今日 话题
数据库安全防护不只是使用复杂口令那么简单 数据库安全现状 “十二五”期间,我省众高校以一本院校为龙头,先后启动了数字化校园建设,信息化程度得到了长足发展,数据库规模日益扩增。数字化校园运行过程中积累了大量诸如学校资金、计划、人员信息、财务、工资、学生消费、科研、项目、上网行为、人员位置、兴趣等高价值、高密度数据。这些数据在成为高校信息资产的同时,也面临着被违规访问、删除、修改、复制和缺乏审计等安全挑战。 高校信息化主管部门“信息中心”的前身一般为网络中心,其往往更重视网络安全,一般通过防火墙、入侵检测或防护对网络边界进行防护及访问控制,有些学校通过堡垒机、WAF等设备的部署,实现了运维审计和WEB防护,但对应用及数据库相关安全关注较少。ORACLE、SQLSERVER是高校高校在使用的主流数据库,其高密度、高价值的特性往往被黑客、内外部人员所觊觎,且对数据库的攻击一般较为隐蔽,难于被发现和防护,导致学校各层管理者防护意识不足,数据泄露或篡改时很难主动发觉和防御。 2010年全球造成严重后果的IT安全事件中92%的数据泄密是针对数据库的侵入,89%的数据泄密是黑客采用了SQL注入技术,84%的外部侵入利用了管理不善的数据库用户权限,而数据库安全问题造成的IT系统损失是最直接和最严重的,导致了企事业单位的形象、信用受损,营业收入降低以及客户的流失,甚至被行业淘汰。 《2015年数据泄露调查报告》中新增了一个统计模型,用以帮助企事业单位评估到底每笔数据泄露,要损失多少钱。如果泄露1000条记录时,有95%的可能会损失5.2万-8.7万。泄露1千万数据记录的花费介于210万到520万之间,但最多可能到7390万。 数据库威胁分析 国内某知名数据库安全厂商发布的《2016年数据库漏洞安全威胁报告》中指出,数据库安全威胁主要来自三方面,分别是人为因素、数据库漏洞、第三方恶意组件。 根据数据在被使用、传播、维护过程中可能涉及到到的人、设备、软件等,可以组合出灵活多样的攻击方式,对数据可能造成的危害程度自上而下逐步增加,如下图所示: 数据库纵深防御体系 数据库威胁的多渠道、多样性,决定不可能依靠单一的技术手段实现数据库的安全,必须从各个层面着手建立数据库纵深防御体系,实现多层次深层防护,真正做到敏感数据“看不见”、核心数据“拿不走”、运维操作“能审计”、非法访问能够被监控与审计的同时,还要保证对现有生产系统不产生任何性能影响。 业内主要的数据库安全产品有: 阻止和记录 数据库防火墙(Database Firewall)是数据库纵深防御体系的第一道防线,支持主动和被动两套安全模型。通过为任何应用程序自动生成白名单和黑名单提供灵活的SQL级实施选项,数据库防火墙可以实现监视数据库活动和防止未授权的数据库访问、SQL 注入、权限或角色升级、对敏感数据的非法访问等,其可伸缩的体系结构可以适应各种部署模式,从而使客户在网络上部署该防火墙时能更快速、更灵活。 监测与审计 Oracle配置管理(Oracle Configuration Management)可通过发现数据库并将其分类到策略组,然后依据400多个最佳实践和行业标准以及自定义的企业专用配置策略对数据库进行扫描,检测进而防止未授权的数据库配置更改,并更改管理信息板与合规性报告,从而实现资产管理、策略管理、漏洞管理到配置管理与审计、分析与解析的企业数据库环境的全程保护。 Oracle Total Recall (Oracle全面回忆) 产品可通过数据库中高效、抗干扰的归档存储确保完整、安全地保留和管理所有历史数据,还能透明地跟踪对敏感数据的更改,使用 SQL实时访问历史数据,并可实现简化的突发事件取证和错误修正。 访问控制 Oracle Database Vault可安全地整合应用程序数据或支持多承租方数据管理,强化了数据库中的内部控制,在数据库中预先定义了三个不同的责任,即账户管理、安全管理和资源管理。其可扩展性允许企业根据自己的业务需求自定义职责划分,还通过多因素授权扩展了访问控制机制。通过控制访问数据的对象、时间、地点和方式,企业可将对数据库的访问限制到特定的子网或应用系统。 此外,甲骨文还提供了Oracle Label Security(Oracle标签安全性)来支持访问控制,可根据业务需求对用户和数据进行分类,在数据库中实施不同级别的访问控制,例如利用Oracle Identity Management Suite对用户进行分类,通过Oracle Label Security在数据表中分行加入标签,从而使不同的人员在访问同一张表时,将会能看到不同的信息。 加密与屏蔽 Oracle数据库的高级安全选项提供了传输数据加密、数据完整性验证等多项功能,在一定程度上可以保证数据传输的安全性。可以支持OCI和JDBC等多种数据传输加密及完整性验证,支持RC系列、DES系列等多种加密算法,对服务器性能损耗在3%以内。 Oracle Advanced Security(Oracle高级安全性)无需更改应用程序,即可对静止的应用程序数据完全加密,防止IT人员或操作系统用户直接访问存储在数据库文件中、磁带上、导出的数据和其他数据,同时提供集中的密钥生命周期管理。 Oracle SecureBackup(Oracle安全备份) 能提供最快且安全的 Oracle数据库备份,还可以利用低成本的云计算存储,通过综合管理有效降低成本并简化备份与恢复的复杂性。 Oracle Data Masking (Oracle数据屏蔽) 则可对数据进行不可逆的去身份化后,再用于非生产环境,同时自动保留引用完整性,以便应用程序能够继续正常运行。 教育行业案例 中北大学通过引入堡垒机和数据库防火墙,根据业务系统部署架构及业务运行特点精心设计适配了安全策略,实现了通过服务器及客户端访问数据库所有操作的审计外,数据库防火墙还自带了网络、准入、行为、业务(基于业务常用SQL建模)等4大数据库防护功能,能够从操作阻止和记录、监测与审计、访问控制等三方面对数据库实现实时防护,且不会对业务应用产生影响。 另外,通过OCM专家级人员的数据库运维服务,对数据库的高可用、备份、容灾、等保防护等进行了设计、实施、配置,及时跟进ORACLE官方支持网站数据库相关安全漏洞发布及防范建议,第一时间对数据库安装安全补丁或实施保护策略,实现数据库内核防护。 山西集创科技有限公司提供面向智慧教育的IT整合服务,以智慧校园整体建设和运维为目标,综合应用云计算、物联网、大数据、移动互联、虚拟仿真(VR)等新一代信息技术,为客户提供包括咨询规划、软件研发、硬件配套、系统集成和运维外包在内的整体服务方案,并在教育模式创新、教育资源和教育空间开发等信息技术与教育教学深度融合方面开展持续研究和应用,是省内领先的专注智慧教育的IT解决方案服务商。 教育事业之伟大值得我们奉献一生, 集创人坚定的走在这条路上。 |
|
声明:文章版权归原作者所有 部分文章转自互联网 如有侵权请联系
[邮箱地址] 删除
|
注册
登录
