隨著數據資產向數據能源的轉變,數據資產的價值越來越高,這些價值作為生產動力在不斷推動組織、社會向前發展的同時,也成為了黑產的目標,極大的促進了數據竊取及濫用行為的發生,目前針對數據資產的竊取及濫用風險主要集中在以下幾點:
1 數據存儲介質風險
數據庫做為數據的存儲介質,由於其自身的複雜性,不但自身會有安全漏洞,而且在安全維護和配置過程中常常也會因各種因素造成安全漏洞,從而使敏感數據面臨風險。
2 互聯網滲透風險
無論任何組織,只要使用了信息化系統,就或多或少的與互聯網發生了聯繫,一旦觸網就會給攻擊者以可乘之機,例如利用SQL注入等滲透技術對存儲在數據庫中的數據進行竊取、拷貝、篡改、破壞等行為。
3 外包及第三方人員權限過大風險
組織內部龐大的信息化系統,無論是開發和運維需求,信息部門往往都無法滿足全部需求,所以IT外包變得越來越普遍,這也給組織的核心數據資產造成了洩露風險。
在組織內部,一些合法的高權限賬號,例如數據庫的DBA賬號也會存在違規操作,甚至惡意操作、數據竊取的安全隱患,例如非授權訪問敏感數據、非合法地點訪問數據庫、運維誤操作、高危指令等。
5 開發、測試系統生產數據洩露風險
開發、測試環境使用未經脫敏的敏感數據,一方面由於開發測試環境的安全性,另一方面由於開發測試人員的複雜性,也會導致敏感數據面臨洩露風險。
6 安全取證困難
一旦發生數據安全事件,不但要求記錄完整的數據惡意操作行為,還要能夠追蹤到操作的應用、賬戶、時間、地點等,最終追蹤到責任人,為安全事件的定責、追責提供可靠的依據。
數據安全縱深防護體系
為解決以上種種數據安全風險,安華金和針對組織的數據安全防護進行了整體設計與規劃,形成了縱深數據安全防護體系,保障各類組織機構的核心數據資產安全。
安華金和數據安全縱深防護體系
一、檢查預警
通過數據庫安全評估技術,有效檢測數據庫已知漏洞,例如數據庫自身漏洞、弱口令、缺省口令、弱安全策略、權限寬泛、補丁未升級等,並針對檢測結果形成綜合評估報告給出升級改造及修復建議。
通過動、靜態數據資產梳理技術,明晰數據資產存儲現狀,以及數據資產使用現狀,例如敏感數據分佈狀況、應用數據使用狀況、數據維護訪問狀況等。
二、主動防禦
通過數據庫安全防護技術,防禦基於互聯網的外部攻擊行為,例如外部應用高危及未授權訪問、SQL 注入、權限或角色的非法提升以及敏感數據非法訪問等行為。
通過數據庫運維管理技術,對內部運維操作進行細粒度的管控,例如在運維過程中,運維人員只能使用通過審核的賬戶,在授權的時間、地點、使用經過審核的操作語句對敏感數據進行運維管理。
三、底線防守
通過數據庫加密技術,防止合法人員非授權訪問、下載、拷貝敏感數據,防止敏感數據洩露。
通過數據庫脫敏技術對生產數據進行脫敏,例如應用於測試、開發、分析,等環境中的敏感數據利用靜態脫敏技術進行變形處理;應用於實時訪問生產數據的客服場景,對於與業務無關的敏感數據利用動態脫敏技術進行遮蔽處理。
四、事後追查
採用數據庫安全審計技術解決數據安全取證的問題,例如防止高權限用戶對審計記錄的破壞,以及利用應用關聯審計進行精準的數據操作行為定位,為數據安全事件追責、定責提供可靠依據。
安華金和數據安全縱深防護體系是從事前預防,到事中防護,再到事後追查的一個整體的
數據防護體系,最終目標是在實現數據資產價值的同時保障使用中的數據安全。
閱讀更多 安華金和 的文章
