有了堡壘機(jī)，距離真正的安全還有多遠(yuǎn)？

近年來，各行業(yè)用戶對(duì)于數(shù)據(jù)安全的建設(shè)目標(biāo)，正在逐漸從“單純防外部攻擊”轉(zhuǎn)向“內(nèi)外部環(huán)境下的數(shù)據(jù)安全使用”，這種視角的轉(zhuǎn)變代表企業(yè)和組織更加重視數(shù)據(jù)流轉(zhuǎn)過程中各個(gè)環(huán)節(jié)的管控，對(duì)于企業(yè)核心數(shù)據(jù)的訪問來自應(yīng)用和運(yùn)維兩方面，而運(yùn)維人員具有更高操作權(quán)限。

目前在信息化建設(shè)較為成熟的大型集團(tuán)或組織，已經(jīng)形成了詳細(xì)的運(yùn)維工作管理要求，以某運(yùn)營商行業(yè)的信息安全管理規(guī)范為參考，能夠梳理出組織和企業(yè)對(duì)于數(shù)據(jù)運(yùn)維安全，應(yīng)當(dāng)重點(diǎn)考慮的幾個(gè)角度和可參照的標(biāo)準(zhǔn)，同時(shí)將我們?cè)诖朔矫娴募夹g(shù)思路呈現(xiàn)出來，供參考。

規(guī)范中的重點(diǎn)運(yùn)維要求可歸納為以下四點(diǎn)：

權(quán)限明確、職責(zé)分離、最小特權(quán)

運(yùn)維賬戶的權(quán)限分配應(yīng)當(dāng)遵循“權(quán)限明確、職責(zé)分離、最小特權(quán)”的原則。原則上一個(gè)賬號(hào)對(duì)應(yīng)一個(gè)用戶，而一個(gè)賬號(hào)擁有的權(quán)限是由其被賦于的崗位角色所決定的，應(yīng)按照角色或用戶組進(jìn)行授權(quán)，而不是將單個(gè)權(quán)限直接賦予一個(gè)賬號(hào)。對(duì)權(quán)限相近的崗位角色進(jìn)行合并，并對(duì)崗位角色的權(quán)限進(jìn)行規(guī)范。在涉及客戶信息的系統(tǒng)中，崗位角色應(yīng)當(dāng)根據(jù)企業(yè)、部門的組織結(jié)構(gòu)和職責(zé)分配而設(shè)定；同時(shí)，應(yīng)當(dāng)根據(jù)崗位角色的需要對(duì)相關(guān)人員進(jìn)行授權(quán)，不能根據(jù)人員需求或變更而設(shè)定崗位角色。不同的崗位角色擁有不同的權(quán)限。

角色定位、崗位職責(zé)、權(quán)限要求

規(guī)范中界定的運(yùn)維角色有主機(jī)管理員、網(wǎng)絡(luò)管理員、數(shù)據(jù)庫管理員、應(yīng)用管理員、配置管理、服務(wù)監(jiān)控、安全管理等，于各省公司負(fù)責(zé)涉及客戶敏感信息的系統(tǒng)的維護(hù)管理和服務(wù)監(jiān)控的人員。其中：

l 主機(jī)管理員、網(wǎng)絡(luò)管理員、數(shù)據(jù)庫管理員、配置管理員等超級(jí)管理員無權(quán)查詢客戶信息；

l 應(yīng)用管理員有查詢權(quán)限，按照最小授權(quán)原則授權(quán)，可授予增加、刪除、修改、批量導(dǎo)入與導(dǎo)出、批量開通與取消、批量下載等針對(duì)客戶敏感信息操作的部分權(quán)限，但必須有嚴(yán)格的日志記錄；

l 具有批量操作權(quán)限的人員應(yīng)指定專人，人員范圍應(yīng)盡量小。

關(guān)于登錄及操作審批的規(guī)定

l 運(yùn)維支撐人員對(duì)業(yè)務(wù)系統(tǒng)應(yīng)用層的訪問權(quán)限必須經(jīng)過業(yè)務(wù)管理部門審批，對(duì)系統(tǒng)層訪問權(quán)限必須經(jīng)過本部門領(lǐng)導(dǎo)審批。

l 運(yùn)維支撐人員因統(tǒng)計(jì)取數(shù)、批量業(yè)務(wù)操作對(duì)客戶敏感信息查詢、變更操作時(shí)必須有業(yè)務(wù)管理部門的相關(guān)公文，并經(jīng)過部門領(lǐng)導(dǎo)審批。

l 支撐人員因系統(tǒng)維護(hù)進(jìn)行客戶敏感信息的數(shù)據(jù)遷移（數(shù)據(jù)導(dǎo)入、導(dǎo)出、備份）必須填寫操作申請(qǐng)，并經(jīng)過部門主管審批。

關(guān)于敏感數(shù)據(jù)運(yùn)維操作流程的規(guī)定：審批要求

運(yùn)維支撐人員因業(yè)務(wù)投訴、統(tǒng)計(jì)取數(shù)、批量業(yè)務(wù)操作、批量數(shù)據(jù)修復(fù)等進(jìn)行的客戶敏感信息查詢、變更必須提交操作申請(qǐng)，按照要求進(jìn)行操作，不得擴(kuò)大操作范圍，在工單中保留操作原因和來源的工單（公文）編號(hào)，并由專人負(fù)責(zé)審核。

當(dāng)前運(yùn)維管理工作需求與現(xiàn)狀

以上管理規(guī)范中對(duì)于數(shù)據(jù)庫運(yùn)維側(cè)的相關(guān)規(guī)定，對(duì)高細(xì)粒度的運(yùn)維管控提出了要求：涉及到了運(yùn)維人員身份鑒別，登錄及操作審批、運(yùn)維操作流程精確審計(jì)以及集中的事中管控等方面。

傳統(tǒng)的數(shù)據(jù)庫運(yùn)維工作的管理模式重在事前審批，審批通過后則由運(yùn)維人員自行安排操作執(zhí)行，也可能由其他人員代操作，整個(gè)操作過程不定因素很多：

l 實(shí)際操作人是誰？

l 運(yùn)維人員實(shí)際操作是否與申請(qǐng)一致？

l 出現(xiàn)誤操作，如何追溯？

l 如何管控來自內(nèi)部或第三方運(yùn)維人員有意無意的高危操作？

目前，堡壘機(jī)是大多數(shù)企業(yè)的普遍解決方案。而事實(shí)上，由于缺乏對(duì)數(shù)據(jù)庫通訊協(xié)議的精確解析能力，堡壘機(jī)只能實(shí)現(xiàn)對(duì)操作人身份、操作目標(biāo)庫等最基本的身份識(shí)別，這其中差了最關(guān)鍵的一環(huán)：對(duì)操作內(nèi)容、操作過程的有效管控。因此，對(duì)執(zhí)行過程進(jìn)行透明化管控是數(shù)據(jù)庫安全運(yùn)維系統(tǒng)的重要使命。另外，堡壘機(jī)對(duì)于圖形化操作只能進(jìn)行錄屏，無法作到有效事中控制，未來風(fēng)險(xiǎn)分析時(shí)也無法完成快速的檢索和定位。

數(shù)據(jù)庫安全運(yùn)維細(xì)粒度管控技術(shù)分析

安華金和的數(shù)據(jù)庫安全運(yùn)維系統(tǒng)DBController正是憑借著細(xì)粒度的運(yùn)維管控優(yōu)勢(shì)，幫助眾多用戶實(shí)現(xiàn)了對(duì)數(shù)據(jù)庫的日常運(yùn)維管理，有效提升運(yùn)維管理的精細(xì)度和安全性。

運(yùn)維身份認(rèn)證細(xì)粒度控制

用戶風(fēng)險(xiǎn)

某集團(tuán)運(yùn)維工作中，存在運(yùn)維人員小張、小王、小李共享主機(jī)和數(shù)據(jù)庫賬戶的情況，一旦發(fā)生運(yùn)維事故，怎么定位追責(zé)？

解決方案

通過雙因素認(rèn)證機(jī)制，解決數(shù)據(jù)庫賬戶共享、運(yùn)維主機(jī)共享場(chǎng)景下的運(yùn)維人員精準(zhǔn)身份鑒別及權(quán)限劃分問題。認(rèn)證機(jī)制包括：

動(dòng)態(tài)令牌：運(yùn)維人員在登錄數(shù)據(jù)庫后，需要輸入動(dòng)態(tài)令牌顯示的數(shù)字校驗(yàn)身份，通過后方可執(zhí)行與身份相符的運(yùn)維操作。

審批口令碼：運(yùn)維人員提交申請(qǐng)并通過后獲得審批碼，運(yùn)維人員登錄數(shù)據(jù)庫需提交審批碼，方可繼續(xù)執(zhí)行獲準(zhǔn)的運(yùn)維操作。

DBController可設(shè)置普通用戶、審批人、安全管理員、系統(tǒng)管理員、審計(jì)管理員五種角色，對(duì)應(yīng)不同操作權(quán)限。

l 普通用戶即一線運(yùn)維人員，其權(quán)限是可以對(duì)執(zhí)行的語句進(jìn)行申請(qǐng)并根據(jù)申請(qǐng)結(jié)果執(zhí)行操作；

l 審批人即運(yùn)維主管或安全主管，對(duì)申請(qǐng)人申請(qǐng)的語句進(jìn)行審批，也可以申請(qǐng)語句并執(zhí)行；

l 安全管理員可以制定管控對(duì)象和操作規(guī)則，對(duì)運(yùn)維數(shù)據(jù)實(shí)時(shí)監(jiān)控，審計(jì)檢查；

l 系統(tǒng)管理員主要權(quán)限是對(duì)主機(jī)管理、內(nèi)存管理、網(wǎng)絡(luò)管理，管理數(shù)據(jù)庫，管理用戶。

l 審計(jì)管理員主要負(fù)責(zé)監(jiān)督普通用戶、審批人、安全管理員及系統(tǒng)管理員在系統(tǒng)中的操作。

應(yīng)用場(chǎng)景舉例

運(yùn)維人員小張和小李共享主機(jī)和數(shù)據(jù)庫賬戶，DBController進(jìn)行管控后，運(yùn)維小張對(duì)數(shù)據(jù)庫進(jìn)行訪問操作，當(dāng)執(zhí)行操作對(duì)象涉及敏感數(shù)據(jù)時(shí)，觸發(fā)DBController控制規(guī)則被攔截，于是小張登錄DBController對(duì)訪問對(duì)象和操作進(jìn)行申請(qǐng)審批流程，審批通過后獲得審批口令碼；小張即便和小李共享主機(jī)和數(shù)據(jù)庫賬戶，由于操作前進(jìn)行動(dòng)態(tài)口令和審批口令碼認(rèn)證，系統(tǒng)即可識(shí)別出操作人的真實(shí)身份，對(duì)小張審批通過后的語句可以合法放行；而小李沒有動(dòng)態(tài)口令和審批口令碼認(rèn)證，所以無法連接數(shù)據(jù)庫進(jìn)行操作。

訪問對(duì)象細(xì)粒度控制

用戶風(fēng)險(xiǎn)

公司運(yùn)維人員（第三方運(yùn)維人員A、內(nèi)部運(yùn)維人員B、運(yùn)維部門領(lǐng)導(dǎo)C）均可以訪問數(shù)據(jù)庫任意對(duì)象，敏感數(shù)據(jù)面臨更多泄露風(fēng)險(xiǎn)。

解決方案

DBController系統(tǒng)可以對(duì)訪問數(shù)據(jù)庫對(duì)象進(jìn)行細(xì)粒度管控，控制對(duì)象可以是庫，可以是表，也可以精細(xì)到列；管控對(duì)象可以包括用戶、登錄IP、客戶端工具、時(shí)間。

同時(shí)，系統(tǒng)可對(duì)運(yùn)維人員訪問的敏感對(duì)象做細(xì)粒度控制，根據(jù)不同運(yùn)維人員訪問敏感數(shù)據(jù)權(quán)限，能夠通過內(nèi)置的敏感數(shù)據(jù)訪問規(guī)則，對(duì)其訪問數(shù)據(jù)中的身份證號(hào)、銀行卡號(hào)、電話號(hào)碼、姓名、住址等敏感數(shù)據(jù)信息進(jìn)行掩碼處理，實(shí)現(xiàn)敏感數(shù)據(jù)動(dòng)態(tài)遮蔽，防止內(nèi)部運(yùn)維人員泄露敏感數(shù)據(jù)。

應(yīng)用場(chǎng)景舉例

通過數(shù)據(jù)庫安全運(yùn)維工具，安全管理員小張可以對(duì)公司內(nèi)部運(yùn)維人員（運(yùn)維人員A、B、C）運(yùn)維訪問對(duì)象進(jìn)行管控規(guī)則設(shè)置；

? 第三方運(yùn)維人員A只能訪問公司數(shù)據(jù)庫里不涉及敏感信息的數(shù)據(jù)，而敏感數(shù)據(jù)則不能訪問

? 公司內(nèi)部運(yùn)維人員B可以訪問數(shù)據(jù)庫很多對(duì)象，而訪問的敏感數(shù)據(jù)被遮蔽處理，看不到真實(shí)信息

? 公司運(yùn)維部門領(lǐng)導(dǎo)C可以訪問數(shù)據(jù)庫任意對(duì)象，涉及敏感數(shù)據(jù)也能看到真實(shí)數(shù)據(jù)。

申請(qǐng)審批流程細(xì)粒度控制

用戶風(fēng)險(xiǎn)

運(yùn)維小張對(duì)數(shù)據(jù)庫中敏感字段進(jìn)行修改操作，小張一不留神造成了誤操作，從而導(dǎo)致前端相關(guān)的業(yè)務(wù)訪問中止或出錯(cuò)，造成企業(yè)直接損失。

解決方案

DBController可對(duì)運(yùn)維人員提供運(yùn)維審批細(xì)粒度控制，敏感數(shù)據(jù)操作行為需要經(jīng)過審批；審批通過后配發(fā)唯一口令碼，確保操作執(zhí)行者為信任用戶，執(zhí)行行為屬獲批行為。

系統(tǒng)支持設(shè)置多個(gè)審批員，避免審批人員出差或不在崗影響運(yùn)維人員工作，只要有一個(gè)審批通過即可；同時(shí)系統(tǒng)也支持多級(jí)審批，提高運(yùn)維審批強(qiáng)度和規(guī)范運(yùn)維流程。

用戶可以通過第三方工具登錄數(shù)據(jù)庫進(jìn)行操作，簡單口令認(rèn)證，不改變?cè)泄ぷ髁?xí)慣，口令通過者只能執(zhí)行其申請(qǐng)的操作內(nèi)容，杜絕誤操作及違規(guī)操作。未經(jīng)口令認(rèn)證者無法操作敏感對(duì)象，防止越權(quán)操作。

應(yīng)用場(chǎng)景舉例

運(yùn)維小張對(duì)數(shù)據(jù)庫進(jìn)行訪問操作，當(dāng)執(zhí)行操作對(duì)象涉及敏感數(shù)據(jù)時(shí)，觸發(fā)DBController控制規(guī)則被攔截，于是小張登錄DBController對(duì)訪問對(duì)象和操作進(jìn)行申請(qǐng)審批流程，審批人看到小張的申請(qǐng)工單詳情后給予了通過，小張獲得審批口令碼，完成登錄認(rèn)證后成功執(zhí)行申請(qǐng)的操作，后又執(zhí)行非審批語句系統(tǒng)判為違規(guī)操作攔截，小張隨即又一次申請(qǐng)審批通過成功執(zhí)行該操作。運(yùn)維登錄、操作細(xì)粒度控制

用戶風(fēng)險(xiǎn)

由于未對(duì)運(yùn)維人員操作時(shí)間、登錄IP加以限制，導(dǎo)致第三方運(yùn)維人員小張通過其他IP在非工作時(shí)間進(jìn)行運(yùn)維操作，帶來運(yùn)維安全隱患。

解決方案

DBController系統(tǒng)可對(duì)運(yùn)維人員的IP、客戶端工具、賬號(hào)、時(shí)間等進(jìn)行細(xì)粒度的登錄控制。

系統(tǒng)可以對(duì)于運(yùn)維人員的執(zhí)行操作進(jìn)行細(xì)粒度控制，涉及數(shù)據(jù)庫風(fēng)險(xiǎn)行為SQL注入、漏洞攻擊、批量數(shù)據(jù)下載、危險(xiǎn)SQL語句（如No where 、truncate）等，提供攔截、阻斷、實(shí)時(shí)告警等管控模式。

系統(tǒng)針對(duì)數(shù)據(jù)庫數(shù)據(jù)表，可按照受影響數(shù)據(jù)行數(shù)（閥值）進(jìn)行精細(xì)管控，包括查詢、更新和刪除動(dòng)作，超出閥值的行為進(jìn)行阻斷或攔截，防止高危操作或大批量數(shù)據(jù)泄露。

應(yīng)用場(chǎng)景舉例

運(yùn)維人員小張?zhí)峤坏牟僮鲗徟袝?huì)有一個(gè)針對(duì)操作對(duì)象的時(shí)間控制，即需要規(guī)定時(shí)間內(nèi)完成所申請(qǐng)的操作內(nèi)容，不在規(guī)定時(shí)間范圍內(nèi)操作則操作申請(qǐng)無效。對(duì)于審批后的定時(shí)任務(wù)，DBController可以在制定時(shí)間和周期完成規(guī)定腳本，并將執(zhí)行結(jié)果告知申請(qǐng)人和審批人。

結(jié)語

目前，由于數(shù)據(jù)資產(chǎn)的敏感度高，運(yùn)維人員工作強(qiáng)度大以及運(yùn)維外包形式普遍等原因，政府、金融、社保、運(yùn)營商、能源、大型企業(yè)等用戶已經(jīng)開始越發(fā)重視數(shù)據(jù)運(yùn)維安全的建設(shè)，技術(shù)手段的引入能夠更好的實(shí)現(xiàn)規(guī)范制度的落地，數(shù)據(jù)庫安全運(yùn)維系統(tǒng)的功能開發(fā)和演進(jìn)全部基于用戶側(cè)的真實(shí)需求。在整個(gè)數(shù)據(jù)安全治理的技術(shù)框架下，作為內(nèi)部訪問安全的重要一環(huán)，運(yùn)維行為的細(xì)粒度管控效果，正在逐漸顯現(xiàn)出來，并能夠?yàn)橛脩籼峁┮环N高效不出錯(cuò)的安全方案。

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。