據(jù)國外專業(yè)機構調研結果顯示�����,“內部風險”已成為當前企業(yè)數(shù)據(jù)泄露的首要原因��。在此背景下���,國內某安防領軍企業(yè)在持續(xù)推動自身信息化建設及規(guī)模擴張的過程中,數(shù)據(jù)已成為其核心資產之一���;如何保障存有各類關鍵業(yè)務信息的數(shù)據(jù)庫及數(shù)據(jù)資產的安全�,是該客戶落實數(shù)據(jù)安全防護工作的重中之重�����。
一方面���,該客戶數(shù)據(jù)庫中存有大量企業(yè)核心業(yè)務數(shù)據(jù)及個人隱私信息��;另一方面����,開發(fā)�、測試、運維等內部人員需要訪問或操作數(shù)據(jù)庫中的數(shù)據(jù)���,從而為該安防企業(yè)的數(shù)據(jù)安全帶來了巨大的隱患和風險,亟需開展行之有效的數(shù)據(jù)庫安全運維與管理工作���。
痛點分析
1、數(shù)據(jù)訪問路徑眾多�,無統(tǒng)一運維入口
數(shù)據(jù)分散存儲在公司自建機房的物理服務器、虛擬化及公有云環(huán)境中���,且生產庫與測試庫的服務器網(wǎng)絡隔離��,導致不同環(huán)境下的數(shù)據(jù)運維訪問路徑不一致����,無法形成有效的集中管理���。
2��、通過現(xiàn)有網(wǎng)絡堡壘機實現(xiàn)數(shù)據(jù)運維����,存在管理缺陷
為規(guī)范數(shù)據(jù)運維工作流程��,該客戶對部分運維人員采用“通過登錄堡壘機調用前置機數(shù)據(jù)庫客戶端工具”的方式,實現(xiàn)對數(shù)據(jù)庫的登錄�、運維等操作。
圖1:堡壘機數(shù)據(jù)運維管理缺陷
但是��,這種通過現(xiàn)有網(wǎng)絡堡壘機實現(xiàn)數(shù)據(jù)運維的方式���,卻存在如下管理缺陷:
· 通過堡壘機訪問數(shù)據(jù)庫�����,必須調用堡壘機前置機上的客戶端工具,堡壘機本身無法識別訪問數(shù)據(jù)庫用戶的身份�����;
· 對數(shù)據(jù)庫風險操作及誤操作等行為無法進行實時告警�����、阻斷��;
· 海量的錄屏和鍵盤追蹤日志分析困難�����,對各類運維協(xié)議只做簡單過濾,審計日志僅基于關鍵字過濾����,而對數(shù)據(jù)庫協(xié)議、語法不具備進一步分析的能力���;
· 存在通過堡壘機前置機直連登錄數(shù)據(jù)庫服務器���,從而實現(xiàn)本地數(shù)據(jù)運維等風險操作的可能。
3�、數(shù)據(jù)庫賬號共用情況泛濫,安全事件無法精準溯源
圖2:共用數(shù)據(jù)庫賬號問題
運維人員需要同時掌握AD域����、堡壘機和每個數(shù)據(jù)庫對應的賬號信息,造成數(shù)據(jù)運維流程復雜且賬號管理無序��;此外����,普遍存在多個運維人員使用同一賬號和共用設備訪問數(shù)據(jù)的情況,導致無法準確定位數(shù)據(jù)庫運維人員的自然人身份信息�����,繼而在發(fā)生安全事件后無法進行精準溯源。
4�、缺乏針對數(shù)據(jù)運維風險操作的有效管控機制
1. 針對高權限用戶訪問、操作數(shù)據(jù)及數(shù)據(jù)庫對象等行為無法管控��;
2. 缺乏在運維過程中針對數(shù)據(jù)風險操作行為的識別與管控����,包含且不限于:整表查詢操作、批量數(shù)據(jù)導出��、批量數(shù)據(jù)篡改��、不帶where條件的更新刪除操作�、數(shù)據(jù)庫賬號提權等;
3. 缺乏針對誤操作行為的管控能力���,過度依賴于自然人的精準操作,一旦出現(xiàn)失誤將直接導致數(shù)據(jù)安全時間的發(fā)生���。
5����、數(shù)據(jù)運維操作過程中���,審計手段的缺失
不具備詳細的數(shù)據(jù)庫運維訪問與操作行為記錄�,例如:訪問數(shù)據(jù)的用戶(IP、賬號�、時間)、操作(增��、刪����、改、查)�、對象(表、字段)等信息���。在發(fā)生數(shù)據(jù)庫安全事件(數(shù)據(jù)篡改����、泄露等)后無法為事件追責�、定責提供準確有效的依據(jù),也無法還原數(shù)據(jù)的執(zhí)行情況�。
解決方案
1、規(guī)范訪問路徑�、建立數(shù)據(jù)運維的唯一通道
自建機房環(huán)境:通過在路由交換、網(wǎng)絡防火墻等設備上添加ACL訪問控制規(guī)則�����,切斷其它數(shù)據(jù)的訪問途徑,以數(shù)據(jù)安全運維系統(tǒng)作為唯一的數(shù)據(jù)運維入口�����,從而起到數(shù)據(jù)庫堡壘機般的作用��;
云環(huán)境:通過數(shù)據(jù)庫自身安全機制添加運維白名單��,僅允許數(shù)據(jù)安全運維系統(tǒng)代理IP訪問對應目標數(shù)據(jù)庫��。
2���、對運維賬號�、數(shù)據(jù)庫賬號����、訪問權限進行集中管理
增強數(shù)據(jù)庫細粒度訪問控制能力�,限制未授權用戶、未授權時間段訪問未授權的數(shù)據(jù)庫����,僅允許授權用戶在得到審批賦予的訪問權限后登錄數(shù)據(jù)庫執(zhí)行相關運維操作�。同時���,精簡數(shù)據(jù)運維流程�,通過安全運維系統(tǒng)實現(xiàn)對數(shù)據(jù)庫賬號的集中管理����,并采用密碼橋技術對運維人員隱藏數(shù)據(jù)庫真實賬號信息,實現(xiàn)通過運維賬號即可完成數(shù)據(jù)庫登錄的目的�����。
圖3:原有數(shù)據(jù)運維流程
圖4:集成運維平臺流程示意圖
通過高度集成����、統(tǒng)一的數(shù)據(jù)庫安全運維管理平臺,采用運維賬號申請���、運維權限申請����、運維時間控制�����、多級審批等模塊,實現(xiàn)數(shù)據(jù)運維的統(tǒng)一路徑管理���,而無需在企業(yè)工單系統(tǒng)����、郵件��、安全設備之間來回切換操作�,大大減少多部門協(xié)作及溝通成本:
· 建立運維賬號及訪問權限的申請、審批機制
打破該客戶原有賬號及訪問權限“分散管理�、多平臺切換”的機制,通過統(tǒng)一平臺完成申請��、審批等流程��;審批完成后��,安全運維系統(tǒng)將根據(jù)申請條件自動綁定運維賬號并關聯(lián)訪問控制策略���,不再需要網(wǎng)絡安全員人工干預�����。
· 建立自然人身份識別管控與審計機制
運維賬號與數(shù)據(jù)庫賬號關聯(lián)綁定��,并于審計��、管控條件中增加運維員工自然人身份信息���,支持以自然人信息為條件的告警、攔截與審計��。
· 建立數(shù)據(jù)運維全過程的同一賬號登錄機制
使用數(shù)據(jù)庫密碼橋技術���,通過更改登陸包的方式將運維賬號密碼映射成數(shù)據(jù)庫的正確密碼�;在對運維人員隱藏數(shù)據(jù)庫真實賬號的前提下�,讓其能夠通過運維賬號連接上數(shù)據(jù)庫,以解決共用數(shù)據(jù)庫賬號帶來的“審計無法溯源��、數(shù)據(jù)庫賬號弱口令”等問題�。同時,數(shù)據(jù)庫變更密碼后��,只需要修改安全運維系統(tǒng)密碼橋的映射表�,而無需逐一通知運維人員。
3�、增強的數(shù)據(jù)庫權控體系
精確到Schema級別的數(shù)據(jù)庫權限管控,有效制約來自內部人員的惡意訪問及攻擊等行為�����;規(guī)范化的運維流程控制,精準的DDL���、DML等操作行為告警����、審計��、攔截能力�,有效避免針對數(shù)據(jù)的風險操作或誤操作等行為。
客戶價值
· 實現(xiàn)企業(yè)現(xiàn)網(wǎng)環(huán)境內“線上�����、線下數(shù)據(jù)的統(tǒng)一集中管控”��,達成企業(yè)對自身數(shù)據(jù)合規(guī)性安全建設的目標�。
· 通過一體化數(shù)據(jù)運維管控平臺,集成運維賬號申請���、數(shù)據(jù)訪問權限申請��、在線審批����、數(shù)據(jù)流量代理訪問等功能��,實現(xiàn)運維賬號與數(shù)據(jù)庫賬號自動關聯(lián)�、數(shù)據(jù)訪問策略審批完成后自動下發(fā)等智能化運維操作,為數(shù)據(jù)管理����、數(shù)據(jù)運維和網(wǎng)絡安全管理人員節(jié)省大量中間操作環(huán)節(jié)及在不同平臺間切換上的時間開支,極大降低了數(shù)據(jù)運維工作的時間成本��。
· 實現(xiàn)細粒度數(shù)據(jù)運維管理���,基于精確協(xié)議解析技術對數(shù)據(jù)庫的運維行為提供更加精細粒度的管控�����,控制對象可精確到字段級別�����,對數(shù)據(jù)增刪改查��、數(shù)據(jù)竊取����、批量刪除等高危行為或誤操作實現(xiàn)可管、可控��。
· 提供完備的數(shù)據(jù)運維審計記錄與分析能力�����,便于安全事件發(fā)生后的溯源與追責��、定責��。同時����,能夠實現(xiàn)對數(shù)據(jù)庫賬號的集中管理,解決了多人共用數(shù)據(jù)庫賬號無法溯源��、定責的問題���。
產品咨詢:4000 258 365 
