安華金和：數據庫運維安全現狀調研報告

馬云說過，數據是阿里最值錢的財富。數據的重要性又何止于阿里，信息化時代，數據之于很多企業(yè)來說，幾乎是命脈。確保數據安全就是確保這個脈搏健康穩(wěn)定的跳動。今天我們先撇開數據庫安全的外患，從內憂的角度來談談數據庫運維安全。

近日，安華金和面向IT運維領域展開了一場關于“數據庫運維安全現狀”的問卷調查活動。希望通過了解用戶的數據庫運維場景及安全現狀，發(fā)現各行業(yè)用戶在數據庫運維工作中的安全需求，并以此為參考進行下一步安全產品的研發(fā)，為市場帶來真正具有用戶價值的安全產品。該問卷調查活動共獲取有效樣本144份，經過數據統(tǒng)計分析，我們總結歸納了一些可參考結論，分享給關注數據庫安全的人士。

參與調查的人員來自各行各業(yè)，既包括政府，金融，能源，教育，又有制造業(yè)，互聯網，交通，醫(yī)療行業(yè)等。他們中以工程師和技術經理居多，對于企業(yè)數據庫系統(tǒng)的技術原理及運維操作比較了解，因此，本文所得調查結論的客觀性和專業(yè)度就得到了保障。

調查問卷結論分析

數據庫運維環(huán)境現狀

運維環(huán)境越來越復雜，運維安全變得越來越重要

1、數據庫服務器規(guī)模

在參與問卷的144家單位中，半數以上的企業(yè)部署的數據庫服務器超過50臺，三成企業(yè)達到百臺規(guī)模。

圖 1.1 數據庫服務器規(guī)模

2、數據庫服務器部署位置分布

有44%的參與者反饋數據庫服務器部署在內網環(huán)境中，另有49%反饋內網及外網環(huán)境中均有部署。選擇單純部署于外網或不區(qū)分內外網的比例僅有6%左右。

數據庫安全政策要求及安全檢查現狀

謀事要有方案安全要有標準

1、數據庫安全政策標準、安全檢查與使用工具

參與調查的企業(yè)中，需要通過等保檢查標準的企業(yè)占到51%，通過分保檢查標準的單位占35%，28%需要通過其他行業(yè)性安全標準。64%的單位對于數據庫會定期進行安全檢查，但有一半的企業(yè)表示在安全檢查中沒有使用專業(yè)的檢查工具，這在一定程度上對于檢查結果的全面性和專業(yè)度有所影響。

圖1.2 安全政策合規(guī)需求

數據庫安全防護手段

數據庫安全防護意識仍有很大的宣灌空間

1、敏感數據與訪問授權

數據安全威脅對企業(yè)來說是致命打擊。值得欣喜的是，大多數單位都具備對核心數據的保護意識，但仍有近三成的企業(yè)尚未建立防護體系。在提供外網服務的應用系統(tǒng)所用數據庫中，存有敏感數據的比例占到74%。79%的企業(yè)在運維人員訪問數據庫系統(tǒng)時必須得到授權。當敏感數據用于第三方公司進行開發(fā)、測試、培訓等環(huán)節(jié)前，38%的企業(yè)對敏感數據無防護手段，這是導致數據庫安全隱患的重要原因之一。

圖1.3 敏感信息的訪問

2、數據庫安全管控，數據庫防火墻最受青睞

有超半數單位沒有使用專業(yè)的數據庫安全管控產品，近一半單位不能滿足數據庫管理制度的要求?？梢?，對技術手段的認知有待提高。目前所采取的數據庫安全管控技術手段中，數據庫防火墻最受青睞。調查顯示，49%的參與者已部署數據庫防火墻或數據庫訪問管控平臺，23%只部署了堡壘機，29%未采取任何技術手段。

圖1.4 數據庫安全管控技術手段

3、審計到全面審計還有一段路要走

大部分企業(yè)會進行數據庫訪問審計，近三成單位只對少部分核心數據庫系統(tǒng)進行審計。 可見目前大多數用戶對于數據庫審計接受度較高，在此趨勢下，小部分未采取審計手段的用戶可能被引導。

圖1.5數據庫訪問審計的范圍

數據庫安全防護建議

工欲善其事必先利其器

1、在開發(fā)、測試、培訓等工作環(huán)節(jié)中，使用敏感數據前進行脫敏處理是必要的，選擇專業(yè)工具能夠提高工作效率，保證數據處理效果及質量。

目前專業(yè)數據庫脫敏和加密工具并沒有被廣泛使用，當數據量的規(guī)模較大，各數據表、數據子集之間的關聯關系變得復雜，面對劇增的工作量，手工脫敏或加密就難以應付，且無法保證處理質量。這將導致外發(fā)數據無法滿足開發(fā)、測試、分析等業(yè)務需求，影響結果準確性，同時，耗費的人力及時間成本往往得不償失。專業(yè)的數據庫脫敏工具可以保持原有數據類型和業(yè)務格式，保證長度不變、數據內涵不丟失，保持表間、表內數據關聯關系，確保以上業(yè)務場景中的脫敏數據真實有效。同時提供動態(tài)脫敏功能，對敏感數據進行透明、實時脫敏，對數據庫用戶名、IP\客戶端類型、訪問時間甚至業(yè)務用戶等多重身份進行訪問控制，提供多種安全策略。

2、使用專業(yè)有效的數據庫管控手段可以滿足細粒度的數據庫運維管控，滿足數據庫管理制度要求，防止危險訪問行為。

使用專業(yè)的數據庫管控產品，通過對數據庫訪問協議的精確解析，而非堡壘機單純對訪問操作進行錄屏，事后追責。

數據庫防火墻優(yōu)勢：基于對SQL語句的精準解析，提供高危訪問控制、SQL注入禁止、返回行數超標禁止、SQL黑名單等技術功能，對于匹配策略的威脅操作實時攔截、阻斷。

數據庫訪問管控平臺優(yōu)勢：專業(yè)的數據庫安全管控平臺在審批通過后返回唯一的操作碼，使用任意客戶端建立連接時，無操作碼或與原申請操作不符時，拒絕訪問。提高操作準確度，防止高危操作及誤操作。

3、運維部門對整體數據庫訪問行為有必要進行實時有效的監(jiān)控與審計，審計產品的風險感知能力、審計效率及審計結果的準確度是重要依據。

調查顯示大多數用戶已經局部部署或全面部署數據庫審計系統(tǒng)，在此基礎上，我們更應關注審計產品是否專業(yè)，如數據庫流量是否全捕獲，對于長語句、參數化語句等是否能夠精準解析，是否具有風險感知能力，審計數據是否高效入庫，對審計結果是否能夠高效分析及檢索。這些關鍵點決定一款數據庫監(jiān)控與審計產品是否真正具有使用價值，而不是簡單地解決有無問題。

>>點擊下載完整版報告

生成海報

免責聲明：本網站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網站出現的信息，均僅供參考。本網站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網站中的網頁或鏈接內容可能涉嫌侵犯其知識產權或存在不實內容時，應及時向本網站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網站在收到上述法律文件后，將會依法盡快聯系相關文章源頭核實，溝通刪除相關內容或斷開相關鏈接。