數(shù)據(jù)庫安全
2020.04.29
數(shù)據(jù)庫是企業(yè)數(shù)據(jù)存放最集中的位置���,所以眾多企業(yè)在關(guān)注數(shù)據(jù)安全時也是最早加以重視的環(huán)節(jié)�����。很多的技術(shù)手段在網(wǎng)絡(luò)安全的發(fā)展過程中也已經(jīng)逐漸成熟����,并被很多企業(yè)采用�����。下面我們把針對數(shù)據(jù)庫安全所設(shè)計到的相關(guān)技術(shù)進(jìn)行逐一分析���。
2.3.1.1數(shù)據(jù)庫審計
數(shù)據(jù)庫審計是數(shù)據(jù)保護(hù)最為成熟的技術(shù)手段之一,典型來講數(shù)據(jù)庫審計可以實現(xiàn)如下目的���。
ü 對數(shù)據(jù)庫自身的加固和敏感數(shù)據(jù)的定義及發(fā)現(xiàn)�;
ü 全面監(jiān)測數(shù)據(jù)庫超級賬戶����、臨時賬戶等重要賬戶的數(shù)據(jù)庫操作;
ü 全面監(jiān)控數(shù)據(jù)庫敏感數(shù)據(jù)的批量訪問和異常訪問,能實時警告和阻攔�;
ü 智能識別數(shù)據(jù)庫異常操作,對發(fā)現(xiàn)的非法違規(guī)操作能及時告警響應(yīng);
ü 提供挖掘式的分析視圖����,可主動發(fā)現(xiàn)潛在的數(shù)據(jù)庫風(fēng)險;
ü 詳細(xì)記錄數(shù)據(jù)庫操作信息����,并提供豐富的審計信息查詢方式和報表��,方便安全事件定位分析���,事后追查取證��。
當(dāng)然有些數(shù)據(jù)庫審計產(chǎn)品也集成了數(shù)據(jù)庫防火墻以及針對賬號及權(quán)限等功能�����,能夠?qū)δ承?shù)據(jù)訪問進(jìn)行阻斷以及賬號權(quán)限的限制�����。
2.3.1.2數(shù)據(jù)脫敏
企業(yè)數(shù)據(jù)不僅只在內(nèi)部流轉(zhuǎn)�����,很多時候還需要外部進(jìn)行共享���,這也是國家大數(shù)據(jù)發(fā)展戰(zhàn)略規(guī)劃的需求和前提����。如何保證數(shù)據(jù)在產(chǎn)生��、交換、共享等場景下的數(shù)據(jù)安全可用和數(shù)據(jù)使用價值���?這讓數(shù)據(jù)脫敏安全技術(shù)成為熱門��?��!毒W(wǎng)絡(luò)安全法》的正式實施,數(shù)據(jù)脫敏被納入法規(guī)遵從的需求���?!毒W(wǎng)絡(luò)安全法》要求:數(shù)據(jù)流動過程中應(yīng)重視保護(hù)個人隱私�����、社保信息�����、資產(chǎn)信息�����、醫(yī)療信息等敏感信息的安全���。為滿足這一要求�,數(shù)據(jù)共享時需要使用數(shù)據(jù)脫敏技術(shù)。特別是當(dāng)數(shù)據(jù)應(yīng)用于開發(fā)�、測試、培訓(xùn)等環(huán)境時����,安全風(fēng)險較大���,使用真實數(shù)據(jù)將臨嚴(yán)重數(shù)據(jù)泄露的風(fēng)險����。
數(shù)據(jù)脫敏又稱數(shù)據(jù)去隱私化或數(shù)據(jù)變形��,是在給定的規(guī)則���、策略下對敏感數(shù)據(jù)進(jìn)行變換�����、修改的技術(shù)機(jī)制��,能夠在很大程度上解決敏感數(shù)據(jù)的安全使用的問題���。而脫敏技術(shù)又根據(jù)其數(shù)據(jù)使用目的和方式的不同分為靜態(tài)脫敏和動態(tài)脫敏����。
l 靜態(tài)脫敏
靜態(tài)脫敏適用于將數(shù)據(jù)抽取出生產(chǎn)環(huán)境脫敏后分發(fā)至測試�、開發(fā)、培訓(xùn)�、數(shù)據(jù)分析等場景。靜態(tài)脫敏是將數(shù)據(jù)抽取進(jìn)行脫敏處理后�����,下發(fā)至測試庫���。開發(fā)��、測試����、培訓(xùn)��、分析人員可以隨意取用測試數(shù)據(jù)�����,并進(jìn)行讀寫操作,脫敏后的數(shù)據(jù)與生產(chǎn)環(huán)境隔離�����,滿足業(yè)務(wù)需要的同時保障生產(chǎn)數(shù)據(jù)庫的安全�����,靜態(tài)脫敏可以概括為數(shù)據(jù)的“搬移并仿真替換”����。
l 動態(tài)脫敏
動態(tài)脫敏適用于不脫離生產(chǎn)環(huán)境�����,對敏感數(shù)據(jù)的查詢和調(diào)用結(jié)果進(jìn)行實時脫敏�。動態(tài)脫敏能夠?qū)ιa(chǎn)庫返回的數(shù)據(jù)進(jìn)行實時脫敏處理,確保返回數(shù)據(jù)可用而安全����。例如應(yīng)用需要呈現(xiàn)部分?jǐn)?shù)據(jù),但是又不希望應(yīng)用賬號可以看到全部數(shù)據(jù)��;運維人員需要維護(hù)表結(jié)構(gòu)���,進(jìn)行系統(tǒng)調(diào)優(yōu)����,但是不希望運維人員可以檢索或?qū)С稣鎸崝?shù)據(jù),動態(tài)脫敏可以概括為“邊脫敏�,邊使用”
2.3.1.3數(shù)據(jù)庫特權(quán)賬號管理
數(shù)據(jù)庫的特權(quán)賬號管理是數(shù)據(jù)庫安全防護(hù)很重要的一個環(huán)節(jié),從一些案例統(tǒng)計來看���,大量的數(shù)據(jù)泄漏可能都是在這個環(huán)節(jié)產(chǎn)生的�����。DBA的權(quán)限太高�,而且很多企業(yè)DBA的權(quán)限是共享的���,這就導(dǎo)致一方面具有權(quán)限的管理員如果拷數(shù)據(jù)輕而易舉����,另一方面即使拷貝了也不容易審計到�����。
當(dāng)然,不僅數(shù)據(jù)庫特權(quán)賬號存在數(shù)據(jù)泄漏風(fēng)險�,應(yīng)用,甚至網(wǎng)絡(luò)設(shè)備等都存在這種特權(quán)賬號造成的安全隱患���。所以對特權(quán)賬號的防護(hù)�,一方面可能集成在了數(shù)據(jù)庫審計方案的功能里�,還有客戶單獨構(gòu)建特權(quán)賬號管理系統(tǒng)對企業(yè)整個應(yīng)用,數(shù)據(jù)庫以及相關(guān)其他設(shè)備形成統(tǒng)一的特權(quán)賬號管理平臺���。
