如果说数据是血液
数据库则是心脏
掌握着全身血液的流动与去向
贯穿着数据的来世与今生
采集、存储、处理、传输、交换、销毁
数据全生命周期防护
筑牢数据库安全
2024年1月,国家数据局等17部门联合印发《“数据要素×”三年行动计划(2024—2026年)》旨在充分发挥数据要素“乘数效应”,赋能经济社会发展。2024年政府工作报告中“数据”一词被重点提及,“健全数据基础制度,大力推动数据开发开放和流通使用”“解决数据跨境流动问题”“提高网络、数据等安全保障能力”,为下一阶段数据要素发展与安全防护指明了方向。
“ 《数据安全法》重点强调数据全生命周期的各环节的安全保护,如:对于数据访问、检索、修改等各项行为需要做到身份核验、权限控制以及风险检测。《信息安全技术 网络安全等级保护基本要求》明确要求对数据库资产要进行审计与防控,如:应保护审计记录,避免受到未预期的删除、修改或覆盖等。访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表级。”
本文从数据库使用的十大常见风险出发,结合天融信多年来在数据安全领域的技术积累与实践,提供数据库使用的“正确方式”,为企业数据资产安全保驾护航。
业务人员绕过应用系统直接访问数据库
业务人员常因方便绕过应用系统直接访问数据库,导致操作错误、数据丢失,同时还增加数据泄露和账户滥用风险。
安全锦囊
在数据库资产前串行部署天融信数据库审计与防护系统,通过识别用户操作数据库的流量信息,如:数据库账号、客户端主机名等特征字段,结合人员的五元组信息进行精准访问控制,同时通过实名审计功能将ip与姓名、部门等个人信息挂钩,进而溯源到实际操作人,有效降低业务人员绕过应用系统直接访问数据库的系列风险。
伪冒合法用户访问数据库违规操作
如果用户账号被窃取,非法用户就可能伪冒合法用户访问数据库,并进行违规操作,从而导致大规模数据泄漏。
安全锦囊
天融信运维安全审计系统、天融信数据库审计与防护系统联动使用可避免此类风险。其中,天融信运维安全审计负责认证鉴权,通过使用认证ukey、动态令牌等技术实现身份认证;天融信数据库审计与防护可根据操作行为进行特征判定,实时阻断非法sql语句命令,同时根据用户使用行为建立行为基线,当行为偏离基线时可以第一时间告警。
利用应用程序检查漏洞实施注入攻击
黑客常常利用应用系统对用户输入验证不严格的弱点,通过恶意拼接搜索语句并注入sql代码,以此“诱骗”数据库执行未经授权的查询操作,进行非法访问并窃取敏感数据。
安全锦囊
天融信数据库审计与防护系统内置丰富的sql注入攻击检测规则,从数据准入、行为模式、业务建模等多方面进行深度分析,识别并阻止各种恶意攻击,大幅减少数据库遭受侵害风险,确保数据的安全性和完整性。
利用数据库漏洞毁损或窃取数据库数据
攻击者常常会搜寻并利用数据库系统的安全漏洞,从而获取敏感信息、破坏数据完整性,控制数据库服务器。
安全锦囊
天融信数据库审计与防护系统具备丰富的漏洞库规则,基于漏洞扫描功能实时扫描数据库实例资产,并出具扫描报告,依据报告打补丁加固资产,对数据库资产进行全方位安全加固,预防数据泄露风险。
非工作时间段登录操作数据库
在非工作访问时段(如深夜、凌晨以及非工作日等),企业安全防护较为薄弱,用户登陆操作数据库面临较大的安全风险。企业难以在数据泄漏事件爆发时快速感知、及时响应。
安全锦囊
天融信数据库审计与防护系统通过关联用户的访问行为与时间,来评估在特定时间段内对数据库的操作是否符合规定。一旦检测到违规行为,系统将及时中断并发出警报,从而阻止未经授权的登录或不当操作,有效预防数据泄露或损坏的风险。
短时间内多次尝试登录数据库
用户在极短时间内连续多次尝试登录数据库,极有可能存在暴力破解或撞库攻击等潜在威胁,进一步加大数据泄露或账户被未授权访问的风险。
安全锦囊
天融信数据库审计与防护系统通过设定自定义的频次和时间阈值,设置暴力破解规则精确识别暴力破解行为。此外,系统内置数亿条弱口令规则,实时扫描实例账号,检测是否存在弱口令,有效地减少暴力破解和撞库攻击的风险。
短时间内批量操作数据库
用户在短时间对目标数据库执行批量操作,如批量导出或批量修改数据,极有可能导致大规模的数据泄漏。
安全锦囊
天融信数据库审计与防护系统允许用户自定义频次阈值、时间以及操作动作,从而有效监控并管控短时间内的大批量操作行为,显著降低因数据库批量操作而引发的数据泄露风险。
普通用户非法提权后进行高危操作
某些低权限账户可能会利用间接方法提升其控制权限,如非法变更、漏洞利用等,并在权限变更后执行高风险操作,从而导致数据泄露。
安全锦囊
天融信数据库审计与防护系统通过定义细粒度规则,将如truncate table、drop table等操作标识为高危行为,并限制普通用户的执行权限,从而防止数据库表删除等高风险操作,有效避免了核心数据泄露风险。
开发测试、数据分析场景窃取敏感数据
在开发测试和数据分析的场景中,常常直接使用未经脱敏的生产数据进行测试和分析,存在重大安全隐患,极易导致数据泄露。
安全锦囊
天融信数据库审计与防护系统拥有强大的数据脱敏功能,利用内置的高效脱敏算法将敏感信息转换成虚构数据,从而保护真实数据不被泄露,同时满足企业的合规性要求,有效解决企业在系统开发测试、数据分析和大数据应用过程中可能遭遇的数据泄漏问题,同时保障开发测试质量。
第三方人员通过审计系统日志窃取敏感数据
审计设备存储了众多业务和数据库数据在内的敏感信息,第三方运维人员可利用查询审计设备数据或日志等方式,窃取敏感数据。
安全锦囊
天融信数据库审计与防护系统可对审计日志中的敏感信息(如身份证号、手机号、银行卡号等)执行掩码操作,实施有效隐私保护措施,同时自定义敏感保护规则,防止因查看审计设备而造成的敏感数据二次泄漏。
天融信数据库审计与防护系统
数据库安全防护利器
除上述十大风险的防范外,天融信数据库审计与防护系统还可运用数据库状态监控、风险行为分析、智能行为基线等先进技术手段,通过对数据库资产的实时监控分析,以及审计与防护,及时发现异常行为并采取相应的防控措施,兼具全面审计粒度细、操作行为控制严、风险分析场景多、亿级数据检索快的四大优势特点,帮助客户发现和防范数据库面临的多种安全威胁,保障客户数据库安全。
作为国内网络安全领军企业,天融信自2012年开始布局数据安全领域,率先提出“以数据为中心的安全体系建设”,形成了覆盖数据全生命周期的安全产品与服务体系,相继推出了数据库审计、网络审计、数据防泄漏、数据脱敏、备份一体机、数据安全管理平台、数据库审计与防护等一系列数据安全产品,并发布了面向ai时代的一体化数据安全凯发官网入口首页的解决方案(点击查看详情),快速、全面、低成本解决数据安全问题,持续赋能客户数字化转型。
topsec
据idc分析,数据库安全市场正处于快速发展的关键时期,同时也面临着诸多挑战。随着企业和机构数据量的急剧增长,对数据库安全的保护需求也日益凸显。未来,天融信作为数据安全共同体计划的联合发起单位,将在数据库安全领域中持续发力,为全面审计、安全溯源、快速定位提供坚实的保障力量,筑牢网络安全防线,助力数字中国建设!