国产高清在线精品二区_亚洲日韩国产欧美二区手机在线观看_超碰AV在线一区_亚洲日本高清成人aⅴ片_性色AV无码精品_舐め犯し3波多野结衣_亚洲人成久久播播影院_日韩亚洲av无码三区二区不卡_国产老妇免费视频二区_日韩一级无码毛片

各個擊破!數(shù)據(jù)庫安全風(fēng)險防護應(yīng)對綜合治理思路
發(fā)布時間: 2022.07.28 | 來源: 帕拉迪
一、數(shù)據(jù)庫使用現(xiàn)狀

當(dāng)前用戶訪問數(shù)據(jù)庫主要有間接訪問和直接訪問兩種方式:

間接訪問:一般指普通用戶通過網(wǎng)頁打開業(yè)務(wù)系統(tǒng)進(jìn)行正常業(yè)務(wù)操作,從而間接地訪問數(shù)據(jù)庫。

直接訪問方式1:一般指運維人員、管理人員、開發(fā)人員通過數(shù)據(jù)庫連接工具PLSQL、SQL Developer、TOAD等工具訪問數(shù)據(jù)庫,從而直接對數(shù)據(jù)庫進(jìn)行訪問操作。

直接訪問方式2:一般指操作人員直接登錄數(shù)據(jù)庫所在操作系統(tǒng),然后訪問本地數(shù)據(jù)庫,直接操作所有數(shù)據(jù)庫。




二、 數(shù)據(jù)庫面臨安全風(fēng)險
2.1間接訪問風(fēng)險
通過應(yīng)用訪問數(shù)據(jù)庫的行為,一般認(rèn)為是比較可靠的行為,但是也存在安全風(fēng)險。
風(fēng)險一:業(yè)務(wù)系統(tǒng)被攻破,非法用戶上傳訪問數(shù)據(jù)庫的代碼文件,通過頁面訪問到數(shù)據(jù)庫數(shù)據(jù),造成數(shù)據(jù)泄漏,數(shù)據(jù)篡改;
風(fēng)險二:普通用戶的賬號被竊取,非法用戶模仿合法用戶訪問數(shù)據(jù),造成數(shù)據(jù)庫數(shù)據(jù)泄漏;
風(fēng)險三:利用應(yīng)用系統(tǒng)漏洞,SQL注入攻擊,最終竊取或篡改數(shù)據(jù)庫數(shù)據(jù)。





2.2直接訪問風(fēng)險
直接訪問的兩種方式分別為直接通過管理工具連接并訪問數(shù)據(jù)庫和直接登錄數(shù)據(jù)庫所在操作系統(tǒng)訪問本地數(shù)據(jù)庫。在企業(yè)實際運維中,直接訪問導(dǎo)致數(shù)據(jù)庫面臨的安全風(fēng)險包括:
風(fēng)險一:賬號管理松散,存在多個用戶共用一個賬號的情況;
風(fēng)險二:賬號權(quán)限過大,訪問行為不可控,無法判斷是否合法行為;
風(fēng)險三:可能存在數(shù)據(jù)庫賬號濫用而無法察覺。





三、綜合治理思路
3.1間接訪問數(shù)據(jù)庫的風(fēng)險治理
風(fēng)險一:業(yè)務(wù)系統(tǒng)被攻破,上傳訪問數(shù)據(jù)庫的代碼文件。
治理思路:采用WEB服務(wù)器防護技術(shù),除了匹配特征庫以外,針對正常業(yè)務(wù)進(jìn)行白名單建模,當(dāng)出現(xiàn)異常業(yè)務(wù)訪問或者XSS攻擊時,帕拉迪下一代WEB應(yīng)用防火墻NGWAF將保護業(yè)務(wù)系統(tǒng),防止其被攻破。


<



風(fēng)險二:普通用戶賬號被竊取,非法用戶模仿合法用戶訪問數(shù)據(jù)庫。

治理思路:對普通用戶賬號訪問業(yè)務(wù)系統(tǒng)時加強認(rèn)證??刹捎门c證書認(rèn)證技術(shù)結(jié)合,普通用戶訪問業(yè)務(wù)系統(tǒng)時需有認(rèn)證UKEY;或采用動態(tài)令牌技術(shù),訪問業(yè)務(wù)系統(tǒng)時需數(shù)據(jù)動態(tài)令牌碼。通過以上兩種方式確保用戶在訪問業(yè)務(wù)系統(tǒng)時除了擁有用戶賬號,口令外,還需要第三方證書、動態(tài)碼,從而可大大降低此類風(fēng)險。


風(fēng)險三: 利用應(yīng)用系統(tǒng)漏洞,SQL注入攻擊,最終竊取或篡改數(shù)據(jù)庫數(shù)據(jù)。

治理思路:在應(yīng)用系統(tǒng)前端通過帕拉迪下一代WEB應(yīng)用防火墻NGWAF防業(yè)務(wù)漏洞注入,針對通過業(yè)務(wù)的邏輯漏洞或者編碼繞過NGWAF訪問數(shù)據(jù)庫的危險行為,在數(shù)據(jù)庫前端通過部署數(shù)據(jù)庫準(zhǔn)入防火墻DAF從準(zhǔn)入、行為、業(yè)務(wù)建模全面防御對數(shù)據(jù)庫的攻擊,大大降低此類風(fēng)險。





3.2直接訪問數(shù)據(jù)庫的風(fēng)險治理
風(fēng)險一:賬號管理松散,存在多個用戶共用一個賬號的情況。

治理思路:首先在數(shù)據(jù)庫管理上盡量做到一個賬號一個用戶,其次,如果實際情況確實存在賬號共用,主機用戶通過工具訪問數(shù)據(jù)庫的行為必須先使用主賬號登錄,然后才能使用從賬號即數(shù)據(jù)庫賬號運維數(shù)據(jù)庫,從而確保每一次的數(shù)據(jù)庫操作都與實際用戶關(guān)聯(lián),最終解決賬號共用時操作無法定位責(zé)任人的問題與賬號濫用問題,但此時并不能阻斷數(shù)據(jù)庫運維的非法SQL語句命令。


風(fēng)險二: 直接登錄數(shù)據(jù)庫所在操作系統(tǒng)訪問本地數(shù)據(jù)庫,數(shù)據(jù)庫操作權(quán)限過大,有誤操作惡意操作等風(fēng)險。

治理思路:從管理上應(yīng)避免直接登錄操作系統(tǒng)進(jìn)行數(shù)據(jù)庫操作,日常維護數(shù)據(jù)庫的宿主機必須要先通過帕拉迪統(tǒng)一安全管理與運維審計系統(tǒng)SMS,而對于安裝在LINUX主機上的數(shù)據(jù)庫,通過SMS對關(guān)鍵操作設(shè)置SQL語句控制,避免誤操作或者惡意操作,確保整個過程可審計可監(jiān)控。


風(fēng)險三:賬號權(quán)限過大,數(shù)據(jù)庫權(quán)限濫用,訪問行為不可控,無法判斷訪問行為是否合法。
治理思路:通過部署帕拉迪數(shù)據(jù)庫安全運維寶DIM,實現(xiàn)運維數(shù)據(jù)庫權(quán)限治理、阻斷自然人數(shù)據(jù)庫賬號非法SQL行為、實現(xiàn)高權(quán)限行為回收、確保運維數(shù)據(jù)不落地、自定義敏感操作、對訪問敏感業(yè)務(wù)數(shù)據(jù)庫表實現(xiàn)自動脫敏,從而在不影響此賬號的運維工作的同時,又可防止此賬號權(quán)限過大,造成數(shù)據(jù)篡改、數(shù)據(jù)泄漏的風(fēng)險。


四、安全風(fēng)險應(yīng)對建議

安全建設(shè)應(yīng)根據(jù)用戶實際情況分析客戶面臨的安全威脅的利害性,應(yīng)本著先處置高風(fēng)險,后處置或暫時不處置低風(fēng)險的原則,進(jìn)行相應(yīng)的數(shù)據(jù)庫安全方案建設(shè)。從數(shù)據(jù)庫安全運維管理的角度來思考,運維人員需要對所有的數(shù)據(jù)庫操作從業(yè)務(wù)層面和運維層面進(jìn)行防護,結(jié)合產(chǎn)品和技術(shù)輔佐數(shù)據(jù)庫安全運維管理,最終實現(xiàn)數(shù)據(jù)庫安全有效管理。


情況一:業(yè)務(wù)系統(tǒng)為內(nèi)網(wǎng)系統(tǒng),運維人員多,業(yè)務(wù)系統(tǒng)多

此時直接訪問數(shù)據(jù)庫的行為帶來的風(fēng)險較高。綜合考慮,可采用帕拉迪如下治理方案進(jìn)行相應(yīng)的安全運維建設(shè):

【據(jù)庫安全運維寶DIM+下一代WEB應(yīng)用防火墻NGWAF】


情況二:業(yè)務(wù)系統(tǒng)為在外網(wǎng)系統(tǒng),運維人員多,業(yè)務(wù)系統(tǒng)多

此時應(yīng)用訪問數(shù)據(jù)庫的風(fēng)險和使用工具訪問數(shù)據(jù)庫的行為帶來的風(fēng)險都較高。綜合考慮,可采用帕拉迪如下治理方案進(jìn)行相應(yīng)的安全運維建設(shè):

【據(jù)庫安全運維寶DIM+數(shù)據(jù)庫準(zhǔn)入防火墻DAF+下一代WEB應(yīng)用防火墻NGWAF】


情況三:基于當(dāng)前數(shù)據(jù)庫整體安全的考慮,建議從運維層到業(yè)務(wù)層進(jìn)行全面的防御操作

基于當(dāng)前數(shù)據(jù)庫整體安全的考慮,建議從運維層到業(yè)務(wù)層進(jìn)行全面的防御操作。此時可采用帕拉迪如下綜合治理方案進(jìn)行相應(yīng)的安全運維建設(shè):

【據(jù)庫安全運維寶DIM+下一代WEB應(yīng)用防火墻NGWAF+下一代數(shù)據(jù)庫應(yīng)用防御系統(tǒng)NGDAP】


結(jié)語:
當(dāng)和客戶探討數(shù)據(jù)庫安全風(fēng)險應(yīng)對的思路時,建議按照以上不同的場景提供相對應(yīng)的解決方案,確保最大力度地將數(shù)據(jù)安全風(fēng)險降到最低。
Copyright ? 2019 All Rights Reserved Designed
杭州帕拉迪網(wǎng)絡(luò)科技有限公司