据国外专业机构调研结果显示，“内部风险”已成为当前企业数据泄露的首要原因。在此背景下，国内某安防领军企业在持续推动自身信息化建设及规模扩张的过程中，数据已成为其核心资产之一；如何保障存有各类关键业务信息的数据库及数据资产的安全，是该客户落实数据安全防护工作的重中之重。

一方面，该客户数据库中存有大量企业核心业务数据及个人隐私信息；另一方面，开发、测试、运维等内部人员需要访问或操作数据库中的数据，从而为该安防企业的数据安全带来了巨大的隐患和风险，亟需开展行之有效的数据库安全运维与管理工作。

痛点分析

1、数据访问路径众多，无统一运维入口

数据分散存储在公司自建机房的物理服务器、虚拟化及公有云环境中，且生产库与测试库的服务器网络隔离，导致不同环境下的数据运维访问路径不一致，无法形成有效的集中管理。

2、通过现有网络堡垒机实现数据运维，存在管理缺陷

为规范数据运维工作流程，该客户对部分运维人员采用“通过登录堡垒机调用前置机数据库客户端工具”的方式，实现对数据库的登录、运维等操作。

图1：堡垒机数据运维管理缺陷

但是，这种通过现有网络堡垒机实现数据运维的方式，却存在如下管理缺陷：

· 通过堡垒机访问数据库，必须调用堡垒机前置机上的客户端工具，堡垒机本身无法识别访问数据库用户的身份；

· 对数据库风险操作及误操作等行为无法进行实时告警、阻断；

· 海量的录屏和键盘追踪日志分析困难，对各类运维协议只做简单过滤，审计日志仅基于关键字过滤，而对数据库协议、语法不具备进一步分析的能力；

· 存在通过堡垒机前置机直连登录数据库服务器，从而实现本地数据运维等风险操作的可能。

3、数据库账号共用情况泛滥，安全事件无法精准溯源

图2：共用数据库账号问题

运维人员需要同时掌握AD域、堡垒机和每个数据库对应的账号信息，造成数据运维流程复杂且账号管理无序；此外，普遍存在多个运维人员使用同一账号和共用设备访问数据的情况，导致无法准确定位数据库运维人员的自然人身份信息，继而在发生安全事件后无法进行精准溯源。

4、缺乏针对数据运维风险操作的有效管控机制

1. 针对高权限用户访问、操作数据及数据库对象等行为无法管控；

2. 缺乏在运维过程中针对数据风险操作行为的识别与管控，包含且不限于：整表查询操作、批量数据导出、批量数据篡改、不带where条件的更新删除操作、数据库账号提权等；

3. 缺乏针对误操作行为的管控能力，过度依赖于自然人的精准操作，一旦出现失误将直接导致数据安全时间的发生。

5、数据运维操作过程中，审计手段的缺失

不具备详细的数据库运维访问与操作行为记录，例如：访问数据的用户（IP、账号、时间）、操作（增、删、改、查）、对象（表、字段）等信息。在发生数据库安全事件（数据篡改、泄露等）后无法为事件追责、定责提供准确有效的依据，也无法还原数据的执行情况。

解决方案

1、规范访问路径、建立数据运维的唯一通道

自建机房环境：通过在路由交换、网络防火墙等设备上添加ACL访问控制规则，切断其它数据的访问途径，以数据安全运维系统作为唯一的数据运维入口，从而起到数据库堡垒机般的作用；

云环境：通过数据库自身安全机制添加运维白名单，仅允许数据安全运维系统代理IP访问对应目标数据库。

2、对运维账号、数据库账号、访问权限进行集中管理

增强数据库细粒度访问控制能力，限制未授权用户、未授权时间段访问未授权的数据库，仅允许授权用户在得到审批赋予的访问权限后登录数据库执行相关运维操作。同时，精简数据运维流程，通过安全运维系统实现对数据库账号的集中管理，并采用密码桥技术对运维人员隐藏数据库真实账号信息，实现通过运维账号即可完成数据库登录的目的。

图3：原有数据运维流程

图4：集成运维平台流程示意图

通过高度集成、统一的数据库安全运维管理平台，采用运维账号申请、运维权限申请、运维时间控制、多级审批等模块，实现数据运维的统一路径管理，而无需在企业工单系统、邮件、安全设备之间来回切换操作，大大减少多部门协作及沟通成本：

· 建立运维账号及访问权限的申请、审批机制

打破该客户原有账号及访问权限“分散管理、多平台切换”的机制，通过统一平台完成申请、审批等流程；审批完成后，安全运维系统将根据申请条件自动绑定运维账号并关联访问控制策略，不再需要网络安全员人工干预。

· 建立自然人身份识别管控与审计机制

运维账号与数据库账号关联绑定，并于审计、管控条件中增加运维员工自然人身份信息，支持以自然人信息为条件的告警、拦截与审计。

· 建立数据运维全过程的同一账号登录机制

使用数据库密码桥技术，通过更改登陆包的方式将运维账号密码映射成数据库的正确密码；在对运维人员隐藏数据库真实账号的前提下，让其能够通过运维账号连接上数据库，以解决共用数据库账号带来的“审计无法溯源、数据库账号弱口令”等问题。同时，数据库变更密码后，只需要修改安全运维系统密码桥的映射表，而无需逐一通知运维人员。

3、增强的数据库权控体系

精确到Schema级别的数据库权限管控，有效制约来自内部人员的恶意访问及攻击等行为；规范化的运维流程控制，精准的DDL、DML等操作行为告警、审计、拦截能力，有效避免针对数据的风险操作或误操作等行为。

客户价值

· 实现企业现网环境内“线上、线下数据的统一集中管控”，达成企业对自身数据合规性安全建设的目标。

· 通过一体化数据运维管控平台，集成运维账号申请、数据访问权限申请、在线审批、数据流量代理访问等功能，实现运维账号与数据库账号自动关联、数据访问策略审批完成后自动下发等智能化运维操作，为数据管理、数据运维和网络安全管理人员节省大量中间操作环节及在不同平台间切换上的时间开支，极大降低了数据运维工作的时间成本。

· 实现细粒度数据运维管理，基于精确协议解析技术对数据库的运维行为提供更加精细粒度的管控，控制对象可精确到字段级别，对数据增删改查、数据窃取、批量删除等高危行为或误操作实现可管、可控。

· 提供完备的数据运维审计记录与分析能力，便于安全事件发生后的溯源与追责、定责。同时，能够实现对数据库账号的集中管理，解决了多人共用数据库账号无法溯源、定责的问题。