等保數(shù)據(jù)庫(kù)安全解決方案
行業(yè)需求與挑戰(zhàn)
在等級(jí)保護(hù)中,數(shù)據(jù)庫(kù)安全建設(shè)的總體目標(biāo)�,一是要保證核心數(shù)據(jù)庫(kù)自身的安全性,確保數(shù)據(jù)庫(kù)不會(huì)受到攻擊造成業(yè)務(wù)系統(tǒng)的癱瘓��;二是要求保證數(shù)據(jù)的保密性和完整性�����,對(duì)核心數(shù)據(jù)庫(kù)中的敏感數(shù)據(jù)進(jìn)行有效的安全防護(hù)�����,確保關(guān)鍵數(shù)據(jù)不泄密,不被違規(guī)篡改��;三是在數(shù)據(jù)庫(kù)使用過程中及時(shí)發(fā)現(xiàn)安全問題�����,防患于未然�����,按修復(fù)建議進(jìn)行安全加固�。
信息系統(tǒng)的核心數(shù)據(jù)存在數(shù)據(jù)庫(kù)中的,數(shù)據(jù)庫(kù)作為核心數(shù)據(jù)資產(chǎn)載體�,一旦發(fā)生無意識(shí)危險(xiǎn)操作、信息泄露�����、惡意篡改����,都將造成最為慘痛的損失。據(jù)Verizon 2015數(shù)據(jù)泄露調(diào)查報(bào)告�,數(shù)據(jù)庫(kù)服務(wù)器占泄露記錄總數(shù)的96%,成為頭號(hào)可能的泄露數(shù)據(jù)源���。
隨著當(dāng)前業(yè)務(wù)系統(tǒng)及數(shù)據(jù)庫(kù)的部署規(guī)模�、訪問人員和密集度的不斷增加,來自于外部攻擊者��、第三方運(yùn)維和開發(fā)人員��、內(nèi)部維護(hù)人員的威脅訪問�����,給企業(yè)數(shù)據(jù)安全帶來了嚴(yán)峻的挑戰(zhàn)�����。
外部威脅
目前已知的來自外部黑客常見的攻擊手段和漏洞包括:SQL注入�����、緩沖區(qū)溢出�����、拒絕服務(wù)��、提權(quán)等��,也有利用未及時(shí)安裝補(bǔ)丁���、缺省安裝漏洞���、程序后門和危險(xiǎn)代碼破壞權(quán)限體系,導(dǎo)致數(shù)據(jù)庫(kù)服務(wù)終止和敏感數(shù)據(jù)泄密����;
內(nèi)部運(yùn)維人員和DBA
明文存儲(chǔ)的安全威脅,使得數(shù)據(jù)文件���、備份文件被拷貝后��,可以輕易恢復(fù)����。
DBA等高權(quán)限用戶可以隨時(shí)任意地訪問門能干數(shù)據(jù)�����;
弱口令的存在��,使得容易被人暴力破解或嘗試成功,訪問敏感數(shù)據(jù)導(dǎo)致泄密和篡改����;
第三方運(yùn)維和開發(fā)人員
知道數(shù)據(jù)庫(kù)管理員賬號(hào),主要威脅在于假冒正常應(yīng)用賬戶���、合法DB用戶繞過應(yīng)用程序使用命令行工具訪問數(shù)據(jù)庫(kù)�、通過數(shù)據(jù)庫(kù)客戶端批量導(dǎo)出敏感信息導(dǎo)致泄密��。
管理
內(nèi)部人員�����、第三方維護(hù)人員的誤操作����、維護(hù)操作��、越權(quán)操作和惡意操作���,
多人共用一個(gè)賬號(hào)�����,責(zé)任難以分清����,超級(jí)管理員操作難以監(jiān)管和審計(jì)。
方案概述
本方案通過對(duì)安全威脅的分析���,進(jìn)行整體設(shè)計(jì)與規(guī)劃�����,系列安全產(chǎn)品相互之間分工協(xié)作�,共同形成整體的防護(hù)體系�,覆蓋了數(shù)據(jù)庫(kù)安全防護(hù)的事前診斷、事中控制和事后分析����。
事前診斷:通過數(shù)據(jù)庫(kù)漏掃產(chǎn)品,有效檢測(cè)數(shù)據(jù)庫(kù)已知漏洞��,并有效修復(fù)��。
定期進(jìn)行數(shù)據(jù)庫(kù)安全檢查��,防患于未然����,對(duì)數(shù)據(jù)庫(kù)安全風(fēng)險(xiǎn)進(jìn)行綜合評(píng)估�,使用專門的數(shù)據(jù)庫(kù)漏洞掃描系統(tǒng)��,對(duì)生產(chǎn)域中數(shù)據(jù)庫(kù)的安全現(xiàn)狀進(jìn)行全面檢測(cè)��。安全漏洞項(xiàng)包括:弱口令���、缺省口令���、弱安全策略、權(quán)限寬泛��、敏感數(shù)據(jù)發(fā)現(xiàn)����、權(quán)限提升漏洞��、補(bǔ)丁升級(jí)等��,評(píng)估是否存在安全漏洞并提供修復(fù)建議�,為系統(tǒng)的安全配 置提升提供有效的參考。
事中控制:通過數(shù)據(jù)庫(kù)防火墻和數(shù)據(jù)庫(kù)加密解決�。
數(shù)據(jù)庫(kù)防火墻-從訪問源頭來保護(hù)數(shù)據(jù),監(jiān)測(cè)數(shù)據(jù)庫(kù)的訪問,防止未授權(quán)的訪問��、SQL Injection�、權(quán)限或角色的非法提升以及對(duì)敏感數(shù)據(jù)的非法訪問。高度精準(zhǔn)的基于SQL語法的分析�,避免誤判;基于黑�����、白名單的靈活的SQL級(jí)策略設(shè) 置���;支持Bypass和Proxy及混合部署模式�����,支持高可用���,大限度的適應(yīng)企業(yè)需求;虛擬補(bǔ)丁技術(shù)避免數(shù)據(jù)庫(kù)因?yàn)椴荒苓M(jìn)行補(bǔ)丁升級(jí)而造成的惡意訪問�。
在數(shù)據(jù)庫(kù)中加密存儲(chǔ)敏感信息防止被解析為明文,通過獨(dú)立于數(shù)據(jù)庫(kù)的權(quán)控體系和引入安全管理員��、審計(jì)管理員實(shí)現(xiàn)三權(quán)分立的安全管理手段����,防止DBA�、 第三方外包人員和程序開發(fā)人員越權(quán)訪問敏感信息��,結(jié)合動(dòng)態(tài)口令卡和SQL級(jí)API與應(yīng)用系統(tǒng)進(jìn)行綁定解決繞過應(yīng)用程序非法訪問數(shù)據(jù)庫(kù)的問題����。
事后分析:通過數(shù)據(jù)庫(kù)審計(jì)技術(shù)解決。
網(wǎng)絡(luò)旁路審計(jì)通過在核心路由設(shè)備上設(shè)置端口鏡像或采用分流監(jiān)聽��,使安全審計(jì)能夠監(jiān)聽到所有用戶通過路由設(shè)備與數(shù)據(jù)庫(kù)進(jìn)行通訊的操作��,并把數(shù)據(jù)庫(kù)操作進(jìn)行協(xié)議還原和分析��,細(xì)致的數(shù)據(jù)庫(kù)操作審計(jì)和用戶審計(jì)��,并有豐富的查詢檢索和報(bào)表功能��,維護(hù)簡(jiǎn)單�����、具備專業(yè)審計(jì)功能����,節(jié)約人力,減少維護(hù)費(fèi)用�����。
方案價(jià)值
本方案規(guī)劃使用專門的數(shù)據(jù)庫(kù)漏洞掃描系統(tǒng)����,對(duì)當(dāng)前系統(tǒng)中重要數(shù)據(jù)庫(kù)進(jìn)行全面的安全漏洞檢測(cè),有效暴露當(dāng)前數(shù)據(jù)庫(kù)系統(tǒng)的安全問題���,同時(shí)提出漏洞修復(fù)的建議�����,進(jìn)行整體安全加固�����。從而提升數(shù)據(jù)庫(kù)系統(tǒng)整體的安全性���。
本方案規(guī)劃使用數(shù)據(jù)庫(kù)加密產(chǎn)品,實(shí)現(xiàn)對(duì)數(shù)據(jù)庫(kù)中重要敏感信息的安全保護(hù)����,從存儲(chǔ)層�、數(shù)據(jù)庫(kù)訪問控制層�、應(yīng)用安全層面實(shí)現(xiàn)全方位防止敏感信息泄密。
本方案規(guī)劃使用數(shù)據(jù)庫(kù)防火墻產(chǎn)品����,通過防SQL注入、防高危操作來阻止外部黑客攻擊者入侵行為�����,實(shí)時(shí)的告警���,同時(shí)采用防火墻產(chǎn)品中的審計(jì)能力���,進(jìn)行事后分析。
江蘇國(guó)駿-打造安全可信的網(wǎng)絡(luò)世界
為IT提升價(jià)值
http://borgatopiano.com.cn/
免費(fèi)咨詢熱線:400-6776-989
