数据库安全防护新思路
现阶段数据安全事件层出不穷,Verizon《数据泄露调查报告》就指出:数据库遭受威胁是数据泄漏事件发生的主要原因,其占比高达90%,通过分析安全事件,我们可以发现当前数
|
1.数据库安全现状 现阶段数据安全事件层出不穷,Verizon《数据泄露调查报告》就指出:数据库遭受威胁是数据泄漏事件发生的主要原因,其占比高达90%,通过分析安全事件,我们可以发现当前数据库风险主要存在外部用户和内部用户两个方面: 外部用户:黑客、竞争对手,以及访客通过攻击应用,或者直接攻击数据库,窃取数据。 内部用户:管理员通过权限滥用,对应用,数据库直接攻击,窃取数据,或者将数据库的数据导出,或者直接攻击存储设备。
2.数据库面临安全风险 2.1外部用户风险 外部用户一般通过应用访问数据库,通常认为是可靠性较好的行为,但是也存在安全风险。 风险一:攻击应用系统漏洞,取得应用的权限,在数据库对应用账号权限限制缺失时,以应用为跳板对数据库进行增删改查等操作。
风险二:越过应用,直接攻击数据库,利用数据库漏洞,SQL注入攻击,最终窃取或篡改数据库数据。
2.2内部用户风险 内部用户拥有比外部用户更大的权限,所以内部用户构成的风险,必须严格防护,合理有效的限制内部用户的权限,避免权限滥用,造成的数据泄露。 风险一:数据库存在漏洞,同时管理员权限界限模糊,多个管理员拥有多个交叉的权限功能,无法追踪具体是哪个管理员做了哪些操作。
风险二:利用管理员权限直接攻击应用或者数据库,从而窃取或者篡改数据。
风险三:利用管理员的身份数据库系统安全,直接将数据文件导出或者直接拷贝数据库文件。
3.新应对思路 3.1外部用户的风险处置 风险一:攻击应用漏洞,进而进入数据库窃取或篡改数据。 处置方法:在应用与数据库之间部署中安星云数据库防火墙,对于符合安全规则的SQL语句放行,恶意操作的语句进行阻断。
风险二:利用数据库漏洞,用户直接攻击数据库。 处置方法:利用中安星云数据库监控扫描,对数据库做一个现状评估,利用风险扫描模块发现数据库中的漏洞风险,并给出合理的意见,同时利用状态监控实时的监控数据库中的信息,确保数据库安全稳定的运行。
3.2内部用户的风险处置 风险一:数据库管理员权限模糊,无法准确定位具体操作的管理员。 处置办法:通过部署中安星云数据库监控扫描与数据库防火墙将合理有效的解决数据库面临的漏洞和权限模糊问题,通过数据库监控扫描对数据库进行安全扫描,同时,部署数据库防火墙来合理有效的分配用户的权限。
风险二:利用管理员权限直接攻击应用或者数据库,从而窃取或者篡改数据。 处置办法:通过部署中安星云数据库防火墙以及中安星云数据库监控扫描系统,可以对应用到数据库的访问进行严格的控制,同时还可以在事前对数据库的现状做一个评估,事先了解数据库存在的风险,并提出解决建议。
风险三:管理员直接将数据导出或者直接攻击数据存储设备。 处置办法:通过部署中安星云数据库数据库加密系统,可以对数据库中的数据加密,即使将数据导出或者攻击存储设备,不经过加密系统的解密,内部人员也无法看到真实的数据。
4.数据安全风险应对建议 数据安全建设应根据用户实际情况,分析客户面临的安全威胁的高低,本着先处置高风险,后处置或暂时不处置低风险的原则,进行相应的数据库安全方案建设。 情况一:业务系统为内网系统,运维人员多,业务系统多 此时内部用户访问数据库的行为带来的风险较高,而外部用户访问数据库的风险较低。因此此时可以使用数据库监控扫描、数据库防火墙、数据库透明加密,数据库审计相结合的方案,风险一、风险二、风险三的处置办法为指导,进行相应的安全方案建设,在相应位置部署数据库监控扫描、数据库防火墙以及数据库透明加密应对风险。 情况二:业务系统为在外网系统,运维人员多,业务系统多 此时外部用户通过应用访问数据库的风险和使用工具访问数据库的行为带来的风险都较高,此时需采用解决方案中的3.1中的风险处置办法,进行相应的安全方案建设,在相应位置部署数据库监控扫描,数据库防火墙来应对风险。 情况三:用户当前数据库安全的考虑,认为需要做事中安全防护、实时拦截危险操作 此时可采用数据库防火墙,通过数据库防火墙的实时访问控制、风险操作告警、数据库攻击防御、操作行为审计等能力达到对用户数据库实时安全防护的目的。 (编辑:威海站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
