各個擊破！數據庫安全風險防護應對綜合治理(lǐ)思路-杭州帕拉迪網絡科(kē)技有(yǒu)限公司

當前用戶訪問數據庫主要有(yǒu)間接訪問和(hé)直接訪問兩種方式：

直接訪問方式1：一(yī)般指運維人員、管理(lǐ)人員、開發人員通過數據庫連接工具PLSQL、SQL Developer、TOAD等工具訪問數據庫，從而直接對數據庫進行(xíng)訪問操作。

直接訪問方式2：一(yī)般指操作人員直接登錄數據庫所在操作系統，然後訪問本地(dì)數據庫，直接操作所有(yǒu)數據庫。

二、數據庫面臨安全風險

2.1間接訪問風險

通過應用訪問數據庫的(de)行(xíng)為(wèi)，一(yī)般認為(wèi)是比較可(kě)靠的(de)行(xíng)為(wèi)，但是也存在安全風險。

風險一(yī)：業務系統被攻破，非法用戶上傳訪問數據庫的(de)代碼文件，通過頁面訪問到數據庫數據，造成數據洩漏，數據篡改；

風險二：普通用戶的(de)賬号被竊取，非法用戶模仿合法用戶訪問數據，造成數據庫數據洩漏；

風險三：利用應用系統漏洞，SQL注入攻擊，最終竊取或篡改數據庫數據。

2.2直接訪問風險

直接訪問的(de)兩種方式分别為(wèi)直接通過管理(lǐ)工具連接并訪問數據庫和(hé)直接登錄數據庫所在操作系統訪問本地(dì)數據庫。在企業實際運維中，直接訪問導緻數據庫面臨的(de)安全風險包括：

風險一(yī)：賬号管理(lǐ)松散，存在多個用戶共用一(yī)個賬号的(de)情況；

風險二：賬号權限過大，訪問行(xíng)為(wèi)不可(kě)控，無法判斷是否合法行(xíng)為(wèi)；

風險三：可(kě)能存在數據庫賬号濫用而無法察覺。

三、綜合治理(lǐ)思路

3.1間接訪問數據庫的(de)風險治理(lǐ)

風險一(yī)：業務系統被攻破，上傳訪問數據庫的(de)代碼文件。

治理(lǐ)思路：采用WEB服務器防護技術，除了匹配特征庫以外，針對正常業務進行(xíng)白名單建模，當出現異常業務訪問或者XSS攻擊時，帕拉迪下一(yī)代WEB應用防火牆NGWAF将保護業務系統，防止其被攻破。

風險二：普通用戶賬号被竊取，非法用戶模仿合法用戶訪問數據庫。

治理(lǐ)思路：對普通用戶賬号訪問業務系統時加強認證。可(kě)采用與證書認證技術結合，普通用戶訪問業務系統時需有(yǒu)認證UKEY；或采用動态令牌技術，訪問業務系統時需數據動态令牌碼。通過以上兩種方式确保用戶在訪問業務系統時除了擁有(yǒu)用戶賬号，口令外，還需要第三方證書、動态碼，從而可(kě)大大降低(dī)此類風險。

風險三: 利用應用系統漏洞，SQL注入攻擊，最終竊取或篡改數據庫數據。

治理(lǐ)思路：在應用系統前端通過帕拉迪下一(yī)代WEB應用防火牆NGWAF防業務漏洞注入，針對通過業務的(de)邏輯漏洞或者編碼繞過NGWAF訪問數據庫的(de)危險行(xíng)為(wèi)，在數據庫前端通過部署數據庫準入防火牆DAF從準入、行(xíng)為(wèi)、業務建模全面防禦對數據庫的(de)攻擊，大大降低(dī)此類風險。

3.2直接訪問數據庫的(de)風險治理(lǐ)

風險一(yī)：賬号管理(lǐ)松散，存在多個用戶共用一(yī)個賬号的(de)情況。

治理(lǐ)思路：首先在數據庫管理(lǐ)上盡量做(zuò)到一(yī)個賬号一(yī)個用戶，其次，如(rú)果實際情況确實存在賬号共用，主機(jī)用戶通過工具訪問數據庫的(de)行(xíng)為(wèi)必須先使用主賬号登錄，然後才能使用從賬号即數據庫賬号運維數據庫，從而确保每一(yī)次的(de)數據庫操作都與實際用戶關聯，最終解決賬号共用時操作無法定位責任人的(de)問題與賬号濫用問題，但此時并不能阻斷數據庫運維的(de)非法SQL語句命令。

風險二: 直接登錄數據庫所在操作系統訪問本地(dì)數據庫，數據庫操作權限過大，有(yǒu)誤操作惡意操作等風險。

治理(lǐ)思路:從管理(lǐ)上應避免直接登錄操作系統進行(xíng)數據庫操作，日常維護數據庫的(de)宿主機(jī)必須要先通過帕拉迪統一(yī)安全管理(lǐ)與運維審計系統SMS，而對于安裝在LINUX主機(jī)上的(de)數據庫，通過SMS對關鍵操作設置SQL語句控制，避免誤操作或者惡意操作，确保整個過程可(kě)審計可(kě)監控。

風險三：賬号權限過大，數據庫權限濫用，訪問行(xíng)為(wèi)不可(kě)控，無法判斷訪問行(xíng)為(wèi)是否合法。

治理(lǐ)思路：通過部署帕拉迪數據庫安全運維寶DIM，實現運維數據庫權限治理(lǐ)、阻斷自(zì)然人數據庫賬号非法SQL行(xíng)為(wèi)、實現高(gāo)權限行(xíng)為(wèi)回收、确保運維數據不落地(dì)、自(zì)定義敏感操作、對訪問敏感業務數據庫表實現自(zì)動脫敏，從而在不影響此賬号的(de)運維工作的(de)同時，又可(kě)防止此賬号權限過大，造成數據篡改、數據洩漏的(de)風險。

四、安全風險應對建議

安全建設應根據用戶實際情況分析客戶面臨的(de)安全威脅的(de)利害性，應本着先處置高(gāo)風險，後處置或暫時不處置低(dī)風險的(de)原則，進行(xíng)相應的(de)數據庫安全方案建設。從數據庫安全運維管理(lǐ)的(de)角度來思考，運維人員需要對所有(yǒu)的(de)數據庫操作從業務層面和(hé)運維層面進行(xíng)防護，結合産品和(hé)技術輔佐數據庫安全運維管理(lǐ)，最終實現數據庫安全有(yǒu)效管理(lǐ)。

情況一(yī):業務系統為(wèi)內(nèi)網系統，運維人員多，業務系統多

此時直接訪問數據庫的(de)行(xíng)為(wèi)帶來的(de)風險較高(gāo)。綜合考慮，可(kě)采用帕拉迪如(rú)下治理(lǐ)方案進行(xíng)相應的(de)安全運維建設：

【據庫安全運維寶DIM+下一(yī)代WEB應用防火牆NGWAF】

情況二:業務系統為(wèi)在外網系統，運維人員多，業務系統多

此時應用訪問數據庫的(de)風險和(hé)使用工具訪問數據庫的(de)行(xíng)為(wèi)帶來的(de)風險都較高(gāo)。綜合考慮，可(kě)采用帕拉迪如(rú)下治理(lǐ)方案進行(xíng)相應的(de)安全運維建設：

【據庫安全運維寶DIM+數據庫準入防火牆DAF+下一(yī)代WEB應用防火牆NGWAF】

情況三:基于當前數據庫整體安全的(de)考慮，建議從運維層到業務層進行(xíng)全面的(de)防禦操作

基于當前數據庫整體安全的(de)考慮，建議從運維層到業務層進行(xíng)全面的(de)防禦操作。此時可(kě)采用帕拉迪如(rú)下綜合治理(lǐ)方案進行(xíng)相應的(de)安全運維建設：

【據庫安全運維寶DIM+下一(yī)代WEB應用防火牆NGWAF+下一(yī)代數據庫應用防禦系統NGDAP】

結語：

當和(hé)客戶探讨數據庫安全風險應對的(de)思路時，建議按照以上不同的(de)場景提供相對應的(de)解決方案，确保最大力度地(dì)将數據安全風險降到最低(dī)。