各個擊破！數據庫安全風(fēng)險防護應對(duì)綜合治理(lǐ)思路-杭州安存網絡科技有限公司

當前用(yòng)戶訪問數據庫主要有間接訪問和(hé)直接訪問兩種方式：

直接訪問方式1：一般指運維人員、管理(lǐ)人員、開(kāi)發人員通過數據庫連接工(gōng)具PLSQL、SQL Developer、TOAD等工(gōng)具訪問數據庫，從(cóng)而直接對(duì)數據庫進行訪問操作(zuò)。

直接訪問方式2：一般指操作(zuò)人員直接登錄數據庫所在操作(zuò)系統，然後訪問本地數據庫，直接操作(zuò)所有數據庫。

二、數據庫面臨安全風(fēng)險

2.1間接訪問風(fēng)險

通過應用(yòng)訪問數據庫的行爲，一般認爲是比較可靠的行爲，但(dàn)是也(yě)存在安全風(fēng)險。

風(fēng)險一：業務系統被攻破，非法用(yòng)戶上(shàng)傳訪問數據庫的代碼文(wén)件，通過頁面訪問到(dào)數據庫數據，造成數據洩漏，數據篡改；

風(fēng)險二：普通用(yòng)戶的賬号被竊取，非法用(yòng)戶模仿合法用(yòng)戶訪問數據，造成數據庫數據洩漏；

風(fēng)險三：利用(yòng)應用(yòng)系統漏洞，SQL注入攻擊，最終竊取或篡改數據庫數據。

2.2直接訪問風(fēng)險

直接訪問的兩種方式分别爲直接通過管理(lǐ)工(gōng)具連接并訪問數據庫和(hé)直接登錄數據庫所在操作(zuò)系統訪問本地數據庫。在企業實際運維中，直接訪問導緻數據庫面臨的安全風(fēng)險包括：

風(fēng)險一：賬号管理(lǐ)松散，存在多個用(yòng)戶共用(yòng)一個賬号的情況；

風(fēng)險二：賬号權限過大(dà)，訪問行爲不可控，無法判斷是否合法行爲；

風(fēng)險三：可能(néng)存在數據庫賬号濫用(yòng)而無法察覺。

三、綜合治理(lǐ)思路

3.1間接訪問數據庫的風(fēng)險治理(lǐ)

風(fēng)險一：業務系統被攻破，上(shàng)傳訪問數據庫的代碼文(wén)件。

治理(lǐ)思路：采用(yòng)WEB服務器防護技術，除了(le)匹配特征庫以外(wài)，針對(duì)正常業務進行白(bái)名單建模，當出現(xiàn)異常業務訪問或者XSS攻擊時(shí)，帕拉迪下(xià)一代WEB應用(yòng)防火牆NGWAF将保護業務系統，防止其被攻破。

風(fēng)險二：普通用(yòng)戶賬号被竊取，非法用(yòng)戶模仿合法用(yòng)戶訪問數據庫。

治理(lǐ)思路：對(duì)普通用(yòng)戶賬号訪問業務系統時(shí)加強認證。可采用(yòng)與證書認證技術結合，普通用(yòng)戶訪問業務系統時(shí)需有認證UKEY；或采用(yòng)動态令牌技術，訪問業務系統時(shí)需數據動态令牌碼。通過以上(shàng)兩種方式确保用(yòng)戶在訪問業務系統時(shí)除了(le)擁有用(yòng)戶賬号，口令外(wài)，還需要第三方證書、動态碼，從(cóng)而可大(dà)大(dà)降低(dī)此類風(fēng)險。

風(fēng)險三: 利用(yòng)應用(yòng)系統漏洞，SQL注入攻擊，最終竊取或篡改數據庫數據。

治理(lǐ)思路：在應用(yòng)系統前端通過帕拉迪下(xià)一代WEB應用(yòng)防火牆NGWAF防業務漏洞注入，針對(duì)通過業務的邏輯漏洞或者編碼繞過NGWAF訪問數據庫的危險行爲，在數據庫前端通過部署數據庫準入防火牆DAF從(cóng)準入、行爲、業務建模全面防禦對(duì)數據庫的攻擊，大(dà)大(dà)降低(dī)此類風(fēng)險。

3.2直接訪問數據庫的風(fēng)險治理(lǐ)

風(fēng)險一：賬号管理(lǐ)松散，存在多個用(yòng)戶共用(yòng)一個賬号的情況。

治理(lǐ)思路：首先在數據庫管理(lǐ)上(shàng)盡量做到(dào)一個賬号一個用(yòng)戶，其次，如果實際情況确實存在賬号共用(yòng)，主機用(yòng)戶通過工(gōng)具訪問數據庫的行爲必須先使用(yòng)主賬号登錄，然後才能(néng)使用(yòng)從(cóng)賬号即數據庫賬号運維數據庫，從(cóng)而确保每一次的數據庫操作(zuò)都與實際用(yòng)戶關聯，最終解決賬号共用(yòng)時(shí)操作(zuò)無法定位責任人的問題與賬号濫用(yòng)問題，但(dàn)此時(shí)并不能(néng)阻斷數據庫運維的非法SQL語句命令。

風(fēng)險二: 直接登錄數據庫所在操作(zuò)系統訪問本地數據庫，數據庫操作(zuò)權限過大(dà)，有誤操作(zuò)惡意操作(zuò)等風(fēng)險。

治理(lǐ)思路:從(cóng)管理(lǐ)上(shàng)應避免直接登錄操作(zuò)系統進行數據庫操作(zuò)，日常維護數據庫的宿主機必須要先通過帕拉迪統一安全管理(lǐ)與運維審計(jì)系統SMS，而對(duì)于安裝在LINUX主機上(shàng)的數據庫，通過SMS對(duì)關鍵操作(zuò)設置SQL語句控制，避免誤操作(zuò)或者惡意操作(zuò)，确保整個過程可審計(jì)可監控。

風(fēng)險三：賬号權限過大(dà)，數據庫權限濫用(yòng)，訪問行爲不可控，無法判斷訪問行爲是否合法。

治理(lǐ)思路：通過部署帕拉迪數據庫安全運維寶DIM，實現(xiàn)運維數據庫權限治理(lǐ)、阻斷自(zì)然人數據庫賬号非法SQL行爲、實現(xiàn)高(gāo)權限行爲回收、确保運維數據不落地、自(zì)定義敏感操作(zuò)、對(duì)訪問敏感業務數據庫表實現(xiàn)自(zì)動脫敏，從(cóng)而在不影響此賬号的運維工(gōng)作(zuò)的同時(shí)，又可防止此賬号權限過大(dà)，造成數據篡改、數據洩漏的風(fēng)險。

四、安全風(fēng)險應對(duì)建議(yì)

安全建設應根據用(yòng)戶實際情況分析客戶面臨的安全威脅的利害性，應本着先處置高(gāo)風(fēng)險，後處置或暫時(shí)不處置低(dī)風(fēng)險的原則，進行相應的數據庫安全方案建設。從(cóng)數據庫安全運維管理(lǐ)的角度來(lái)思考，運維人員需要對(duì)所有的數據庫操作(zuò)從(cóng)業務層面和(hé)運維層面進行防護，結合産品和(hé)技術輔佐數據庫安全運維管理(lǐ)，最終實現(xiàn)數據庫安全有效管理(lǐ)。

情況一:業務系統爲内網系統，運維人員多，業務系統多

此時(shí)直接訪問數據庫的行爲帶來(lái)的風(fēng)險較高(gāo)。綜合考慮，可采用(yòng)帕拉迪如下(xià)治理(lǐ)方案進行相應的安全運維建設：

【據庫安全運維寶DIM+下(xià)一代WEB應用(yòng)防火牆NGWAF】

情況二:業務系統爲在外(wài)網系統，運維人員多，業務系統多

此時(shí)應用(yòng)訪問數據庫的風(fēng)險和(hé)使用(yòng)工(gōng)具訪問數據庫的行爲帶來(lái)的風(fēng)險都較高(gāo)。綜合考慮，可采用(yòng)帕拉迪如下(xià)治理(lǐ)方案進行相應的安全運維建設：

【據庫安全運維寶DIM+數據庫準入防火牆DAF+下(xià)一代WEB應用(yòng)防火牆NGWAF】

情況三:基于當前數據庫整體安全的考慮，建議(yì)從(cóng)運維層到(dào)業務層進行全面的防禦操作(zuò)

基于當前數據庫整體安全的考慮，建議(yì)從(cóng)運維層到(dào)業務層進行全面的防禦操作(zuò)。此時(shí)可采用(yòng)帕拉迪如下(xià)綜合治理(lǐ)方案進行相應的安全運維建設：

【據庫安全運維寶DIM+下(xià)一代WEB應用(yòng)防火牆NGWAF+下(xià)一代數據庫應用(yòng)防禦系統NGDAP】

結語：

當和(hé)客戶探讨數據庫安全風(fēng)險應對(duì)的思路時(shí)，建議(yì)按照以上(shàng)不同的場景提供相對(duì)應的解決方案，确保最大(dà)力度地将數據安全風(fēng)險降到(dào)最低(dī)。