等保數(shù)據(jù)庫安全解決方案
行業(yè)需求與挑戰(zhàn)
在等級保護中�����,數(shù)據(jù)庫安全建設(shè)的總體目標(biāo)�,一是要保證核心數(shù)據(jù)庫自身的安全性��,確保數(shù)據(jù)庫不會受到攻擊造成業(yè)務(wù)系統(tǒng)的癱瘓�����;二是要求保證數(shù)據(jù)的保密性和完整性�����,對核心數(shù)據(jù)庫中的敏感數(shù)據(jù)進行有效的安全防護��,確保關(guān)鍵數(shù)據(jù)不泄密,不被違規(guī)篡改�����;三是在數(shù)據(jù)庫使用過程中及時發(fā)現(xiàn)安全問題����,防患于未然,按修復(fù)建議進行安全加固�。
信息系統(tǒng)的核心數(shù)據(jù)存在數(shù)據(jù)庫中的,數(shù)據(jù)庫作為核心數(shù)據(jù)資產(chǎn)載體����,一旦發(fā)生無意識危險操作、信息泄露��、惡意篡改��,都將造成最為慘痛的損失�����。據(jù)Verizon 2015數(shù)據(jù)泄露調(diào)查報告����,數(shù)據(jù)庫服務(wù)器占泄露記錄總數(shù)的96%���,成為頭號可能的泄露數(shù)據(jù)源。
隨著當(dāng)前業(yè)務(wù)系統(tǒng)及數(shù)據(jù)庫的部署規(guī)模�����、訪問人員和密集度的不斷增加����,來自于外部攻擊者���、第三方運維和開發(fā)人員��、內(nèi)部維護人員的威脅訪問���,給企業(yè)數(shù)據(jù)安全帶來了嚴(yán)峻的挑戰(zhàn)。
外部威脅
目前已知的來自外部黑客常見的攻擊手段和漏洞包括:SQL注入�、緩沖區(qū)溢出、拒絕服務(wù)����、提權(quán)等,也有利用未及時安裝補丁�����、缺省安裝漏洞、程序后門和危險代碼破壞權(quán)限體系���,導(dǎo)致數(shù)據(jù)庫服務(wù)終止和敏感數(shù)據(jù)泄密�����;
內(nèi)部運維人員和DBA
明文存儲的安全威脅����,使得數(shù)據(jù)文件�、備份文件被拷貝后,可以輕易恢復(fù)��。
DBA等高權(quán)限用戶可以隨時任意地訪問門能干數(shù)據(jù)�����;
弱口令的存在�,使得容易被人暴力破解或嘗試成功,訪問敏感數(shù)據(jù)導(dǎo)致泄密和篡改�����;
第三方運維和開發(fā)人員
知道數(shù)據(jù)庫管理員賬號,主要威脅在于假冒正常應(yīng)用賬戶�����、合法DB用戶繞過應(yīng)用程序使用命令行工具訪問數(shù)據(jù)庫���、通過數(shù)據(jù)庫客戶端批量導(dǎo)出敏感信息導(dǎo)致泄密���。
管理
內(nèi)部人員、第三方維護人員的誤操作�����、維護操作���、越權(quán)操作和惡意操作,
多人共用一個賬號�,責(zé)任難以分清,超級管理員操作難以監(jiān)管和審計�。
方案概述
本方案通過對安全威脅的分析,進行整體設(shè)計與規(guī)劃�,系列安全產(chǎn)品相互之間分工協(xié)作,共同形成整體的防護體系,覆蓋了數(shù)據(jù)庫安全防護的事前診斷����、事中控制和事后分析。
事前診斷:通過數(shù)據(jù)庫漏掃產(chǎn)品����,有效檢測數(shù)據(jù)庫已知漏洞,并有效修復(fù)�。
定期進行數(shù)據(jù)庫安全檢查,防患于未然����,對數(shù)據(jù)庫安全風(fēng)險進行綜合評估,使用專門的數(shù)據(jù)庫漏洞掃描系統(tǒng)�,對生產(chǎn)域中數(shù)據(jù)庫的安全現(xiàn)狀進行全面檢測。安全漏洞項包括:弱口令�、缺省口令、弱安全策略����、權(quán)限寬泛、敏感數(shù)據(jù)發(fā)現(xiàn)��、權(quán)限提升漏洞�����、補丁升級等,評估是否存在安全漏洞并提供修復(fù)建議��,為系統(tǒng)的安全配 置提升提供有效的參考�。
事中控制:通過數(shù)據(jù)庫防火墻和數(shù)據(jù)庫加密解決。
數(shù)據(jù)庫防火墻-從訪問源頭來保護數(shù)據(jù)�,監(jiān)測數(shù)據(jù)庫的訪問,防止未授權(quán)的訪問���、SQL Injection��、權(quán)限或角色的非法提升以及對敏感數(shù)據(jù)的非法訪問�。高度精準(zhǔn)的基于SQL語法的分析���,避免誤判�����;基于黑、白名單的靈活的SQL級策略設(shè) 置�;支持Bypass和Proxy及混合部署模式,支持高可用�,大限度的適應(yīng)企業(yè)需求�;虛擬補丁技術(shù)避免數(shù)據(jù)庫因為不能進行補丁升級而造成的惡意訪問���。
在數(shù)據(jù)庫中加密存儲敏感信息防止被解析為明文���,通過獨立于數(shù)據(jù)庫的權(quán)控體系和引入安全管理員、審計管理員實現(xiàn)三權(quán)分立的安全管理手段�,防止DBA、 第三方外包人員和程序開發(fā)人員越權(quán)訪問敏感信息�����,結(jié)合動態(tài)口令卡和SQL級API與應(yīng)用系統(tǒng)進行綁定解決繞過應(yīng)用程序非法訪問數(shù)據(jù)庫的問題�。
事后分析:通過數(shù)據(jù)庫審計技術(shù)解決。
網(wǎng)絡(luò)旁路審計通過在核心路由設(shè)備上設(shè)置端口鏡像或采用分流監(jiān)聽��,使安全審計能夠監(jiān)聽到所有用戶通過路由設(shè)備與數(shù)據(jù)庫進行通訊的操作�����,并把數(shù)據(jù)庫操作進行協(xié)議還原和分析����,細致的數(shù)據(jù)庫操作審計和用戶審計,并有豐富的查詢檢索和報表功能�����,維護簡單、具備專業(yè)審計功能����,節(jié)約人力,減少維護費用���。
方案價值
本方案規(guī)劃使用專門的數(shù)據(jù)庫漏洞掃描系統(tǒng)��,對當(dāng)前系統(tǒng)中重要數(shù)據(jù)庫進行全面的安全漏洞檢測��,有效暴露當(dāng)前數(shù)據(jù)庫系統(tǒng)的安全問題��,同時提出漏洞修復(fù)的建議����,進行整體安全加固���。從而提升數(shù)據(jù)庫系統(tǒng)整體的安全性��。
本方案規(guī)劃使用數(shù)據(jù)庫加密產(chǎn)品�,實現(xiàn)對數(shù)據(jù)庫中重要敏感信息的安全保護�,從存儲層、數(shù)據(jù)庫訪問控制層�����、應(yīng)用安全層面實現(xiàn)全方位防止敏感信息泄密�����。
本方案規(guī)劃使用數(shù)據(jù)庫防火墻產(chǎn)品���,通過防SQL注入��、防高危操作來阻止外部黑客攻擊者入侵行為���,實時的告警,同時采用防火墻產(chǎn)品中的審計能力���,進行事后分析����。
江蘇國駿-打造安全可信的網(wǎng)絡(luò)世界
為IT提升價值
http://xufei-js.cn/
免費咨詢熱線:400-6776-989
