數據安全建設中，“人”是最關鍵的因素，但也是最薄弱的環(huán)節(jié)和漏洞。近年來，“內鬼式數據泄露”、“數據庫惡意篡改”、“刪庫跑路“等事件屢見不鮮，嚴峻程度逐年升高。

Verizon《2021年數據泄露調查報告》統計，當前，85%的數據泄露事件都與人為因素有關。企業(yè)多年傾心竭力打造的“堅固堡壘”，正因為安全意識薄弱、內部默認可信任機制、數據安全措施落實不到位等“沉疴”，越來越像一枚“硬殼軟糖”!

內部數據安全風險源自何處？

· 數字化轉型時代，數據極易失控，多渠道擴散

如今，數據已成為生產要素，參與到企業(yè)組織生產經營的各個環(huán)節(jié)，數據流動屬性加倍釋放，隨各類流量穿越于各個終端，以實現更便捷的數據訪問、數據共享、數據應用，向更多人、更多終端輸送，給個人、社會、企業(yè)等群體帶來不同程度的影響，數據多渠道擴散，安全邊界隨之無限擴大，面臨的風險在加速增長。

· 基于網絡邊界的安全防護模式，內部安全防護效果欠佳

傳統IDS、IPS、下一代防火墻、WAF等傳統安全設備在抵御常見的網絡攻擊發(fā)揮重要作用，但如今在日漸模糊的網絡邊界中，如果仍依賴以“網絡為中心”的防御方式，安全防護措施的片面性將帶來防護重心的嚴重失衡，現如今企業(yè)內部風險盛行：黑客入侵內網后，通過盜取數據庫賬號登陸數據庫即可竊取數據，運維環(huán)境本身多職位、多人員的數據庫訪問造成內部數據泄露、刪庫跑路，這都已超越傳統安全手段的能力范圍。

· 運維與業(yè)務場景的一攬子管理，亟需精準定位泄露源頭

從數據庫的訪問來源我們將訪問流量分為業(yè)務流量和運維流量。業(yè)務流量更多由前端業(yè)務訪問者，途徑前端業(yè)務系統，再由業(yè)務系統作為媒介連接數據庫，涉及TCP/IP、HTTP通訊等協議，更多面臨外部攻擊風險;而運維流量指內部運維人員、開發(fā)人員通過工具，使用IP地址及賬號憑證訪問數據庫。顯然，不同場景對載體的配置有著不同要求，數據庫運維過程中，如何保護敏感數據安全不能與前者混為一談，一攬子管理。

· 內部數據泄露更隱蔽，攻擊手段更具“合理化”，難以被識別

目前絕大多數單位組織都會引入第三方駐場人員進行信息系統開發(fā)、測試甚至是運維，無論是內部還是外部駐場人員，“人”及社會關系的不確定性，都有可能造成不亞于黑客攻擊、危害性更大的事件，如外部人員通過利誘系統維護人員進行數據盜取，系統維護人員通過內部網絡或自主終端機的網絡登陸數據庫后，直接進行后臺統計操作，然后將數據進行本地保存，由于其權限的看似合理化，組織往往無法追責到“幕后黑手”，且潛伏時間更久，更難以被發(fā)現。

· 難以突破數據庫自身權限單一管理機制、實現精細化管理

企業(yè)安全管理員為運維、開發(fā)、測試人員提供數據庫登陸憑證時，普遍采用多人單一賬號管理機制，意味著眾多人員采用同一賬戶，賬戶也大多由簡易名稱、弱密碼組成，企業(yè)管理者普遍有“有賬戶，所有訪問操作即是合法”的認知錯覺， 而全然不知賬號正由于員工的親密關系、離職合同解除、個人情緒等原因向外擴散。

DBA權限最具代表性，數據庫分配的DBA權限賬戶擁有天然高權限，可以任意操控數據庫，如創(chuàng)建數據庫、刪除數據庫等，而正是這種高權限又不受監(jiān)管的運維頻頻給數據庫的正常運行帶來故障，有意時，隨意增刪改查數據，無意時，DBA運維失誤，其自身又難以定位出故障原由，白白增加運維負擔。

以“身份”和“資產”為中心，實現運維安全有效管控

如上所說，組織機構內部若建立行之有效的數據安全防護體系，顯然需從根本消除對內部人員的無條件信任，對 “人”在數據訪問過程中所具備的一切特征進行重新的審視、定義，建立以“身份”和“資產”為中心的主動式防護體系。

對此，為了解決當下數據庫運維場景面臨的越權訪問數據、非法/無意操縱數據、敏感數據外泄的難題，美創(chuàng)科技推出數據庫防水壩系統。 作為一款通過幫助用戶主動建立運維訪問模型，保證敏感數據資產可管、用戶訪問行為可控、返回結果可遮蓋的數據庫運維安全風險管控產品，產品從敏感數據的快速發(fā)現和管理、嚴密的身份準入機制、資產細粒度管控、動態(tài)訪問控制、誤操作恢復、合規(guī)審計 等方面全面支持數據庫運維安全管控。

美創(chuàng)科技數據庫防水壩遵循以下思路：

· 不主動信任 。改變以保密的合同框架、道德標準為僅有的評判準則，以“默認不信任”為基礎理念。

· 權責分離 。約束高權賬號的開放式訪問管理難題，在原有數據庫訪問機制上，全面推進職責分離制度。

· 多因素準入控制 。打破只基于賬號密碼的準入機制，并在此基礎上大力擴充準入因子。

· 細粒度資產訪問控制 。以“敏感數據資產”為核心，建立更加精細的數據資產訪問安全管控機制，即權限的可作用范圍從原有的表格最小化到列。

· 建立基線行為 。建立嚴密的數據庫安全運維管控機制，預定義用戶訪問畫像，以“只允許事先授權的、擁有合法權限的人，基于合理的意圖，訪問合理范圍的數據資產”為目標，做到事前有底、事中阻斷、事后追溯。

· 數據隱私化防護 。全面考慮數據天然的隱私性帶來的數據泄露問題，如實時訪問的數據隱私化變形、數據訪問批量導出限制，圈定每一步操作的合理范圍，避免數據披露泄露。

美創(chuàng)科技數據庫防水壩產品總體架構及功能模塊：

· 風險治理模塊： 防護力量聚焦于價值性隱私數據，通過主動、快速發(fā)現敏感資產，一鍵快速的配置敏感資產集合，對不同的資產集合采用不同的安全策略，支持SCHEMA、表、列級別的資產梳理及管控，從而實現有的放矢，防止高危操作或大批量數據泄露。

· 準入控制模塊： 提供多因素認證(如IP、UKEY、登陸時間等)、撞庫檢測防御、免密登陸等功能，聚力身份真實性、訪問合法性確認，讓通過準入機制校驗的“人”是合法的，而非仿冒、盜用憑證等行為。

· 實時風險防御模塊 ：全方位考量人、資產、行為，針對預先設置的行為基線，將資產防護細粒到人、權責分離，加之實時的上下文分析，快速阻斷威脅行為，如賬戶管理操作(Create user、Alter user、drop user等)，授權管理操作(Grant)，敏感數據操作(Truncat table，drop table)以及代碼操作(修改Package，view)等，形成主動、動態(tài)的防御模塊。

從而幫助用戶實現：

與傳統的運維安全風險管理平臺相比，美創(chuàng)數據庫防水壩除了主動式防御理念，同時具備以下天然優(yōu)勢：

· 全面的訪問渠道覆蓋： 面對數據庫多樣化訪問路徑，全面支持本地、代理、直連等訪問渠道的安全管控，顛覆傳統只能管控邏輯串接的代理訪問來源，全渠道的監(jiān)測機制讓用戶所有訪問路徑無所遁形。

· 全流程式安全風險防護： 數據訪問前暴力破解防護、數據訪問中權限合法性監(jiān)測、數據請求值脫敏處理、數據合法訪問后的文件加密導出等功能，防護機制及防護能力沉淀于用戶真實訪問的各個環(huán)節(jié)，全面封鎖數據泄露路徑。

同時，美創(chuàng)科技提供數據庫防水壩與堡壘機聯動方案，實現從主機到數據庫、從數據庫至數據表的集中安全管控，幫助用戶消除數據操作過程無法透明管控的安全盲區(qū)，實現向“運維過程全面管理”的轉變，保障數據安全，全面滿足運維安全內部控制和各類法規(guī)要求。

頻發(fā)的內部數據泄露事件警醒著各行各業(yè)需重新審視安全體系的構建。事前充分防御與控制風險，事中實時管控惡意行為，事后快速溯源定責。唯有如此，才能避免成為威脅的受害者。

申請創(chuàng)業(yè)報道，分享創(chuàng)業(yè)好點子。點擊此處，共同探討創(chuàng)業(yè)新機遇！