2020年5月建設銀行員工販賣5萬多條客戶個人信息、電話號碼����、余額甚至交易記錄售賣給下家,進行謀利��。
2020年8月�,不法分子與圓通快遞多位“內(nèi)鬼”勾結,導致40萬條公民個人信息被泄露��。緊接著有媒體連日調(diào)查發(fā)現(xiàn)���,此現(xiàn)象不止圓通一家�����,網(wǎng)上存在販賣快遞用戶信息的“黑產(chǎn)”鏈條���,涉及申通�����、德邦�、EMS���、韻達等多家快遞公司。大量包含快遞客戶姓名���、住址����、電話的信息被打包在網(wǎng)上出售���,每條售價從0.8元至10元不等...
以上只是數(shù)據(jù)庫安全事件中的冰山一角����,其中如企業(yè)內(nèi)部DBA刪庫跑路�����、惡意報復類事件更是屢見不鮮。用戶個人信息等企業(yè)敏感數(shù)據(jù)被批量泄露��、惡意刪除或于暗網(wǎng)售賣等現(xiàn)象層出不窮�����,無不揭示當前各行業(yè)的一個普遍現(xiàn)狀�����,即企業(yè)對內(nèi)部的數(shù)據(jù)安全防范意識淡薄����,數(shù)據(jù)安全相關工作落實不到位!
刨析企業(yè)內(nèi)部數(shù)據(jù)安全風險
1���、企業(yè)數(shù)字化轉(zhuǎn)型帶來時代性安全風險
隨著企業(yè)數(shù)據(jù)化轉(zhuǎn)型的加速發(fā)展��,數(shù)據(jù)儼然已成為企業(yè)最有價值的資產(chǎn)���,F(xiàn)如今數(shù)據(jù)不再是傳統(tǒng)意義上的靜態(tài)存儲,為了支撐企業(yè)業(yè)務發(fā)展���,逐漸演變成數(shù)據(jù)交換����、共享變得愈加頻繁的發(fā)展趨勢。因此�����,如何實現(xiàn)數(shù)據(jù)在“流動過程中創(chuàng)造價值”的同時�,保障數(shù)據(jù)安全,防止發(fā)生上述數(shù)據(jù)泄露的安全事件�����,是企業(yè)可持續(xù)發(fā)展中面臨的重要課題��。
2���、企業(yè)數(shù)據(jù)運維場景復雜性帶來安全風險
在數(shù)據(jù)運維場景中,可以分兩個方向考慮����,一個是數(shù)據(jù)運維場景復雜,一個是運維人員權限寬泛���。隨著企業(yè)發(fā)展���,機房建設�、人員波動�����、業(yè)務系統(tǒng)擴容會變得愈加頻繁�,帶來了復雜的運維場景,例如公用數(shù)據(jù)庫賬號����、公用運維主機、公用的操作系統(tǒng)賬號等���;與此同時��,數(shù)據(jù)的運維管理工作仍是傳統(tǒng)的“企業(yè)運維人員+一大堆第三方廠商人員”模式�。面對如此復雜����、混亂的運維場景,如果不具備有效的��、細粒度的管控能力,那么諸如數(shù)據(jù)被誤操作�、惡意批量刪除、高權限用戶的濫用�����、敏感數(shù)據(jù)的泄露等數(shù)據(jù)安全事件的發(fā)生���,將難以避免�����,并對企業(yè)造成不可估量的經(jīng)濟損失與聲譽損害���。
3、企業(yè)數(shù)據(jù)安全落實不到位帶來安全風險
(1)傳統(tǒng)網(wǎng)絡安全手段無法滿足當今的數(shù)據(jù)安全需求
傳統(tǒng)的網(wǎng)絡安全訪問控制���,都是基于“安全體系以網(wǎng)絡為中心”的立場,主要涉及網(wǎng)絡安全域����、防火墻、網(wǎng)絡訪問控制等場景�����,特別是以堡壘機為代表的企業(yè)內(nèi)部運維的網(wǎng)絡訪問控制設備被大量使用,訪問控制元素包含:運維用戶�、運維客戶端地址、資源地址�����、協(xié)議�����、時間���,基于列舉的這些元素���,不難看出網(wǎng)絡層的安全控制還是以通過劃分獨立數(shù)據(jù)網(wǎng)絡區(qū)域和運維管理區(qū)域為主導,以IP資源(協(xié)議端口)為對象來構建網(wǎng)絡層的安全�����,這樣的控制力度較為寬泛�����,是涵蓋不了如今以“數(shù)據(jù)”為中心構建的資產(chǎn)體系帶來的數(shù)據(jù)流動、交換���、訪問等更為復雜���、精細的場景。
而基于“安全體系以數(shù)據(jù)為中心”的數(shù)據(jù)安全理念則更貼近安全目標�,因為數(shù)據(jù)安全主要依靠的是一種“協(xié)議解析”技術,對數(shù)據(jù)庫流量協(xié)議數(shù)據(jù)包進行全協(xié)議解碼�,從數(shù)據(jù)庫協(xié)議、應用協(xié)議中抽取出更為細粒度的SQL語句以及應用客戶端����、訪問源IP、目標數(shù)據(jù)庫IP�、數(shù)據(jù)庫用戶、數(shù)據(jù)庫實例等信息��,以該技術為基礎進行數(shù)據(jù)級的細粒度控制手段��,才能滿足企業(yè)內(nèi)部數(shù)據(jù)傳輸�、數(shù)據(jù)訪問����、數(shù)據(jù)處理的更高細粒度的訪問準入控制要求�。
(網(wǎng)絡控制元素與協(xié)議解析控制元素舉例比對)
(2)數(shù)據(jù)庫自身權限控制無法有效落實數(shù)據(jù)安全工作
在數(shù)據(jù)庫中有兩類賬戶���,一類是管理員賬戶����,另外一類是普通賬戶���。這兩類賬戶若只依托于數(shù)據(jù)庫自身權限的管理控制���,就會造成DBA高權限賬戶的權限不在控制范圍內(nèi),存在安全漏洞��;對于普通賬戶如果依托于數(shù)據(jù)自身權限的管理����,是無法控制普通用戶關于數(shù)據(jù)庫下的字段級、數(shù)據(jù)級���、訪問響應返回等細粒度訪問權限的控制�。且數(shù)據(jù)庫自身審計日志存儲周期有限�,無法為企業(yè)管理工作提供有效的事后追溯、統(tǒng)計分析等關鍵能力,再加上我們上述提到的數(shù)據(jù)運維場景的復雜性�,如果存在高權限賬戶的濫用、普通賬戶的越權使用��、數(shù)據(jù)庫密碼泄露等問題����,那么數(shù)據(jù)庫自身權限的控制能力面對復雜的數(shù)據(jù)運維場景只能捉襟見肘。
綜上�,918搏天堂推出以協(xié)議解析技術為基礎的數(shù)據(jù)庫運維管理系統(tǒng)DOMS,作為獨立于企業(yè)外第三方的一款安全產(chǎn)品�,在滿足合規(guī)的同時,從企業(yè)內(nèi)部數(shù)據(jù)實際運維場景出發(fā)�����,以數(shù)據(jù)資產(chǎn)為核心��,獨立于數(shù)據(jù)庫自身權限以外��,為企業(yè)內(nèi)部數(shù)據(jù)庫的安全構建更加全面���、細粒度的安全訪問防控能力��,有效落實企業(yè)內(nèi)部數(shù)據(jù)運維安全管控方面的工作�,希望以918搏天堂十逾年數(shù)據(jù)安全治理經(jīng)驗,為流通���、共享數(shù)據(jù)的安全建設提供更多可借鑒的思路。
產(chǎn)品咨詢:4000 258 365 
