近年來,各行業(yè)用戶對于數(shù)據(jù)安全的建設(shè)目標(biāo),正在逐漸從“單純防外部攻擊”轉(zhuǎn)向“內(nèi)外部環(huán)境下的數(shù)據(jù)安全使用”,這種視角的轉(zhuǎn)變代表企業(yè)和組織更加重視數(shù)據(jù)流轉(zhuǎn)過程中各個環(huán)節(jié)的管控,對于企業(yè)核心數(shù)據(jù)的訪問來自應(yīng)用和運維兩方面,而運維人員具有更高操作權(quán)限。
目前在信息化建設(shè)較為成熟的大型集團(tuán)或組織,已經(jīng)形成了詳細(xì)的運維工作管理要求,以某運營商行業(yè)的信息安全管理規(guī)范為參考,能夠梳理出組織和企業(yè)對于數(shù)據(jù)運維安全,應(yīng)當(dāng)重點考慮的幾個角度和可參照的標(biāo)準(zhǔn),同時將我們在此方面的技術(shù)思路呈現(xiàn)出來,供參考。
規(guī)范中的重點運維要求可歸納為以下四點:
權(quán)限明確、職責(zé)分離、最小特權(quán)
運維賬戶的權(quán)限分配應(yīng)當(dāng)遵循“權(quán)限明確、職責(zé)分離、最小特權(quán)”的原則。原則上一個賬號對應(yīng)一個用戶,而一個賬號擁有的權(quán)限是由其被賦于的崗位角色所決定的,應(yīng)按照角色或用戶組進(jìn)行授權(quán),而不是將單個權(quán)限直接賦予一個賬號。對權(quán)限相近的崗位角色進(jìn)行合并,并對崗位角色的權(quán)限進(jìn)行規(guī)范。在涉及客戶信息的系統(tǒng)中,崗位角色應(yīng)當(dāng)根據(jù)企業(yè)、部門的組織結(jié)構(gòu)和職責(zé)分配而設(shè)定;同時,應(yīng)當(dāng)根據(jù)崗位角色的需要對相關(guān)人員進(jìn)行授權(quán),不能根據(jù)人員需求或變更而設(shè)定崗位角色。不同的崗位角色擁有不同的權(quán)限。
角色定位、崗位職責(zé)、權(quán)限要求
規(guī)范中界定的運維角色有主機(jī)管理員、網(wǎng)絡(luò)管理員、數(shù)據(jù)庫管理員、應(yīng)用管理員、配置管理、服務(wù)監(jiān)控、安全管理等,于各省公司負(fù)責(zé)涉及客戶敏感信息的系統(tǒng)的維護(hù)管理和服務(wù)監(jiān)控的人員。其中:
l 主機(jī)管理員、網(wǎng)絡(luò)管理員、數(shù)據(jù)庫管理員、配置管理員等超級管理員無權(quán)查詢客戶信息;
l 應(yīng)用管理員有查詢權(quán)限,按照最小授權(quán)原則授權(quán),可授予增加、刪除、修改、批量導(dǎo)入與導(dǎo)出、批量開通與取消、批量下載等針對客戶敏感信息操作的部分權(quán)限,但必須有嚴(yán)格的日志記錄;
l 具有批量操作權(quán)限的人員應(yīng)指定專人,人員范圍應(yīng)盡量小。
關(guān)于登錄及操作審批的規(guī)定
l 運維支撐人員對業(yè)務(wù)系統(tǒng)應(yīng)用層的訪問權(quán)限必須經(jīng)過業(yè)務(wù)管理部門審批,對系統(tǒng)層訪問權(quán)限必須經(jīng)過本部門領(lǐng)導(dǎo)審批。
l 運維支撐人員因統(tǒng)計取數(shù)、批量業(yè)務(wù)操作對客戶敏感信息查詢、變更操作時必須有業(yè)務(wù)管理部門的相關(guān)公文,并經(jīng)過部門領(lǐng)導(dǎo)審批。
l 支撐人員因系統(tǒng)維護(hù)進(jìn)行客戶敏感信息的數(shù)據(jù)遷移(數(shù)據(jù)導(dǎo)入、導(dǎo)出、備份)必須填寫操作申請,并經(jīng)過部門主管審批。
關(guān)于敏感數(shù)據(jù)運維操作流程的規(guī)定:審批要求
運維支撐人員因業(yè)務(wù)投訴、統(tǒng)計取數(shù)、批量業(yè)務(wù)操作、批量數(shù)據(jù)修復(fù)等進(jìn)行的客戶敏感信息查詢、變更必須提交操作申請,按照要求進(jìn)行操作,不得擴(kuò)大操作范圍,在工單中保留操作原因和來源的工單(公文)編號,并由專人負(fù)責(zé)審核。
當(dāng)前運維管理工作需求與現(xiàn)狀
以上管理規(guī)范中對于數(shù)據(jù)庫運維側(cè)的相關(guān)規(guī)定,對高細(xì)粒度的運維管控提出了要求:涉及到了運維人員身份鑒別,登錄及操作審批、運維操作流程精確審計以及集中的事中管控等方面。
傳統(tǒng)的數(shù)據(jù)庫運維工作的管理模式重在事前審批,審批通過后則由運維人員自行安排操作執(zhí)行,也可能由其他人員代操作,整個操作過程不定因素很多:
l 實際操作人是誰?
l 運維人員實際操作是否與申請一致?
l 出現(xiàn)誤操作,如何追溯?
l 如何管控來自內(nèi)部或第三方運維人員有意無意的高危操作?
目前,堡壘機(jī)是大多數(shù)企業(yè)的普遍解決方案。而事實上,由于缺乏對數(shù)據(jù)庫通訊協(xié)議的精確解析能力,堡壘機(jī)只能實現(xiàn)對操作人身份、操作目標(biāo)庫等最基本的身份識別,這其中差了最關(guān)鍵的一環(huán):對操作內(nèi)容、操作過程的有效管控。因此,對執(zhí)行過程進(jìn)行透明化管控是數(shù)據(jù)庫安全運維系統(tǒng)的重要使命。另外,堡壘機(jī)對于圖形化操作只能進(jìn)行錄屏,無法作到有效事中控制,未來風(fēng)險分析時也無法完成快速的檢索和定位。
數(shù)據(jù)庫安全運維細(xì)粒度管控技術(shù)分析
安華金和的數(shù)據(jù)庫安全運維系統(tǒng)DBController正是憑借著細(xì)粒度的運維管控優(yōu)勢,幫助眾多用戶實現(xiàn)了對數(shù)據(jù)庫的日常運維管理,有效提升運維管理的精細(xì)度和安全性。
運維身份認(rèn)證細(xì)粒度控制
用戶風(fēng)險
某集團(tuán)運維工作中,存在運維人員小張、小王、小李共享主機(jī)和數(shù)據(jù)庫賬戶的情況,一旦發(fā)生運維事故,怎么定位追責(zé)?
解決方案
通過雙因素認(rèn)證機(jī)制,解決數(shù)據(jù)庫賬戶共享、運維主機(jī)共享場景下的運維人員精準(zhǔn)身份鑒別及權(quán)限劃分問題。認(rèn)證機(jī)制包括:
動態(tài)令牌:運維人員在登錄數(shù)據(jù)庫后,需要輸入動態(tài)令牌顯示的數(shù)字校驗身份,通過后方可執(zhí)行與身份相符的運維操作。
審批口令碼:運維人員提交申請并通過后獲得審批碼,運維人員登錄數(shù)據(jù)庫需提交審批碼,方可繼續(xù)執(zhí)行獲準(zhǔn)的運維操作。
DBController可設(shè)置普通用戶、審批人、安全管理員、系統(tǒng)管理員、審計管理員五種角色,對應(yīng)不同操作權(quán)限。
l 普通用戶即一線運維人員,其權(quán)限是可以對執(zhí)行的語句進(jìn)行申請并根據(jù)申請結(jié)果執(zhí)行操作;
l 審批人即運維主管或安全主管,對申請人申請的語句進(jìn)行審批,也可以申請語句并執(zhí)行;
l 安全管理員可以制定管控對象和操作規(guī)則,對運維數(shù)據(jù)實時監(jiān)控,審計檢查;
l 系統(tǒng)管理員主要權(quán)限是對主機(jī)管理、內(nèi)存管理、網(wǎng)絡(luò)管理,管理數(shù)據(jù)庫,管理用戶。
l 審計管理員主要負(fù)責(zé)監(jiān)督普通用戶、審批人、安全管理員及系統(tǒng)管理員在系統(tǒng)中的操作。
應(yīng)用場景舉例
運維人員小張和小李共享主機(jī)和數(shù)據(jù)庫賬戶,DBController進(jìn)行管控后,運維小張對數(shù)據(jù)庫進(jìn)行訪問操作,當(dāng)執(zhí)行操作對象涉及敏感數(shù)據(jù)時,觸發(fā)DBController控制規(guī)則被攔截,于是小張登錄DBController對訪問對象和操作進(jìn)行申請審批流程,審批通過后獲得審批口令碼;小張即便和小李共享主機(jī)和數(shù)據(jù)庫賬戶,由于操作前進(jìn)行動態(tài)口令和審批口令碼認(rèn)證,系統(tǒng)即可識別出操作人的真實身份,對小張審批通過后的語句可以合法放行;而小李沒有動態(tài)口令和審批口令碼認(rèn)證,所以無法連接數(shù)據(jù)庫進(jìn)行操作。
訪問對象細(xì)粒度控制
用戶風(fēng)險
公司運維人員(第三方運維人員A、內(nèi)部運維人員B、運維部門領(lǐng)導(dǎo)C)均可以訪問數(shù)據(jù)庫任意對象,敏感數(shù)據(jù)面臨更多泄露風(fēng)險。
解決方案
DBController系統(tǒng)可以對訪問數(shù)據(jù)庫對象進(jìn)行細(xì)粒度管控,控制對象可以是庫,可以是表,也可以精細(xì)到列;管控對象可以包括用戶、登錄IP、客戶端工具、時間。
同時,系統(tǒng)可對運維人員訪問的敏感對象做細(xì)粒度控制,根據(jù)不同運維人員訪問敏感數(shù)據(jù)權(quán)限,能夠通過內(nèi)置的敏感數(shù)據(jù)訪問規(guī)則,對其訪問數(shù)據(jù)中的身份證號、銀行卡號、電話號碼、姓名、住址等敏感數(shù)據(jù)信息進(jìn)行掩碼處理,實現(xiàn)敏感數(shù)據(jù)動態(tài)遮蔽,防止內(nèi)部運維人員泄露敏感數(shù)據(jù)。
應(yīng)用場景舉例
通過數(shù)據(jù)庫安全運維工具,安全管理員小張可以對公司內(nèi)部運維人員(運維人員A、B、C)運維訪問對象進(jìn)行管控規(guī)則設(shè)置;
? 第三方運維人員A只能訪問公司數(shù)據(jù)庫里不涉及敏感信息的數(shù)據(jù),而敏感數(shù)據(jù)則不能訪問
? 公司內(nèi)部運維人員B可以訪問數(shù)據(jù)庫很多對象,而訪問的敏感數(shù)據(jù)被遮蔽處理,看不到真實信息
? 公司運維部門領(lǐng)導(dǎo)C可以訪問數(shù)據(jù)庫任意對象,涉及敏感數(shù)據(jù)也能看到真實數(shù)據(jù)。
申請審批流程細(xì)粒度控制
用戶風(fēng)險
運維小張對數(shù)據(jù)庫中敏感字段進(jìn)行修改操作,小張一不留神造成了誤操作,從而導(dǎo)致前端相關(guān)的業(yè)務(wù)訪問中止或出錯,造成企業(yè)直接損失。
解決方案
DBController可對運維人員提供運維審批細(xì)粒度控制,敏感數(shù)據(jù)操作行為需要經(jīng)過審批;審批通過后配發(fā)唯一口令碼,確保操作執(zhí)行者為信任用戶,執(zhí)行行為屬獲批行為。
系統(tǒng)支持設(shè)置多個審批員,避免審批人員出差或不在崗影響運維人員工作,只要有一個審批通過即可;同時系統(tǒng)也支持多級審批,提高運維審批強度和規(guī)范運維流程。
用戶可以通過第三方工具登錄數(shù)據(jù)庫進(jìn)行操作,簡單口令認(rèn)證,不改變原有工作習(xí)慣,口令通過者只能執(zhí)行其申請的操作內(nèi)容,杜絕誤操作及違規(guī)操作。未經(jīng)口令認(rèn)證者無法操作敏感對象,防止越權(quán)操作。
應(yīng)用場景舉例
運維小張對數(shù)據(jù)庫進(jìn)行訪問操作,當(dāng)執(zhí)行操作對象涉及敏感數(shù)據(jù)時,觸發(fā)DBController控制規(guī)則被攔截,于是小張登錄DBController對訪問對象和操作進(jìn)行申請審批流程,審批人看到小張的申請工單詳情后給予了通過,小張獲得審批口令碼,完成登錄認(rèn)證后成功執(zhí)行申請的操作,后又執(zhí)行非審批語句系統(tǒng)判為違規(guī)操作攔截,小張隨即又一次申請審批通過成功執(zhí)行該操作。運維登錄、操作細(xì)粒度控制
用戶風(fēng)險
由于未對運維人員操作時間、登錄IP加以限制,導(dǎo)致第三方運維人員小張通過其他IP在非工作時間進(jìn)行運維操作,帶來運維安全隱患。
解決方案
DBController系統(tǒng)可對運維人員的IP、客戶端工具、賬號、時間等進(jìn)行細(xì)粒度的登錄控制。
系統(tǒng)可以對于運維人員的執(zhí)行操作進(jìn)行細(xì)粒度控制,涉及數(shù)據(jù)庫風(fēng)險行為SQL注入、漏洞攻擊、批量數(shù)據(jù)下載、危險SQL語句(如No where 、truncate)等,提供攔截、阻斷、實時告警等管控模式。
系統(tǒng)針對數(shù)據(jù)庫數(shù)據(jù)表,可按照受影響數(shù)據(jù)行數(shù)(閥值)進(jìn)行精細(xì)管控,包括查詢、更新和刪除動作,超出閥值的行為進(jìn)行阻斷或攔截,防止高危操作或大批量數(shù)據(jù)泄露。
應(yīng)用場景舉例
運維人員小張?zhí)峤坏牟僮鲗徟袝幸粋€針對操作對象的時間控制,即需要規(guī)定時間內(nèi)完成所申請的操作內(nèi)容,不在規(guī)定時間范圍內(nèi)操作則操作申請無效。對于審批后的定時任務(wù),DBController可以在制定時間和周期完成規(guī)定腳本,并將執(zhí)行結(jié)果告知申請人和審批人。
結(jié)語
目前,由于數(shù)據(jù)資產(chǎn)的敏感度高,運維人員工作強度大以及運維外包形式普遍等原因,政府、金融、社保、運營商、能源、大型企業(yè)等用戶已經(jīng)開始越發(fā)重視數(shù)據(jù)運維安全的建設(shè),技術(shù)手段的引入能夠更好的實現(xiàn)規(guī)范制度的落地,數(shù)據(jù)庫安全運維系統(tǒng)的功能開發(fā)和演進(jìn)全部基于用戶側(cè)的真實需求。在整個數(shù)據(jù)安全治理的技術(shù)框架下,作為內(nèi)部訪問安全的重要一環(huán),運維行為的細(xì)粒度管控效果,正在逐漸顯現(xiàn)出來,并能夠為用戶提供一種高效不出錯的安全方案。
- 蜜度索驥:以跨模態(tài)檢索技術(shù)助力“企宣”向上生長
- 美媒聚焦比亞迪“副業(yè)”:電子代工助力蘋果,下個大計劃瞄準(zhǔn)AI機(jī)器人
- 微信零錢通新政策:銀行卡轉(zhuǎn)入資金提現(xiàn)免手續(xù)費引熱議
- 消息稱塔塔集團(tuán)將收購和碩印度iPhone代工廠60%股份 并接管日常運營
- 蘋果揭秘自研芯片成功之道:領(lǐng)先技術(shù)與深度整合是關(guān)鍵
- 英偉達(dá)新一代Blackwell GPU面臨過熱挑戰(zhàn),交付延期引發(fā)市場關(guān)注
- 馬斯克能否成為 AI 部部長?硅谷與白宮的聯(lián)系日益緊密
- 余承東:Mate70將在26號發(fā)布,意外泄露引發(fā)關(guān)注
- 無人機(jī)“黑科技”亮相航展:全球首臺低空重力測量系統(tǒng)引關(guān)注
- 賽力斯發(fā)布聲明:未與任何伙伴聯(lián)合開展人形機(jī)器人合作
- 賽力斯觸及漲停,汽車整車股盤初強勢拉升
免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請進(jìn)一步核實,并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏,概不負(fù)任何法律責(zé)任。任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時,應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實,溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。