作為國家基礎性產業(yè)�����,能源行業(yè)的信息化建設自上世紀60年代啟動�。信息化程度日趨成熟,很大程度上提高了行業(yè)內企業(yè)管理效率及核心競爭力����,但與此同時�,隨著能源行業(yè)多項業(yè)務系統(tǒng)的上線�,核心業(yè)務數據的存儲與管理面臨更大的挑戰(zhàn),業(yè)務數據��、用戶數據以及各類財務��、人力等內部運營敏感信息�����,一旦遭到泄露或篡改�����,將影響業(yè)務系統(tǒng)的正常運轉�����,關系民生�。近年來�����,能源行業(yè)對于核心數據庫的安全防護,已經在行業(yè)內獲得關注����。
安華金和近些年為能源行業(yè)多家用戶進行過數據庫安全評估,整體情況并不樂觀��,我們看到有用戶檢測結果顯示��,未通過項中高危漏洞占比達到近三成�����。在幾輪的安全評估之后�,我們從中歸納總結出幾類安全問題,由于該行業(yè)的信息系統(tǒng)大多為統(tǒng)一標準�����,幾類問題可以說是整個行業(yè)的數據庫安全通病�。
以某能源行業(yè)北方某分公司數據庫安全加固項目為例,用戶在進行數據庫加固項目規(guī)劃前�����,首先對核心數據庫系統(tǒng)進行了一次全面的安全檢查�����,希望根據檢測報告制定有針對性的加固方案。
本次安全檢查利用安華金和數據庫漏洞掃描系統(tǒng)����,檢測共涉及1000余檢測項,結果顯示未通過項為50余項��,其中高危風險占比21%�,中�、低危風險占58%,其余為存在潛在風險的警告提示����。風險等級主要根據各類安全漏洞、隱患可能導致的危害程度來評定�����。
綜合檢測結果���,以及與用戶交流數據庫系統(tǒng)的運維情況�����,安華金和對能源行業(yè)整體數據庫安全問題及隱患進行了歸納與總結�����,希望可以為該行業(yè)用戶數據庫安全治理提供一些參考:
用戶對自身數據資產具體情況不完全清晰
數據庫安全狀況的檢測和后期加固��,需要用戶提供自身數據庫系統(tǒng)的詳細架構��、數據表分布和使用情況等����,例如信息系統(tǒng)中數據資產的規(guī)模和分布是怎樣?數據資產之間的關聯(lián)關系是怎樣��?哪些數據需要進行安全防護��?哪些數據應該清理����?我們發(fā)現(xiàn),數據這些問題有些用戶并不能梳理清楚���。這將直接影響后續(xù)數據庫安全加固建設方向的準確制定����,在后期方案落地過程中也將面臨諸多問題。
數據庫系統(tǒng)自身存在的安全漏洞無法實時更新補丁
檢測未通過項中數據庫自身的安全漏洞占比不小���,這個結果在我們的預料之中����,該能源行業(yè)主要使用的數據庫系統(tǒng)為Oracle�、MySQL、Postgre�����、SQL Server等主流數據庫類型�����。我們知道�,越是成熟�、廣泛應用的數據庫,被發(fā)現(xiàn)的自身漏洞反而越多�,雖然數據庫廠商能夠及時發(fā)布補丁,但出于時間���、人力成本及對關鍵業(yè)務系統(tǒng)運轉連續(xù)性的考慮�����,戶很難做到頻繁的更新補丁�、重啟系統(tǒng)。利用諸如SQL注入�����、緩沖區(qū)溢出��、權限提升等安全漏洞�����,發(fā)起威脅攻擊正是黑客們最常用的攻擊手段��。
數據庫系統(tǒng)存在的弱口令賬戶����、缺省賬戶以及低安全配置,構成潛在安全隱患
數據庫用戶密碼過于簡單易猜����,檢測工具識別為弱口令賬戶,此外��,掃描結果顯示,用戶數據庫系統(tǒng)中仍然存在一些未修改過初始密碼的賬戶���,即為缺省賬戶�����。拿Oracle來說����,各版本數據庫系統(tǒng)共計700多個賬戶�,出廠自帶的原始用戶名和密碼大多類似,稍有數據庫操作經驗的人很容易破解��。弱口令和缺省賬戶的存在�����,成為外部人員暴力破解���,入侵數據庫的捷徑,不容小覷����,以下是在檢查中發(fā)現(xiàn)的部分缺省用戶:
上文我們提到���,該能源行業(yè)信息化程度較高,各類業(yè)務系統(tǒng)的開發(fā)��、測試����、運維等需要耗費大量的人力成本,第三方外包顯然是最為合適的方式��,對于第三方運維工作����,外包人員往往被授予數據庫最高權限;而對于開發(fā)����、測試等外包項目則需要將部分或全庫數據外發(fā),誰來保障他們的可信度����?另一方面,檢測中安華金和數據庫漏洞掃描系統(tǒng)對低安全性的系統(tǒng)配置項進行了警告��,如各類權限分配不當、參數設置不當��、登陸次數不受限等等���。配置缺陷屬于潛在隱患���,可能形成安全風險或系統(tǒng)性能的損耗。下面列舉個別配置缺陷警告:
對于擁有高權限的內部運維人員����、第三方人員,無有效的細粒度管控措施
反觀內部�,本就掌握數據庫最高權限的運維人員同樣存在安全風險,我們了解到��,一名運維人員常常肩負多個大型業(yè)務系統(tǒng)及數據庫服務器的運維管理職責��,工作強度高峰期時�����,誤操作在所難免����。這種情況下,沒有采取有效的細粒度管控措施��,則無法確保高權限用戶的增刪改查操作是否符合原業(yè)務需求��,近年來的多起數據泄露事件顯示�����,越來越多的泄露或丟失原因開始指向內部人員或第三方外包人員����。
基于上述在能源行業(yè)用戶中顯現(xiàn)的真實問題,安華金和給予有效的安全加固建議
1����、針對數據資產進行全面梳理
在進行數據庫安全防護之前,安華金和首先建議用戶對企業(yè)內數據資產進行梳理�,理清企業(yè)數據資產數量、其中的關聯(lián)關系�����,形成統(tǒng)一規(guī)范的登記備案流程��,這個步驟對于IT建設較早的大型企事業(yè)單位來說�,是決定一系列數據庫安全防護動作的先決條件�����。
2���、實現(xiàn)高細粒度的事中安全管控
安華金和建議,引入專業(yè)的數據庫防火墻���,基于對SQL語句的精確解析�,可以對數據庫進行高細粒度的主動安全管控���,需要特別提到的是�,數據庫防火墻(DBFirewall)因其特有的虛擬補丁功能�����,能夠提供漏洞特征檢測能力���,不改造數據程序的前提下�,及時更新數據庫補丁����,避免數據庫安全風險�。
3���、針對數據庫操作進行實行審批管控
針對數據庫操作不當的行為,更多體現(xiàn)在數據庫運維人員身上�,為了實現(xiàn)對運維側的數據庫操作行為監(jiān)管審批,安華金和數據庫安全運維系統(tǒng)應運而生�����,該產品中引入規(guī)范的操作審批流程與機制����,對內部或第三方運維人員的操作申請細化至語句級別的審批,同時提示操作申請的風險度��,并確保實際操作���、執(zhí)行人與原申請保持一致����。
4���、使用專業(yè)的脫敏工具保證數據脫敏效果
當敏感數據需要外發(fā)時����,為保證真實數據不被泄露,脫敏處理是必要手段����。既要確保真實數據被擾亂,同時又不影響開發(fā)�����、測試�����、分析等工作的順暢進行����,引入專業(yè)的數據脫敏工具能夠輸出這樣的高質量脫敏結果。同時�����,面對該能源行業(yè)各類應用系統(tǒng)對數據庫的訪問��,動態(tài)脫敏技術�����,能夠滿足應用客戶端對數據庫的實時訪問,動態(tài)脫敏�,確保只釋放權限內的敏感數據滿足業(yè)務需要。
5��、針對數據庫操作進行實時風險感知����,全面審計告警
數據庫監(jiān)控與審計系統(tǒng)�,通過旁路部署在不影響業(yè)務運轉的前提下,幫助數據庫運維人員實現(xiàn)全面的數據庫訪問行為進行分析���,捕獲數據庫登陸的異常行為�,比如頻繁出現(xiàn)的數據庫登陸用戶口令異常等���。通過審計記錄��,可以對來自運維側或應用側執(zhí)行的失敗sql語句進行分析匯總����,發(fā)現(xiàn)可能出現(xiàn)的邏輯錯誤或對數據庫構成威脅的異常訪問行為���,比如權限不足的用戶嘗試對數據庫敏感信息進行越權訪問或變更�。
安華金和面向能源行業(yè),針對多家用戶單位進行數據庫安全檢測后總結提煉�,希望可以讓用戶意識到數據庫安全防護的重要性,并有效幫助用戶解決核心數據安全問題���,所推出的行業(yè)化解決方案能夠切實解決用戶痛點��,發(fā)揮產品及方案的最大價值�。產品在用戶端拒絕做“僵尸機”��,真正實現(xiàn)企業(yè)與用戶之間的價值共贏�����。
產品咨詢:4000 258 365 
