数据安全方案之数据库防水坝方案|数据库防水坝
日期:2020-03-05 10:20:10 / 人气:
微软雅黑; font-weight: bold;">什么是数据库防水坝
什么是堡垒机
数据库防水坝与堡垒机联动方案
场景一:解决共享账户、密码泄露
场景一:解决方案
场景二:大权限账户越权访问
场景二:解决方案
场景三:安全管理合规
场景三:解决方案
产品架构
产品部署:反向代理+直连控制
产品部署:透明代理(HA)
典型案例:解决方案
数据库防水坝产品方案
数据泄密事件
.徐某仅是社区卫生服务中心工作人员,却掌握了“妇幼信息管理系统”市级权限账号密码,权限管理混乱.实际上共享账户问题、越权访问非常普遍
事件经过
.2018年1月,某市警方侦破了一起新生婴儿信息倒卖链条
.某社区卫生服务中心工作人员徐某,掌握了某市“妇幼信息管理系统”市级权限账号密码,利用职务之便,多次将2016年至2017年的新生婴儿信息及预产信息导出
.累计非法下载新生婴儿数据50余万条,贩卖新生婴儿信息数万余条
事件分析
高危操作事件
.运维人员权限过大
.数据库运维仅有登陆管理,缺少访问控制手段
事件经过
.2018年9月19日,某快递公司数据中心的一位高级工程师接到变更需求,按照操作流程要求,登陆生产数据库跳转机,通过navicat-mysql 客户端管理工具,连入SHIVA-OMCS 的RUSS 库进行操作。在操作过程中,工程师发现选错了RUSS 数据库,打算删除执行的sql
.在选定删除时,因操作不严谨,光标回跳到RUSS 库的实例上,在未看清所选内容的情况下,便通过delete 执行删除,同时,他忽略了弹窗提示,直接回车,导致RUSS 库被删除。
.因运维人员工作不严谨的操作,导致OMCS 运营监控系统发生故障,该系统上临时车线上发车功能无法使用并持续约590 分钟。同比9 月5 日的929 条临时车需求,此次故障对业务产生了严重的负面影响。
.误删生产数据库,导致某项服务无法使用并持续590 分钟,工程师被开除
合规要求
8.1.3.2访问控制:应对源地址、目的地址、源端口、目的端口和协议等进行检查,以允许/拒绝数据包进出;
应对进出网络的数据流实现基于应用协议和应用内容的访问控制。
等保2.0要求
基于自然人身份、业务账号、数据库账号、ip、时间、执行语句、语句影响范围等多个因素,实现数据库协议和内容进行细粒度登陆和访问控制
解读
防水坝·多因素登陆管理·基于规则库的细粒度访问控制
措施
8.1.4.2访问控制:访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表级;应对重要主体和客体设置安全标记,并控制主体对有安全标记信息资源的访问。
8.1.4.11个人信息保护:应禁止未授权访问和非法使用用户个人信息。
8.1.10.2资产管理:应根据资产的重要程度对资产进行标识管理,根据资产的价值选择相应的管理措施;
等保2.0要求
对业务系统收集的信息进行梳理统计,同时对个人信息的使用进行管理控制,防止未经授权的访问
对数据库操作控制粒度:细化到表级或列级。
同时被保护敏感数据表或列的权限控制,独立于数据库的权限控制,防止主体数据库用户的权限提升访问被保护数据。
防水坝·分级分类管理·权限分离
合规要求
8.1.10.6网络和系统安全管理:应严格控制变更性运维,经过审批后才可改变连接、安装系统组件或调整配置参数,操作过程中应保留不可更改的审计日志,操作结束后应同步更新配置信息库;
应严格控制远程运维的开通,经过审批后才可开通远程运维接口或通道,操作过程中应保留不可更改的审计日志,操作结束后立即关闭接口或通道
等保2.0要求
对现有资产进行梳理后,根据业务重要程度进行不同级别的安全防护。
通过流程审批、操作命令等方式对变更性运维进行细粒度控制。同时提供完整执行记录、留痕,满足法规遵循的要求。
对数据库运维进行流程控制及完整审计。
什么是数据库防水坝
.基本概念
.数据库防水坝从数据库登陆、访问控制、动态脱敏、误操作防御、工单系统、运维审计等方面全方位支持数据库运维安全管理,满足运维安全内控和各类法规法令的要求。支持反向代理、直连控制、透明代理等多种部署方式,增强运维安全但不增加运维工作的复杂性
.曾用名“数据库堡垒机”
.安全目标:内控、运维安全、数据库防泄密。防止敏感数据像水一样溢出
.主要功能
.多因素登陆控制
.访问控制:细化到表、列
.动态脱敏
.误操作防御
.工单系统
.运维审计
场景一:共享账户、密码泄露
.场景描述
.同一个账号被多人共享,审计系统只能审计到数据库账户,无法定位到人,发生数据泄露后,互相推诿
.容易发生密码泄露,密码可以很方便告知多个人,敏感数据对所有人开放访问
.密码分段管理,同一个账户的密码由两个人掌握
.风险分析
.密码是数据库身份验证的唯一要素,安全性差
.密码分段管理,可操作性差,管理麻烦
.如何把每个操作定位到人
场景一:解决方案
.单纯依赖密码的数据库准入机制存在非常大的安全隐患,如:共享账户、越权访问等。
.基于数据库通讯协议解析和双向流量分析,搜集用户访问的上下文信息,通过多维身份认证,来规范数据准入控制。
.要素包括:数据库账户、应用&工具、主机名、IP地址、数字证书、登陆时间、操作行为、USB key等相关因子
.通过USB key实现授权到人、审计到人、责任到人。
.通过应用&工具的版本控制,避免假冒应用和带毒工具登录数据库。
.实现
.管理人员:在防水坝的企业用户身份里面添加数据实例及数据库账号密码,可添加多个实例,配置好企业身份和数据库的关系,
.使用人员:通过安全客户端登陆数据库就可以以免密的方式通过工具登陆到数据库
.效果
.避免使用人员获得密码,防止密码泄露
.管理简单
场景二:大权限账户越权访问
.场景描述
.第三方运维,开发商的驻场人员一般具有大权限账户
.大部分的数据数据泄露都是从内部泄露的,与大权限用户越权访问有关
.大权限不仅仅意味着数据泄露,危险操作也可能造成数据永久丢失,业务中断
.业务系统使用的数据库账户很多也具有大权限,而且权限不能收回、很容易获得该账号的用户名密码
.风险分析
.数据泄露
.数据丢失、业务中断
场景二:解决方案
场景三:安全管理合规
.场景描述
.等保要求设置专门的安全管理岗位,而且要专人专岗,不可兼任,实际上大部分是兼任的
.敏感数据访问、系统变更都需要安全管理员审批、授权,目前大部分审批流程都是口头确认
.兼任的安全岗位,平时还需要承担日常工作,安全管理工作压力巨大
.风险分析
.安全管理会增加相关工作量,安全管理员压力很大
.口头授权,没有在安全系统留痕,不合规
敏感数据分级分类管理
敏感数据分类,是以表格或列为单位的管理方法,数据安全和运维安全真正需要关心的只是:1%~10%左右的敏感数据,必须把敏感数据从普通业务数据中脱离出来进行独立管理,防止第三方运维、开发等人员轻易接触敏感数据。
分权管理
把数据从数据库原有权限体系中解放出来,将核心数据进行分类分级,将同类数据进行归类,形成资产集合,再将资产集合的访问授权分配给不同角色的人员:个人用户、应用用户、运维用户等。
管理数据库日常运行和性能管理
敏感数据的安全管理,分类、归属、授权、审计
审计管理员
1、在数据库中形成四个角色:数据库管理员、安全管理员、数据管理员和审计管理员,权责分开。收回DBA等特权用户的数据访问权限,DBA只能从事数据库管理和维护能力。
2、对访问身份及应用进行分类。
需求分析
典型案例:某公安数据安全需求
数据敏感度非常高,黑客重点关注的目标
.公安行业是社会安全的保障机构,是社会信息安全标准的制定者,其自身的安全问题至关重要;
.经过“金盾工程”一期和二期建设,公安部省市等各级公安部门的安全保障系统中安全专项系统相继建设上线,系统汇总起来已有十多种系统,但基本都是边界安全系统;
.尽管业务系统采用了多种边界安全系统保护,仍然发现来自新疆等地ip访问其数据库;
.核心系统等级保护建设要求高,建设完善,各种测评都得到很高的评价;
.但安服团队对数据库进行深度安全检测,仍然发现很多问题。
.黑客入侵;
.离职员工使用账户密码浏览敏感数据
.第三方运维人员在完成工作后仍保留有数据库账户密码,存在安全隐患
.系统建设方不经过局方允许直接将数据交给其他公司展相关业务
.要求各级公安从数据库权限管理、运维人员操作管理、数据库准入、数据库审计方面,对数据库进行全方位的保护;
.要求县市级公安,可以将日志统一汇总到省厅实现统一的管理、展现
.要求安全系统具备统一的管理平台能够实现,规则下发,实现全省公安数据安全协同作战。
等保建设完善,但数据库安全问题仍然很多
安全风险多
全省联动,统一数据安全规划、建设、管理
典型案例:解决方案
典型案例:收益
该项目多次被公安部及省厅领导的表扬;
该项目还被写入省厅年度总结成绩报告中。
受到公安部及省厅领导的表扬
对控制外部维护、开发人员起到了很好的作用,实现了分权管理。在多个维度设定安全策略限制数据库的非法连接,保障数据安全。
实现了敏感数据分权管理
在全区各级公安机关的原有访问控制、恶意代码防范等安全防护手段基础上,建成了省市县三级数据库安全防护系统,提高了全区公安现有业务信息系统数据库的系统安全性,规范了第三方运维开发人员的数据库准入、访问控制等操作。
建成了省、市、县三级数据库安全防护系统
数据库安全系统具有发现恶意代码并拦截的功能,所以成功抵御了“永恒之蓝”等勒索病毒,通过运维方式感染数据库。
成功抵御“永恒之蓝”
声明:
1、江苏网术科技有限公司所提供产品全部为原厂正规产品,我司不出售翻新机,二手机,等残次品;硬件保修政策及时长按设备原制造厂执行,支持三包规定。
2、价格:官网上列出的价格为含增值税专用发票价格;硬件设备产品含税13%,工程服务含税9%,技术服务含税6%。
3、服务:网站标明的价格为商品本身含税价格,不含其它设定和安装服务;如需要安装设定服务请联系销售人员另行报价。无价格的商品为按需配置的项目商品,需联络销售人员报价。
4、方案:官网所述之方案非完整方案,且并不适用于所有的应用场景,请勿盲目套用。
5、新闻:大多摘自互联网,如有侵权,请与我们联系。
6、运费:苏州,无锡,南通,常州,泰州,镇江,扬州地区免费送货上门,其它地区快递发货。
7、结算:苏州,无锡,南通,常州,泰州,镇江,扬州地区支持账期和月结的结算方式,具体可与销售人员协商。其它地区均为现金结算。
8、其它:服务申明最终解释权归网术科技所有,其它未尽事项请与我们联系。
