防范运维端数据安全风险，数据库防水坝在不同行业的落地实践

在历史长河中，充满着强者未屈服于外部危险，却折戟内部威胁的记载，人类总是容易被咄咄逼人的外部所迷惑，反而忽略了近在咫尺的涌动暗潮。

数据安全领域，也面临类似的问题！

数据库运维场景，数据安全主要场景之一，风险近在咫尺！目前单位组织普遍存在内部人员甚至第三方外包账号共享、高权限账户滥用等现象，而由于缺少有效的管控手段，操作过程不透明、操作行为不可控、操作事故不可溯更带来安全盲区，隐患重重。

近些年，由此而引起的内部或第三方外包人员数据泄露、恶意篡改、删库跑路等事件不胜枚举，不仅牺牲了单位组织系统及数据的保密性、完整性和可用性，更甚者造成了重大经济损失和声誉损害。（ 🔗 点击此处，剖析运维端数据安全风险）

前车之鉴种种，在数据安全重要性不断提升的今天，应该如何解决？

全流程细粒度

数据库防水坝带来正确答案 ▸▸▸

围绕着数据库运维场景面临的“人员怎么管（运维账号多，操作权限高）、风险操作怎么防（高危操作、删库跑路防不胜防）、运维事故怎么定责（访问身份不明，幕后黑手定位难）”。

走过十余年征程，数据库防水坝基于对数据库协议的精准解析、各行业实际安全需求的深入研究，融合众多创新能力，给出最专业的解法。

数据库防水坝集敏感数据发现和管理、多因素身份准入机制、动态访问控制、敏感数据脱敏、误操作恢复、合规审计等多种功能，通过丰富的安全策略对人的风险行为进行管理，以此快速建立安全合规运维体系，防止敏感数据在运维过程被泄露和破坏。

[一张图了解防水坝]

以分类分级为基础，实现敏感数据细粒度到列的精细化防护；
多因素认证，从人、终端、应用、账户四大维度进行全面的身份鉴别，精准识别运维人员身份；
动态访问控制，对敏感资产根据身份组设置访问范围与访问频次、脱敏等策略，限制明文外发，有效规避数据泄露、拖库跑路；
聚焦权限管控，防止特权账号敏感SQL访问，支持删库等误操作恢复，确保最坏情况下的数据可恢复能力；
账号托管，运维人员不需要数据库IP、端口、数据库账号密码等信息即可访问数据库，防止用户原始账号信息泄露；
全流程事件审计回溯，监控和追溯所有对敏感资产的操作，让一切非法行为无所遁形。

······

从实践看能力

防水坝在不同行业的落地应用▸▸▸

实践一：金融行业

伴随数字化转型不断提速，A银行运维管理环境日益复杂，驻场开发、数据库运维、第三方运维已达100余人。

目前，A银行里已部署堡垒机作为运维行为的管控设备，运维人员通过堡垒机进行调用SQL工具进行数据库访问，但这一方式存在以下问题：

对运维人员操作行为只能以录屏的方式进行安全监控；
对删除、更改、更新表等操作无法第一时间进行阻断处理；
对人员登录的PC留痕跟踪问题无法精确覆盖详细信息；
无法进行全面审计记录，三方厂商排查相关问题，需要对数据库进行大量的交互工作；

此前，该行第三方运维人员在处理核心数据库时失误操作，导致业务停机十余分钟。

综合考虑目前堡垒机在数据库运维层面存在的安全短板，以及设备性能瓶颈，A银行希望剥离数据库运维流量进行独立管控，管控数据库包括核心系统数据库、外币数据库、国结数据库、电子渠道数据库、财务系统数据库、人脸识别、现金管理平台、管理会计数据库、信贷管理系统数据库等300余个，覆盖Informix、Greenplum、DM、DB2、OceanBase-oracle等多种类型。

对此，数据库防水坝以免密登录为起点，从敏感数据的快速发现和管理、严密的身份准入机制、资产细粒度管控、动态访问控制、误操作恢复、合规审计等方面支持数据库运维安全管控。

提供统一免密登录入口

数据库防水坝提供安全客户端免密登录功能，运维人员通过安全管理员授予的合法客户端即可访问指定数据库，解决SQL工具数据库账户密码记录留痕问题，避免了账号密码泄露，同时有效解决离职账号回收的困扰。

其次，为避免免密登录注册的数据库数量过多，导致无法直观在登录界面找到需要登录的目标数据库。数据库防水坝安全客户端可自定义数据库名称或在链接后面添加易于识别的数据库的注册名称，并支持在选框中基于关键字检索，从而快速定位到目标数据库。

最后保障安全客户端安全访问，避免共享账号等带来的安全隐患，数据库防水坝基于银行现有OTP应用实现OTP二次验证进行登录认证，通过账户密码+OTP或软证书+OTP双因子组合方式，实现安全可靠的身份校验。

强制管理限制唯一入口

在实现上述通过免密登录功能统一运维登录入口的基础上，A银行内部制定并采取了严格的运维工作管理制度，强制运维人员必须使用安全客户端，通过免密登录数据库开展运维工作，针对此前已暴露的数据库账户的密码将逐步进行刷新，并收敛其他运维通道，限制唯一运维入口，减少安全风险。

实践二：政府行业

税务局，国家重点机关，其税务数据涉及国家安全、企业利益以及个人隐私等，其核心业务系统属于《关键信息基础设施安全保护条例》界定的关键信息基础设施，

B市税局数据库日常运维工作由三方外包人员运维人员进行，确保数据的完整性、保密性和可用性，权限控制、高危操作管控和操作行为审计等内控安全成为刚需。

数据库防水坝获得了B市税局的高度认可，通过对账户登录、访问及行为操作细粒度管控，对涉及敏感数据查询、数据批量导出非授权DDL及DCL语句进行实施阻断，实现运维安全“职责权限化、权限最小化”。

敏感数据分类分级管理：以表格、列为单位的管理方法，把敏感数据及核心数据从普通业务数据中脱离出来进行独立管理，仅允许必要且核心环节的人员访问。
分权访问：将核心数据进行分类分级，将同类数据进行归类，形成资产集合，再将资产集合的访问授权分配给不同部门角色的人员。
高危操作管控：严格限制运维人员的更新、删除、修改等DDL操作语句，非必要不授权，仅允许已授权人员操作已授权语句。
操作行为审计：为贯彻落实国家税务总局制订的《税务信息系统网络日志留存工作指引》，B税务局需定期将审计记录报送至检查方，因此对于审计日志的精准性以及可读性具有较高要求。数据库防水坝通过正则匹配过滤掉其SQL工具自带的SQL语句，简化审计记录，使其更具可读性；同时，美创根据市税务局的需求，增加定制了审计查询条件，使其面对海量审计记录时可高效匹配查询到相应的审计记录。

实践三：医疗行业

随着业务的发展，医院上线的应用系统越来越多，由于技术人员缺乏，医院往往会将相应业务系统的维护工作交给原厂商，或外包给第三方代维公司，运维环节的数据泄露成为重要的安全隐患之一。

作为全国首批、全省首家通过国家智慧服务三级评审的C医院也面临如此问题。

目前，C医院已部署的数据库审计产品，对业务系统访问数据库进行审计，然而：

对于数据库的使用人员，通过Navicat、PL/SQL、Toad其他数据库客户端访问时，无法审计；
无法精细化到数据账户级别的操作审计；
无法做到聚焦敏感数据，并实现权限设置及管控；
对高危操作或高危命令的执行无能为力，数据库用户直连数据库时无法审计，难以实现事后追溯。

堡垒机实现了运维安全管理等，但：

在数据库运维管理、跟踪数据库运维操作和运维工具防伪造等方面无法做到威胁阻断；
对登入数据库之后的访问控制存在盲点；
缺乏数据库运维流程化的权限管控机制；
无法实现对数据库DBA权限、Schema对象权限、普通管理员权限分离管控，以及字段级别的权限控制；

基于以上背景，数据库防水坝与堡垒机联动，实现从主机到数据库、从数据库至数据表的集中安全管控：

多因素身份认证，实现身份精准识别，应用防假冒功能，有效避免假冒应用和带毒工具登录数据库。
权限控制，从特权账号权限访问控制、行数返回控制、访问频次控制、高危操作控制等方面入手，通过对不同级别的DBA数据库权限进行分类，对特权账户、敏感 SQL语句操作账户进行梳理和规范，同时对数据库访问权限控制精细化到表级别，全方位保障访问控制体系的安全性。
动态脱敏，数据库防水坝支持敏感数据的动态脱敏，对未授权的账户访问敏感数据实现动态脱敏功能，确保运维人员以及外包开发人员严格根据其工作所需和安全等级访问敏感数据。