铭冠网安铭冠网安等保数据库安全解决方案

_本文原题：铭冠网安等保数据库安全解决方案

本文插图
行业需求与挑战
在等级保护中，数据库安全建设的总体目标，一是要保证核心数据库自身的安全性，确保数据库不会受到攻击造成业务系统的瘫痪；二是要求保证数据的保密性和完整性，对核心数据库中的敏感数据进行有效的安全防护，确保关键数据不泄密，不被违规篡改；三是在数据库使用过程中及时发现安全问题，防患于未然，按修复建议进行安全加固。
信息系统的核心数据存在数据库中的，数据库作为核心数据资产载体，一旦发生无意识危险操作、信息泄露、恶意篡改，都将造成最为惨痛的损失。据Verizon 2015数据泄露调查报告，数据库服务器占泄露记录总数的96% ，成为头号可能的泄露数据源。
随着当前业务系统及数据库的部署规模、访问人员和密集度的不断增加，来自于外部攻击者、第三方运维和开发人员、内部维护人员的威胁访问，给企业数据安全带来了严峻的挑战。
外部威胁
目前已知的来自外部黑客常见的攻击手段和漏洞包括：SQL注入、缓冲区溢出、拒绝服务、提权等，也有利用未及时安装补丁、缺省安装漏洞、程序后门和危险代码破坏权限体系，导致数据库服务终止和敏感数据泄密；
内部运维人员和DBA
明文存储的安全威胁，使得数据文件、备份文件被拷贝后，可以轻易恢复。
DBA等高权限用户可以随时任意地访问门能干数据；
弱口令的存在，使得容易被人暴力破解或尝试成功，访问敏感数据导致泄密和篡改；
第三方运维和开发人员
知道数据库管理员账号，主要威胁在于假冒正常应用账户、合法DB用户绕过应用程序使用命令行工具访问数据库、通过数据库客户端批量导出敏感信息导致泄密。
管理
内部人员、第三方维护人员的误操作、维护操作、越权操作和恶意操作，
多人共用一个账号，责任难以分清，超级管理员操作难以监管和审计。
铭冠网安等保数据库安全解决方案概述
本方案通过对安全威胁的分析，进行整体设计与规划，系列安全产品相互之间分工协作，共同形成整体的防护体系，覆盖了数据库安全防护的事前诊断、事中控制和事后分析。
事前诊断：通过数据库漏扫产品，有效检测数据库已知漏洞，并有效修复。
定期进行数据库安全检查，防患于未然，对数据库安全风险进行综合评估，使用专门的数据库漏洞扫描系统，对生产域中数据库的安全现状进行全面检测。安全漏洞项包括：弱口令、缺省口令、弱安全策略、权限宽泛、敏感数据发现、权限提升漏洞、补丁升级等，评估是否存在安全漏洞并提供修复建议，为系统的安全配置提升提供有效的参考。
事中控制：通过数据库防火墙和数据库加密解决。
数据库防火墙-从访问源头来保护数据，监测数据库的访问，防止未授权的访问、SQL Injection、权限或角色的非法提升以及对敏感数据的非法访问。高度精准的基于SQL语法的分析，避免误判；基于黑、白名单的灵活的SQL级策略设置；支持Bypass和Proxy及混合部署模式，支持高可用，最大限度的适应企业需求；虚拟补丁技术避免数据库因为不能进行补丁升级而造成的恶意访问。
在数据库中加密存储敏感信息防止被解析为明文，通过独立于数据库的权控体系和引入安全管理员、审计管理员实现三权分立的安全管理手段，防止DBA、第三方外包人员和程序开发人员越权访问敏感信息，结合动态口令卡和SQL级API与应用系统进行绑定解决绕过应用程序非法访问数据库的问题。
事后分析：通过数据库审计技术解决。