數(shù)據(jù)庫(kù)運(yùn)維安全現(xiàn)狀調(diào)研報(bào)告

根據(jù)在2016（第七屆）中國(guó)IT運(yùn)維大會(huì)上抽取的150份有效樣本進(jìn)行統(tǒng)計(jì)分析，得出了《2016數(shù)據(jù)庫(kù)運(yùn)維安全現(xiàn)狀調(diào)研報(bào)告》。調(diào)查對(duì)象主要為技術(shù)人員，他們直接從事IT運(yùn)維或技術(shù)開(kāi)發(fā)工作，或者為用戶提供運(yùn)維側(cè)解決方案及相關(guān)產(chǎn)品咨詢。

調(diào)查結(jié)果

大多數(shù)用戶具有對(duì)核心數(shù)據(jù)的保護(hù)意識(shí)，在系統(tǒng)架構(gòu)上更多采用網(wǎng)絡(luò)隔離的手段保護(hù)核心數(shù)據(jù)庫(kù)。對(duì)內(nèi)部人員需要授權(quán)訪問(wèn)，敏感數(shù)據(jù)對(duì)外會(huì)采用脫敏或加密處理。

調(diào)查結(jié)果顯示，對(duì)于核心生產(chǎn)庫(kù)的安全防護(hù)，70%的參與者反饋會(huì)采用網(wǎng)絡(luò)隔離等技術(shù)手段進(jìn)行核心數(shù)據(jù)庫(kù)的保護(hù)，但仍有近30%的企業(yè)尚未采取相關(guān)技術(shù)手段加以防護(hù)。

在提供外網(wǎng)服務(wù)的應(yīng)用系統(tǒng)所用數(shù)據(jù)庫(kù)中，存有敏感數(shù)據(jù)的比例占到74%。這種情況下，共計(jì)79%的調(diào)查參與者反饋，無(wú)論數(shù)據(jù)庫(kù)中是否存有敏感數(shù)據(jù)，運(yùn)維人員訪問(wèn)數(shù)據(jù)庫(kù)系統(tǒng)必須得到授權(quán)。

當(dāng)敏感數(shù)據(jù)用于第三方公司進(jìn)行開(kāi)發(fā)、測(cè)試、培訓(xùn)等環(huán)節(jié)前，62%的參與者反饋會(huì)對(duì)敏感數(shù)據(jù)進(jìn)行脫敏或加密處理，但是仍有38%的企業(yè)在此方面沒(méi)有防護(hù)手段，這是導(dǎo)致數(shù)據(jù)庫(kù)安全隱患的重要原因之一。

目前所采取的數(shù)據(jù)庫(kù)安全管控技術(shù)手段中，數(shù)據(jù)庫(kù)防火墻是選擇最多的技術(shù)手段，但仍有超半數(shù)單位沒(méi)有使用專業(yè)的數(shù)據(jù)庫(kù)安全管控產(chǎn)品，近一半單位不能滿足數(shù)據(jù)庫(kù)管理制度的要求。

在數(shù)據(jù)庫(kù)安全管控手段的選擇上，半數(shù)單位已采取專業(yè)的數(shù)據(jù)庫(kù)管控手段。調(diào)查顯示，49%的參與者已部署數(shù)據(jù)庫(kù)防火墻或數(shù)據(jù)庫(kù)訪問(wèn)管控平臺(tái)，但仍有23%只部署了堡壘機(jī)，29%沒(méi)有采取任何技術(shù)手段進(jìn)行管控。同時(shí)，42%的參與者反饋目前的技術(shù)管理手段不能滿足數(shù)據(jù)庫(kù)管理制度的要求。這與企業(yè)沒(méi)有選擇專業(yè)的數(shù)據(jù)庫(kù)管控手段有必然關(guān)系，對(duì)技術(shù)手段的認(rèn)知有待提高。

大部分企業(yè)會(huì)進(jìn)行數(shù)據(jù)庫(kù)訪問(wèn)審計(jì)，近三成單位只對(duì)少部分核心數(shù)據(jù)庫(kù)系統(tǒng)進(jìn)行審計(jì)。

關(guān)于數(shù)據(jù)庫(kù)訪問(wèn)審計(jì)的具體范圍，針對(duì)所有數(shù)據(jù)庫(kù)、針對(duì)大多數(shù)數(shù)據(jù)庫(kù)和不進(jìn)行數(shù)據(jù)庫(kù)審計(jì)這三個(gè)選項(xiàng)的比例相當(dāng)，其中針對(duì)少部分?jǐn)?shù)據(jù)庫(kù)進(jìn)行審計(jì)的比例會(huì)稍高一些，占到31%?？梢?jiàn)目前大多數(shù)用戶對(duì)于數(shù)據(jù)庫(kù)審計(jì)接受度較高，在此趨勢(shì)下，小部分未采取審計(jì)手段的用戶可能被引導(dǎo)。

安全防護(hù)建議

綜合調(diào)查結(jié)果，我們針對(duì)數(shù)據(jù)庫(kù)運(yùn)維安全現(xiàn)狀，提供具有實(shí)際可落地的安全防護(hù)建議。

開(kāi)發(fā)、測(cè)試、培訓(xùn)等工作環(huán)節(jié)中，使用敏感數(shù)據(jù)前進(jìn)行脫敏處理是必要的，選擇專業(yè)工具能夠提高工作效率，保證數(shù)據(jù)處理效果及質(zhì)量。

大多數(shù)用戶在數(shù)據(jù)外發(fā)之前，會(huì)采取脫敏或加密手段對(duì)敏感數(shù)據(jù)進(jìn)行處理，這將在很大程度上降低數(shù)據(jù)泄露風(fēng)險(xiǎn)。但目前專業(yè)數(shù)據(jù)庫(kù)脫敏和加密工具并沒(méi)有被廣泛使用，用戶多選擇自行編寫程序。當(dāng)數(shù)據(jù)量的規(guī)模較大，各數(shù)據(jù)表、數(shù)據(jù)子集之間的關(guān)聯(lián)關(guān)系較為復(fù)雜的情況下，手工脫敏或加密工作量大，且處理質(zhì)量無(wú)法保證。這將導(dǎo)致外發(fā)數(shù)據(jù)無(wú)法滿足開(kāi)發(fā)、測(cè)試、分析等業(yè)務(wù)需求，影響結(jié)果準(zhǔn)確性，同時(shí)，耗費(fèi)的人力及時(shí)間成本往往得不償失。

專業(yè)的數(shù)據(jù)庫(kù)脫敏工具可以保持原有數(shù)據(jù)類型和業(yè)務(wù)格式，保證長(zhǎng)度不變、數(shù)據(jù)內(nèi)涵不丟失，保持表間、表內(nèi)數(shù)據(jù)關(guān)聯(lián)關(guān)系，確保以上業(yè)務(wù)場(chǎng)景中的脫敏數(shù)據(jù)真實(shí)有效。同時(shí)提供動(dòng)態(tài)脫敏功能，對(duì)敏感數(shù)據(jù)進(jìn)行透明、實(shí)時(shí)脫敏，對(duì)數(shù)據(jù)庫(kù)用戶名、IP客戶端類型、訪問(wèn)時(shí)間甚至業(yè)務(wù)用戶等多重身份進(jìn)行訪問(wèn)控制，提供多種安全策略。

使用專業(yè)有效的數(shù)據(jù)庫(kù)管控手段可以提供細(xì)粒度的數(shù)據(jù)庫(kù)運(yùn)維管控，滿足數(shù)據(jù)庫(kù)管理制度要求，防止危險(xiǎn)訪問(wèn)行為。

與堡壘機(jī)相比，使用專業(yè)的數(shù)據(jù)庫(kù)管控產(chǎn)品，通過(guò)對(duì)數(shù)據(jù)庫(kù)訪問(wèn)協(xié)議的精確解析，而不是單純對(duì)訪問(wèn)操作進(jìn)行錄屏，事后追責(zé)。

數(shù)據(jù)庫(kù)防火墻優(yōu)勢(shì)：基于對(duì)SQL語(yǔ)句的精準(zhǔn)解析，提供高危訪問(wèn)控制、SQL注入禁止、返回行數(shù)超標(biāo)禁止、SQL黑名單等技術(shù)功能，對(duì)于匹配策略的威脅操作實(shí)時(shí)攔截、阻斷，而堡壘機(jī)由于不具備SQL語(yǔ)句的精準(zhǔn)解析能力，無(wú)法提供如此細(xì)粒度的訪問(wèn)控制。

數(shù)據(jù)庫(kù)安全管控平臺(tái)優(yōu)勢(shì)：目前大多數(shù)企業(yè)使用堡壘機(jī)對(duì)運(yùn)維人員的數(shù)據(jù)庫(kù)操作行為進(jìn)行審批，但對(duì)于實(shí)際操作的事中控制，無(wú)法監(jiān)控。運(yùn)維人員的實(shí)際操作是否與申請(qǐng)一致？實(shí)際操作人是誰(shuí)？如果出現(xiàn)誤操作，如何追溯？這一系列問(wèn)題堡壘機(jī)無(wú)法解決。專業(yè)的數(shù)據(jù)庫(kù)安全管控平臺(tái)在審批通過(guò)后返回唯一的操作碼，使用任意客戶端建立連接時(shí)，無(wú)操作碼或與原申請(qǐng)操作不符時(shí)，拒絕訪問(wèn)。提高操作準(zhǔn)確度，防止高危操作及誤操作，彌補(bǔ)傳統(tǒng)解決方案對(duì)于事中控制的缺失。

運(yùn)維部門對(duì)整體數(shù)據(jù)庫(kù)訪問(wèn)行為有必要進(jìn)行實(shí)時(shí)有效的監(jiān)控與審計(jì)，審計(jì)產(chǎn)品的風(fēng)險(xiǎn)感知能力、審計(jì)效率及審計(jì)結(jié)果的準(zhǔn)確度是重要依據(jù)。

傳統(tǒng)的網(wǎng)絡(luò)審計(jì)產(chǎn)品無(wú)法解析數(shù)據(jù)庫(kù)通信協(xié)議，只能通過(guò)審計(jì)訪問(wèn)來(lái)源的IP地址、端口號(hào)等基本用戶信息判斷訪問(wèn)是否合法，而數(shù)據(jù)庫(kù)審計(jì)產(chǎn)品對(duì)SQL語(yǔ)句的精確解析能夠識(shí)別每條操作的實(shí)際含義，結(jié)合應(yīng)用行為與用戶行為建模分析，

智能判斷數(shù)據(jù)庫(kù)是否遭到威脅，實(shí)時(shí)發(fā)出告警。調(diào)查顯示大多數(shù)用戶已經(jīng)局部部署或全面部署數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)，在此基礎(chǔ)上，我們更應(yīng)關(guān)注審計(jì)產(chǎn)品是否專業(yè)，如數(shù)據(jù)庫(kù)流量是否全捕獲，對(duì)于長(zhǎng)語(yǔ)句、參數(shù)化語(yǔ)句等是否能夠精準(zhǔn)解析，是否具有風(fēng)險(xiǎn)感知能力，審計(jì)數(shù)據(jù)是否高效入庫(kù)，對(duì)審計(jì)結(jié)果是否能夠高效分析及檢索。這些關(guān)鍵點(diǎn)決定一款數(shù)據(jù)庫(kù)監(jiān)控與審計(jì)產(chǎn)品是否真正具有使用價(jià)值，而不是簡(jiǎn)單地解決有無(wú)問(wèn)題。

——節(jié)選自安華金和《2016數(shù)據(jù)庫(kù)運(yùn)維安全現(xiàn)狀調(diào)研報(bào)告》