铭冠网安铭冠网安等保数据库安全解决方案
北京联盟_本文原题:铭冠网安等保数据库安全解决方案
本文插图
行业需求与挑战
在等级保护中 , 数据库安全建设的总体目标 , 一是要保证核心数据库自身的安全性 , 确保数据库不会受到攻击造成业务系统的瘫痪;二是要求保证数据的 保密性和完整性 , 对核心数据库中的敏感数据进行有效的安全防护 , 确保关键数据不泄密 , 不被违规篡改;三是在数据库使用过程中及时发现安全问题 , 防患于未 然 , 按修复建议进行安全加固 。
信息系统的核心数据存在数据库中的 , 数据库作为核心数据资产载体 , 一旦发生无意识危险操作、信息泄露、恶意篡改 , 都将造成最为惨痛的损失 。 据Verizon 2015数据泄露调查报告 , 数据库服务器占泄露记录总数的96% , 成为头号可能的泄露数据源 。
随着当前业务系统及数据库的部署规模、访问人员和密集度的不断增加 , 来自于外部攻击者、第三方运维和开发人员、内部维护人员的威胁访问 , 给企业数据安全带来了严峻的挑战 。
外部威胁
目前已知的来自外部黑客常见的攻击手段和漏洞包括:SQL注入、缓冲区溢出、拒绝服务、提权等 , 也有利用未及时安装补丁、缺省安装漏洞、程序后门和危险代码破坏权限体系 , 导致数据库服务终止和敏感数据泄密;
内部运维人员和DBA
明文存储的安全威胁 , 使得数据文件、备份文件被拷贝后 , 可以轻易恢复 。
DBA等高权限用户可以随时任意地访问门能干数据;
弱口令的存在 , 使得容易被人暴力破解或尝试成功 , 访问敏感数据导致泄密和篡改;
第三方运维和开发人员
知道数据库管理员账号 , 主要威胁在于假冒正常应用账户、合法DB用户绕过应用 程序使用命令行工具访问数据库、通过数据库客户端批量导出敏感信息导致泄密 。
管理
内部人员、第三方维护人员的误操作、维护操作、越权操作和恶意操作 ,
多人共用一个账号 , 责任难以分清 , 超级管理员操作难以监管和审计 。
铭冠网安等保数据库安全解决方案概述
本方案通过对安全威胁的分析 , 进行整体设计与规划 , 系列安全产品相互之间分工协作 , 共同形成整体的防护体系 , 覆盖了数据库安全防护的事前诊断、事中控制和事后分析 。
事前诊断:通过数据库漏扫产品 , 有效检测数据库已知漏洞 , 并有效修复 。
定期进行数据库安全检查 , 防患于未然 , 对数据库安全风险进行综合评估 , 使用专门的数据库漏洞扫描系统 , 对生产域中数据库的安全现状进行全面检测 。 安 全漏洞项包括:弱口令、缺省口令、弱安全策略、权限宽泛、敏感数据发现、权限提升漏洞、补丁升级等 , 评估是否存在安全漏洞并提供修复建议 , 为系统的安全配 置提升提供有效的参考 。
事中控制:通过数据库防火墙和数据库加密解决 。
数据库防火墙-从访问源头来保护数据 , 监测数据库的访问 , 防止未授权的访问、SQL Injection、权限或角色的非法提升以及对敏感数据的非法访问 。 高度精准的基于SQL语法的分析 , 避免误判;基于黑、白名单的灵活的SQL级策略设 置;支持Bypass和Proxy及混合部署模式 , 支持高可用 , 最大限度的适应企业需求;虚拟补丁技术避免数据库因为不能进行补丁升级而造成的恶意访问 。
在数据库中加密存储敏感信息防止被解析为明文 , 通过独立于数据库的权控体系和引入安全管理员、审计管理员实现三权分立的安全管理手段 , 防止DBA、 第三方外包人员和程序开发人员越权访问敏感信息 , 结合动态口令卡和SQL级API与应用系统进行绑定解决绕过应用程序非法访问数据库的问题 。
事后分析:通过数据库审计技术解决 。
推荐阅读
- 凤凰网安徽综合|5G赋能 智慧防汛 安徽电信未雨绸缪练兵忙
- 凤凰网安徽综合|衍变的佐证,金貂五金工具的前行长阶
- 网络教育技术派丨看广东某高校如何打造实战型网安人才
- 数据库中国科协呼吁我科技期刊 加入世卫组织新冠肺炎数据库
- 华章科技什么是InfluxDB?跟其他数据库比有哪些优势?
- 钟小兵物联网DDOS攻击,新基建下的物联网安全问题
- 产品经理的技术进阶:数据库逻辑设计
- Yun88网数据库的类型,大致可以分为这两块
- APP违规收集公民个人信息, 公安网安部门一季度停运51个APP
- 苹果苹果官网安卓手机以旧换新修正:华为 P30 Pro 最高抵 1700 元