各個擊破！數據庫安全風險防護應對(duì)綜合治理思路-杭州梵汐網絡科技有限公司

當前用戶訪問數據庫主要有間接訪問和直接訪問兩(liǎng)種(zhǒng)方式：

直接訪問方式1：一般指運維人員、管理人員、開(kāi)發(fā)人員通過(guò)數據庫連接工具PLSQL、SQL Developer、TOAD等工具訪問數據庫，從而直接對(duì)數據庫進(jìn)行訪問操作。

直接訪問方式2：一般指操作人員直接登錄數據庫所在操作系統，然後(hòu)訪問本地數據庫，直接操作所有數據庫。

二、數據庫面(miàn)臨安全風險

2.1間接訪問風險

通過(guò)應用訪問數據庫的行爲，一般認爲是比較可靠的行爲，但是也存在安全風險。

風險一：業務系統被(bèi)攻破，非法用戶上傳訪問數據庫的代碼文件，通過(guò)頁面(miàn)訪問到數據庫數據，造成(chéng)數據洩漏，數據篡改；

風險二：普通用戶的賬号被(bèi)竊取，非法用戶模仿合法用戶訪問數據，造成(chéng)數據庫數據洩漏；

風險三：利用應用系統漏洞，SQL注入攻擊，最終竊取或篡改數據庫數據。

2.2直接訪問風險

直接訪問的兩(liǎng)種(zhǒng)方式分别爲直接通過(guò)管理工具連接并訪問數據庫和直接登錄數據庫所在操作系統訪問本地數據庫。在企業實際運維中，直接訪問導緻數據庫面(miàn)臨的安全風險包括：

風險一：賬号管理松散，存在多個用戶共用一個賬号的情況；

風險二：賬号權限過(guò)大，訪問行爲不可控，無法判斷是否合法行爲；

風險三：可能(néng)存在數據庫賬号濫用而無法察覺。

三、綜合治理思路

3.1間接訪問數據庫的風險治理

風險一：業務系統被(bèi)攻破，上傳訪問數據庫的代碼文件。

治理思路：采用WEB服務器防護技術，除了匹配特征庫以外，針對(duì)正常業務進(jìn)行白名單建模，當出現異常業務訪問或者XSS攻擊時，帕拉迪下一代WEB應用防火牆NGWAF將(jiāng)保護業務系統，防止其被(bèi)攻破。

風險二：普通用戶賬号被(bèi)竊取，非法用戶模仿合法用戶訪問數據庫。

治理思路：對(duì)普通用戶賬号訪問業務系統時加強認證。可采用與證書認證技術結合，普通用戶訪問業務系統時需有認證UKEY；或采用動态令牌技術，訪問業務系統時需數據動态令牌碼。通過(guò)以上兩(liǎng)種(zhǒng)方式确保用戶在訪問業務系統時除了擁有用戶賬号，口令外，還(hái)需要第三方證書、動态碼，從而可大大降低此類風險。

風險三: 利用應用系統漏洞，SQL注入攻擊，最終竊取或篡改數據庫數據。

治理思路：在應用系統前端通過(guò)帕拉迪下一代WEB應用防火牆NGWAF防業務漏洞注入，針對(duì)通過(guò)業務的邏輯漏洞或者編碼繞過(guò)NGWAF訪問數據庫的危險行爲，在數據庫前端通過(guò)部署數據庫準入防火牆DAF從準入、行爲、業務建模全面(miàn)防禦對(duì)數據庫的攻擊，大大降低此類風險。

3.2直接訪問數據庫的風險治理

風險一：賬号管理松散，存在多個用戶共用一個賬号的情況。

治理思路：首先在數據庫管理上盡量做到一個賬号一個用戶，其次，如果實際情況确實存在賬号共用，主機用戶通過(guò)工具訪問數據庫的行爲必須先使用主賬号登錄，然後(hòu)才能(néng)使用從賬号即數據庫賬号運維數據庫，從而确保每一次的數據庫操作都(dōu)與實際用戶關聯，最終解決賬号共用時操作無法定位責任人的問題與賬号濫用問題，但此時并不能(néng)阻斷數據庫運維的非法SQL語句命令。

風險二: 直接登錄數據庫所在操作系統訪問本地數據庫，數據庫操作權限過(guò)大，有誤操作惡意操作等風險。

治理思路:從管理上應避免直接登錄操作系統進(jìn)行數據庫操作，日常維護數據庫的宿主機必須要先通過(guò)帕拉迪統一安全管理與運維審計系統SMS，而對(duì)于安裝在LINUX主機上的數據庫，通過(guò)SMS對(duì)關鍵操作設置SQL語句控制，避免誤操作或者惡意操作，确保整個過(guò)程可審計可監控。

風險三：賬号權限過(guò)大，數據庫權限濫用，訪問行爲不可控，無法判斷訪問行爲是否合法。

治理思路：通過(guò)部署帕拉迪數據庫安全運維寶DIM，實現運維數據庫權限治理、阻斷自然人數據庫賬号非法SQL行爲、實現高權限行爲回收、确保運維數據不落地、自定義敏感操作、對(duì)訪問敏感業務數據庫表實現自動脫敏，從而在不影響此賬号的運維工作的同時，又可防止此賬号權限過(guò)大，造成(chéng)數據篡改、數據洩漏的風險。

四、安全風險應對(duì)建議

安全建設應根據用戶實際情況分析客戶面(miàn)臨的安全威脅的利害性，應本著(zhe)先處置高風險，後(hòu)處置或暫時不處置低風險的原則，進(jìn)行相應的數據庫安全方案建設。從數據庫安全運維管理的角度來思考，運維人員需要對(duì)所有的數據庫操作從業務層面(miàn)和運維層面(miàn)進(jìn)行防護，結合産品和技術輔佐數據庫安全運維管理，最終實現數據庫安全有效管理。

情況一:業務系統爲内網系統，運維人員多，業務系統多

此時直接訪問數據庫的行爲帶來的風險較高。綜合考慮，可采用帕拉迪如下治理方案進(jìn)行相應的安全運維建設：

【據庫安全運維寶DIM+下一代WEB應用防火牆NGWAF】

情況二:業務系統爲在外網系統，運維人員多，業務系統多

此時應用訪問數據庫的風險和使用工具訪問數據庫的行爲帶來的風險都(dōu)較高。綜合考慮，可采用帕拉迪如下治理方案進(jìn)行相應的安全運維建設：

【據庫安全運維寶DIM+數據庫準入防火牆DAF+下一代WEB應用防火牆NGWAF】

情況三:基于當前數據庫整體安全的考慮，建議從運維層到業務層進(jìn)行全面(miàn)的防禦操作

基于當前數據庫整體安全的考慮，建議從運維層到業務層進(jìn)行全面(miàn)的防禦操作。此時可采用帕拉迪如下綜合治理方案進(jìn)行相應的安全運維建設：

【據庫安全運維寶DIM+下一代WEB應用防火牆NGWAF+下一代數據庫應用防禦系統NGDAP】

結語：

當和客戶探讨數據庫安全風險應對(duì)的思路時，建議按照以上不同的場景提供相對(duì)應的解決方案，确保最大力度地將(jiāng)數據安全風險降到最低。