外部攻击者利用SQL注入、植入恶意程序等非法手段,入侵业务系统数据库,从而窃取、篡改、破坏、拷贝重要数据,造成信息泄露。
某些内部数据库运维人员、第三方厂商运维人员,为了利益对数据库进行违规访问、数据批量下载、数据篡改等违规操作。
DBA账号共享、存在公用账号、账号权限宽泛。这些都为出现出现数据库安全事故后的定责增加了难度。
粗放的数据库运维审批模式(人工批复+事后审计),无法对数据库运维操作进行实时及细粒度的监控,无法控制运维人员对数据库的操作是否是审批过的合规操作。
高权限用户可以删除数据库日志,为数据库安全事件后的追责造成严重阻碍。
根据保险行业数据库安全需求,安华金和对数据的安全防护提出建立数据库纵深防御思路,从而解决数据库所面临的攻击、篡改、泄密、追责等问题:
安华金和保险行业数据库安全纵深防御思路
查漏补缺,提升数据库自我免疫能力。
通过数据库漏洞扫描产品,自动化对数据库漏洞实时检查,实现对数据库安全状况的监控;对数据库进行定期扫描,从而为数据库建立安全基线;对所有安全状况发生的变化进行报告和分析。
提升数据库防黑客、防高危操作、防“内鬼”泄密的能力。
细粒度访问控制
通过数据库防火墙产品,对数据库的通讯过程进行精确的解析和控制,同时可以对应用建立应用特征模型,建立正常访问SQL语句的语句模版,防止恶意操作和批量导出敏感信息的行为。
规范化运维管控
通过数据库安全运维产品,改善保险行业传统管理模式,对数据库运维行为进行审批管控,针对运维侧态拒绝一切运维行为通过,指定的时间、对象、操作方后进行审批。。
提升数据“底线”防守能力,保证提供给第三方的数据安全性。
敏感数据安全脱敏
通过数据库安全脱敏产品,自动识别敏感数据和管理敏感数据,对敏感数据进行变形、屏蔽、替换、随机化、加密,将敏感数据转化为虚构数据,隐藏了真正的隐私信息,为数据的安全使用提供了基础保障。
建立数据库访问的“摄像头”,提升数据库安全监控能力。
通过数据库监控与审计产品,对数据库协议进行精确识别,记录和回放针对统计数据库的攻击行为、篡改行为、泄密行为、误操作等行为,为事后追溯定责提供准确依据,同时对上述行为提供邮件、短信、声音等多种报警方式。
通过事中主动防御手段在数据库前端对入侵行为做到有效的控制,通过强大特征库和漏洞防御库,主动防御内外部用户的违规操作以及黑客的入侵行为。
从数据库级别进行最小化权限控制,杜绝超级管理员的产生,通过数据库防火墙和数据库加密措施进行从根源上彻底控制 数据信息的泄露,为 信息化打好底层基础。有效防止存储文件和备份文件被“拖库”的风险。
在等级保护保护基本要求中,数据库安全是主机安全的一个部分,数据库的测评指标是从“主机安全”和“数据安全及备份恢复”中根据数据库的特点映射得到的。对等保三级以上系统中,关键敏感数据的安全防护要求满足了标准特性:
数据保密性
满足了“实现系统管理数据、鉴别信息和重要业务数据的存储保密性”。
访问控制性
实现了最小授权原则,使得用户的权限最小化,同时要求对重要信息资源设置敏感标记。
安全审计性
完成了“对用户行为、安全事件等进行记录”。