铭冠网安铭冠网安等保数据库安全解决方案
_本文原题:铭冠网安等保数据库安全解决方案
本文插图
行业需求与挑战
在等级保护中 , 数据库安全建设的总体目标 , 一是要保证核心数据库自身的安全性 , 确保数据库不会受到攻击造成业务系统的瘫痪;二是要求保证数据的 保密性和完整性 , 对核心数据库中的敏感数据进行有效的安全防护 , 确保关键数据不泄密 , 不被违规篡改;三是在数据库使用过程中及时发现安全问题 , 防患于未 然 , 按修复建议进行安全加固 。
信息系统的核心数据存在数据库中的 , 数据库作为核心数据资产载体 , 一旦发生无意识危险操作、信息泄露、恶意篡改 , 都将造成最为惨痛的损失 。 据Verizon 2015数据泄露调查报告 , 数据库服务器占泄露记录总数的96% , 成为头号可能的泄露数据源 。
随着当前业务系统及数据库的部署规模、访问人员和密集度的不断增加 , 来自于外部攻击者、第三方运维和开发人员、内部维护人员的威胁访问 , 给企业数据安全带来了严峻的挑战 。
外部威胁
目前已知的来自外部黑客常见的攻击手段和漏洞包括:SQL注入、缓冲区溢出、拒绝服务、提权等 , 也有利用未及时安装补丁、缺省安装漏洞、程序后门和危险代码破坏权限体系 , 导致数据库服务终止和敏感数据泄密;
内部运维人员和DBA
明文存储的安全威胁 , 使得数据文件、备份文件被拷贝后 , 可以轻易恢复 。
DBA等高权限用户可以随时任意地访问门能干数据;
弱口令的存在 , 使得容易被人暴力破解或尝试成功 , 访问敏感数据导致泄密和篡改;
第三方运维和开发人员
知道数据库管理员账号 , 主要威胁在于假冒正常应用账户、合法DB用户绕过应用 程序使用命令行工具访问数据库、通过数据库客户端批量导出敏感信息导致泄密 。
管理
内部人员、第三方维护人员的误操作、维护操作、越权操作和恶意操作 ,
多人共用一个账号 , 责任难以分清 , 超级管理员操作难以监管和审计 。
铭冠网安等保数据库安全解决方案概述
本方案通过对安全威胁的分析 , 进行整体设计与规划 , 系列安全产品相互之间分工协作 , 共同形成整体的防护体系 , 覆盖了数据库安全防护的事前诊断、事中控制和事后分析 。
事前诊断:通过数据库漏扫产品 , 有效检测数据库已知漏洞 , 并有效修复 。
定期进行数据库安全检查 , 防患于未然 , 对数据库安全风险进行综合评估 , 使用专门的数据库漏洞扫描系统 , 对生产域中数据库的安全现状进行全面检测 。 安 全漏洞项包括:弱口令、缺省口令、弱安全策略、权限宽泛、敏感数据发现、权限提升漏洞、补丁升级等 , 评估是否存在安全漏洞并提供修复建议 , 为系统的安全配 置提升提供有效的参考 。
事中控制:通过数据库防火墙和数据库加密解决 。
数据库防火墙-从访问源头来保护数据 , 监测数据库的访问 , 防止未授权的访问、SQL Injection、权限或角色的非法提升以及对敏感数据的非法访问 。 高度精准的基于SQL语法的分析 , 避免误判;基于黑、白名单的灵活的SQL级策略设 置;支持Bypass和Proxy及混合部署模式 , 支持高可用 , 最大限度的适应企业需求;虚拟补丁技术避免数据库因为不能进行补丁升级而造成的恶意访问 。
在数据库中加密存储敏感信息防止被解析为明文 , 通过独立于数据库的权控体系和引入安全管理员、审计管理员实现三权分立的安全管理手段 , 防止DBA、 第三方外包人员和程序开发人员越权访问敏感信息 , 结合动态口令卡和SQL级API与应用系统进行绑定解决绕过应用程序非法访问数据库的问题 。
事后分析:通过数据库审计技术解决 。
推荐阅读
- 高并发下如何保证缓存和数据库的数据一致性?
- 中国卡车网安玉彬对解放J6F“一次选择终身信赖”,一年跑9万
- cnBeta黑客声称从微软GitHub私人数据库当中盗取500GB数据
- 携百万奖金,第二届华为云数据库性能挑战赛鸣锣再战
- 铅笔道AR+AI 解决方案服务商获 5000 万投资 接入 30+ 省、地区人像平台数据库
- 山石网科全链条式网安解决方案,助乌市疾控中心全力战“疫”
- Nutanix携手Wipro推出数字化数据库服务
- 移动互联网2020年3月| CNCERT互联网安全威胁报告第111期
- 太平洋电脑网安兔兔公布 2020 年 4 月 Android 手机性能榜
- 数据库金融行业数据库新势力-浪潮云溪NewSQL数据库解析