數字時代的數據庫安全威脅與應對措施

數字時代的數據庫安全威脅與應對措施

安華金和高級資源顧問譚峻楠

大多數用戶對于傳統IT架構的需求以穩健性為主，業務系統運轉正常最為重要，安全性則為次要考慮。通過與用戶接觸，我們發現大多數用戶對于數據庫安全普遍存在誤區。

誤區一：數據庫自身的安全保障體系已經很完備，具有足夠的安全控制手段。

事實上，要做到完備的數據庫安全防護難度很大。據統計，從2007年至今，CVE漏洞庫一共公布數據庫漏洞2000余個，其中核心系統中應用最廣泛的ORACLE數據庫漏洞即占了一半的比例。如此數量的安全漏洞，將直接引發數據泄露風險。《Verzion2015年數據泄露調查報告》同樣印證了這個觀點，報告中顯示“數據泄漏事件發生的主要原因中，90%來自數據庫威脅。” 事實證明，用戶對于數據庫的安全防護遠遠不夠。

誤區二：內部人員是可信的。

從數據庫系統的開發到運維，過程中牽涉的開發人員、第三方運維人員、內部人員等可以通過不同途徑直接訪問數據庫。當發現篡改商業數據、竊取國家機密，可以帶來豐厚的利益，這時，傳統可信的人也成為風險源。

針對隱私泄露高危行業，網上公布一系列的事件證明與程序員、第三方運維人員、內部人員有關系。首先是運營商信息泄露，像銀行、電商企業、保險行業，以及銀行的漏洞觸目驚心。其實收集這些泄露信息很簡單，短時間從20多家的保險公司、推銷的電話、房管信息、醫療行業、教育行業等就可以收集到。2015年社保行業個人的隱私發生422起，涉及超過30個省市。一旦信息泄露，就是幾百萬條，甚至更多。另外，數據篡改獲得了巨大的商業價值，篡改可能很簡單，改了一兩條記錄，但它的經濟價值卻很大。

誤區三：當前我們在網絡層的數據庫防護手段已經足夠保證數據庫不被非法訪問。

當下，大多數用戶已意識到信息安全的重要性，并進行網絡安全產品的部署，但用戶常常陷入誤區：認為只要部署了堡壘機、網絡防火墻、IPS/IDS等傳統網安產品，就可以保障內部的核心數據庫不受威脅。事實上，黑客們曾多次公開表示：繞過WAF訪問數據庫“輕而易舉“。網絡防火墻不對數據庫通訊協議進行控制，IPS/IDS也無法準確防御針對數據庫的攻擊，即使避過了所有外部攻擊，開發時種植在應用系統中的后門程序如何監管？

由于人們在意識上的誤區，數據庫系統常常直接暴露在網絡中而不設防。針對數據庫潛在安全風險，我們提出構建數據庫安全縱深防御體系：

巡檢梳理：數據庫漏洞掃描。

對數據庫中的業務系統、IP地址、管理人員、安全策略等進行梳理，找到數據庫安全弱點，對漏洞、弱口令，低策略，權限寬泛等內容提出加固建議，增強數據庫自身免疫力。

主動防御：數據庫防火墻。

利用虛擬補丁技術，防止外部漏洞攻擊；通過內部人員訪問權限的控制，防止誤操作和非授權行為；通過閾值控制，防止數據批量大面積泄密。

底線防守：數據庫加密、數據庫脫敏。

通過對數據庫核心數據加密，防止敏感數據明文泄露；通過靜態、動態脫敏技術，對核心數據進行脫敏處理，使敏感數據自由應用于開發、測試、培訓、數據分析等各類場景需求。

事后追查：數據庫審計。

實時記錄數據庫操作，進行細粒度審計，對數據庫遭受到的風險行為進行警告。通過對用戶訪問行為的記錄、分析，幫助用戶生成合規報告、事故追根溯源，提高數據資產安全性。

對于傳統IT架構中的數據庫安全問題，用戶尚且存在諸多誤區，那么隨著近年來大數據、云計算技術的迅猛發展，當用戶逐步將業務向云平臺轉移之前，是否會著重考慮云端數據安全問題？

IT架構的變化讓用戶的關注點從穩定性向安全性轉變。

當云平臺逐漸成為互聯網時代的IT基礎設施，用戶的需求也正在發生轉變。據統計，云計算所面臨的挑戰中，75%的用戶在安全性上猶豫不決，而在這75%的用戶中，對于數據安全問題抱有疑慮的用戶又占到74%。

對于傳統IT架構的需求，穩定性排在首位，而現在，當核心數據資產轉移至云環境中，用戶最為擔心的一定是安全性。