freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

安华金和:企业数据库安全应用指南
2019-03-01 09:51:41
所属地 北京

一.  数据库安全现状

民营企业作为国民经济发展的重要组成,伴随着经济全球化发展,企业管理借鉴了国外先进的现代企业管理模式。当前,全球信息化进程的不断发展,这给民营企业管理方式带来一个新的发展方向。企业管理信息化建设和发展对提高企业市场竞争力具有重要的推进作用。

同时,随着企业市场竞争环境的加剧,民营企业的经营模式和制造模式也发生了重大转变,数字化信息化系统的应用越来越广泛。而数据库作为民营企业信息技术的核心和基础,承载着企业重要的关键业务,并逐渐成为其在商业活动最具有战略性的资产。因为,数据库的安全稳定运行决定着业务系统能否正常使用。其次,企业内部存储的大量敏感信息,包括生产或交易明细、客户资料等极其重要和敏感的数据。而这些信息一旦被篡改或者泄露,轻则造成企业的经济损失,重则影响企业形象和社会声誉,并且也会为竞争对手创造商业机会。可见,数据库安全对民营企业至关重要。

二.  数据库安全防护面临的问题

但在数据库安全防护方面,很多企业还略显薄弱,主要表现在以下几点:

2.1  数据库口令强度问题 

在很多Oracle数据库中,存在着很多数量的默认账号,而客户通常对这些默认账号不进行任何安全防护,这就很容易被黑客利用。

2.2   补丁升级滞后 

由于种种原因造成的补丁升级不及时造成的数据库安全隐患。

2.3  默认安全策略 

默认安全策略主要包括口令策略、口令有效时间、默认组件以及默认的远程访问安全策略等。

2.4   危险存储过程 

危险的存储过程往往会对数据库造成巨大的安全隐患。一些时候黑客在对数据库系统进行入侵时,往往会借助存储过程来实现对客户系统的入侵。 

2.5  敏感信息泄密威胁 

在企业的业务系统中,有大量的个人信息、企业信息、信誉信息等敏感数据,会存在内部数据库维护人员、外部攻击者利用数据库存在的高权限账户或者漏洞,直接获取企业大量敏感信息的安全隐患。

2.6   综合防护程度较低 

目前,很多系统的数据库,综合防护措施程度较低,很多用户对于数据库访问没有设定访问策略,而很多用户则是严重违反安全条例,将数据库主机和应用服务主机设定成一台,还有用户是防火墙没有有效的安全设定,防火墙几乎等于摆设,这些安全问题就造成了黑客或病毒的异常活跃,对用户的系统造成了极大的威胁。

2.7   外部SQL注入攻击威胁

随着信息化建设的普及,各行业对外开放应用服务越来越广泛,非法用户可以通过互联网对业务系统进行试探和攻击行为,利用SQL注入等技术非法入侵业务平台数据库系统,有目的窃取、篡改、破坏、拷贝重要数据,从而造成信息泄露。

三.  数据库安全风险

3.1  员工监守自盗

在企业内部,运维人员、数据库管理人员拥着诸多高级权限和不受约束,当内部人员通过高权限账户进行犯罪时企业通常不能及时察觉和防范,事后也无法进行追溯分析,针对员工的坚守自盗取加强内部数据安全管理已经成为企业最为头痛的问题。

3.2  数据库遭劫持勒索

数据库被劫持勒索往往是企业最为头疼的问题,攻击者通过故意散播携带勒索病毒,引诱下载工具软件从而发起勒索攻击。当企业的数据库遭受勒索攻击后,数据库会被黑客完全控制,数据库会被锁死而不能进行操作、相应的业务系统也会面临瘫痪,只有当企业交付高昂的赎金后其数据库才能被解锁。

3.3  数据库遭受黑客攻击

黑客利用Web应用漏洞,进行SQL注入,或以Web应用服务器为跳板,利用数据库自身漏洞进行攻击和侵入。

四.  数据库安全解决方案

企业的数据库系统应实现对数据的动态监管,自动化完成对数据的定期检查,针对为安全管理人员、数据管理员和受控人员建立敏感数据安全管控的平台。将数据的类型及敏感程度进行整体管理,并针对不同级别的数据的操作及流转进行管理、审计,可以将数据分布情况以及使用情况进行可视化处理,生成数据分析报告,并依托分析报告完成数据安全风险评估,最终做出合理建议,为企业提升数据库安全管理工作水平。

4.1  监察预警,系统漏洞扫描

企业应通过数据库漏洞扫描系统进行实时检查,对数据库安全状况的监控,包括相关安全配置、连接状况、用户变更状况、权限变更状况、代码变更状况等全方面的安全状况评估;建立安全基线,实现安全变化状况报告与分析。

对于数据库勒索劫持攻击,大部分勒索、后门类攻击都会存在一定的潜伏期,通过定期安全检查可以在攻击行为爆发前,发现潜伏在数据库中的威胁,防止攻击爆发后的数据资产损失。

4.2  主动防御,规范管理方式

企业应通过数据库安全运维技术,对数据库运维的访问和操作行为加强审批管控。数据库安全运维系统,可以对所有数据库运维的访问和操作建立规范的运维流程,包括事前审批,事中控制,事后记录操作信息,进而实现全运维流程的管理,实现防高危操作、防“内鬼”泄密的行为。

4.3  底线防守

企业应通过对数据进行底层加密,来防止由于明文存储引起的泄密、 防止外部非法入侵窃取敏感数据、 防止内部高权限用户数据窃取、防止合法用户违规数据访问。数据库加密技术能够确保即使拿走了磁盘,对方也无法看懂数据。

4.4  事后追查

对数据库协议进行精确识别,企业应通过数据库审计记录和回放针对统计数据库的攻击行为、篡改行为、泄密行为、误操作等行为,为事后追溯定责提供准确依据,同时对上述行为提供邮件、短信、声音等多种报警方式。

五.  数据库安全应用感言

“我们集团是多元的组织架构,技术路线多样,人员组成复杂,安华金和数据库审计和脱敏的产品组合有效提高业务系统的数据安全性,并且,本土品牌在服务和合规上,也能满足我们的要求,通过一年的运转,集团计划加大在数据安全管理上的投入。”

--某大型跨国集团安全管理岗

本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者