企业信息数据的高利益诱惑、不断精进的武器化攻击方法、攻击情报收集更加便利,在日益剧增的网络安全威胁状况下,传统性的终端安全和网络安全显得捉襟见肘,已无法保障企业组织真正重要的东西–业务数据和应用程序。
如何维持企业的核心竞争力,保证业务连续性和数据安全,需要构建更高层次、更全面、更具成熟度的数据安全能力。而数据库安全能力,承载了企业核心业务数据的系统软件,已经成为业务运行和数据保护的基础设施,自然也成为针对性攻击的首要目标。而数据风险带来的爆炸半径早已远超过去,数据库安全首当其冲跃上安全部门的数据安全能力建设工作清单榜首。
数据库安全能力如何建设?保护企业数据库和应用程序安全,满足数据合规要求以及有效管控数据库免遭数据窃取,是每个CSO都会关注的事情,笔者近几年一直在汉领信息从事数据库安全管控方面的工作,下面介绍下我的数据库安全准入控制矩阵模型的构建和实践心得,以此为企业组织的数据安全能力建设提供借鉴思路。随着信息化开展,业务系统数据化明显,数据被广泛应用于企业内部支撑、合作经营、产品研发等,数据共享带来了普遍性,促进了生产力发展,同时也让数据的边界模糊,流动变得频繁。因此,流通共享数据的安全访问控制带来了更高的挑战。
因为传统的身份认证和访问控制是基于网络层的访问控制,通过划分独立数据网络区域和运维管理区域,以IP资源(协议端口)为对象,控制力度较为宽泛,只能参与网络传输层的访问要求。与业务系统有关的访问控制,通常以核心业务实现为中心设计,通过控制用户对不同功能界面的访问来达到权限控制的目的。部分数据共享时,通常系统允许以文件或图片方式保存,并在文件中添加水印,用于在信息泄露后的追溯,如果高权限人员对数据库内具有流动性的单条数据进行传播,系统则难以招架。这些方式在面对数据中心级别资源池面前,便不足以支撑对企业内数据传输、数据交换、数据处理的更高细粒度的访问准入控制要求。
一个核心技术点是协议解码框架,需要有专业的全协议解码能力,识别和分析数据库传输协议以及应用层的协议解码,剥离SQL语句。通过流会话技术,对协议进行流重组,所有解析语句会被标记唯一的标识。在此基础上,针对数据库安全访问的准入控制方面,总结形成了一个安全准入控制矩阵模型。
传统网络架构中,不注重数据安全的流向,关注点始终停留在网络建设层面,对数据库的访问准入策略,元素使用网络传输的来源与目标IP、目标端口及协议(TCP/UDP)。
要实现对数据库访问准入的控制,首当其冲便是对数据库协议的解析。首先需要从网络流量中获取数据库的访问流量,识别数据库协议,例如Oracle的数据传输协议TNS、SQL Server传输协议TDS。
然后对数据库流量协议数据包进行全协议解码,其必然涉及到对加密数据库信息的破解(如SQLServer的TDS协议,需要通过获取加密证书实现加密登录参数解析),从中识别可利用的独特参数。
除了访问IP、端口和协议外,还能够采集的参数信息有客户端应用程序名(navicat.exe)、客户端主机名(DESKTOP-VCK0MFC)、客户端主机用户名(J),以及访问时使用的数据库账号名(system)和实例服务名(xe),以上称为准入控制因子。
企业组织架构设计时,可选用数据库软件种类众多,协议类型、加密方法各不相同,我们通过协议解析获得的数据库应用协议内的参数信息也不相同。
创新的安全准入控制模型,以数据库协议的解析为核心基础,加入流量解析识别而来的准入因子,形成更完善的可选准入控制因子集合。
企业内对数据库访问使用的准入因子多种多样,因为访问途径较多,例如业务中间件与数据库集群交互,业务应用后台维护对数据库的访问,运维DBA利用工具对数据库表的操作行为。而做到评估所有的“需要知道”的访问权限信息是非常困难且成本过高的,因此需要自动化的方法,而且需要更智能。
安全准入控制模型,基于数据中心大流量的数据库协议全解码技术,通过机器学习,实现对全网数据库流量(包含业务系统请求的南北向流量、运维与数据中心内服务器交互的东西向流量)内安全访问准入因子的自主学习,甄别自动化脚本攻击掺入的脏数据,快速完善数据库访问策略,形成准入控制矩阵。
在业务系统与数据库访问路径中间,建立完善可视化的准入控制矩阵,形成了白名单式的安全规则配置,对数据库的所有访问行为,都需要进入准入控制矩阵进行混合匹配认证,只有符合复杂白名单规则的访问才被允许。而自动化变换攻击脚本程序、更换账号以及目标设备的异常攻击行为,都会被精准识别并及时阻断。不管从业务系统的外来请求,还是服务器集群内的东西向交互访问,实现完全杜绝非法行为。
所以,数据库安全准入控制矩阵模型的构建是以协议全解码技术为基础,识别多项准入控制因子,通过访问内容的自主学习,形成的准入控制矩阵。对数据库的访问进行准入控制,对非理性和异常行为达到精准阻断,有效落地企业数据库安全能力。
数据库安全准入控制矩阵模型是企业构建数据库安全能力建设内容之中的一环,是实现灵活多变、自适应式、且具有高细粒度访问控制矩阵的最佳实践。对企业组织而言,特别是在面对众多以获取企业敏感数据信息为目的的威胁面前,在未来以数据为中心的新经济时代,通过整合来自人、流程和技术的输入信息,才能有效构建并提升企业数据安全能力,才能在威胁来临之际快速、自信地做出反应。
实操指南:如何监控聊天中的敏感信息?这款秘籍软件,轻松掌握微信聊天动态
电影《摩登时代》里,流水线工人就连在吃饭时都要用“自动喂食机”提高效率,这样才能挤出更多时间投入工作。虽然现在打工人不至于此,但有些老板仍然放心不下……像企业聊天记录往往蕴含着大量的敏感信息。为了确保信息安全,监控聊天中的敏感信息成为了一项必要且重要的工作。以下是一款秘籍软件,帮助你轻松掌握微信聊天动态,确保信息安全。...
怎么监控员工上班情况?2024企业管理的四种方法,老板们不容错过
怎么监控员工上班情况?2024企业管理的四种方法,老板们不容错过员工上班在干什么?摸鱼?打游戏?老板该怎么管理?如何才能监视怎么监控员工上班情况?监控员工上班情况可以通过多种方式实现,但重要的是要确保这些措施既合法又合规,同时尊重员工的隐私权。以下是一些建议的方法:一、制定明确的行为规范与奖惩制度1、制定行为规范: 企...
怎么监控员工上班情况?快速监控员工状态
怎么监控员工上班情况?快速监控员工状态在企业管理中,如何有效监控员工上班情况,确保工作效率与团队协作,是每位老板都需面对的课题。本文为您揭秘五招快速监控员工状态的实用技巧,不仅能帮助您实时掌握员工动态,还能提升整体管理效率。作为老板,掌握这些技巧,将让您在企业管理中游刃有余,轻松应对各种挑战。一、使用安企神软件实时监控...
安企神桌管软件:提升企业管理效率的全能助力
安企神桌管软件:提升企业管理效率的全能助力在当今竞争激烈的商业环境中,企业必须不断优化管理和运营流程,以提高效率和盈利能力。安企神桌管软件正是这样一款面向中小企业的管理工具,能够帮助企业在多方面提升综合管理水平。本文将详细探讨安企神桌管软件给企业带来的多重价值。一、全方位的管理功能安企神桌管软件是一款集成了多种管理功能...
安企神:揭开终端安全管理软件的神秘面纱
安企神:揭开终端安全管理软件的神秘面纱在数字化日益普及的今天,企业的网络安全问题愈发显得重要。数据泄露、网络攻击等事件层出不穷,如何保障企业内部信息的安全性成为众多企业关心的焦点。安企神终端安全管理软件应运而生,作为一款专业的安全管理工具,它的功能与优势备受关注。本文将全面揭秘安企神软件的核心功能、应用场景及其在终端安...