域名預(yù)訂/競(jìng)價(jià)，好“米”不錯(cuò)過

數(shù)據(jù)安全建設(shè)中，“人”是最關(guān)鍵的因素，但也是最薄弱的環(huán)節(jié)和漏洞。近年來，“內(nèi)鬼式數(shù)據(jù)泄露”、“數(shù)據(jù)庫(kù)惡意篡改”、“刪庫(kù)跑路“等事件屢見不鮮，嚴(yán)峻程度逐年升高。

Verizon《2021年數(shù)據(jù)泄露調(diào)查報(bào)告》統(tǒng)計(jì)，當(dāng)前，85%的數(shù)據(jù)泄露事件都與人為因素有關(guān)。企業(yè)多年傾心竭力打造的“堅(jiān)固堡壘”，正因?yàn)榘踩庾R(shí)薄弱、內(nèi)部默認(rèn)可信任機(jī)制、數(shù)據(jù)安全措施落實(shí)不到位等“沉疴”，越來越像一枚“硬殼軟糖”!

內(nèi)部數(shù)據(jù)安全風(fēng)險(xiǎn)源自何處？

· 數(shù)字化轉(zhuǎn)型時(shí)代，數(shù)據(jù)極易失控，多渠道擴(kuò)散

如今，數(shù)據(jù)已成為生產(chǎn)要素，參與到企業(yè)組織生產(chǎn)經(jīng)營(yíng)的各個(gè)環(huán)節(jié)，數(shù)據(jù)流動(dòng)屬性加倍釋放，隨各類流量穿越于各個(gè)終端，以實(shí)現(xiàn)更便捷的數(shù)據(jù)訪問、數(shù)據(jù)共享、數(shù)據(jù)應(yīng)用，向更多人、更多終端輸送，給個(gè)人、社會(huì)、企業(yè)等群體帶來不同程度的影響，數(shù)據(jù)多渠道擴(kuò)散，安全邊界隨之無限擴(kuò)大，面臨的風(fēng)險(xiǎn)在加速增長(zhǎng)。

· 基于網(wǎng)絡(luò)邊界的安全防護(hù)模式，內(nèi)部安全防護(hù)效果欠佳

傳統(tǒng)IDS、IPS、下一代防火墻、WAF等傳統(tǒng)安全設(shè)備在抵御常見的網(wǎng)絡(luò)攻擊發(fā)揮重要作用，但如今在日漸模糊的網(wǎng)絡(luò)邊界中，如果仍依賴以“網(wǎng)絡(luò)為中心”的防御方式，安全防護(hù)措施的片面性將帶來防護(hù)重心的嚴(yán)重失衡，現(xiàn)如今企業(yè)內(nèi)部風(fēng)險(xiǎn)盛行：黑客入侵內(nèi)網(wǎng)后，通過盜取數(shù)據(jù)庫(kù)賬號(hào)登陸數(shù)據(jù)庫(kù)即可竊取數(shù)據(jù)，運(yùn)維環(huán)境本身多職位、多人員的數(shù)據(jù)庫(kù)訪問造成內(nèi)部數(shù)據(jù)泄露、刪庫(kù)跑路，這都已超越傳統(tǒng)安全手段的能力范圍。

· 運(yùn)維與業(yè)務(wù)場(chǎng)景的一攬子管理，亟需精準(zhǔn)定位泄露源頭

從數(shù)據(jù)庫(kù)的訪問來源我們將訪問流量分為業(yè)務(wù)流量和運(yùn)維流量。業(yè)務(wù)流量更多由前端業(yè)務(wù)訪問者，途徑前端業(yè)務(wù)系統(tǒng)，再由業(yè)務(wù)系統(tǒng)作為媒介連接數(shù)據(jù)庫(kù)，涉及TCP/IP、HTTP通訊等協(xié)議，更多面臨外部攻擊風(fēng)險(xiǎn);而運(yùn)維流量指內(nèi)部運(yùn)維人員、開發(fā)人員通過工具，使用IP地址及賬號(hào)憑證訪問數(shù)據(jù)庫(kù)。顯然，不同場(chǎng)景對(duì)載體的配置有著不同要求，數(shù)據(jù)庫(kù)運(yùn)維過程中，如何保護(hù)敏感數(shù)據(jù)安全不能與前者混為一談，一攬子管理。

· 內(nèi)部數(shù)據(jù)泄露更隱蔽，攻擊手段更具“合理化”，難以被識(shí)別

目前絕大多數(shù)單位組織都會(huì)引入第三方駐場(chǎng)人員進(jìn)行信息系統(tǒng)開發(fā)、測(cè)試甚至是運(yùn)維，無論是內(nèi)部還是外部駐場(chǎng)人員，“人”及社會(huì)關(guān)系的不確定性，都有可能造成不亞于黑客攻擊、危害性更大的事件，如外部人員通過利誘系統(tǒng)維護(hù)人員進(jìn)行數(shù)據(jù)盜取，系統(tǒng)維護(hù)人員通過內(nèi)部網(wǎng)絡(luò)或自主終端機(jī)的網(wǎng)絡(luò)登陸數(shù)據(jù)庫(kù)后，直接進(jìn)行后臺(tái)統(tǒng)計(jì)操作，然后將數(shù)據(jù)進(jìn)行本地保存，由于其權(quán)限的看似合理化，組織往往無法追責(zé)到“幕后黑手”，且潛伏時(shí)間更久，更難以被發(fā)現(xiàn)。

· 難以突破數(shù)據(jù)庫(kù)自身權(quán)限單一管理機(jī)制、實(shí)現(xiàn)精細(xì)化管理

企業(yè)安全管理員為運(yùn)維、開發(fā)、測(cè)試人員提供數(shù)據(jù)庫(kù)登陸憑證時(shí)，普遍采用多人單一賬號(hào)管理機(jī)制，意味著眾多人員采用同一賬戶，賬戶也大多由簡(jiǎn)易名稱、弱密碼組成，企業(yè)管理者普遍有“有賬戶，所有訪問操作即是合法”的認(rèn)知錯(cuò)覺， 而全然不知賬號(hào)正由于員工的親密關(guān)系、離職合同解除、個(gè)人情緒等原因向外擴(kuò)散。

DBA權(quán)限最具代表性，數(shù)據(jù)庫(kù)分配的DBA權(quán)限賬戶擁有天然高權(quán)限，可以任意操控?cái)?shù)據(jù)庫(kù)，如創(chuàng)建數(shù)據(jù)庫(kù)、刪除數(shù)據(jù)庫(kù)等，而正是這種高權(quán)限又不受監(jiān)管的運(yùn)維頻頻給數(shù)據(jù)庫(kù)的正常運(yùn)行帶來故障，有意時(shí)，隨意增刪改查數(shù)據(jù)，無意時(shí)，DBA運(yùn)維失誤，其自身又難以定位出故障原由，白白增加運(yùn)維負(fù)擔(dān)。

以“身份”和“資產(chǎn)”為中心，實(shí)現(xiàn)運(yùn)維安全有效管控

如上所說，組織機(jī)構(gòu)內(nèi)部若建立行之有效的數(shù)據(jù)安全防護(hù)體系，顯然需從根本消除對(duì)內(nèi)部人員的無條件信任，對(duì) “人”在數(shù)據(jù)訪問過程中所具備的一切特征進(jìn)行重新的審視、定義，建立以“身份”和“資產(chǎn)”為中心的主動(dòng)式防護(hù)體系。

對(duì)此，為了解決當(dāng)下數(shù)據(jù)庫(kù)運(yùn)維場(chǎng)景面臨的越權(quán)訪問數(shù)據(jù)、非法/無意操縱數(shù)據(jù)、敏感數(shù)據(jù)外泄的難題，美創(chuàng)科技推出數(shù)據(jù)庫(kù)防水壩系統(tǒng)。 作為一款通過幫助用戶主動(dòng)建立運(yùn)維訪問模型，保證敏感數(shù)據(jù)資產(chǎn)可管、用戶訪問行為可控、返回結(jié)果可遮蓋的數(shù)據(jù)庫(kù)運(yùn)維安全風(fēng)險(xiǎn)管控產(chǎn)品，產(chǎn)品從敏感數(shù)據(jù)的快速發(fā)現(xiàn)和管理、嚴(yán)密的身份準(zhǔn)入機(jī)制、資產(chǎn)細(xì)粒度管控、動(dòng)態(tài)訪問控制、誤操作恢復(fù)、合規(guī)審計(jì) 等方面全面支持?jǐn)?shù)據(jù)庫(kù)運(yùn)維安全管控。

美創(chuàng)科技數(shù)據(jù)庫(kù)防水壩遵循以下思路：

· 不主動(dòng)信任 。改變以保密的合同框架、道德標(biāo)準(zhǔn)為僅有的評(píng)判準(zhǔn)則，以“默認(rèn)不信任”為基礎(chǔ)理念。

· 權(quán)責(zé)分離 。約束高權(quán)賬號(hào)的開放式訪問管理難題，在原有數(shù)據(jù)庫(kù)訪問機(jī)制上，全面推進(jìn)職責(zé)分離制度。

· 多因素準(zhǔn)入控制 。打破只基于賬號(hào)密碼的準(zhǔn)入機(jī)制，并在此基礎(chǔ)上大力擴(kuò)充準(zhǔn)入因子。

· 細(xì)粒度資產(chǎn)訪問控制 。以“敏感數(shù)據(jù)資產(chǎn)”為核心，建立更加精細(xì)的數(shù)據(jù)資產(chǎn)訪問安全管控機(jī)制，即權(quán)限的可作用范圍從原有的表格最小化到列。

· 建立基線行為 。建立嚴(yán)密的數(shù)據(jù)庫(kù)安全運(yùn)維管控機(jī)制，預(yù)定義用戶訪問畫像，以“只允許事先授權(quán)的、擁有合法權(quán)限的人，基于合理的意圖，訪問合理范圍的數(shù)據(jù)資產(chǎn)”為目標(biāo)，做到事前有底、事中阻斷、事后追溯。

· 數(shù)據(jù)隱私化防護(hù) 。全面考慮數(shù)據(jù)天然的隱私性帶來的數(shù)據(jù)泄露問題，如實(shí)時(shí)訪問的數(shù)據(jù)隱私化變形、數(shù)據(jù)訪問批量導(dǎo)出限制，圈定每一步操作的合理范圍，避免數(shù)據(jù)披露泄露。

美創(chuàng)科技數(shù)據(jù)庫(kù)防水壩產(chǎn)品總體架構(gòu)及功能模塊：

· 風(fēng)險(xiǎn)治理模塊： 防護(hù)力量聚焦于價(jià)值性隱私數(shù)據(jù)，通過主動(dòng)、快速發(fā)現(xiàn)敏感資產(chǎn)，一鍵快速的配置敏感資產(chǎn)集合，對(duì)不同的資產(chǎn)集合采用不同的安全策略，支持SCHEMA、表、列級(jí)別的資產(chǎn)梳理及管控，從而實(shí)現(xiàn)有的放矢，防止高危操作或大批量數(shù)據(jù)泄露。

· 準(zhǔn)入控制模塊： 提供多因素認(rèn)證(如IP、UKEY、登陸時(shí)間等)、撞庫(kù)檢測(cè)防御、免密登陸等功能，聚力身份真實(shí)性、訪問合法性確認(rèn)，讓通過準(zhǔn)入機(jī)制校驗(yàn)的“人”是合法的，而非仿冒、盜用憑證等行為。

· 實(shí)時(shí)風(fēng)險(xiǎn)防御模塊 ：全方位考量人、資產(chǎn)、行為，針對(duì)預(yù)先設(shè)置的行為基線，將資產(chǎn)防護(hù)細(xì)粒到人、權(quán)責(zé)分離，加之實(shí)時(shí)的上下文分析，快速阻斷威脅行為，如賬戶管理操作(Create user、Alter user、drop user等)，授權(quán)管理操作(Grant)，敏感數(shù)據(jù)操作(Truncat table，drop table)以及代碼操作(修改Package，view)等，形成主動(dòng)、動(dòng)態(tài)的防御模塊。

從而幫助用戶實(shí)現(xiàn)：

與傳統(tǒng)的運(yùn)維安全風(fēng)險(xiǎn)管理平臺(tái)相比，美創(chuàng)數(shù)據(jù)庫(kù)防水壩除了主動(dòng)式防御理念，同時(shí)具備以下天然優(yōu)勢(shì)：

· 全面的訪問渠道覆蓋： 面對(duì)數(shù)據(jù)庫(kù)多樣化訪問路徑，全面支持本地、代理、直連等訪問渠道的安全管控，顛覆傳統(tǒng)只能管控邏輯串接的代理訪問來源，全渠道的監(jiān)測(cè)機(jī)制讓用戶所有訪問路徑無所遁形。

· 全流程式安全風(fēng)險(xiǎn)防護(hù)： 數(shù)據(jù)訪問前暴力破解防護(hù)、數(shù)據(jù)訪問中權(quán)限合法性監(jiān)測(cè)、數(shù)據(jù)請(qǐng)求值脫敏處理、數(shù)據(jù)合法訪問后的文件加密導(dǎo)出等功能，防護(hù)機(jī)制及防護(hù)能力沉淀于用戶真實(shí)訪問的各個(gè)環(huán)節(jié)，全面封鎖數(shù)據(jù)泄露路徑。

同時(shí)，美創(chuàng)科技提供數(shù)據(jù)庫(kù)防水壩與堡壘機(jī)聯(lián)動(dòng)方案，實(shí)現(xiàn)從主機(jī)到數(shù)據(jù)庫(kù)、從數(shù)據(jù)庫(kù)至數(shù)據(jù)表的集中安全管控，幫助用戶消除數(shù)據(jù)操作過程無法透明管控的安全盲區(qū)，實(shí)現(xiàn)向“運(yùn)維過程全面管理”的轉(zhuǎn)變，保障數(shù)據(jù)安全，全面滿足運(yùn)維安全內(nèi)部控制和各類法規(guī)要求。

頻發(fā)的內(nèi)部數(shù)據(jù)泄露事件警醒著各行各業(yè)需重新審視安全體系的構(gòu)建。事前充分防御與控制風(fēng)險(xiǎn)，事中實(shí)時(shí)管控惡意行為，事后快速溯源定責(zé)。唯有如此，才能避免成為威脅的受害者。

申請(qǐng)創(chuàng)業(yè)報(bào)道，分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處，共同探討創(chuàng)業(yè)新機(jī)遇！