數(shù)據(jù)庫運(yùn)維安全現(xiàn)狀調(diào)查報(bào)告

2016數(shù)據(jù)庫運(yùn)維安全現(xiàn)狀調(diào)查報(bào)告

　　近日，安華金和面向各行業(yè)IT運(yùn)維人群開展了一次數(shù)據(jù)庫運(yùn)維安全現(xiàn)狀調(diào)研。希望借此方式了解用戶的數(shù)據(jù)庫運(yùn)維場(chǎng)景及安全現(xiàn)狀，發(fā)現(xiàn)各行業(yè)用戶在數(shù)據(jù)庫運(yùn)維工作中的安全需求，并研發(fā)出真正具有用戶價(jià)值的安全產(chǎn)品。安華金和從多方通道獲取的近500份問卷中抽取150份有效樣本進(jìn)行統(tǒng)計(jì)分析，總結(jié)歸納出此份《2016數(shù)據(jù)庫運(yùn)維安全現(xiàn)狀調(diào)研報(bào)告》，摘取報(bào)告重點(diǎn)分析結(jié)論，分享給關(guān)注數(shù)據(jù)庫安全的人士。

　　一. 參與人員概況

　　抽取調(diào)研樣本來自不同行業(yè)，包括：政府，金融，能源，教育，制造業(yè)，互聯(lián)網(wǎng)，交通，醫(yī)療行業(yè)等。調(diào)查對(duì)象主要為技術(shù)人員，直接從事IT運(yùn)維或技術(shù)開發(fā)工作，或者為用戶提供運(yùn)維側(cè)解決方案及相關(guān)產(chǎn)品咨詢。參與調(diào)研人群共涉及10余類崗位，其中以工程師、技術(shù)經(jīng)理占大多數(shù)，占比49%，其余職位亦多為技術(shù)層決策人員及研究人員，對(duì)于企業(yè)數(shù)據(jù)庫系統(tǒng)的技術(shù)原理及運(yùn)維操作比較了解，這對(duì)此份調(diào)研報(bào)告的客觀、專業(yè)度提供保障。

　　二. 調(diào)查結(jié)果

　　2.1 當(dāng)前數(shù)據(jù)庫運(yùn)維環(huán)境

　　隨著各行業(yè)信息化水平的提升，應(yīng)用類型多樣而復(fù)雜。調(diào)查結(jié)果顯示，各行業(yè)用戶的數(shù)據(jù)存儲(chǔ)規(guī)模及數(shù)據(jù)處理要求進(jìn)一步提升。面對(duì)復(fù)雜的網(wǎng)絡(luò)環(huán)境，大多數(shù)單位采取了一定的技術(shù)手段保護(hù)核心數(shù)據(jù)庫系統(tǒng)。

　　半數(shù)以上數(shù)據(jù)庫服務(wù)器規(guī)模超50臺(tái)

　　根據(jù)有效樣本統(tǒng)計(jì)，51%以上的企業(yè)部署數(shù)據(jù)庫服務(wù)器超過50臺(tái)，三成企業(yè)達(dá)到百臺(tái)規(guī)模。

　　▲1.1 數(shù)據(jù)庫服務(wù)器規(guī)模

　　數(shù)據(jù)庫服務(wù)器部署位置分布

　　參與調(diào)查人群中，44%的參與者反饋數(shù)據(jù)庫服務(wù)器部署在內(nèi)網(wǎng)環(huán)境中，另有49%反饋內(nèi)網(wǎng)及外網(wǎng)環(huán)境中均有部署。選擇單純部署于外網(wǎng)或不區(qū)分內(nèi)外網(wǎng)的比例僅有6%左右，

　　具有對(duì)核心數(shù)據(jù)庫的安全防護(hù)意識(shí)

　　調(diào)查結(jié)果顯示，78%的用戶會(huì)使用網(wǎng)絡(luò)隔離等技術(shù)手段保護(hù)核心生產(chǎn)庫

　　2.2 數(shù)據(jù)庫安全政策要求及安全檢查現(xiàn)狀

　　在安全政策合規(guī)方面，大多數(shù)單位都需要滿足等保、分保等安全檢查標(biāo)準(zhǔn)。51%的參與者需要通過等保檢查標(biāo)準(zhǔn)，35%需要通過分保檢查標(biāo)準(zhǔn)，28%需要通過其他行業(yè)性安全標(biāo)準(zhǔn)。調(diào)查顯示，64%的企業(yè)對(duì)于數(shù)據(jù)庫會(huì)定期進(jìn)行安全檢查，其余為不定期檢查。但有50%的參與者表示安全檢查中沒有使用專業(yè)的檢查工具，這在一定程度上對(duì)于檢查結(jié)果的全面性和專業(yè)度有所影響。

　　▲1.2 安全政策合規(guī)需求

　　2.3 數(shù)據(jù)庫安全防護(hù)手段

　　大多數(shù)用戶具有對(duì)核心數(shù)據(jù)的保護(hù)意識(shí)，在系統(tǒng)架構(gòu)上更多采用網(wǎng)絡(luò)隔離的手段保護(hù)核心數(shù)據(jù)庫。對(duì)內(nèi)部人員需要授權(quán)訪問，敏感數(shù)據(jù)對(duì)外會(huì)采用脫敏或加密處理。

　　調(diào)查結(jié)果顯示，對(duì)于核心生產(chǎn)庫的安全防護(hù)，70%的參與者反饋會(huì)采用網(wǎng)絡(luò)隔離等技術(shù)手段進(jìn)行核心數(shù)據(jù)庫的保護(hù)，但仍有近30%的企業(yè)尚未采取相關(guān)技術(shù)手段加以防護(hù)。

　　在提供外網(wǎng)服務(wù)的應(yīng)用系統(tǒng)所用數(shù)據(jù)庫中，存有敏感數(shù)據(jù)的比例占到74%。這種情況下，共計(jì)79%的調(diào)查參與者反饋，無論數(shù)據(jù)庫中是否存有敏感數(shù)據(jù)，運(yùn)維人員訪問數(shù)據(jù)庫系統(tǒng)必須得到授權(quán)。

　　當(dāng)敏感數(shù)據(jù)用于第三方公司進(jìn)行開發(fā)、測(cè)試、培訓(xùn)等環(huán)節(jié)前，62%的參與者反饋會(huì)對(duì)敏感數(shù)據(jù)進(jìn)行脫敏或加密處理，但是仍有38%的企業(yè)在此方面沒有防護(hù)手段，這是導(dǎo)致數(shù)據(jù)庫安全隱患的重要原因之一。

　　▲1.3 敏感信息的訪問

　　目前所采取的數(shù)據(jù)庫安全管控技術(shù)手段中，數(shù)據(jù)庫防火墻是選擇最多的數(shù)據(jù)庫安全管控技術(shù)手段，但仍有超半數(shù)單位沒有使用專業(yè)的數(shù)據(jù)庫安全管控產(chǎn)品，近一半單位不能滿足數(shù)據(jù)庫管理制度的要求。

　　在數(shù)據(jù)庫安全管控手段的選擇上，半數(shù)單位已采取專業(yè)的數(shù)據(jù)庫管控手段。調(diào)查顯示，49%的參與者已部署數(shù)據(jù)庫防火墻或數(shù)據(jù)庫訪問管控平臺(tái)，但仍有23%只部署了堡壘機(jī)，29%沒有采取任何技術(shù)手段進(jìn)行管控。同時(shí)，42%的參與者反饋目前的技術(shù)管理手段不能滿足數(shù)據(jù)庫管理制度的要求。這與企業(yè)沒有選擇專業(yè)的數(shù)據(jù)庫管控手段有必然關(guān)系，對(duì)于技術(shù)手段的認(rèn)知有待提高。

　　▲1.4 數(shù)據(jù)庫安全管控技術(shù)手段

　　大部分企業(yè)會(huì)進(jìn)行數(shù)據(jù)庫訪問審計(jì)，近三成單位只對(duì)少部分核心數(shù)據(jù)庫系統(tǒng)進(jìn)行審計(jì)。

　　關(guān)于數(shù)據(jù)庫訪問審計(jì)的具體范圍，針對(duì)所有數(shù)據(jù)庫、針對(duì)大多數(shù)數(shù)據(jù)庫和不進(jìn)行數(shù)據(jù)庫審計(jì)這三個(gè)選項(xiàng)的比例相當(dāng)，其中針對(duì)少部分?jǐn)?shù)據(jù)庫進(jìn)行審計(jì)的比例會(huì)稍高一些，占到31%。可見目前大多數(shù)用戶對(duì)于數(shù)據(jù)庫審計(jì)接受度較高，在此趨勢(shì)下，小部分未采取審計(jì)手段的用戶可能被引導(dǎo)。

　　▲1.5數(shù)據(jù)庫訪問審計(jì)的范圍

　　三. 安全防護(hù)建議

　　綜合調(diào)查結(jié)果，我們針對(duì)數(shù)據(jù)庫運(yùn)維安全現(xiàn)狀，提供具有實(shí)際可落地的安全防護(hù)建議：

　　3.1 在開發(fā)、測(cè)試、培訓(xùn)等工作環(huán)節(jié)中，使用敏感數(shù)據(jù)前進(jìn)行脫敏處理是必要的，選擇專業(yè)工具能夠提高工作效率，保證數(shù)據(jù)處理效果及質(zhì)量。

　　大多數(shù)用戶在數(shù)據(jù)外發(fā)之前，會(huì)采取脫敏或加密手段對(duì)敏感數(shù)據(jù)進(jìn)行處理，這將在很大程度上降低數(shù)據(jù)泄露風(fēng)險(xiǎn)。但目前專業(yè)數(shù)據(jù)庫脫敏和加密工具并沒有被廣泛使用，用戶多選擇自行編寫程序。當(dāng)數(shù)據(jù)量的規(guī)模較大，各數(shù)據(jù)表、數(shù)據(jù)子集之間的關(guān)聯(lián)關(guān)系較為復(fù)雜的情況下，手工脫敏或加密工作量大，且處理質(zhì)量無法保證。這將導(dǎo)致外發(fā)數(shù)據(jù)無法滿足開發(fā)、測(cè)試、分析等業(yè)務(wù)需求，影響結(jié)果準(zhǔn)確性，同時(shí)，耗費(fèi)的人力及時(shí)間成本往往得不償失。

　　專業(yè)的數(shù)據(jù)庫脫敏工具可以保持原有數(shù)據(jù)類型和業(yè)務(wù)格式，保證長(zhǎng)度不變、數(shù)據(jù)內(nèi)涵不丟失，保持表間、表內(nèi)數(shù)據(jù)關(guān)聯(lián)關(guān)系，確保以上業(yè)務(wù)場(chǎng)景中的脫敏數(shù)據(jù)真實(shí)有效。同時(shí)提供動(dòng)態(tài)脫敏功能，對(duì)敏感數(shù)據(jù)進(jìn)行透明、實(shí)時(shí)脫敏，對(duì)數(shù)據(jù)庫用戶名、IP\客戶端類型、訪問時(shí)間甚至業(yè)務(wù)用戶等多重身份進(jìn)行訪問控制，提供多種安全策略。

　　3.2 使用專業(yè)有效的數(shù)據(jù)庫管控手段可以提供細(xì)粒度的數(shù)據(jù)庫運(yùn)維管控，滿足數(shù)據(jù)庫管理制度要求，防止危險(xiǎn)訪問行為。

　　與堡壘機(jī)相比，使用專業(yè)的數(shù)據(jù)庫管控產(chǎn)品，通過對(duì)數(shù)據(jù)庫訪問協(xié)議的精確解析，而不是單純對(duì)訪問操作進(jìn)行錄屏，事后追責(zé)。

　　數(shù)據(jù)庫防火墻優(yōu)勢(shì)：基于對(duì)SQL語句的精準(zhǔn)解析，提供高危訪問控制、SQL注入禁止、返回行數(shù)超標(biāo)禁止、SQL黑名單等技術(shù)功能，對(duì)于匹配策略的威脅操作實(shí)時(shí)攔截、阻斷，而堡壘機(jī)由于不具備SQL語句的精準(zhǔn)解析能力，無法提供如此細(xì)粒度的訪問控制。

　　數(shù)據(jù)庫安全管控平臺(tái)優(yōu)勢(shì)：目前大多數(shù)企業(yè)使用堡壘機(jī)對(duì)運(yùn)維人員的數(shù)據(jù)庫操作行為進(jìn)行審批，但對(duì)于實(shí)際操作的事中控制，無法監(jiān)控。運(yùn)維人員的實(shí)際操作是否與申請(qǐng)一致?實(shí)際操作人是誰?如果出現(xiàn)誤操作，如何追溯?這一系列問題堡壘機(jī)無法解決。專業(yè)的數(shù)據(jù)庫安全管控平臺(tái)在審批通過后返回唯一的操作碼，使用任意客戶端建立連接時(shí)，無操作碼或與原申請(qǐng)操作不符時(shí)，拒絕訪問。提高操作準(zhǔn)確度，防止高危操作及誤操作，彌補(bǔ)傳統(tǒng)解決方案對(duì)于事中控制的缺失。

　　3.3 運(yùn)維部門對(duì)整體數(shù)據(jù)庫訪問行為有必要進(jìn)行實(shí)時(shí)有效的監(jiān)控與審計(jì)，審計(jì)產(chǎn)品的風(fēng)險(xiǎn)感知能力、審計(jì)效率及審計(jì)結(jié)果的準(zhǔn)確度是重要依據(jù)。

　　傳統(tǒng)的網(wǎng)絡(luò)審計(jì)產(chǎn)品無法解析數(shù)據(jù)庫通信協(xié)議，只能通過審計(jì)訪問來源的IP地址、端口號(hào)等基本用戶信息判斷訪問是否合法，而數(shù)據(jù)庫審計(jì)產(chǎn)品對(duì)SQL語句的精確解析能夠識(shí)別每條操作的實(shí)際含義，結(jié)合應(yīng)用行為與用戶行為建模分析，智能判斷數(shù)據(jù)庫是否遭到威脅，實(shí)時(shí)發(fā)出告警。調(diào)查顯示大多數(shù)用戶已經(jīng)局部部署或全面部署數(shù)據(jù)庫審計(jì)系統(tǒng)，在此基礎(chǔ)上，我們更應(yīng)關(guān)注審計(jì)產(chǎn)品是否專業(yè)，如數(shù)據(jù)庫流量是否全捕獲，對(duì)于長(zhǎng)語句、參數(shù)化語句等是否能夠精準(zhǔn)解析，是否具有風(fēng)險(xiǎn)感知能力，審計(jì)數(shù)據(jù)是否高效入庫，對(duì)審計(jì)結(jié)果是否能夠高效分析及檢索。這些關(guān)鍵點(diǎn)決定一款數(shù)據(jù)庫監(jiān)控與審計(jì)產(chǎn)品是否真正具有使用價(jià)值，而不是簡(jiǎn)單地解決有無問題。

【數(shù)據(jù)庫運(yùn)維安全現(xiàn)狀調(diào)查報(bào)告】相關(guān)文章：

IT運(yùn)維方案03-20

運(yùn)維述職報(bào)告06-29

運(yùn)維實(shí)習(xí)報(bào)告06-29

運(yùn)維工作總結(jié)11-12

IT運(yùn)維工作總結(jié)09-13

運(yùn)維工作計(jì)劃08-03

機(jī)房運(yùn)維工作總結(jié)09-17

運(yùn)維部述職報(bào)告范文09-25

系統(tǒng)運(yùn)維工作計(jì)劃09-29

食品安全現(xiàn)狀調(diào)查報(bào)告10-18