申請���、運維權限申請、運維時間控制、多級審批等模塊���,實現數據運維的統一路徑管理,而無需在企業工單系統、郵件��、安全設備之間來回切換操作�,大大減少多部門協作及溝通成本:
· 建立運維賬號及訪問權限的申請、審批機制
打破該客戶原有賬號及訪問權限“分散管理、多平臺切換”的機制����,通過統一平臺完成申請��、審批等流程;審批完成后,安全運維系統將根據申請條件自動綁定運維賬號并關聯訪問控制策略��,不再需要網絡安全員人工干預�����。
· 建立自然人身份識別管控與審計機制
運維賬號與數據庫賬號關聯綁定���,并于審計、管控條件中增加運維員工自然人身份信息���,支持以自然人信息為條件的告警、攔截與審計�。
· 建立數據運維全過程的同一賬號登錄機制
使用數據庫密碼橋技術���,通過更改登陸包的方式將運維賬號密碼映射成數據庫的正確密碼��;在對運維人員隱藏數據庫真實賬號的前提下,讓其能夠通過運維賬號連接上數據庫����,以解決共用數據庫賬號帶來的“審計無法溯源��、數據庫賬號弱口令”等問題。同時���,數據庫變更密碼后,只需要修改安全運維系統密碼橋的映射表���,而無需逐一通知運維人員。
3��、增強的數據庫權控體系
精確到Schema級別的數據庫權限管控����,有效制約來自內部人員的惡意訪問及攻擊等行為;規范化的運維流程控制�����,精準的DDL��、DML等操作行為告警�、審計�����、攔截能力,有效避免針對數據的風險操作或誤操作等行為。
客戶價值
· 實現企業現網環境內“線上�、線下數據的統一集中管控”�,達成企業對自身數據合規性安全建設的目標���。
· 通過一體化數據運維管控平臺���,集成運維賬號申請�����、數據訪問權限申請���、在線審批�、數據流量代理訪問等功能,實現運維賬號與數據庫賬號自動關聯�����、數據訪問策略審批完成后自動下發等智能化運維操作��,為數據管理����、數據運維和網絡安全管理人員節省大量中間操作環節及在不同平臺間切換上的時間開支���,極大降低了數據運維工作的時間成本�。
· 實現細粒度數據運維管理,基于精確協議解析技術對數據庫的運維行為提供更加精細粒度的管控��,控制對象可精確到字段級別���,對數據增刪改查�、數據竊取、批量刪除等高危行為或誤操作實現可管���、可控��。
· 提供完備的數據運維審計記錄與分析能力���,便于安全事件發生后的溯源與追責���、定責�。同時����,能夠實現對數據庫賬號的集中管理,解決了多人共用數據庫賬號無法溯源、定責的問題。
產品咨詢:4000 258 365 
