不久前國家信息安全漏洞共享平臺正式發(fā)布通告“Oracle 數據庫勒索病毒 RushQL 死灰復燃”����。
事實(shí)上���,RushQL 勒索病毒已經(jīng)不是第一次肆虐 Oracle 數據庫��,早在 2016 年 11 月就已經(jīng)在全球掀起了一場(chǎng)血雨腥風(fēng)����。當然��,那時(shí)候它有個(gè)更響亮的名字“比特幣勒索病毒”�����。
目光回溯到 2016 年 11 月���,全國多家企事業(yè)單位遭受比特幣勒索通知“你的數據庫已被鎖死��,發(fā)送 5 個(gè)比特幣到這個(gè)地址!”���。用戶(hù)在登陸 Oracle 數據庫時(shí)出現如下勒索警告信息�����,被要求上交 5 個(gè)比特幣來(lái)?yè)Q取解鎖數據庫的服務(wù)�����。
盡管這場(chǎng)戰役防守方取得了勝利�����,但時(shí)隔兩年����,RushQL 勒索病毒卷土重來(lái)�,發(fā)動(dòng)新一輪的肆虐���。
不少?lài)^(guān)群眾情不自禁反問(wèn)���,為什么我們會(huì )遭到同一勒索病毒連續攻擊?數據庫安全廠(chǎng)商能幫助數據庫用戶(hù)做些什么?在不久前安華金和發(fā)布的《2017-2018 數據庫安全應用指南》似乎可以尋找到一些技能����。
簡(jiǎn)單說(shuō)�����,企業(yè)對數據庫安全的需求共同點(diǎn)有如下四點(diǎn):
數據庫運維人員�����,擁有高權限賬號可以直接對數據庫進(jìn)行信息檢索���、查詢(xún)和修改����。
第三方人員可能會(huì )在業(yè)務(wù)系統及數據庫系統中留有后門(mén)程序���,長(cháng)期監控���、竊取數據��。
黑客利用攻擊手段盜取敏感數據�。
數據庫安全現狀未知�,無(wú)法掌握數據庫漏洞情況�����、配置情況�、敏感數據分布等內容���。
而針對這些情況安全廠(chǎng)商應該做的是什么?
周期防護構建縱深防護體系
為了解決數據庫在防攻擊���、防篡改�����、防丟失����、防泄密����、防超級權限��、內部高危操作等問(wèn)題�����。數據庫的安全防護應從數據庫安全的三維角度�,構建事前-事中-事后的全生命周期數據安全過(guò)程�,并結合多層次安全技術(shù)防護能力���,形成整體的數據庫縱深防護體系���。
主動(dòng)防御減少威脅
通過(guò)事中主動(dòng)防御手段在數據庫前端對入侵行為做到有效的控制����,通過(guò)強大特征庫和漏洞防御庫��,主動(dòng)防御內外部用戶(hù)的違規操作以及黑客的入侵行為�����。
對 IP/MAC 等要素進(jìn)行策略配置�����,確保應用程序的身份安全可靠�����。通過(guò)黑白名單對敏感數據訪(fǎng)問(wèn)控制��,定義非法用戶(hù)行為的方式定義安全策略�,有效通過(guò) SQL 注入特征識別庫����。
權限控制解決拖庫
從數據庫級別應進(jìn)行最小化權限控制���,杜絕超級管理員的產(chǎn)生���,通過(guò)數據庫防火墻和數據庫加密措施進(jìn)行從根源上徹底控制數據信息的泄露�����,為信息化打好底層基礎����。有效防止存儲文件和備份文件被“拖庫”的風(fēng)險�。
應用透明
技術(shù)的實(shí)施應對于現有應用系統基本透明��,對原有數據庫特性�����、原有應用無(wú)改造��,不改變應用及用戶(hù)使用習慣�。
政策合規滿(mǎn)足標準
在等級保護��、分級保護基本要求中�,數據庫安全是主機安全的一個(gè)部分�����,數據庫的測評指標是從“主機安全”和“數據安全及備份恢復”中根據數據庫的特點(diǎn)映射得到的����。對等保三級�、分保秘密級以上系統中�����,關(guān)鍵敏感數據的安全防護要求滿(mǎn)足了標準特性:
數據保密性
滿(mǎn)足了“實(shí)現系統管理數據����、鑒別信息和重要業(yè)務(wù)數據的存儲保密性”��。
訪(fǎng)問(wèn)控制性
實(shí)現了最小授權原則��,使得用戶(hù)的權限最小化�,同時(shí)要求對重要信息資源設置敏感標記���。
安全審計性
完成了“對用戶(hù)行為����、安全事件等進(jìn)行記錄”����。
從數據庫安全的時(shí)代沿革來(lái)看���,我們走過(guò)了系統安全主導的 DBMS1.0 時(shí)代��,這個(gè)階段是以網(wǎng)絡(luò )安全思想作數據庫安全���,強調防護與防入侵;正在經(jīng)歷以數據為中心���,由場(chǎng)景化安全主導的 2.0 時(shí)代����,這個(gè)階段強調數據在使用�����、流動(dòng)��、共享等場(chǎng)景中的安全;而接下來(lái)在國家戰略政策層面驅動(dòng)下���,組織將更加強調內部流程�、規范與技術(shù)的整合�,在整體體系化安全的建設需求驅動(dòng)下�����,以數據安全治理為核心的 3.0 時(shí)代即將到來(lái)�����。
?。?a href="http://www.wxlp666.cn">邯鄲網(wǎng)站建設)
