4000 258 365
用户名:
密码:
忘记密码? 尚未注册?
邮箱地址:
密码:
确认密码:
手机:
单位:
注册

从等保要求谈数据库安全

作者:安华金和 发布时间:2017-06-29

厘清事实真相是最基本的要求

数据库安全=主机安全+数据安全

思考一

6月1日国家网络安全法正式实施

信息安全行业备受重视

暂时忘了如火如荼的传播造势

安静下来,思考一些基本的安全理念

究竟被混淆了多少

今天,在等保标准里我们先来厘清

数据库安全与数据安全之间的关系?

01.jpg

关于数据库安全,公安部信息安全等级保护评估中心的等保要求解释如下:数据库安全是主机安全的一个部分,数据库的测评指标是从“主机安全”和“数据安全及备份恢复”中根据数据库的特点映射得到的。

检验一家信息安全企业是否合格,有一个绕不过去的标准——是否做到“以攻促防”?

信息安全企业必须具备“以攻促防”的发展思路

思考二

企业要有一块领域,

不为变现,只为驱动技术创新

数据库攻防实验的核心理念是

“以攻促防”

做好数据库安全防护工作的“防”

前提是要像攻击者一样深谙“攻击”之道

因此信息安全企业

需要搭建一套攻防研究体系

这套体系需要投入大量人力、财力

然而却并不会给企业带来眼前的利益

原因何在?

只有对黑客攻击的手段、节奏、危害等做到了然于胸,才能有的放矢,做好防护产品。没有对数据库漏洞攻击的研究,数据库安全防护就好似纸上谈兵,失去了真实依据。

2010年成立的安华金和数据库攻防实验室(DBSec Labs),是我国一支独立的、持久的针对数据库安全漏洞、数据库攻击技术模拟和数据库安全防护技术进行研究的专业队伍。对数据库安全漏洞进行研究,是DBSLab的首要职责,目前DBSec Labs不仅在国产数据库的漏洞挖掘方面卓有成效,而且对国际数据库的漏洞挖掘获得认可;同时,也针对黑客数据库入侵手段、数据库防护手段作了深入研究。

对于信息安全企业来说,能不囿于当下,不盲目追逐眼前利益,而是基于长远考虑,积极投身攻防实验,付出长达数年的潜心研究,实在是一个企业立定在信息安全领域,目光如炬,追求可持续发展的最好体现。

让攻防研究成为技术产品研发的内在驱动力,激发企业在产品和技术研发方面的创新力,为整个信息安全行业的发展释放更大的安全价值。

等级保护要求下的数据库安全纵深防御思路

思考三

大量的敏感信息存储于数据库中

按照信息安全等级保护的要求

如何做好核心数据资产的安全防护呢?

02.jpg

数据库安全=DBMS系统(数据库管理系统)安全+访问路径安全+核心数据安全

前两点与主机安全要求正好吻合,等保要求主机安全涉及:身份鉴别、访问控制、安全审计、入侵防范、资源控制、恶意代码防范等方面。对此,安华金和提供的数据库安全纵深防御思路如下:

1)事前诊断

通过数据库漏扫技术,有效监测数据库自身漏洞和使用中的安全隐患,并提供修复建议。

2)事中控制

通过数据库防火墙技术,从网络层实现数据库的主动防御,解决数据库安全的70%问题,能够防止SQL注入、数据库漏洞攻击以及对敏感数据的非法访问。

3)底线防守

通过数据库加密技术,防止由于敏感信息明文存储导致的泄密,依靠独立于数据库的权控体系,实现三权分立的安全管理手段,密文索引提高查询速度,应用透明使现有的应用程序和运维操作无需改变。

通过数据库脱敏技术,彻底解决生产区到测试区的真实数据泄漏,在满足合规要求的同时,实现测试数据依然可用。

4)事后追查

通过数据库审计技术实现数据库操作的全面精确记录,具备风险状况、运行状况、性能状况和语句分布的实时监控能力。


分享到:
北京安华金和科技有限公司 ©2015 版权所有 ICP备10053980号 京公网安备11010802010569号