德迅云安全数据库审计——如何保障企业数据库安全

在当今快速发展的数字环境中,以人工智能 (AI) 的兴起和云计算的无处不在为标志,数据库安全的重要性从未如此突出。随着数据库日益成为人工智能算法和基于云的服务的支柱,它们积累了大量的敏感信息,使其成为网络攻击的主要目标。这些技术的融合不仅放大了潜在风险,而且使安全动态复杂化,因此需要采取更加警惕和复杂的方法来保护数据。

一.什么是数据库安全?

数据库安全是在数据的整个生命周期中保护数据免遭未经授权的访问、损坏或盗窃的做法。它包括一系列旨在保护数据库的措施,数据库是组织中敏感信息的关键存储库。有效的数据库安全策略不仅可以保护数据完整性和隐私,还可以确保合规性并维护组织声誉。由于数据库是许多数据生态系统的中心,因此数据库安全可以涵盖从网络协议、应用程序访问控制列表到防火墙的所有内容。在制定数据库安全计划时,安全性不应只是停止或隔离到数据库层。

 

二.数据库安全管理


安全性是数据库重要的日常工作,安全管理的主要内容包括账户管理和权限管理。帐户管理就是在数据库中应该增加哪些帐户、这些帐户应该组合成哪些角色等。权限管理是对象权限和语句权限的管理。

1.网络环境安全

1.数据库服务器置于单独的服务器区域,任何对这些数据库服务器的物理访问均应受到控制。

2.数据库服务器所在的服务器区域边界部署防火墙或其它逻辑隔离设施。

2.服务器安全

1.重要的数据库服务器除提供数据访问服务外,不提供任何其它的服务。如WEB,FTP等。

2.数据库专用帐户,赋予账户除运行数据库服务之外的最小权限,sa或是sysdab等权限不能对外开放。

3.目录及相应文件访问权限进行控制,非管理员不能访问数据库服务器上任何目录如:禁止用户访脚本存放目录。

3.数据库安全

3.1 数据库系统

1.正式生产数据库系统与开发测试数据库系统物理分离,确保没有安装未使用的数据库系统组件或模块;

2.数据库用户的创建、删除和更改工作,并做好记录;

3.数据库对象存储空间的创建、删除和更改工作,并做好记录;

4.对系统的安装更新、系统设置的更改等要做好维护记录;

5.确保没有开启未使用的数据库系统服务;

6.数据库系统安装必要的升级程序或是补丁,升级前做好数据库备份。

3.2 数据保密

严禁任何人泄漏数据库业务关键数据,需要业务数据时,必须向信息总部相关领导提出申请批准后才能对数据进行相关的操作,并做好记录与日志。

数据库安全性设计与管理需要依照《数据保护技术规范》、《数据资产管理条例》等制度实施。

3.3 账户设置

1.数据库管理员账号具有最高数据库管理权限(如:MSSQL的SA或是ORACLE的SYSDBA等),其他人员需要直连访问数据库或需要具有一定数据库操作权限,必须向信息部门相关领导申请,审批通过后,由数据库管理员告知用户权限等信息,其他人员通过业务系统访问数据库;

2.根据业务需要的权限建立专门的账号,以区分责任,提高系统的安全性,业务人员必须使用自己的账号登录数据库,如JOB,存储过程等执行权限;

3.对账号权限的设置遵从最小化原则,不需求的权限就不能开通。如查询数据的人员,只能有对某些表的SELECT权限,而不能用UPDATE,DELETE等权限;

4.普通数据库用户账户与数据库管理员账户分离。

3.4 账户类型

系统管理员:能够管理数据库系统中的所有组件及所有数据库。

数据库管理员:能够管理相关数据库中的账户、对象及数据。

数据库用户:只能以特定的权限访问特定的数据库对象,不具有数据库管理权限,大部份都是属于这个用户类型。如业务数据人员。

3.5 用户权限

数据库账户按最小权限原则设置在相应数据库中的权限。以下几种权限:

系统管理权限:包括账户管理、服务管理、数据库管理等。

数据库管理权限:包括创建、删除、修改数据库等。

数据库访问权限:包括插入、删除、修改数据库特定表,视图,过程,FUNCTION,JOB记录等。

3.6 数据库对象安全

1.数据文件安全,对数据文件访问权限进行控制,如:禁止除专用账户外的其它账户访问、修改、删除数据文件。

2.删除不需要的示例数据库,在允许存在的示例数据库中严格控制数据库账户的权限。

3.删除或禁用不需要的数据库对象,如表,视图,过程,函数,触发器等。

4.敏感数据安全,对于数据库中的敏感字段,如:口令等,要加密保存。

3.7口令密码策略

1.数据库账户口令应为无意义的字符组,长度至少八位,并且至少包括数字、英文字母两类字符。可设置相应的策略强制复杂的口令。

2.必须根据安全要求对数据库管理系统的密码策略进行设置和调整,以确保口令符合要求。

3.定期或不定期修改数据库管理员口令,并与第一条相符合。

4.账户、密码统一管理,由DBA进行管理,记录账户变及审核。

3.8 访问控制

1.在外围防火墙或其它隔离设施上控制从互联网到数据库系统的直接访问。

2.修改数据库系统默认监听端口。

3.应用程序的数据库连接字符串中不能出现数据库账户口令明文。

4.禁止未授权的数据库系统远程管理访问,对于已经批准的远程管理访问,应采取安全措施增强远程管理访问安全。

3.9 账户开通

1.开通账户必须先填写“信息系统权限申请指南”,经如下流程人员审批通过后,数据库管理员建立账号。

2.账户权限最小化原则。开通只需要的权限,做到不同的应用不同的账户及专人专账户。

3.采用OA账户为数据库开通账户的基础,可追加"_"符号并设置附加字段(如资源池标记、账户所属组别标记等)。

3.10 账户注销

1.数据库管理员收到人员离职通知后,应即时审查该人员是否拥有数据库访问账户;并把对应权限删除。

2.账户权限最小化原则。开通只需要的权限,做到不同的应用不同的账户及专人专账户。

3.采用OA账户为数据库开通账户。

3.11 MySQL数据库特别设置

1.采用集群配置方案,不得将数据库配置文件部署于数据库本地。配置文件存储服务器的数据安全管控级别应为最高。

2.数据库启动必须采用远程调用配置文件形式启动,不得采用命令行启动,应采用服务调用方式启动,避免通过系统指令查到配置文件所在服务器。

3.应对账户设置白名单策略,针对特殊业务场景可以进行分时段访问拦截。

3.12 SQL Server数据库特别设置

1.代理账户宜采用单独账户设置。

2.新业务超过100万行数据的表,必须采用分区表形式实现。

3.数据库必须采用文件组方式实现,每个数据文件不宜超过500GB。

4.tempdb、log与data文件宜硬件IO分离,若资源紧张至少将tempdb与 log和data文件分离。

5.数据库系统文件必须独立存放于系统盘,且与tempdb、log与data文件硬件IO分离。

6.应对账户设置IP白名单策略,针对特殊业务场景可以进行分时段访问拦截。

7.非算法应用场景,可设置资源池分散账户访问压力。

8.减少链接服务器的使用,若必须使用则必须设置账户访问限制,不得提供公共链接服务器访问。

9.DBA存储过程需要部署于system库中,注明sp_dba_前缀,并做好版本控制管理。

10.严格控制标记与指针的使用,在满足性能要求前提下,可将信息写入数据库error日志中,便于后续对接日志处理平台进行集中收集处理。

11.数据库分库分表分区等脚本,必须通过备份库在测试环境执行,评估效率,形成书面报告审议。执行必须按照新建库/表/分区→数据导入→索引重建→名称切换方式进行。涉及视图操作,完成后必须重新刷新视图。分库分表分区后,必须建立维护作业,对函数与方案实现自动维护。正式启用新的分库分表分区前,需要至少2名工作人员对新旧表的数据一致性进行核对,形成书面报告审议,通过后才可启用。被分库分表分区的原始表,需要保留7天。7天后应将该表转移至业务历史数据库留存至少90天。

12.应监控数据库存储过程调用情况,针对超过10个以上的数据库并发访问、链接池资源1个小时内不被释放、CPU和Tempdb资源消耗超过总资源的20%的情况,应作出预警。针对需要特殊保护的业务场景,经产品与运维部门同意,可启动自动切断链接设置。

三.数据库审计功能

数据库审计(简称DBAudit)以安全事件为中心,以全面审计和精确审计为基础,实时记录网络上的数据库活动,对数据库操作进行细粒度审计的合规性管理,对数据库遭受到的风险行为进行实时告警。它通过对用户访问数据库行为的记录、分析和汇报,来帮助用户事后生成合规报告、事故追根溯源,同时通过大数据搜索技术提供高效查询审计报告,定位事件原因,以便日后查询、分析、过滤,实现加强内外部数据库网络行为的监控与审计,提高数据资产安全。


数据库审计是数据库安全技术之一,数据库安全技术主要包括:数据库漏洞扫描、数据库加密、数据库防火墙、数据脱敏、数据库安全审计系统。

1.德迅云安全数据库审计

对进出核心数据库的访问流量进行数据报文字段级的解析操作,还原操作细节,并提供实时的记录告警、审计取证追溯以及异常行为分析功能,解决数据库权限划分混乱、账号复用、事故追查难、安全规章制度难以落实等全方位的安全监控保障。

2.德迅云安全数据库审计核心功能

2.1信息脱敏
支持银行账号、身份证号码等敏感信息的脱敏展示,系统会自动发现敏感信息并过滤掉部分字段进行展示


2.2安全告警
支持多维度的数据库访问行为分析,并产生不同级别的告警信息,用户可通过告警日志回溯可疑的用户访问行为,并可以根据时间、字段和告警等级、规则名称进行筛选


2.3报表统计
支支持丰富的报表,每张报表都是以不同的维度展示当前被审计的数据库系统的运行情况,包含塞班斯报表、综合分析报表、性能分析报表、等保参考分析报表、语句分析类报表、会话分析类报表、告警分析类报表等


2.4智能分析
数据库审计通过UEBA(用户实体行为分析)的理念分析数据库访问行为中可能存在的可疑行为,通过可配置的行为模型学习数据库服务器历史被访问轨迹快速判断访问行为可能存在的风险


2.5安全审计
支持主流的数据库系统审计,包括传统的数据库系统、大数据系统和Web系统等,如Oracle、SQLServer、Mysql、DB2、Sybase、MARIADB、MongoDB、Hana、人大金仓神州OSCAR、达梦(DM)、南大通用(GBase)、Informix、TERADATA、PostgreSQL、HbaseProtobuf、GuassDB、HTTPFtp等

3.德迅云安全数据库审计价值优势

3.1强大的审计能力
丰富的协议审计,最大程度的满足数据库审计需求,包括传统的数据库系统、大数据系统和Web系统


3.2满足合规
采用录像回放记录操作过程,作为事后分析的依据,轻松满足各个行业合规要求


3.3智能告警
内置丰富的漏洞特征,对利用漏洞的攻击行为进行实时告警,自动学习建立数据库安全基线,识别可疑行为


3.4丰富的审计规则
支持18个维度,近400个安全审计规则,覆盖了主流的场景,并且不断的在丰富,满足各类规则定义需求

4.德迅云安全数据库审计产品特点

4.1完整性:多层业务关联审计,可针对WEB层、应用中间层、数据层各层次进行关联审计

4.2细粒度:细粒度的审计规则、精准化的行为检索及回溯、全方位的风险控制。

4.3有效性:独有专利技术实现对数据库安全的各类攻击风险和管理风险的有效控制;灵活的、

4.4自定义的审计规则满足了各类内控和外审的需求(有效控制误操作、越权操作、恶意操作等违规行为)

4.5公正性:基于独立审计的工作模式,实现了数据库管理与审计的分离,保证了审计结果的真实性、完整性、公正性

4.6零风险:无需对现有数据库进行任何更改或增加配置,即可实现零风险部署

4.7高可靠:提供多层次的物理保护、掉电保护、自我监测及冗余部署,提升设备整体可靠性4.8易操作:充分考虑国内用户的使用和维护习惯,提供Web-based全中文操作界面及在线操作提示

在数据泄露日益普遍的时代,了解和实施数据库安全最佳实践不仅是技术上的必要条件,而且是业务上的当务之急。利用正确的工具和策略可以确保数据的完整性、机密性和可用性,从而保护组织最有价值的数字资产。随着威胁的演变,数据库安全的方法也应随之变化,这需要持续的警惕、适应和教育。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/564920.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

1957C - How Does the Rook Move?

题目链接:How Does the Rook Move? 如图: 因为每行每列都只能放一个棋子,因此我们用绿点来表示下的棋子,发现一个规律,当红色格子都被绿线划过时,那么就不能下棋子。当这个白色点放在xy这个点&#xff0c…

7.机器学习-十大算法之一拉索回归(Lasso)算法原理讲解

7.机器学习-十大算法之一拉索回归(Lasso)算法原理讲解 一摘要二个人简介三前言四原理讲解五算法流程六代码实现6.1 坐标下降法6.2 最小角回归法 七第三方库实现7.1 scikit-learn实现(坐标下降法):7.2 scikit-learn 实现…

扫描工具nmap

介绍 说到黑客,知识就是力量。您对目标系统或网络的了解越多,可用的选项就越多。因此,在进行任何利用尝试之前,必须进行适当的枚举。 假设我们获得了一个 IP(或多个 IP 地址)来执行安全审计。在我们做任何…

第八周学习笔记DAY.1-异常

本课目标 了解异常概念 理解Java异常处理机制 会捕捉异常 会抛出异常 了解Java异常体系结构 什么是异常 异常是指在程序的运行过程中所发生的不正常的事件,它会中断正在运行的程序 生活中,根据不同的异常进行相应的处理,而不会就此中断…

空间金字塔池化SPP、SPPF、ASPP、PPM、ASPP等汇总

Original SPP 最原版的SPP(Spatial Pyramid Pooling)是14年在何凯明大神的《Spatial Pyramid Pooling in Deep Convolutional Networks for Visual Recognition》这篇文章中提出的,具体介绍见SPP: Spatial Pyramid Pooling_spatial pyramid …

制造数字化“管理套路”

在当今竞争激烈的市场环境中,制造企业始终关心三个核心问题:生产效率、产品质量、成本控制,所以许多企业渴望加强对生产过程的管理控制。 生产过程是一个相对复杂的过程,涉及到多个环节和因素。从原材料的采购到产品的设计、生产…

JavaSE-15笔记【注解(+2024新)】

文章目录 1.注解概述2.几个常用的JDK内置的注解2.1 Deprecated2.2 Override2.3 SuppressWarnings2.4 FunctionalInterface 3.自定义注解3.1 注解也可以定义属性3.2 注解的使用规则补充 4.元注解4.1 Retention4.2 Target4.3 Documented4.4 Inherited4.5 Repeatable 5.通过反射获…

docker环境搭建

项目环境搭建 1、安装 Linux 虚拟机 (1)下载安装: VM VirtualBox 下载安装:Downloads – Oracle VM VirtualBox,要先开启CPU虚拟化 (2)通过vagrant,在VirtualBox中安装虚拟机 下…

500道Python毕业设计题目推荐,附源码

博主介绍:✌程序员徐师兄、7年大厂程序员经历。全网粉丝12w、csdn博客专家、掘金/华为云/阿里云/InfoQ等平台优质作者、专注于Java技术领域和毕业项目实战✌ 🍅文末获取源码联系🍅 👇🏻 精彩专栏推荐订阅👇…

【Java基础】21.重写(Override)与重载(Overload)

文章目录 一、重写(Override)1.方法重写2.方法的重写规则3.Super 关键字的使用 二、重载(Overload)1.方法重载2.重载规则3.实例 三、重写与重载之间的区别 一、重写(Override) 1.方法重写 重写(Override)是指子类定义了一个与其父类中具有相同名称、参…

LeetCode - 150. 逆波兰表达式求值

LeetCode - 150. 逆波兰表达式求值 解题思路: 想要解决该题目,我们首先需要知道什么是逆波兰表达式,逆波兰表达式是一种后缀表达式,所谓后缀就是指算符写在后面。 我们平常使用的算式则是一种中缀表达式,如( 1 2 …

Spring基础 SpringAOP

前言 我们都知道Spring中最经典的两个功能就是IOC和AOP 我们之前也谈过SpringIOC的思想 容器编程思想了 今天我们来谈谈SpringAOP的思想 首先AOP被称之为面向切面编程 实际上面向切面编程是面向对象的编程的补充和完善 重点就是对某一类问题的集中处理 前面我们写的统一异常管理…

React Router 6 + Ant Design:构建基于角色的动态路由和菜单

要根据用户的角色生成不同的路由菜单并实现权限控制,你可以采取以下步骤: 定义路由配置 首先,你需要定义一个包含所有可能路由的配置文件,例如: const routes [{path: /dashboard,element: <DashboardPage />,roles: [admin, manager, user]},{path: /users,element:…

设计模式——模板方法

1)模板方法模式(Template Method Pattem)&#xff0c;又叫模板模式(Template Patern)&#xff0c;在一个抽象类公开定义了执行它的方法的模板。它的子类可以按需要重写方法实现&#xff0c;但调用将以抽象类中定义的方式进行。 2)简单说&#xff0c;模板方法模式 定义一个操作中…

Splashtop Cloud RADIUS 解决方案入围教育技术奖

2024年4月17日 加利福尼亚州库比蒂诺 Splashtop 在简化随处办公的远程解决方案领域处于领先地位&#xff0c;该公司自豪地宣布最近入围了《教育技术文摘》&#xff08;EdTech Digest&#xff09;的“2024年教育技术奖”的“炫酷工具”决赛。教育科技奖成立于2010年&#xff0c…

都2024 年了,可以卸载的VS Code 插件

在 VS Code 中&#xff0c;庞大的插件市场提供了丰富多样的扩展功能&#xff0c;以增强编码体验和效率。然而&#xff0c;如果你安装了很多插件&#xff0c;就可能会导致&#xff1a; 性能下降&#xff1a;过多的插件可能导致 VS Code 的启动速度变慢&#xff0c;特别是在启动或…

【自动驾驶车辆-运动控制】运动学模型(Kinematic Model) | 手写数学推导公式 by.Akaxi

【前言】 在设计自动驾驶规控算法时&#xff0c;常常需要获取车辆的各种位姿、角度等信息&#xff0c;要控制车辆的运动&#xff0c;首先要对车辆的运动建立数字化模型&#xff0c;模型建立的越准确&#xff0c;对车辆运动的描述越准确&#xff0c;对车辆的跟踪控制的效果就越…

【Leetcode笔记】236.二叉树的最近公共祖先

文章目录 题目要求ACM运行结果 题目要求 给定一个二叉树, 找到该树中两个指定节点的最近公共祖先。 百度百科中最近公共祖先的定义为&#xff1a;“对于有根树 T 的两个节点 p、q&#xff0c;最近公共祖先表示为一个节点 x&#xff0c;满足 x 是 p、q 的祖先且 x 的深度尽可能…

过滤器Filter和拦截器Interceptor心得

上一篇文章讲了监听器Listener&#xff0c;下面我们来讲一下过滤器和拦截器。 一、过滤器Filter。 首先&#xff0c;servlet容器&#xff08;比如tomcat&#xff09;肯定的要有servlet才能发挥它的光彩。在上古jsp时代&#xff0c;我们会写各种servlet通过不同的请求来实现我…

浅说深度优先搜索(中)——回溯

写在最前 相信在你们不懈的努力之下&#xff0c;基本的递归一定可以写出来了&#xff0c;那么我们现在就来看看递归的升级版——回溯怎么写吧&#xff01; 简说回溯 递归是一种特别重要的解题策略。大部分题目需要找到最优解&#xff0c;而这个求解过程可能存在一定的规律性…