從能源行業(yè)數(shù)據(jù)庫安全檢測報告觀行業(yè)安全現(xiàn)狀

作為國家基礎(chǔ)性產(chǎn)業(yè),能源行業(yè)的信息化建設(shè)自上世紀(jì)60年代啟動。信息化程度日趨成熟,很大程度上提高了行業(yè)內(nèi)企業(yè)管理效率及核心競爭力,但與此同時,隨著能源行業(yè)多項業(yè)務(wù)系統(tǒng)的上線,核心業(yè)務(wù)數(shù)據(jù)的存儲與管理面臨更大的挑戰(zhàn),業(yè)務(wù)數(shù)據(jù)、用戶數(shù)據(jù)以及各類財務(wù)、人力等內(nèi)部運營敏感信息,一旦遭到泄露或篡改,將影響業(yè)務(wù)系統(tǒng)的正常運轉(zhuǎn),關(guān)系民生。近年來,能源行業(yè)對于核心數(shù)據(jù)庫的安全防護,已經(jīng)在行業(yè)內(nèi)獲得關(guān)注。

安華金和近些年為能源行業(yè)多家用戶進行過數(shù)據(jù)庫安全評估,整體情況并不樂觀,我們看到有用戶檢測結(jié)果顯示,未通過項中高危漏洞占比達(dá)到近三成。在幾輪的安全評估之后,我們從中歸納總結(jié)出幾類安全問題,由于該行業(yè)的信息系統(tǒng)大多為統(tǒng)一標(biāo)準(zhǔn),幾類問題可以說是整個行業(yè)的數(shù)據(jù)庫安全通病。

以某能源行業(yè)北方某分公司數(shù)據(jù)庫安全加固項目為例,用戶在進行數(shù)據(jù)庫加固項目規(guī)劃前,首先對核心數(shù)據(jù)庫系統(tǒng)進行了一次全面的安全檢查,希望根據(jù)檢測報告制定有針對性的加固方案。

本次安全檢查利用安華金和數(shù)據(jù)庫漏洞掃描系統(tǒng),檢測共涉及1000余檢測項,結(jié)果顯示未通過項為50余項,其中高危風(fēng)險占比21%,中、低危風(fēng)險占58%,其余為存在潛在風(fēng)險的警告提示。風(fēng)險等級主要根據(jù)各類安全漏洞、隱患可能導(dǎo)致的危害程度來評定。

綜合檢測結(jié)果,以及與用戶交流數(shù)據(jù)庫系統(tǒng)的運維情況,安華金和對能源行業(yè)整體數(shù)據(jù)庫安全問題及隱患進行了歸納與總結(jié),希望可以為該行業(yè)用戶數(shù)據(jù)庫安全治理提供一些參考:

用戶對自身數(shù)據(jù)資產(chǎn)具體情況不完全清晰

數(shù)據(jù)庫安全狀況的檢測和后期加固,需要用戶提供自身數(shù)據(jù)庫系統(tǒng)的詳細(xì)架構(gòu)、數(shù)據(jù)表分布和使用情況等,例如信息系統(tǒng)中數(shù)據(jù)資產(chǎn)的規(guī)模和分布是怎樣?數(shù)據(jù)資產(chǎn)之間的關(guān)聯(lián)關(guān)系是怎樣?哪些數(shù)據(jù)需要進行安全防護?哪些數(shù)據(jù)應(yīng)該清理?我們發(fā)現(xiàn),數(shù)據(jù)這些問題有些用戶并不能梳理清楚。這將直接影響后續(xù)數(shù)據(jù)庫安全加固建設(shè)方向的準(zhǔn)確制定,在后期方案落地過程中也將面臨諸多問題。

數(shù)據(jù)庫系統(tǒng)自身存在的安全漏洞無法實時更新補丁

檢測未通過項中數(shù)據(jù)庫自身的安全漏洞占比不小,這個結(jié)果在我們的預(yù)料之中,該能源行業(yè)主要使用的數(shù)據(jù)庫系統(tǒng)為Oracle、MySQL、Postgre、SQL Server等主流數(shù)據(jù)庫類型。我們知道,越是成熟、廣泛應(yīng)用的數(shù)據(jù)庫,被發(fā)現(xiàn)的自身漏洞反而越多,雖然數(shù)據(jù)庫廠商能夠及時發(fā)布補丁,但出于時間、人力成本及對關(guān)鍵業(yè)務(wù)系統(tǒng)運轉(zhuǎn)連續(xù)性的考慮,戶很難做到頻繁的更新補丁、重啟系統(tǒng)。利用諸如SQL注入、緩沖區(qū)溢出、權(quán)限提升等安全漏洞,發(fā)起威脅攻擊正是黑客們最常用的攻擊手段。

數(shù)據(jù)庫系統(tǒng)存在的弱口令賬戶、缺省賬戶以及低安全配置,構(gòu)成潛在安全隱患

數(shù)據(jù)庫用戶密碼過于簡單易猜,檢測工具識別為弱口令賬戶,此外,掃描結(jié)果顯示,用戶數(shù)據(jù)庫系統(tǒng)中仍然存在一些未修改過初始密碼的賬戶,即為缺省賬戶。拿Oracle來說,各版本數(shù)據(jù)庫系統(tǒng)共計700多個賬戶,出廠自帶的原始用戶名和密碼大多類似,稍有數(shù)據(jù)庫操作經(jīng)驗的人很容易破解。弱口令和缺省賬戶的存在,成為外部人員暴力破解,入侵?jǐn)?shù)據(jù)庫的捷徑,不容小覷,以下是在檢查中發(fā)現(xiàn)的部分缺省用戶:

上文我們提到,該能源行業(yè)信息化程度較高,各類業(yè)務(wù)系統(tǒng)的開發(fā)、測試、運維等需要耗費大量的人力成本,第三方外包顯然是最為合適的方式,對于第三方運維工作,外包人員往往被授予數(shù)據(jù)庫最高權(quán)限;而對于開發(fā)、測試等外包項目則需要將部分或全庫數(shù)據(jù)外發(fā),誰來保障他們的可信度?另一方面,檢測中安華金和數(shù)據(jù)庫漏洞掃描系統(tǒng)對低安全性的系統(tǒng)配置項進行了警告,如各類權(quán)限分配不當(dāng)、參數(shù)設(shè)置不當(dāng)、登陸次數(shù)不受限等等。配置缺陷屬于潛在隱患,可能形成安全風(fēng)險或系統(tǒng)性能的損耗。下面列舉個別配置缺陷警告:

對于擁有高權(quán)限的內(nèi)部運維人員、第三方人員,無有效的細(xì)粒度管控措施

反觀內(nèi)部,本就掌握數(shù)據(jù)庫最高權(quán)限的運維人員同樣存在安全風(fēng)險,我們了解到,一名運維人員常常肩負(fù)多個大型業(yè)務(wù)系統(tǒng)及數(shù)據(jù)庫服務(wù)器的運維管理職責(zé),工作強度高峰期時,誤操作在所難免。這種情況下,沒有采取有效的細(xì)粒度管控措施,則無法確保高權(quán)限用戶的增刪改查操作是否符合原業(yè)務(wù)需求,近年來的多起數(shù)據(jù)泄露事件顯示,越來越多的泄露或丟失原因開始指向內(nèi)部人員或第三方外包人員。

基于上述在能源行業(yè)用戶中顯現(xiàn)的真實問題,安華金和給予有效的安全加固建議

1、針對數(shù)據(jù)資產(chǎn)進行全面梳理

在進行數(shù)據(jù)庫安全防護之前,安華金和首先建議用戶對企業(yè)內(nèi)數(shù)據(jù)資產(chǎn)進行梳理,理清企業(yè)數(shù)據(jù)資產(chǎn)數(shù)量、其中的關(guān)聯(lián)關(guān)系,形成統(tǒng)一規(guī)范的登記備案流程,這個步驟對于IT建設(shè)較早的大型企事業(yè)單位來說,是決定一系列數(shù)據(jù)庫安全防護動作的先決條件。

2、實現(xiàn)高細(xì)粒度的事中安全管控

安華金和建議,引入專業(yè)的數(shù)據(jù)庫防火墻,基于對SQL語句的精確解析,可以對數(shù)據(jù)庫進行高細(xì)粒度的主動安全管控,需要特別提到的是,數(shù)據(jù)庫防火墻(DBFirewall)因其特有的虛擬補丁功能,能夠提供漏洞特征檢測能力,不改造數(shù)據(jù)程序的前提下,及時更新數(shù)據(jù)庫補丁,避免數(shù)據(jù)庫安全風(fēng)險。

3、針對數(shù)據(jù)庫操作進行實行審批管控

針對數(shù)據(jù)庫操作不當(dāng)?shù)男袨椋囿w現(xiàn)在數(shù)據(jù)庫運維人員身上,為了實現(xiàn)對運維側(cè)的數(shù)據(jù)庫操作行為監(jiān)管審批,安華金和數(shù)據(jù)庫安全運維系統(tǒng)應(yīng)運而生,該產(chǎn)品中引入規(guī)范的操作審批流程與機制,對內(nèi)部或第三方運維人員的操作申請細(xì)化至語句級別的審批,同時提示操作申請的風(fēng)險度,并確保實際操作、執(zhí)行人與原申請保持一致。

4、使用專業(yè)的脫敏工具保證數(shù)據(jù)脫敏效果

當(dāng)敏感數(shù)據(jù)需要外發(fā)時,為保證真實數(shù)據(jù)不被泄露,脫敏處理是必要手段。既要確保真實數(shù)據(jù)被擾亂,同時又不影響開發(fā)、測試、分析等工作的順暢進行,引入專業(yè)的數(shù)據(jù)脫敏工具能夠輸出這樣的高質(zhì)量脫敏結(jié)果。同時,面對該能源行業(yè)各類應(yīng)用系統(tǒng)對數(shù)據(jù)庫的訪問,動態(tài)脫敏技術(shù),能夠滿足應(yīng)用客戶端對數(shù)據(jù)庫的實時訪問,動態(tài)脫敏,確保只釋放權(quán)限內(nèi)的敏感數(shù)據(jù)滿足業(yè)務(wù)需要。

5、針對數(shù)據(jù)庫操作進行實時風(fēng)險感知,全面審計告警

數(shù)據(jù)庫監(jiān)控與審計系統(tǒng),通過旁路部署在不影響業(yè)務(wù)運轉(zhuǎn)的前提下,幫助數(shù)據(jù)庫運維人員實現(xiàn)全面的數(shù)據(jù)庫訪問行為進行分析,捕獲數(shù)據(jù)庫登陸的異常行為,比如頻繁出現(xiàn)的數(shù)據(jù)庫登陸用戶口令異常等。通過審計記錄,可以對來自運維側(cè)或應(yīng)用側(cè)執(zhí)行的失敗sql語句進行分析匯總,發(fā)現(xiàn)可能出現(xiàn)的邏輯錯誤或?qū)?shù)據(jù)庫構(gòu)成威脅的異常訪問行為,比如權(quán)限不足的用戶嘗試對數(shù)據(jù)庫敏感信息進行越權(quán)訪問或變更。

安華金和面向能源行業(yè),針對多家用戶單位進行數(shù)據(jù)庫安全檢測后總結(jié)提煉,希望可以讓用戶意識到數(shù)據(jù)庫安全防護的重要性,并有效幫助用戶解決核心數(shù)據(jù)安全問題,所推出的行業(yè)化解決方案能夠切實解決用戶痛點,發(fā)揮產(chǎn)品及方案的最大價值。產(chǎn)品在用戶端拒絕做“僵尸機”,真正實現(xiàn)企業(yè)與用戶之間的價值共贏。

極客網(wǎng)企業(yè)會員

免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請進一步核實,并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏,概不負(fù)任何法律責(zé)任。任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時,應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實,溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。

2016-12-27
從能源行業(yè)數(shù)據(jù)庫安全檢測報告觀行業(yè)安全現(xiàn)狀
安華金和近些年為能源行業(yè)多家用戶進行過數(shù)據(jù)庫安全評估,整體情況并不樂觀,我們看到有用戶檢測結(jié)果顯示,未通過項中高危漏洞占比達(dá)到近三成。

長按掃碼 閱讀全文