一. 現(xiàn)狀
近年在國內(nèi),教育行業(yè)已經(jīng)發(fā)生多起數(shù)據(jù)庫泄露事件���,案件相關(guān)人員隱私權(quán)益遭到嚴(yán)重?fù)p害����,教育相關(guān)單位的聲譽(yù)受到嚴(yán)重挑戰(zhàn)��。
據(jù)安全值針對教育行業(yè)中4477家數(shù)據(jù)庫情況的統(tǒng)計(jì)����,發(fā)現(xiàn)有515家的數(shù)據(jù)庫直接暴露在互聯(lián)網(wǎng)中���。教育行業(yè)使用的數(shù)據(jù)庫種類繁雜��,版本多樣��。但大部分都是存在明顯漏洞的舊版數(shù)據(jù)庫�。甚至其中有部分MongoDB數(shù)據(jù)庫并未設(shè)置賬號密碼驗(yàn)證。黑客可以無需經(jīng)過身份驗(yàn)證�����,入侵?jǐn)?shù)據(jù)�、盜取數(shù)據(jù)甚至控制數(shù)據(jù)庫。
二. 數(shù)據(jù)庫安全威脅
為了防范這些重大數(shù)據(jù)安全事故的發(fā)生�����,目前很多教育單位已經(jīng)從技術(shù)和管理上采取了對應(yīng)的措施�,當(dāng)前的解決辦法主要是在技術(shù)上對數(shù)據(jù)庫訪問路徑和數(shù)據(jù)庫本身進(jìn)行安全加固,但是在數(shù)據(jù)庫安全防護(hù)方面依然存在一些不足��。
2.1 數(shù)據(jù)庫安全現(xiàn)狀不清
教育單位的數(shù)據(jù)庫應(yīng)用類型比較復(fù)雜��,對于數(shù)據(jù)庫中存在的數(shù)據(jù)庫安全問題��,如:默認(rèn)管理員賬號、弱口令�����、默認(rèn)安全策略��、缺省配置�,寬泛權(quán)限等,更多是依靠數(shù)據(jù)庫管理人員自身經(jīng)驗(yàn)�����,或者主機(jī)漏洞掃描工具進(jìn)行數(shù)據(jù)庫的安全檢查和評估�����。這幾種方式有著自身的不足之處:
1��、人工檢查需要數(shù)據(jù)庫管理人員具備豐富的數(shù)據(jù)庫安全經(jīng)驗(yàn)并且需要消耗大量時(shí)間��。
2�、人工檢查缺少對數(shù)據(jù)庫整體安全情況評估,不能確定哪些數(shù)據(jù)庫是否安全����,那些數(shù)據(jù)庫面臨那些嚴(yán)重危害問題��。同時(shí)���,也容易忽略重要安全隱患和不正確的安全配置,從而導(dǎo)致弱口令����、補(bǔ)丁未更新等脆弱點(diǎn)被威脅利用���。
3�、傳統(tǒng)的漏洞掃描器與專業(yè)的數(shù)據(jù)庫漏洞掃描工具相比���,數(shù)據(jù)庫類型�、檢測項(xiàng)���、檢測的細(xì)粒度都存在不足���。
2.2 防護(hù)手段薄弱
當(dāng)前,教育行業(yè)相關(guān)單位主要的防護(hù)手段����,依然是依靠傳統(tǒng)的網(wǎng)絡(luò)防火墻����、入侵防御等相關(guān)設(shè)備進(jìn)行安全防護(hù)���,并在網(wǎng)絡(luò)各區(qū)域?qū)嵤┰L問控制策略����。但是�����,這些網(wǎng)絡(luò)防火墻和入侵防御設(shè)備在對數(shù)據(jù)庫進(jìn)行防護(hù)時(shí)存在不足�。
2.3 數(shù)據(jù)庫漏洞防御能力低
盡管,教育行業(yè)相關(guān)單位內(nèi)已經(jīng)有很多主機(jī)���、軟件等防范措施����,而真正處于核心層的敏感數(shù)據(jù)載體——數(shù)據(jù)庫的漏洞防御能力較低�����,抗攻擊能力嚴(yán)重不足,黑客利用Web應(yīng)用漏洞��,進(jìn)行SQL注入�,或以Web應(yīng)用服務(wù)器為跳板,利用數(shù)據(jù)庫自身漏洞進(jìn)行攻擊和侵入�����。
2.4 互聯(lián)網(wǎng)滲透威脅
黑客通過互聯(lián)網(wǎng)針對教育行業(yè)的公共服務(wù)系統(tǒng)數(shù)據(jù)庫進(jìn)行攻擊�,從而非法入侵教育行業(yè)數(shù)據(jù)庫系統(tǒng),惡意拷貝����、刪除系統(tǒng)數(shù)據(jù)��,進(jìn)行有目的的敏感信息破壞行為��。
2.5 數(shù)據(jù)庫訪問行為管控不嚴(yán)
對教育行業(yè)內(nèi)部網(wǎng)絡(luò)來講��,數(shù)據(jù)庫運(yùn)維管理員等合法人員的行為值得關(guān)注��。因?yàn)?��,合法人員的依然存在針對核心數(shù)據(jù)庫進(jìn)行違規(guī)操作的安全隱患�,例如:非授權(quán)訪問敏感數(shù)據(jù)����、非工作時(shí)間訪問核心業(yè)務(wù)表��、非工作場所訪問數(shù)據(jù)庫�、運(yùn)維誤操作�、(delete、update)高危指令的操作等等行為��,都可能存在著重大安全隱患���。
2.6 數(shù)據(jù)明文存儲(chǔ)
隨著教育行業(yè)信息化程度的提高����,大量機(jī)密敏感數(shù)據(jù)集中存儲(chǔ)在數(shù)據(jù)庫系統(tǒng)中��,比如學(xué)籍信息�����、教師信息����、成績信息等,由于這些信息都是明文存儲(chǔ)在數(shù)據(jù)庫中,這將顯著加劇敏感數(shù)據(jù)批量泄露風(fēng)險(xiǎn)���。
數(shù)據(jù)明文存儲(chǔ)的威脅主要體現(xiàn)在數(shù)據(jù)篡改����、數(shù)據(jù)竊取兩方面���。
三. 數(shù)據(jù)庫安全應(yīng)用方案
根據(jù)教育行業(yè)數(shù)據(jù)庫的安全現(xiàn)狀��,教育單位應(yīng)針對數(shù)據(jù)庫的安全建立防護(hù)機(jī)制��,根據(jù)數(shù)據(jù)庫使用的“事前���、事中��、事后”三個(gè)層面�����,建立“檢查預(yù)警�、主動(dòng)防御、底線防守���、事后追查”的縱深防護(hù)思路�����,以解決數(shù)據(jù)庫所面臨的復(fù)雜的問題�����。
縱深防御思路
3.1 檢查預(yù)警
教育單位應(yīng)對業(yè)務(wù)系統(tǒng)數(shù)據(jù)庫進(jìn)行綜合安全風(fēng)險(xiǎn)評估�����,通過數(shù)據(jù)庫漏洞掃描產(chǎn)品提供有價(jià)值的修復(fù)建議��,為教育單位數(shù)據(jù)庫系統(tǒng)的安全基線提升提供整體有效的參考����。
3.2 主動(dòng)防御
教育單位應(yīng)通過數(shù)據(jù)庫防火墻、數(shù)據(jù)庫安全運(yùn)維的運(yùn)維管控技術(shù)對數(shù)據(jù)庫進(jìn)行主動(dòng)防御�。主動(dòng)防御的具體技術(shù)措施如下:
1)執(zhí)行細(xì)粒度訪問控制措施
首先,教育單位的業(yè)務(wù)系統(tǒng)數(shù)據(jù)庫應(yīng)僅接受可信人員和應(yīng)用發(fā)起的訪問請求�����,來從根源上徹底杜絕第三方人員��、內(nèi)部人員的非授權(quán)行為,并以此減小被攻擊面����。
其次,教育單位應(yīng)建立主動(dòng)防御安全威脅的措施�,通過數(shù)據(jù)庫防火墻的SQL攻擊防護(hù)、虛擬補(bǔ)丁等功能����,防范針對數(shù)據(jù)庫SQL注入和漏洞攻擊行為。
2)規(guī)范化運(yùn)維管控
教育單位應(yīng)改善傳統(tǒng)管理模式��,針對數(shù)據(jù)庫運(yùn)維建立規(guī)范的運(yùn)維流程�,包括事前審批,事中控制�,事后記錄操作信息,實(shí)現(xiàn)全運(yùn)維流程的管理��,實(shí)現(xiàn)高校運(yùn)維規(guī)范性���。
在教育單位規(guī)范化運(yùn)維管控中,可以使用數(shù)據(jù)庫安全運(yùn)維系統(tǒng)對數(shù)據(jù)庫運(yùn)維的行為進(jìn)行審批管控�����。做到只有提交運(yùn)維申請并指定運(yùn)維的時(shí)間、對象��、操作內(nèi)容進(jìn)行審批后方可操作�。
3.3 底線防守
教育局、教育服務(wù)部門�����、高校應(yīng)將存儲(chǔ)在數(shù)據(jù)庫中的教務(wù)信息�����、學(xué)籍信息等敏感信息使用數(shù)據(jù)庫加密產(chǎn)品進(jìn)行加密存儲(chǔ)����,防止此類的敏感信息被解析為明文從而造成泄密安全事件。
3.4 事后追查
運(yùn)用數(shù)據(jù)庫審計(jì)技術(shù)對數(shù)據(jù)庫協(xié)議進(jìn)行精確識別���,記錄和回放針對統(tǒng)計(jì)數(shù)據(jù)庫的攻擊行為���、篡改行為、泄密行為���、誤操作等行為����,為事后追溯定責(zé)提供準(zhǔn)確依據(jù),同時(shí)對上述行為應(yīng)進(jìn)行郵件���、短信�����、等多種報(bào)警方式���。
四. 數(shù)據(jù)庫安全應(yīng)用感言
“一直以來單位里存在多位運(yùn)維人員共享一個(gè)登錄賬號的情況,通過部署安華金和數(shù)據(jù)庫安全運(yùn)維系統(tǒng)和數(shù)據(jù)庫防火墻系統(tǒng)�����,對IP分區(qū)�,禁止通過IP直接訪問數(shù)據(jù)庫的行為,有效落實(shí)應(yīng)用端和運(yùn)維端登錄IP分區(qū)��,合理規(guī)劃網(wǎng)絡(luò)環(huán)境�����;給每一位運(yùn)維人員分配唯一登錄賬號��,劃分賬號權(quán)限����,提高監(jiān)管能力;對運(yùn)維行為進(jìn)行事前審批����,事中管控和事后審計(jì),實(shí)現(xiàn)全運(yùn)維流程的管理�����,提高規(guī)范性����;通過數(shù)據(jù)庫防火墻的SQL攻擊防護(hù)、虛擬補(bǔ)丁等功能�����,有效防范針對數(shù)據(jù)庫SQL注入和攻擊行為�。”
――某教育機(jī)構(gòu)信息中心負(fù)責(zé)人
產(chǎn)品咨詢:4000 258 365 
