保護數據安全——從管理特權用戶開始

關鍵字：信息泄露 數據庫審計 數據保護 憑證管理 特權賬號

近幾年給企業咨詢的過程中，我們看到信息安全得到了足夠的重視，許多企業在網絡環境中部署了大量的防火墻、入侵檢測等安全產品，越來越多的防護手段也被引入到抵抗外來入侵的防護中。防御外部風險的安全意識已經得到很好的貫徹實施。可是層出不窮的信息泄露事件，讓很多信息安全管理人員沮喪。

在為企業做合規性檢查時，我們發現，數據庫管理員可以不受控制地訪問到任何數據；同時以用戶數據分析人員、程序員、開發方維護人員為代表的特權用戶，也可以訪問到敏感數據。

特權賬號濫用，將數據庫置于風險之中。普通的應用操作很少需要由“超級”特權所許可的訪問，允許應用程序使用超級特權用戶，會為不適當的非授權活動創造機會。所有的應用程序都應當使用最少特權的用戶憑證連接到數據庫。

某央企信息中心在信息安全保障工作上，一直走在業內的前端，近幾年配合十二五規劃，廣泛在集團內部實施了安全防護措施，包括機房安全、物理隔離、防火墻、入侵檢測、加密傳輸等等。但進行滲透測試時發現，數據泄露的風險依然存在。經過排查，數據庫安全成為了企業信息安全的短板，具體表現在以下方面：

數據庫管理員角色能擁有至高的權限，權限可以不受限制的傳播。這就使得獲取數據庫管理員角色的權限成為攻擊者的目標。一旦攻擊者獲得該權限，數據庫將對其徹底暴露，毫無任何安全性可言。……