數(shù)據(jù)庫安全
2020.04.29
數(shù)據(jù)庫是企業(yè)數(shù)據(jù)存放最集中的位置,所以眾多企業(yè)在關注數(shù)據(jù)安全時也是最早加以重視的環(huán)節(jié)��。很多的技術手段在網(wǎng)絡安全的發(fā)展過程中也已經(jīng)逐漸成熟���,并被很多企業(yè)采用。下面我們把針對數(shù)據(jù)庫安全所設計到的相關技術進行逐一分析���。
2.3.1.1數(shù)據(jù)庫審計
數(shù)據(jù)庫審計是數(shù)據(jù)保護最為成熟的技術手段之一���,典型來講數(shù)據(jù)庫審計可以實現(xiàn)如下目的。
ü 對數(shù)據(jù)庫自身的加固和敏感數(shù)據(jù)的定義及發(fā)現(xiàn)�����;
ü 全面監(jiān)測數(shù)據(jù)庫超級賬戶���、臨時賬戶等重要賬戶的數(shù)據(jù)庫操作;
ü 全面監(jiān)控數(shù)據(jù)庫敏感數(shù)據(jù)的批量訪問和異常訪問��,能實時警告和阻攔�;
ü 智能識別數(shù)據(jù)庫異常操作���,對發(fā)現(xiàn)的非法違規(guī)操作能及時告警響應;
ü 提供挖掘式的分析視圖���,可主動發(fā)現(xiàn)潛在的數(shù)據(jù)庫風險;
ü 詳細記錄數(shù)據(jù)庫操作信息�����,并提供豐富的審計信息查詢方式和報表�����,方便安全事件定位分析����,事后追查取證。
當然有些數(shù)據(jù)庫審計產(chǎn)品也集成了數(shù)據(jù)庫防火墻以及針對賬號及權限等功能��,能夠對某些數(shù)據(jù)訪問進行阻斷以及賬號權限的限制���。
2.3.1.2數(shù)據(jù)脫敏
企業(yè)數(shù)據(jù)不僅只在內部流轉���,很多時候還需要外部進行共享,這也是國家大數(shù)據(jù)發(fā)展戰(zhàn)略規(guī)劃的需求和前提�����。如何保證數(shù)據(jù)在產(chǎn)生、交換���、共享等場景下的數(shù)據(jù)安全可用和數(shù)據(jù)使用價值�?這讓數(shù)據(jù)脫敏安全技術成為熱門��?���!毒W(wǎng)絡安全法》的正式實施,數(shù)據(jù)脫敏被納入法規(guī)遵從的需求���?�!毒W(wǎng)絡安全法》要求:數(shù)據(jù)流動過程中應重視保護個人隱私��、社保信息����、資產(chǎn)信息��、醫(yī)療信息等敏感信息的安全�。為滿足這一要求,數(shù)據(jù)共享時需要使用數(shù)據(jù)脫敏技術�。特別是當數(shù)據(jù)應用于開發(fā)����、測試���、培訓等環(huán)境時,安全風險較大��,使用真實數(shù)據(jù)將臨嚴重數(shù)據(jù)泄露的風險��。
數(shù)據(jù)脫敏又稱數(shù)據(jù)去隱私化或數(shù)據(jù)變形���,是在給定的規(guī)則����、策略下對敏感數(shù)據(jù)進行變換����、修改的技術機制,能夠在很大程度上解決敏感數(shù)據(jù)的安全使用的問題���。而脫敏技術又根據(jù)其數(shù)據(jù)使用目的和方式的不同分為靜態(tài)脫敏和動態(tài)脫敏�����。
l 靜態(tài)脫敏
靜態(tài)脫敏適用于將數(shù)據(jù)抽取出生產(chǎn)環(huán)境脫敏后分發(fā)至測試�、開發(fā)、培訓��、數(shù)據(jù)分析等場景��。靜態(tài)脫敏是將數(shù)據(jù)抽取進行脫敏處理后�,下發(fā)至測試庫。開發(fā)��、測試��、培訓�、分析人員可以隨意取用測試數(shù)據(jù),并進行讀寫操作�����,脫敏后的數(shù)據(jù)與生產(chǎn)環(huán)境隔離���,滿足業(yè)務需要的同時保障生產(chǎn)數(shù)據(jù)庫的安全���,靜態(tài)脫敏可以概括為數(shù)據(jù)的“搬移并仿真替換”。
l 動態(tài)脫敏
動態(tài)脫敏適用于不脫離生產(chǎn)環(huán)境����,對敏感數(shù)據(jù)的查詢和調用結果進行實時脫敏���。動態(tài)脫敏能夠對生產(chǎn)庫返回的數(shù)據(jù)進行實時脫敏處理,確保返回數(shù)據(jù)可用而安全��。例如應用需要呈現(xiàn)部分數(shù)據(jù)����,但是又不希望應用賬號可以看到全部數(shù)據(jù)�����;運維人員需要維護表結構��,進行系統(tǒng)調優(yōu)���,但是不希望運維人員可以檢索或導出真實數(shù)據(jù)�,動態(tài)脫敏可以概括為“邊脫敏��,邊使用”
2.3.1.3數(shù)據(jù)庫特權賬號管理
數(shù)據(jù)庫的特權賬號管理是數(shù)據(jù)庫安全防護很重要的一個環(huán)節(jié)���,從一些案例統(tǒng)計來看����,大量的數(shù)據(jù)泄漏可能都是在這個環(huán)節(jié)產(chǎn)生的。DBA的權限太高����,而且很多企業(yè)DBA的權限是共享的,這就導致一方面具有權限的管理員如果拷數(shù)據(jù)輕而易舉��,另一方面即使拷貝了也不容易審計到�。
當然,不僅數(shù)據(jù)庫特權賬號存在數(shù)據(jù)泄漏風險��,應用�,甚至網(wǎng)絡設備等都存在這種特權賬號造成的安全隱患。所以對特權賬號的防護��,一方面可能集成在了數(shù)據(jù)庫審計方案的功能里����,還有客戶單獨構建特權賬號管理系統(tǒng)對企業(yè)整個應用,數(shù)據(jù)庫以及相關其他設備形成統(tǒng)一的特權賬號管理平臺��。
