行業(yè)需求與挑戰(zhàn)
在等級(jí)保護(hù)中,數(shù)據(jù)庫(kù)安全建設(shè)的總體目標(biāo),一是要保證核心數(shù)據(jù)庫(kù)自身的安全性,確保數(shù)據(jù)庫(kù)不會(huì)受到攻擊造成業(yè)務(wù)系統(tǒng)的癱瘓;二是要求保證數(shù)據(jù)的保密性和完整性,對(duì)核心數(shù)據(jù)庫(kù)中的敏感數(shù)據(jù)進(jìn)行有效的安全防護(hù),確保關(guān)鍵數(shù)據(jù)不泄密,不被違規(guī)篡改;三是在數(shù)據(jù)庫(kù)使用過(guò)程中及時(shí)發(fā)現(xiàn)安全問(wèn)題,防患于未然,按修復(fù)建議進(jìn)行安全加固。
信息系統(tǒng)的核心數(shù)據(jù)存在數(shù)據(jù)庫(kù)中的,數(shù)據(jù)庫(kù)作為核心數(shù)據(jù)資產(chǎn)載體,一旦發(fā)生無(wú)意識(shí)危險(xiǎn)操作、信息泄露、惡意篡改,都將造成最為慘痛的損失。據(jù)Verizon 2015數(shù)據(jù)泄露調(diào)查報(bào)告,數(shù)據(jù)庫(kù)服務(wù)器占泄露記錄總數(shù)的96%,成為頭號(hào)可能的泄露數(shù)據(jù)源。
隨著當(dāng)前業(yè)務(wù)系統(tǒng)及數(shù)據(jù)庫(kù)的部署規(guī)模、訪問(wèn)人員和密集度的不斷增加,來(lái)自于外部攻擊者、第三方運(yùn)維和開(kāi)發(fā)人員、內(nèi)部維護(hù)人員的威脅訪問(wèn),給企業(yè)數(shù)據(jù)安全帶來(lái)了嚴(yán)峻的挑戰(zhàn)。
外部威脅
目前已知的來(lái)自外部黑客常見(jiàn)的攻擊手段和漏洞包括:SQL注入、緩沖區(qū)溢出、拒絕服務(wù)、提權(quán)等,也有利用未及時(shí)安裝補(bǔ)丁、缺省安裝漏洞、程序后門(mén)和危險(xiǎn)代碼破壞權(quán)限體系,導(dǎo)致數(shù)據(jù)庫(kù)服務(wù)終止和敏感數(shù)據(jù)泄密;
內(nèi)部運(yùn)維人員和DBA
明文存儲(chǔ)的安全威脅,使得數(shù)據(jù)文件、備份文件被拷貝后,可以輕易恢復(fù)。
DBA等高權(quán)限用戶可以隨時(shí)任意地訪問(wèn)門(mén)能干數(shù)據(jù);
弱口令的存在,使得容易被人暴力破解或嘗試成功,訪問(wèn)敏感數(shù)據(jù)導(dǎo)致泄密和篡改;
第三方運(yùn)維和開(kāi)發(fā)人員
知道數(shù)據(jù)庫(kù)管理員賬號(hào),主要威脅在于假冒正常應(yīng)用賬戶、合法DB用戶繞過(guò)應(yīng)用程序使用命令行工具訪問(wèn)數(shù)據(jù)庫(kù)、通過(guò)數(shù)據(jù)庫(kù)客戶端批量導(dǎo)出敏感信息導(dǎo)致泄密。
管理
內(nèi)部人員、第三方維護(hù)人員的誤操作、維護(hù)操作、越權(quán)操作和惡意操作,
多人共用一個(gè)賬號(hào),責(zé)任難以分清,超級(jí)管理員操作難以監(jiān)管和審計(jì)。
方案概述
本方案通過(guò)對(duì)安全威脅的分析,進(jìn)行整體設(shè)計(jì)與規(guī)劃,系列安全產(chǎn)品相互之間分工協(xié)作,共同形成整體的防護(hù)體系,覆蓋了數(shù)據(jù)庫(kù)安全防護(hù)的事前診斷、事中控制和事后分析。
事前診斷:通過(guò)數(shù)據(jù)庫(kù)漏掃產(chǎn)品,有效檢測(cè)數(shù)據(jù)庫(kù)已知漏洞,并有效修復(fù)。
定期進(jìn)行數(shù)據(jù)庫(kù)安全檢查,防患于未然,對(duì)數(shù)據(jù)庫(kù)安全風(fēng)險(xiǎn)進(jìn)行綜合評(píng)估,使用專(zhuān)門(mén)的數(shù)據(jù)庫(kù)漏洞掃描系統(tǒng),對(duì)生產(chǎn)域中數(shù)據(jù)庫(kù)的安全現(xiàn)狀進(jìn)行全面檢測(cè)。安全漏洞項(xiàng)包括:弱口令、缺省口令、弱安全策略、權(quán)限寬泛、敏感數(shù)據(jù)發(fā)現(xiàn)、權(quán)限提升漏洞、補(bǔ)丁升級(jí)等,評(píng)估是否存在安全漏洞并提供修復(fù)建議,為系統(tǒng)的安全配 置提升提供有效的參考。
事中控制:通過(guò)數(shù)據(jù)庫(kù)防火墻和數(shù)據(jù)庫(kù)加密解決。
數(shù)據(jù)庫(kù)防火墻-從訪問(wèn)源頭來(lái)保護(hù)數(shù)據(jù),監(jiān)測(cè)數(shù)據(jù)庫(kù)的訪問(wèn),防止未授權(quán)的訪問(wèn)、SQL Injection、權(quán)限或角色的非法提升以及對(duì)敏感數(shù)據(jù)的非法訪問(wèn)。高度精準(zhǔn)的基于SQL語(yǔ)法的分析,避免誤判;基于黑、白名單的靈活的SQL級(jí)策略設(shè) 置;支持Bypass和Proxy及混合部署模式,支持高可用,大限度的適應(yīng)企業(yè)需求;虛擬補(bǔ)丁技術(shù)避免數(shù)據(jù)庫(kù)因?yàn)椴荒苓M(jìn)行補(bǔ)丁升級(jí)而造成的惡意訪問(wèn)。
在數(shù)據(jù)庫(kù)中加密存儲(chǔ)敏感信息防止被解析為明文,通過(guò)獨(dú)立于數(shù)據(jù)庫(kù)的權(quán)控體系和引入安全管理員、審計(jì)管理員實(shí)現(xiàn)三權(quán)分立的安全管理手段,防止DBA、 第三方外包人員和程序開(kāi)發(fā)人員越權(quán)訪問(wèn)敏感信息,結(jié)合動(dòng)態(tài)口令卡和SQL級(jí)API與應(yīng)用系統(tǒng)進(jìn)行綁定解決繞過(guò)應(yīng)用程序非法訪問(wèn)數(shù)據(jù)庫(kù)的問(wèn)題。
事后分析:通過(guò)數(shù)據(jù)庫(kù)審計(jì)技術(shù)解決。
網(wǎng)絡(luò)旁路審計(jì)通過(guò)在核心路由設(shè)備上設(shè)置端口鏡像或采用分流監(jiān)聽(tīng),使安全審計(jì)能夠監(jiān)聽(tīng)到所有用戶通過(guò)路由設(shè)備與數(shù)據(jù)庫(kù)進(jìn)行通訊的操作,并把數(shù)據(jù)庫(kù)操作進(jìn)行協(xié)議還原和分析,細(xì)致的數(shù)據(jù)庫(kù)操作審計(jì)和用戶審計(jì),并有豐富的查詢檢索和報(bào)表功能,維護(hù)簡(jiǎn)單、具備專(zhuān)業(yè)審計(jì)功能,節(jié)約人力,減少維護(hù)費(fèi)用。
方案價(jià)值
本方案規(guī)劃使用專(zhuān)門(mén)的數(shù)據(jù)庫(kù)漏洞掃描系統(tǒng),對(duì)當(dāng)前系統(tǒng)中重要數(shù)據(jù)庫(kù)進(jìn)行全面的安全漏洞檢測(cè),有效暴露當(dāng)前數(shù)據(jù)庫(kù)系統(tǒng)的安全問(wèn)題,同時(shí)提出漏洞修復(fù)的建議,進(jìn)行整體安全加固。從而提升數(shù)據(jù)庫(kù)系統(tǒng)整體的安全性。
本方案規(guī)劃使用數(shù)據(jù)庫(kù)加密產(chǎn)品,實(shí)現(xiàn)對(duì)數(shù)據(jù)庫(kù)中重要敏感信息的安全保護(hù),從存儲(chǔ)層、數(shù)據(jù)庫(kù)訪問(wèn)控制層、應(yīng)用安全層面實(shí)現(xiàn)全方位防止敏感信息泄密。
本方案規(guī)劃使用數(shù)據(jù)庫(kù)防火墻產(chǎn)品,通過(guò)防SQL注入、防高危操作來(lái)阻止外部黑客攻擊者入侵行為,實(shí)時(shí)的告警,同時(shí)采用防火墻產(chǎn)品中的審計(jì)能力,進(jìn)行事后分析。
江蘇國(guó)駿-打造安全可信的網(wǎng)絡(luò)世界
為IT提升價(jià)值
http://www.jewellerybykaren.com/
免費(fèi)咨詢熱線:400-6776-989
