企業資料庫安全應用指南

一. 資料庫安全 現狀

民營企業作為國民經濟發展的重要組成，伴隨著經濟全球化發展，企業管理借鑑了國外先進的現代企業管理模式。當前，全球資訊化程序的不斷髮展，這給民營企業管理方式帶來一個新的發展方向。企業管理資訊化建設和發展對提高企業市場競爭力具有重要的推進作用。

同時，隨著企業市場競爭環境的加劇，民營企業的經營模式和製造模式也發生了重大轉變，數字化資訊化系統的應用越來越廣泛。而資料庫作為民營企業資訊科技的核心和基礎，承載著企業重要的關鍵業務，並逐漸成為其在商業活動最具有戰略性的資產。因為，資料庫的安全穩定執行決定著業務系統能否正常使用。其次，企業內部儲存的大量敏感資訊，包括生產或交易明細、客戶資料等極其重要和敏感的資料。而這些資訊一旦被篡改或者洩露，輕則造成企業的經濟損失，重則影響企業形象和社會聲譽，並且也會為競爭對手創造商業機會。可見， 資料庫安全 對民營企業至關重要。

二. 資料庫安全 防護面臨的問題

但在 資料庫安全 防護方面，很多企業還略顯薄弱，主要表現在以下幾點：

2.1  資料庫口令強度問題 

在很多Oracle資料庫中，存在著很多數量的預設賬號，而客戶通常對這些預設賬號不進行任何安全防護，這就很容易被黑客利用。

2.2   補丁升級滯後 

由於種種原因造成的補丁升級不及時造成的 資料庫安全 隱患。

2.3  預設安全策略 

預設安全策略主要包括口令策略、口令有效時間、預設元件以及預設的遠端訪問安全策略等。

2.4   危險儲存過程 

危險的儲存過程往往會對資料庫造成巨大的安全隱患。一些時候黑客在對資料庫系統進行入侵時，往往會藉助儲存過程來實現對客戶系統的入侵。

2.5  敏感資訊洩密威脅 

在企業的業務系統中，有大量的個人資訊、企業資訊、信譽資訊等敏感資料，會存在內部資料庫維護人員、外部攻擊者利用資料庫存在的高許可權賬戶或者漏洞，直接獲取企業大量敏感資訊的安全隱患。

2.6   綜合防護程度較低 

目前，很多系統的資料庫，綜合防護措施程度較低，很多使用者對於資料庫訪問沒有設定訪問策略，而很多使用者則是嚴重違反安全條例，將資料庫主機和應用服務主機設定成一臺，還有使用者是防火牆沒有有效的安全設定，防火牆幾乎等於擺設，這些安全問題就造成了黑客或病毒的異常活躍，對使用者的系統造成了極大的威脅。

2.7   外部SQL注入攻擊威脅

隨著資訊化建設的普及，各行業對外開放應用服務越來越廣泛，非法使用者可以通過網際網路對業務系統進行試探和攻擊行為，利用SQL注入等技術非法入侵業務平臺數據庫系統，有目的竊取、篡改、破壞、拷貝重要資料，從而造成資訊洩露。

三. 資料庫安全 風險

3.1  員工監守自盜

在企業內部，運維人員、資料庫管理人員擁著諸多高階許可權和不受約束，當內部人員通過高許可權賬戶進行犯罪時企業通常不能及時察覺和防範，事後也無法進行追溯分析，針對員工的堅守自盜取加強內部資料安全管理已經成為企業最為頭痛的問題。

3.2  資料庫遭劫持勒索

資料庫被劫持勒索往往是企業最為頭疼的問題，攻擊者通過故意散播攜帶勒索病毒，引誘下載工具軟體從而發起勒索攻擊。當企業的資料庫遭受勒索攻擊後，資料庫會被黑客完全控制，資料庫會被鎖死而不能進行操作、相應的業務系統也會面臨癱瘓，只有當企業交付高昂的贖金後其資料庫才能被解鎖。

3.3  資料庫遭受黑客攻擊

黑客利用Web應用漏洞，進行SQL注入，或以Web應用伺服器為跳板，利用資料庫自身漏洞進行攻擊和侵入。

四. 資料庫安全 解決方案

企業的資料庫系統應實現對資料的動態監管，自動化完成對資料的定期檢查，針對為安全管理人員、資料管理員和受控人員建立敏感資料安全管控的平臺。將資料的型別及敏感程度進行整體管理，並針對不同級別的資料的操作及流轉進行管理、審計，可以將資料分佈情況以及使用情況進行視覺化處理，生成資料分析報告，並依託分析報告完成資料安全風險評估，最終做出合理建議，為企業提升 資料庫安全 管理工作水平。

4.1  監察預警，系統漏洞掃描

企業應通過 資料庫漏洞掃描 系統進行實時檢查，對 資料庫安全 狀況的監控，包括相關安全配置、連線狀況、使用者變更狀況、許可權變更狀況、程式碼變更狀況等全方面的安全狀況評估；建立安全基線，實現安全變化狀況報告與分析。

對於資料庫勒索劫持攻擊，大部分勒索、後門類攻擊都會存在一定的潛伏期，通過定期安全檢查可以在攻擊行為爆發前，發現潛伏在資料庫中的威脅，防止攻擊爆發後的資料資產損失。

4.2  主動防禦，規範管理方式

企業應通過 資料庫安全運維 技術，對資料庫運維的訪問和操作行為加強審批管控。 資料庫安全運維 系統，可以對所有資料庫運維的訪問和操作建立規範的運維流程，包括事前審批，事中控制，事後記錄操作資訊，進而實現全運維流程的管理，實現防高危操作、防“內鬼”洩密的行為。

4.3  底線防守

企業應通過對資料進行底層加密，來防止由於明文儲存引起的洩密、 防止外部非法入侵竊取敏感資料、 防止內部高許可權使用者資料竊取、防止合法使用者違規資料訪問。資料庫加密技術能夠確保即使拿走了磁碟，對方也無法看懂資料。

4.4  事後追查

對資料庫協議進行精確識別，企業應通過 資料庫審計 記錄和回放針對統計資料庫的攻擊行為、篡改行為、洩密行為、誤操作等行為，為事後追溯定責提供準確依據，同時對上述行為提供郵件、簡訊、聲音等多種報警方式。

五. 資料庫安全 應用感言

“我們集團是多元的組織架構，技術路線多樣，人員組成複雜， 安華金和資料庫審計 和脫敏的產品組合有效提高業務系統的資料安全性，並且，本土品牌在服務和合規上，也能滿足我們的要求，通過一年的運轉，集團計劃加大在資料安全管理上的投入。”

–某大型跨國集團安全管理崗