企业信息数据的高利益诱惑、不断精进的武器化攻击方法、攻击情报收集更加便利,在日益剧增的网络安全威胁状况下,传统性的终端安全和网络安全显得捉襟见肘,已无法保障企业组织真正重要的东西–业务数据和应用程序。
如何维持企业的核心竞争力,保证业务连续性和数据安全,需要构建更高层次、更全面、更具成熟度的数据安全能力(参考DSMM数据安全能力成熟度模型)。而数据库安全能力,承载了企业核心业务数据的系统软件,已经成为业务运行和数据保护的基础设施,自然也成为针对性攻击的首要目标。而数据风险带来的爆炸半径早已远超过去,数据库安全首当其冲跃上安全部门的数据安全能力建设工作清单榜首。
数据库安全能力如何建设?保护企业数据库和应用程序安全,满足数据合规要求以及有效管控数据库免遭数据窃取,是每个CSO都会关注的事情,笔者近几年一直在汉领信息从事数据库安全管控方面的工作,下面介绍下我的数据库安全准入控制矩阵模型的构建和实践心得,以此为企业组织的数据安全能力建设提供借鉴思路。随着信息化开展,业务系统数据化明显,数据被广泛应用于企业内部支撑、合作经营、产品研发等,数据共享带来了普遍性,促进了生产力发展,同时也让数据的边界模糊,流动变得频繁。因此,流通共享数据的安全访问控制带来了更高的挑战。
因为传统的身份认证和访问控制是基于网络层的访问控制,通过划分独立数据网络区域和运维管理区域,以IP资源(协议端口)为对象,控制力度较为宽泛,只能参与网络传输层的访问要求。与业务系统有关的访问控制,通常以核心业务实现为中心设计,通过控制用户对不同功能界面的访问来达到权限控制的目的。部分数据共享时,通常系统允许以文件或图片方式保存,并在文件中添加水印,用于在信息泄露后的追溯,如果高权限人员对数据库内具有流动性的单条数据进行传播,系统则难以招架。这些方式在面对数据中心级别资源池面前,便不足以支撑对企业内数据传输、数据交换、数据处理的更高细粒度的访问准入控制要求。
一个核心技术点是协议解码框架,需要有专业的全协议解码能力,识别和分析数据库传输协议以及应用层的协议解码,剥离SQL语句。通过流会话技术,对协议进行流重组,所有解析语句会被标记唯一的标识。在此基础上,针对数据库安全访问的准入控制方面,总结形成了一个安全准入控制矩阵模型。
传统网络架构中,不注重数据安全的流向,关注点始终停留在网络建设层面,对数据库的访问准入策略,元素使用网络传输的来源与目标IP、目标端口及协议(TCP/UDP)。
要实现对数据库访问准入的控制,首当其冲便是对数据库协议的解析。首先需要从网络流量中获取数据库的访问流量,识别数据库协议,例如Oracle的数据传输协议TNS、SQL Server传输协议TDS。
然后对数据库流量协议数据包进行全协议解码,其必然涉及到对加密数据库信息的破解(如SQLServer的TDS协议,需要通过获取加密证书实现加密登录参数解析),从中识别可利用的独特参数。
除了访问IP、端口和协议外,还能够采集的参数信息有客户端应用程序名(navicat.exe)、客户端主机名(DESKTOP-VCK0MFC)、客户端主机用户名(J),以及访问时使用的数据库账号名(system)和实例服务名(xe),以上称为准入控制因子。
企业组织架构设计时,可选用数据库软件种类众多,协议类型、加密方法各不相同,我们通过协议解析获得的数据库应用协议内的参数信息也不相同。
创新的安全准入控制模型,以数据库协议的解析为核心基础,加入流量解析识别而来的准入因子,形成更完善的可选准入控制因子集合。
企业内对数据库访问使用的准入因子多种多样,因为访问途径较多,例如业务中间件与数据库集群交互,业务应用后台维护对数据库的访问,运维DBA利用工具对数据库表的操作行为。而做到评估所有的“需要知道”的访问权限信息是非常困难且成本过高的,因此需要自动化的方法,而且需要更智能。
安全准入控制模型,基于数据中心大流量的数据库协议全解码技术,通过机器学习,实现对全网数据库流量(包含业务系统请求的南北向流量、运维与数据中心内服务器交互的东西向流量)内安全访问准入因子的自主学习,甄别自动化脚本攻击掺入的脏数据,快速完善数据库访问策略,形成准入控制矩阵。
在业务系统与数据库访问路径中间,建立完善可视化的准入控制矩阵,形成了白名单式的安全规则配置,对数据库的所有访问行为,都需要进入准入控制矩阵进行混合匹配认证,只有符合复杂白名单规则的访问才被允许。而自动化变换攻击脚本程序、更换账号以及目标设备的异常攻击行为,都会被精准识别并及时阻断。不管从业务系统的外来请求,还是服务器集群内的东西向交互访问,实现完全杜绝非法行为。
所以,数据库安全准入控制矩阵模型的构建是以协议全解码技术为基础,识别多项准入控制因子,通过访问内容的自主学习,形成的准入控制矩阵。对数据库的访问进行准入控制,对非理性和异常行为达到精准阻断,有效落地企业数据库安全能力。
数据库安全准入控制矩阵模型是企业构建数据库安全能力建设内容之中的一环,是实现灵活多变、自适应式、且具有高细粒度访问控制矩阵的最佳实践。对企业组织而言,特别是在面对众多以获取企业敏感数据信息为目的的威胁面前,在未来以数据为中心的新经济时代,通过整合来自人、流程和技术的输入信息,才能有效构建并提升企业数据安全能力,才能在威胁来临之际快速、自信地做出反应。
怎样设置电脑文件不能被拷贝呢?(技巧和方法详解)
《庄子·逍遥游》中的句子:“吾生也有涯,而知也无涯。”在当前的无纸化信息时代,数据虽然信息无穷,但安全的保护有其界限,需要人们警觉和措施,现代数据安全中,不应轻视今天的安全,应当即刻采取措施防止未来的风险。作为老板你希望的核心数据泄露吗?那我们应该怎样防范呢?下面跟着小编来学习一下禁止流程和方法:方法一:通过修改注册表...
【小白必备】电脑管理U盘的软件有哪些(10大电脑U盘管理软件图文推荐)
在数字化时代,U盘已成为我们日常工作和生活中不可或缺的一部分。然而,如何有效地管理和保护U盘中的数据安全,成为了许多人关注的问题。今天,就为大家推荐10款小白也能轻松上手的电脑U盘管理软件,帮助大家更好地管理和保护U盘数据。一、U盘安全锁U盘安全锁是一款简单易用的U盘管理软件,专注于保护U盘数据安全。通过设置密码和权限...
电脑桌面管控软件盘点:安全与便捷并存
你是不是时常感觉电脑桌面杂乱无章,找个文件像大海捞针,还总担心信息会泄露出去?别着急,今天咱就来好好聊聊那些兼顾安全与便捷的电脑桌面管控软件,它就好比你身边的私人超级英雄,既能帮你把电脑桌面打理得井然有序,又能全方位守护你的信息安全,让你工作、生活都顺顺利利。咱先来瞧瞧这些软件的技术闪光点。如果电脑桌面能像超市货架那样...
移动硬盘也能加密,教你简单设置密码的方法
你知道吗?每年因移动硬盘丢失造成的个人信息泄露案件超过10万起。前几天同事小张刚丢了存有客户资料的硬盘,急得差点报警。其实只要给硬盘加密,这些风险都能轻松化解。今天就教你几种简单又实用的加密方法,小白也能3分钟学会!一、系统自带加密:Windows和Mac都能这么做Windows用户可以试试BitLocker。把移动硬...
一分钟教你识别电脑监控软件的简单技巧
在如今这个信息如洪流般奔涌的时代,电脑早已成为我们工作、学习与娱乐不可或缺的亲密伙伴。然而,你或许有所不知,有时候,你的电脑可能正被一些 “不请自来” 的家伙 —— 监控软件,偷偷地窥视着。它们或许会在你毫无察觉之时,悄然收集你的个人信息,甚至对你的隐私与安全构成威胁。别慌,今天就来教你几个简单又实用的小妙招,只需一分...