防范运维端数据安全风险,数据库防水坝在不同行业的落地实践

news2024/11/29 0:55:01

在历史长河中,充满着强者未屈服于外部危险,却折戟内部威胁的记载,人类总是容易被咄咄逼人的外部所迷惑,反而忽略了近在咫尺的涌动暗潮。

数据安全领域,也面临类似的问题!

数据库运维场景,数据安全主要场景之一,风险近在咫尺!目前单位组织普遍存在内部人员甚至第三方外包账号共享、高权限账户滥用等现象,而由于缺少有效的管控手段,操作过程不透明、操作行为不可控、操作事故不可溯更带来安全盲区,隐患重重。

近些年,由此而引起的内部或第三方外包人员数据泄露、恶意篡改、删库跑路等事件不胜枚举,不仅牺牲了单位组织系统及数据的保密性、完整性和可用性,更甚者造成了重大经济损失和声誉损害。( 🔗 点击此处,剖析运维端数据安全风险)

前车之鉴种种,在数据安全重要性不断提升的今天,应该如何解决?

01

全流程细粒度

数据库防水坝带来正确答案  ▸▸▸

围绕着数据库运维场景面临的“人员怎么管(运维账号多,操作权限高)、风险操作怎么防(高危操作、删库跑路防不胜防)、运维事故怎么定责(访问身份不明,幕后黑手定位难)”。

走过十余年征程,数据库防水坝基于对数据库协议的精准解析、各行业实际安全需求的深入研究,融合众多创新能力,给出最专业的解法。

数据库防水坝集敏感数据发现和管理、多因素身份准入机制、动态访问控制、敏感数据脱敏、误操作恢复、合规审计等多种功能,通过丰富的安全策略对人的风险行为进行管理,以此快速建立安全合规运维体系,防止敏感数据在运维过程被泄露和破坏。

图片

[一张图了解防水坝]

  • 以分类分级为基础,实现敏感数据细粒度到列的精细化防护;

  • 多因素认证,从人、终端、应用、账户四大维度进行全面的身份鉴别,精准识别运维人员身份;

  • 动态访问控制,对敏感资产根据身份组设置访问范围与访问频次、脱敏等策略,限制明文外发,有效规避数据泄露、拖库跑路;

  • 聚焦权限管控,防止特权账号敏感SQL访问,支持删库等误操作恢复,确保最坏情况下的数据可恢复能力;

  • 账号托管,运维人员不需要数据库IP、端口、数据库账号密码等信息即可访问数据库,防止用户原始账号信息泄露;

  • 全流程事件审计回溯,监控和追溯所有对敏感资产的操作,让一切非法行为无所遁形。

    ······

02

从实践看能力

防水坝在不同行业的落地应用▸▸▸

实践一:金融行业

图片

伴随数字化转型不断提速,A银行运维管理环境日益复杂,驻场开发、数据库运维、第三方运维已达100余人。

目前,A银行里已部署堡垒机作为运维行为的管控设备,运维人员通过堡垒机进行调用SQL工具进行数据库访问,但这一方式存在以下问题:

  • 对运维人员操作行为只能以录屏的方式进行安全监控;

  • 对删除、更改、更新表等操作无法第一时间进行阻断处理;

  • 对人员登录的PC留痕跟踪问题无法精确覆盖详细信息;

  • 无法进行全面审计记录,三方厂商排查相关问题,需要对数据库进行大量的交互工作;

此前,该行第三方运维人员在处理核心数据库时失误操作,导致业务停机十余分钟。

综合考虑目前堡垒机在数据库运维层面存在的安全短板,以及设备性能瓶颈,A银行希望剥离数据库运维流量进行独立管控,管控数据库包括核心系统数据库、外币数据库、国结数据库、电子渠道数据库、财务系统数据库、人脸识别、现金管理平台、管理会计数据库、信贷管理系统数据库等300余个,覆盖Informix、Greenplum、DM、DB2、OceanBase-oracle等多种类型。

对此,数据库防水坝以免密登录为起点,从敏感数据的快速发现和管理、严密的身份准入机制、资产细粒度管控、动态访问控制、误操作恢复、合规审计等方面支持数据库运维安全管控。

  • 提供统一免密登录入口

数据库防水坝提供安全客户端免密登录功能,运维人员通过安全管理员授予的合法客户端即可访问指定数据库,解决SQL工具数据库账户密码记录留痕问题,避免了账号密码泄露,同时有效解决离职账号回收的困扰。

 

图片

其次,为避免免密登录注册的数据库数量过多,导致无法直观在登录界面找到需要登录的目标数据库。数据库防水坝安全客户端可自定义数据库名称或在链接后面添加易于识别的数据库的注册名称,并支持在选框中基于关键字检索,从而快速定位到目标数据库。

最后保障安全客户端安全访问,避免共享账号等带来的安全隐患,数据库防水坝基于银行现有OTP应用实现OTP二次验证进行登录认证,通过账户密码+OTP或软证书+OTP双因子组合方式,实现安全可靠的身份校验。

  • 强制管理限制唯一入口

在实现上述通过免密登录功能统一运维登录入口的基础上,A银行内部制定并采取了严格的运维工作管理制度,强制运维人员必须使用安全客户端,通过免密登录数据库开展运维工作,针对此前已暴露的数据库账户的密码将逐步进行刷新,并收敛其他运维通道,限制唯一运维入口,减少安全风险。

实践二:政府行业

图片

税务局,国家重点机关,其税务数据涉及国家安全、企业利益以及个人隐私等,其核心业务系统属于《关键信息基础设施安全保护条例》界定的关键信息基础设施,

B市税局数据库日常运维工作由三方外包人员运维人员进行,确保数据的完整性、保密性和可用性,权限控制、高危操作管控和操作行为审计等内控安全成为刚需。

数据库防水坝获得了B市税局的高度认可,通过对账户登录、访问及行为操作细粒度管控,对涉及敏感数据查询、数据批量导出非授权DDL及DCL语句进行实施阻断,实现运维安全“职责权限化、权限最小化”。

  • 敏感数据分类分级管理:以表格、列为单位的管理方法,把敏感数据及核心数据从普通业务数据中脱离出来进行独立管理 ,仅允许必要且核心环节的人员访问。

  • 分权访问:将核心数据进行分类分级,将同类数据进行归类,形成资产集合,再将资产集合的访问授权分配给不同部门角色的人员。

  • 高危操作管控:严格限制运维人员的更新、删除、修改等DDL操作语句,非必要不授权,仅允许已授权人员操作已授权语句。

  • 操作行为审计:为贯彻落实国家税务总局制订的《税务信息系统网络日志留存工作指引》,B税务局需定期将审计记录报送至检查方,因此对于审计日志的精准性以及可读性具有较高要求。数据库防水坝通过正则匹配过滤掉其SQL工具自带的SQL语句,简化审计记录,使其更具可读性;同时,美创根据市税务局的需求,增加定制了审计查询条件,使其面对海量审计记录时可高效匹配查询到相应的审计记录。

实践三:医疗行业

图片

随着业务的发展,医院上线的应用系统越来越多,由于技术人员缺乏,医院往往会将相应业务系统的维护工作交给原厂商,或外包给第三方代维公司,运维环节的数据泄露成为重要的安全隐患之一。

作为全国首批、全省首家通过国家智慧服务三级评审的C医院也面临如此问题。

目前,C医院已部署的数据库审计产品,对业务系统访问数据库进行审计,然而:

  • 对于数据库的使用人员,通过Navicat、PL/SQL、Toad其他数据库客户端访问时,无法审计;

  • 无法精细化到数据账户级别的操作审计;

  • 无法做到聚焦敏感数据,并实现权限设置及管控;

  • 对高危操作或高危命令的执行无能为力,数据库用户直连数据库时无法审计,难以实现事后追溯。

堡垒机实现了运维安全管理等,但:

  • 在数据库运维管理、跟踪数据库运维操作和运维工具防伪造等方面无法做到威胁阻断;

  • 对登入数据库之后的访问控制存在盲点;

  • 缺乏数据库运维流程化的权限管控机制;

  • 无法实现对数据库DBA权限、Schema对象权限、普通管理员权限分离管控,以及字段级别的权限控制;

基于以上背景,数据库防水坝与堡垒机联动,实现从主机到数据库、从数据库至数据表的集中安全管控:

  • 多因素身份认证,实现身份精准识别,应用防假冒功能,有效避免假冒应用和带毒工具登录数据库。

  • 权限控制,从特权账号权限访问控制、行数返回控制、访问频次控制、高危操作控制等方面入手,通过对不同级别的DBA数据库权限进行分类,对特权账户、敏感 SQL语句操作账户进行梳理和规范,同时对数据库访问权限控制精细化到表级别,全方位保障访问控制体系的安全性。

  • 动态脱敏,数据库防水坝支持敏感数据的动态脱敏,对未授权的账户访问敏感数据实现动态脱敏功能,确保运维人员以及外包开发人员严格根据其工作所需和安全等级访问敏感数据。

  • 基于工单的临时操作审批,数据库防水坝提供多层级的工单审批机制,为必要访问建立合规访问机制。

  • 统一数据库运维入口,实现统一的数据库运维入口,并实现来源可控、可信任和不可伪造,过程可控制、可管理和可审计,敏感数据可区分和可设置。

作为先行者,美创科技早早意识到数据库日常运维及管理过程中面临着诸多数据安全挑战,打造了数据库防水坝;

作为实践者,金融、大企业、政府、医疗、教育……数据库防水坝在各行业留下深深的足迹,功能在实战中不断创新;

作为守护者,数据库防水坝也将持续为每一个用户诉求全力以赴,守护数据安全,资产滴水不漏。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/769171.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

Linux 学习记录52(ARM篇)

Linux 学习记录52(ARM篇) 本文目录 Linux 学习记录52(ARM篇)一、汇编语言相关语法1. 汇编语言的组成部分2. 汇编指令的类型3. 汇编指令的使用格式 二、基本数据处理指令1. 数据搬移指令(1. 格式(2. 指令码类型(3. 使用示例 2. 立即数(1. 一条指令的组成 3. 移位操作指令(1. 格式…

MySQL执行过程与bufferPool缓存机制

MySQL执行过程与bufferPool缓存机制 一、SQL执行流程图二、个人理解的Innodb执行引擎执行顺序1、去磁盘文件查找id为1的整页数据,加载到Buffer Pool缓存池中;2、然后写入更新数据的旧值(这里指namezhuge的数据),写入到…

【电路原理学习笔记】第4章:能量与功率:4.5 稳压电源与电池

第4章:能量与功率 4.5 稳压电源与电池 电网采用交流电形式将电能从发电站传输给用户,这是因为交流电易于转换成适宜传输的高压和终端用户使用的低压。在远距离传输时,采用高电压传输的效率和效益要高得多。对于给定的功率,较高的…

安全开发-PHP应用模版引用Smarty渲染MVC模型数据联动RCE安全TP框架路由访问对象操作内置过滤绕过核心漏洞

文章目录 自写模版引用Smarty模版引用代码RCE安全测试TP框架-开发-配置架构&路由&MVC模型TP框架-安全-不安全写法&版本过滤绕过 自写模版引用 1、页面显示样式编排 <?php include config.php; $templatefile_get_contents(new.html);$id$_GET[id] ? :1; $sq…

win11中的pagefile.sys

在C盘系统下&#xff0c;有一个命名为pagefile.sys的文件占用C盘太大的空间&#xff0c;不少用户怕删除pagefile.sys文件之后会对系统造成影响&#xff0c;而不少用户想要将pagefile.sys文件移动到D盘中。那么pagefile.sys是什么文件&#xff1f;Win10系统下pagefile.sys文件太…

解决appium-doctor报 bundletool.jar cannot be found

一、下载bundletool.jar 下载地址&#xff1a;https://github.com/google/bundletool/releases 二、重命名 重命名这个jar包为bundletool.jar&#xff0c;在android sdk目录下&#xff0c;新建bundle-tool目录&#xff0c;把bundletool.jar包放入其中。 三、配置环境 path后追加…

大模型开发(七):LLM提示工程(Prompt)与思维链(CoT)

全文共6500余字&#xff0c;预计阅读时间约13~20分钟 | 满满干货(附案例)&#xff0c;建议收藏&#xff01; 一、LLM模型的涌现能力 在GPT没有爆火之前&#xff0c;一直以来的共识都是&#xff1a;模型的规模越大&#xff0c;模型在下游任务上的能力越多、越强。 LLM原始训…

LeetCode 75 第四题(605)种花问题

题目: 示例: 分析: 给一个数组表示一个花园,其中0表示空地,1表示已经有花种下去了. 空地可以种花,但是花和花之间不能相邻,即数组中不能有两个连续的1. 给一个数n,问我们能不能在花园里种n朵花. 我们可以找出我们所能种的最多的数量(而不是只种n朵),然后比较我们最多能种的…

idea手动导入了包但编译运行还是报找不到xxx.jar包的问题

1、先把jar包放目录下并add as libary 2、在pom.xml中加入 <!--添加的本地的外部jar包依赖--><dependency><!--groupId、artifactId、version为自定义&#xff0c;groupId与artifactId但是不能重名--><groupId>JNative</groupId><artifactId…

搭建srt服务器

目录 1、下载和编译srt2、下载和编译srt-live-server3、编译工程,并把编程出来的可执行程序放到nfs4、板子上跑程序5、用ffplay从srt服务器上流6、srt中./configure遇到的问题解决方法1、下载源码2、下载好之后cp到ubuntu3、解压安装4、创建软链接:创建快捷名字tclsh,放到us…

2023-07-18力扣今日两题-太难了吧

链接&#xff1a; LCP 75. 传送卷轴 题意&#xff1a; 给一个正方形迷宫&#xff0c;主角是A&#xff0c;每次可以上下左右走一格子&#xff0c;有四种类型的格子&#xff1a;墙、初始位置、魔法水晶、空地 另一个人B&#xff0c;可以传送一次A&#xff0c;只能在空地传送&…

青岛大学_王卓老师【数据结构与算法】Week05_14_队列的顺序表示和实现2_学习笔记

本文是个人学习笔记&#xff0c;素材来自青岛大学王卓老师的教学视频。 一方面用于学习记录与分享&#xff0c; 另一方面是想让更多的人看到这么好的《数据结构与算法》的学习视频。 如有侵权&#xff0c;请留言作删文处理。 课程视频链接&#xff1a; 数据结构与算法基础…

“掌握更多的快速排序技巧:三路划分、双路快排和非递归的深入理解”

快速排序是一种基于分治思想的排序算法&#xff0c;它能够以极快的速度将一个乱序的数组重新排列成有序的序列。不仅如此&#xff0c;快速排序还具有简洁的实现代码和良好的可扩展性&#xff0c;成为最受欢迎的排序算法之一。接下来&#xff0c;让我带你了解一下它的魅力吧&…

下半年的 58,准备疯狂内卷?

阅读本文大概需要 1.18 分钟。 关于 58同城&#xff0c;大家都很熟悉&#xff0c;最近看到它的相关信息&#xff0c;还是源于公司「毕业」的事情。 脉脉上在 5 月的时候就开始讨论说 58同城正在进行一波「毕业」&#xff0c;裁员比例在 30%至少。 紧接着&#xff0c;58的老总姚…

Openlayers实战:加载WKT文件

在OPenlayers的交互中,经常性的我们要加载一些数据,在这个实战中,演示的是加载WKT文件。 WKT格式是一种文本格式,用于描述二维和三维几何对象的空间特征。WKT是“Well-Known Text”的缩写,是一种开放的国际标准,由Open Geospatial Consortium(OGC)定义和维护。WKT格式…

vue实现左右布局(右侧超出的时候换行展示)

目录 vue实现左右布局(右侧超出的时候换行展示)code效果 vue实现左右布局(右侧超出的时候换行展示) code <ul class"body-detail"><li><div class"li-label">姓名</div><div class"li-value">XXXXXXXXXXXXXXXXXX…

ai绘画软件哪个好?这几款ai绘画图片生成器分享给你

近期我有个朋友过生日&#xff0c;我想画一幅动物图片绘画送给他&#xff0c;但是奈何我的绘画技巧实在是不堪入目。好在我有几个朋友刚好是ai绘画师&#xff0c;他们跟我说&#xff0c;现在有一些ai绘画工具&#xff0c;可以轻松帮助我画出非常优质的动物图片画作&#xff0c;…

汤臣倍健盈利水平再创新高,其爆品逻辑或可复制粘贴!

前几天&#xff0c;汤臣倍健官方发布了《2023年半年度业绩预告》&#xff0c;预计归母净利润约13.63亿元至15.72亿元。对比上年同期增长30%—50%&#xff0c;上半年盈利水平有望超过2021年中报业绩的13.71亿元&#xff0c;再创新高。 汤臣倍健最初成立于1995年&#xff0c;在20…

项目经理为什么越来越难做了?

作为项目经理&#xff0c;我们面临着来自各方的挑战和质疑。这个职位的困难度越来越高&#xff0c;越来越多的人开始对这个职位感到不满意。然而&#xff0c;要成为一名优秀的项目经理&#xff0c;我们需要深入思考并采取正确的策略。 1、明确项目目标 项目经理在接手一个项目…

类 和 对象

目录 1、面向对象编程 2、面向对象编程 2.1面向对象编程特征 3、类和对象的概念 3.1类的定义 3.11属性 3.12方法 3.13重载 3.14递归 3.13返回值return 3.2对象 3.2.1对象组合 4、jvm内主要三块内存空间 5、参数传值 1、面向对象编程 面向过程&#xff1a;关注的是步骤…