德迅云安全数据库审计——如何保障企业数据库安全

在当今快速发展的数字环境中，以人工智能（AI）的兴起和云计算的无处不在为标志，数据库安全的重要性从未如此突出。随着数据库日益成为人工智能算法和基于云的服务的支柱，它们积累了大量的敏感信息，使其成为网络攻击的主要目标。这些技术的融合不仅放大了潜在风险，而且使安全动态复杂化，因此需要采取更加警惕和复杂的方法来保护数据。

一.什么是数据库安全？

数据库安全是在数据的整个生命周期中保护数据免遭未经授权的访问、损坏或盗窃的做法。它包括一系列旨在保护数据库的措施，数据库是组织中敏感信息的关键存储库。有效的数据库安全策略不仅可以保护数据完整性和隐私，还可以确保合规性并维护组织声誉。由于数据库是许多数据生态系统的中心，因此数据库安全可以涵盖从网络协议、应用程序访问控制列表到防火墙的所有内容。在制定数据库安全计划时，安全性不应只是停止或隔离到数据库层。

二.数据库安全管理

安全性是数据库重要的日常工作，安全管理的主要内容包括账户管理和权限管理。帐户管理就是在数据库中应该增加哪些帐户、这些帐户应该组合成哪些角色等。权限管理是对象权限和语句权限的管理。

1.网络环境安全

1.数据库服务器置于单独的服务器区域，任何对这些数据库服务器的物理访问均应受到控制。

2.数据库服务器所在的服务器区域边界部署防火墙或其它逻辑隔离设施。

2.服务器安全

1.重要的数据库服务器除提供数据访问服务外，不提供任何其它的服务。如WEB，FTP等。

2.数据库专用帐户，赋予账户除运行数据库服务之外的最小权限，sa或是sysdab等权限不能对外开放。

3.目录及相应文件访问权限进行控制，非管理员不能访问数据库服务器上任何目录如：禁止用户访脚本存放目录。

3.数据库安全

3.1 数据库系统

1.正式生产数据库系统与开发测试数据库系统物理分离，确保没有安装未使用的数据库系统组件或模块；

2.数据库用户的创建、删除和更改工作，并做好记录；

3.数据库对象存储空间的创建、删除和更改工作，并做好记录；

4.对系统的安装更新、系统设置的更改等要做好维护记录；

5.确保没有开启未使用的数据库系统服务；

6.数据库系统安装必要的升级程序或是补丁，升级前做好数据库备份。

3.2 数据保密

严禁任何人泄漏数据库业务关键数据，需要业务数据时，必须向信息总部相关领导提出申请批准后才能对数据进行相关的操作，并做好记录与日志。

数据库安全性设计与管理需要依照《数据保护技术规范》、《数据资产管理条例》等制度实施。

3.3 账户设置

1.数据库管理员账号具有最高数据库管理权限（如：MSSQL的SA或是ORACLE的SYSDBA等），其他人员需要直连访问数据库或需要具有一定数据库操作权限，必须向信息部门相关领导申请，审批通过后，由数据库管理员告知用户权限等信息，其他人员通过业务系统访问数据库；

2.根据业务需要的权限建立专门的账号，以区分责任，提高系统的安全性，业务人员必须使用自己的账号登录数据库,如JOB，存储过程等执行权限；

3.对账号权限的设置遵从最小化原则，不需求的权限就不能开通。如查询数据的人员，只能有对某些表的SELECT权限，而不能用UPDATE，DELETE等权限；

4.普通数据库用户账户与数据库管理员账户分离。

3.4 账户类型

系统管理员：能够管理数据库系统中的所有组件及所有数据库。

数据库管理员：能够管理相关数据库中的账户、对象及数据。

数据库用户：只能以特定的权限访问特定的数据库对象，不具有数据库管理权限，大部份都是属于这个用户类型。如业务数据人员。

3.5 用户权限

数据库账户按最小权限原则设置在相应数据库中的权限。以下几种权限：

系统管理权限：包括账户管理、服务管理、数据库管理等。

数据库管理权限：包括创建、删除、修改数据库等。

数据库访问权限：包括插入、删除、修改数据库特定表，视图，过程，FUNCTION，JOB记录等。

3.6 数据库对象安全

1.数据文件安全，对数据文件访问权限进行控制，如：禁止除专用账户外的其它账户访问、修改、删除数据文件。

2.删除不需要的示例数据库，在允许存在的示例数据库中严格控制数据库账户的权限。

3.删除或禁用不需要的数据库对象，如表，视图，过程，函数，触发器等。

4.敏感数据安全，对于数据库中的敏感字段，如：口令等，要加密保存。

3.7口令密码策略

1.数据库账户口令应为无意义的字符组，长度至少八位，并且至少包括数字、英文字母两类字符。可设置相应的策略强制复杂的口令。

2.必须根据安全要求对数据库管理系统的密码策略进行设置和调整，以确保口令符合要求。

3.定期或不定期修改数据库管理员口令，并与第一条相符合。

4.账户、密码统一管理，由DBA进行管理，记录账户变及审核。

3.8 访问控制

1.在外围防火墙或其它隔离设施上控制从互联网到数据库系统的直接访问。

2.修改数据库系统默认监听端口。

3.应用程序的数据库连接字符串中不能出现数据库账户口令明文。

4.禁止未授权的数据库系统远程管理访问，对于已经批准的远程管理访问，应采取安全措施增强远程管理访问安全。

3.9 账户开通

1.开通账户必须先填写“信息系统权限申请指南”，经如下流程人员审批通过后，数据库管理员建立账号。

2.账户权限最小化原则。开通只需要的权限，做到不同的应用不同的账户及专人专账户。

3.采用OA账户为数据库开通账户的基础，可追加"_"符号并设置附加字段（如资源池标记、账户所属组别标记等）。

3.10 账户注销

1.数据库管理员收到人员离职通知后，应即时审查该人员是否拥有数据库访问账户；并把对应权限删除。

2.账户权限最小化原则。开通只需要的权限，做到不同的应用不同的账户及专人专账户。

3.采用OA账户为数据库开通账户。

3.11 MySQL数据库特别设置

1.采用集群配置方案，不得将数据库配置文件部署于数据库本地。配置文件存储服务器的数据安全管控级别应为最高。

2.数据库启动必须采用远程调用配置文件形式启动，不得采用命令行启动，应采用服务调用方式启动，避免通过系统指令查到配置文件所在服务器。

3.应对账户设置白名单策略，针对特殊业务场景可以进行分时段访问拦截。

3.12 SQL Server数据库特别设置

1.代理账户宜采用单独账户设置。

2.新业务超过100万行数据的表，必须采用分区表形式实现。

3.数据库必须采用文件组方式实现，每个数据文件不宜超过500GB。

4.tempdb、log与data文件宜硬件IO分离，若资源紧张至少将tempdb与 log和data文件分离。

5.数据库系统文件必须独立存放于系统盘，且与tempdb、log与data文件硬件IO分离。

6.应对账户设置IP白名单策略，针对特殊业务场景可以进行分时段访问拦截。

7.非算法应用场景，可设置资源池分散账户访问压力。

8.减少链接服务器的使用，若必须使用则必须设置账户访问限制，不得提供公共链接服务器访问。

9.DBA存储过程需要部署于system库中，注明sp_dba_前缀，并做好版本控制管理。

10.严格控制标记与指针的使用，在满足性能要求前提下，可将信息写入数据库error日志中，便于后续对接日志处理平台进行集中收集处理。

11.数据库分库分表分区等脚本，必须通过备份库在测试环境执行，评估效率，形成书面报告审议。执行必须按照新建库/表/分区→数据导入→索引重建→名称切换方式进行。涉及视图操作，完成后必须重新刷新视图。分库分表分区后，必须建立维护作业，对函数与方案实现自动维护。正式启用新的分库分表分区前，需要至少2名工作人员对新旧表的数据一致性进行核对，形成书面报告审议，通过后才可启用。被分库分表分区的原始表，需要保留7天。7天后应将该表转移至业务历史数据库留存至少90天。

12.应监控数据库存储过程调用情况，针对超过10个以上的数据库并发访问、链接池资源1个小时内不被释放、CPU和Tempdb资源消耗超过总资源的20%的情况，应作出预警。针对需要特殊保护的业务场景，经产品与运维部门同意，可启动自动切断链接设置。

三.数据库审计功能

数据库审计（简称DBAudit）以安全事件为中心，以全面审计和精确审计为基础，实时记录网络上的数据库活动，对数据库操作进行细粒度审计的合规性管理，对数据库遭受到的风险行为进行实时告警。它通过对用户访问数据库行为的记录、分析和汇报，来帮助用户事后生成合规报告、事故追根溯源，同时通过大数据搜索技术提供高效查询审计报告，定位事件原因，以便日后查询、分析、过滤，实现加强内外部数据库网络行为的监控与审计，提高数据资产安全。

数据库审计是数据库安全技术之一，数据库安全技术主要包括：数据库漏洞扫描、数据库加密、数据库防火墙、数据脱敏、数据库安全审计系统。

1.德迅云安全数据库审计

对进出核心数据库的访问流量进行数据报文字段级的解析操作，还原操作细节，并提供实时的记录告警、审计取证追溯以及异常行为分析功能，解决数据库权限划分混乱、账号复用、事故追查难、安全规章制度难以落实等全方位的安全监控保障。

2.德迅云安全数据库审计核心功能

2.1信息脱敏
支持银行账号、身份证号码等敏感信息的脱敏展示，系统会自动发现敏感信息并过滤掉部分字段进行展示

2.2安全告警
支持多维度的数据库访问行为分析，并产生不同级别的告警信息，用户可通过告警日志回溯可疑的用户访问行为，并可以根据时间、字段和告警等级、规则名称进行筛选

2.3报表统计
支支持丰富的报表，每张报表都是以不同的维度展示当前被审计的数据库系统的运行情况，包含塞班斯报表、综合分析报表、性能分析报表、等保参考分析报表、语句分析类报表、会话分析类报表、告警分析类报表等

2.4智能分析
数据库审计通过UEBA（用户实体行为分析）的理念分析数据库访问行为中可能存在的可疑行为，通过可配置的行为模型学习数据库服务器历史被访问轨迹快速判断访问行为可能存在的风险

2.5安全审计
支持主流的数据库系统审计，包括传统的数据库系统、大数据系统和Web系统等，如Oracle、SQLServer、Mysql、DB2、Sybase、MARIADB、MongoDB、Hana、人大金仓神州OSCAR、达梦（DM）、南大通用（GBase）、Informix、TERADATA、PostgreSQL、HbaseProtobuf、GuassDB、HTTPFtp等

3.德迅云安全数据库审计价值优势

3.1强大的审计能力
丰富的协议审计，最大程度的满足数据库审计需求，包括传统的数据库系统、大数据系统和Web系统

3.2满足合规
采用录像回放记录操作过程，作为事后分析的依据，轻松满足各个行业合规要求

3.3智能告警
内置丰富的漏洞特征，对利用漏洞的攻击行为进行实时告警，自动学习建立数据库安全基线，识别可疑行为

3.4丰富的审计规则
支持18个维度，近400个安全审计规则，覆盖了主流的场景，并且不断的在丰富，满足各类规则定义需求

4.德迅云安全数据库审计产品特点

4.1完整性：多层业务关联审计，可针对WEB层、应用中间层、数据层各层次进行关联审计

4.2细粒度：细粒度的审计规则、精准化的行为检索及回溯、全方位的风险控制。

4.3有效性：独有专利技术实现对数据库安全的各类攻击风险和管理风险的有效控制；灵活的、

4.4自定义的审计规则满足了各类内控和外审的需求（有效控制误操作、越权操作、恶意操作等违规行为）

4.5公正性：基于独立审计的工作模式，实现了数据库管理与审计的分离，保证了审计结果的真实性、完整性、公正性

4.6零风险：无需对现有数据库进行任何更改或增加配置，即可实现零风险部署