不久前國家信息安全漏洞共享平臺正式發(fā)布通告“Oracle 數(shù)據(jù)庫勒索病毒 RushQL 死灰復(fù)燃”�。
事實(shí)上,RushQL 勒索病毒已經(jīng)不是第一次肆虐 Oracle 數(shù)據(jù)庫�,早在 2016 年 11 月就已經(jīng)在全球掀起了一場血雨腥風(fēng)。當(dāng)然���,那時(shí)候它有個(gè)更響亮的名字“比特幣勒索病毒”���。
目光回溯到 2016 年 11 月,全國多家企事業(yè)單位遭受比特幣勒索通知“你的數(shù)據(jù)庫已被鎖死�����,發(fā)送 5 個(gè)比特幣到這個(gè)地址!”�����。用戶在登陸 Oracle 數(shù)據(jù)庫時(shí)出現(xiàn)如下勒索警告信息,被要求上交 5 個(gè)比特幣來換取解鎖數(shù)據(jù)庫的服務(wù)�����。
盡管這場戰(zhàn)役防守方取得了勝利���,但時(shí)隔兩年,RushQL 勒索病毒卷土重來����,發(fā)動(dòng)新一輪的肆虐。
不少圍觀群眾情不自禁反問���,為什么我們會(huì)遭到同一勒索病毒連續(xù)攻擊?數(shù)據(jù)庫安全廠商能幫助數(shù)據(jù)庫用戶做些什么?在不久前安華金和發(fā)布的《2017-2018 數(shù)據(jù)庫安全應(yīng)用指南》似乎可以尋找到一些技能�����。
簡單說�,企業(yè)對數(shù)據(jù)庫安全的需求共同點(diǎn)有如下四點(diǎn):
數(shù)據(jù)庫運(yùn)維人員�����,擁有高權(quán)限賬號可以直接對數(shù)據(jù)庫進(jìn)行信息檢索、查詢和修改�����。
第三方人員可能會(huì)在業(yè)務(wù)系統(tǒng)及數(shù)據(jù)庫系統(tǒng)中留有后門程序�����,長期監(jiān)控�、竊取數(shù)據(jù)。
黑客利用攻擊手段盜取敏感數(shù)據(jù)����。
數(shù)據(jù)庫安全現(xiàn)狀未知,無法掌握數(shù)據(jù)庫漏洞情況�����、配置情況��、敏感數(shù)據(jù)分布等內(nèi)容��。
而針對這些情況安全廠商應(yīng)該做的是什么?
周期防護(hù)構(gòu)建縱深防護(hù)體系
為了解決數(shù)據(jù)庫在防攻擊���、防篡改����、防丟失、防泄密���、防超級權(quán)限�����、內(nèi)部高危操作等問題。數(shù)據(jù)庫的安全防護(hù)應(yīng)從數(shù)據(jù)庫安全的三維角度�,構(gòu)建事前-事中-事后的全生命周期數(shù)據(jù)安全過程,并結(jié)合多層次安全技術(shù)防護(hù)能力����,形成整體的數(shù)據(jù)庫縱深防護(hù)體系。
主動(dòng)防御減少威脅
通過事中主動(dòng)防御手段在數(shù)據(jù)庫前端對入侵行為做到有效的控制�,通過強(qiáng)大特征庫和漏洞防御庫,主動(dòng)防御內(nèi)外部用戶的違規(guī)操作以及黑客的入侵行為�����。
對 IP/MAC 等要素進(jìn)行策略配置��,確保應(yīng)用程序的身份安全可靠�����。通過黑白名單對敏感數(shù)據(jù)訪問控制,定義非法用戶行為的方式定義安全策略�����,有效通過 SQL 注入特征識別庫����。
權(quán)限控制解決拖庫
從數(shù)據(jù)庫級別應(yīng)進(jìn)行最小化權(quán)限控制,杜絕超級管理員的產(chǎn)生����,通過數(shù)據(jù)庫防火墻和數(shù)據(jù)庫加密措施進(jìn)行從根源上徹底控制數(shù)據(jù)信息的泄露,為信息化打好底層基礎(chǔ)�����。有效防止存儲文件和備份文件被“拖庫”的風(fēng)險(xiǎn)����。
應(yīng)用透明
技術(shù)的實(shí)施應(yīng)對于現(xiàn)有應(yīng)用系統(tǒng)基本透明,對原有數(shù)據(jù)庫特性����、原有應(yīng)用無改造��,不改變應(yīng)用及用戶使用習(xí)慣���。
政策合規(guī)滿足標(biāo)準(zhǔn)
在等級保護(hù)、分級保護(hù)基本要求中�,數(shù)據(jù)庫安全是主機(jī)安全的一個(gè)部分,數(shù)據(jù)庫的測評指標(biāo)是從“主機(jī)安全”和“數(shù)據(jù)安全及備份恢復(fù)”中根據(jù)數(shù)據(jù)庫的特點(diǎn)映射得到的�。對等保三級、分保秘密級以上系統(tǒng)中��,關(guān)鍵敏感數(shù)據(jù)的安全防護(hù)要求滿足了標(biāo)準(zhǔn)特性:
數(shù)據(jù)保密性
滿足了“實(shí)現(xiàn)系統(tǒng)管理數(shù)據(jù)��、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)的存儲保密性”�����。
訪問控制性
實(shí)現(xiàn)了最小授權(quán)原則�,使得用戶的權(quán)限最小化��,同時(shí)要求對重要信息資源設(shè)置敏感標(biāo)記����。
安全審計(jì)性
完成了“對用戶行為、安全事件等進(jìn)行記錄”����。
從數(shù)據(jù)庫安全的時(shí)代沿革來看��,我們走過了系統(tǒng)安全主導(dǎo)的 DBMS1.0 時(shí)代���,這個(gè)階段是以網(wǎng)絡(luò)安全思想作數(shù)據(jù)庫安全,強(qiáng)調(diào)防護(hù)與防入侵;正在經(jīng)歷以數(shù)據(jù)為中心���,由場景化安全主導(dǎo)的 2.0 時(shí)代�,這個(gè)階段強(qiáng)調(diào)數(shù)據(jù)在使用�、流動(dòng)、共享等場景中的安全;而接下來在國家戰(zhàn)略政策層面驅(qū)動(dòng)下���,組織將更加強(qiáng)調(diào)內(nèi)部流程�、規(guī)范與技術(shù)的整合�,在整體體系化安全的建設(shè)需求驅(qū)動(dòng)下,以數(shù)據(jù)安全治理為核心的 3.0 時(shí)代即將到來����。
(邯鄲網(wǎng)站建設(shè))
