數(shù)據(jù)庫運維安全現(xiàn)狀調(diào)查報告

2016數(shù)據(jù)庫運維安全現(xiàn)狀調(diào)查報告

　　近日，安華金和面向各行業(yè)IT運維人群開展了一次數(shù)據(jù)庫運維安全現(xiàn)狀調(diào)研。希望借此方式了解用戶的數(shù)據(jù)庫運維場景及安全現(xiàn)狀，發(fā)現(xiàn)各行業(yè)用戶在數(shù)據(jù)庫運維工作中的安全需求，并研發(fā)出真正具有用戶價值的安全產(chǎn)品。安華金和從多方通道獲取的近500份問卷中抽取150份有效樣本進行統(tǒng)計分析，總結歸納出此份《2016數(shù)據(jù)庫運維安全現(xiàn)狀調(diào)研報告》，摘取報告重點分析結論，分享給關注數(shù)據(jù)庫安全的人士。

　　一. 參與人員概況

　　抽取調(diào)研樣本來自不同行業(yè)，包括：政府，金融，能源，教育，制造業(yè)，互聯(lián)網(wǎng)，交通，醫(yī)療行業(yè)等。調(diào)查對象主要為技術人員，直接從事IT運維或技術開發(fā)工作，或者為用戶提供運維側(cè)解決方案及相關產(chǎn)品咨詢。參與調(diào)研人群共涉及10余類崗位，其中以工程師、技術經(jīng)理占大多數(shù)，占比49%，其余職位亦多為技術層決策人員及研究人員，對于企業(yè)數(shù)據(jù)庫系統(tǒng)的技術原理及運維操作比較了解，這對此份調(diào)研報告的客觀、專業(yè)度提供保障。

　　二. 調(diào)查結果

　　2.1 當前數(shù)據(jù)庫運維環(huán)境

　　隨著各行業(yè)信息化水平的提升，應用類型多樣而復雜。調(diào)查結果顯示，各行業(yè)用戶的數(shù)據(jù)存儲規(guī)模及數(shù)據(jù)處理要求進一步提升。面對復雜的網(wǎng)絡環(huán)境，大多數(shù)單位采取了一定的技術手段保護核心數(shù)據(jù)庫系統(tǒng)。

　　半數(shù)以上數(shù)據(jù)庫服務器規(guī)模超50臺

　　根據(jù)有效樣本統(tǒng)計，51%以上的企業(yè)部署數(shù)據(jù)庫服務器超過50臺，三成企業(yè)達到百臺規(guī)模。

　　▲1.1 數(shù)據(jù)庫服務器規(guī)模

　　數(shù)據(jù)庫服務器部署位置分布

　　參與調(diào)查人群中，44%的參與者反饋數(shù)據(jù)庫服務器部署在內(nèi)網(wǎng)環(huán)境中，另有49%反饋內(nèi)網(wǎng)及外網(wǎng)環(huán)境中均有部署。選擇單純部署于外網(wǎng)或不區(qū)分內(nèi)外網(wǎng)的比例僅有6%左右，

　　具有對核心數(shù)據(jù)庫的安全防護意識

　　調(diào)查結果顯示，78%的用戶會使用網(wǎng)絡隔離等技術手段保護核心生產(chǎn)庫

　　2.2 數(shù)據(jù)庫安全政策要求及安全檢查現(xiàn)狀

　　在安全政策合規(guī)方面，大多數(shù)單位都需要滿足等保、分保等安全檢查標準。51%的參與者需要通過等保檢查標準，35%需要通過分保檢查標準，28%需要通過其他行業(yè)性安全標準。調(diào)查顯示，64%的企業(yè)對于數(shù)據(jù)庫會定期進行安全檢查，其余為不定期檢查。但有50%的參與者表示安全檢查中沒有使用專業(yè)的檢查工具，這在一定程度上對于檢查結果的全面性和專業(yè)度有所影響。

　　▲1.2 安全政策合規(guī)需求

　　2.3 數(shù)據(jù)庫安全防護手段

　　大多數(shù)用戶具有對核心數(shù)據(jù)的保護意識，在系統(tǒng)架構上更多采用網(wǎng)絡隔離的手段保護核心數(shù)據(jù)庫。對內(nèi)部人員需要授權訪問，敏感數(shù)據(jù)對外會采用脫敏或加密處理。

　　調(diào)查結果顯示，對于核心生產(chǎn)庫的安全防護，70%的參與者反饋會采用網(wǎng)絡隔離等技術手段進行核心數(shù)據(jù)庫的保護，但仍有近30%的企業(yè)尚未采取相關技術手段加以防護。

　　在提供外網(wǎng)服務的應用系統(tǒng)所用數(shù)據(jù)庫中，存有敏感數(shù)據(jù)的比例占到74%。這種情況下，共計79%的調(diào)查參與者反饋，無論數(shù)據(jù)庫中是否存有敏感數(shù)據(jù)，運維人員訪問數(shù)據(jù)庫系統(tǒng)必須得到授權。

　　當敏感數(shù)據(jù)用于第三方公司進行開發(fā)、測試、培訓等環(huán)節(jié)前，62%的參與者反饋會對敏感數(shù)據(jù)進行脫敏或加密處理，但是仍有38%的企業(yè)在此方面沒有防護手段，這是導致數(shù)據(jù)庫安全隱患的重要原因之一。

　　▲1.3 敏感信息的訪問

　　目前所采取的數(shù)據(jù)庫安全管控技術手段中，數(shù)據(jù)庫防火墻是選擇最多的數(shù)據(jù)庫安全管控技術手段，但仍有超半數(shù)單位沒有使用專業(yè)的數(shù)據(jù)庫安全管控產(chǎn)品，近一半單位不能滿足數(shù)據(jù)庫管理制度的要求。

　　在數(shù)據(jù)庫安全管控手段的選擇上，半數(shù)單位已采取專業(yè)的數(shù)據(jù)庫管控手段。調(diào)查顯示，49%的參與者已部署數(shù)據(jù)庫防火墻或數(shù)據(jù)庫訪問管控平臺，但仍有23%只部署了堡壘機，29%沒有采取任何技術手段進行管控。同時，42%的參與者反饋目前的技術管理手段不能滿足數(shù)據(jù)庫管理制度的要求。這與企業(yè)沒有選擇專業(yè)的數(shù)據(jù)庫管控手段有必然關系，對于技術手段的認知有待提高。

　　▲1.4 數(shù)據(jù)庫安全管控技術手段

　　大部分企業(yè)會進行數(shù)據(jù)庫訪問審計，近三成單位只對少部分核心數(shù)據(jù)庫系統(tǒng)進行審計。

　　關于數(shù)據(jù)庫訪問審計的具體范圍，針對所有數(shù)據(jù)庫、針對大多數(shù)數(shù)據(jù)庫和不進行數(shù)據(jù)庫審計這三個選項的比例相當，其中針對少部分數(shù)據(jù)庫進行審計的比例會稍高一些，占到31%。可見目前大多數(shù)用戶對于數(shù)據(jù)庫審計接受度較高，在此趨勢下，小部分未采取審計手段的用戶可能被引導。

　　▲1.5數(shù)據(jù)庫訪問審計的范圍

　　三. 安全防護建議

　　綜合調(diào)查結果，我們針對數(shù)據(jù)庫運維安全現(xiàn)狀，提供具有實際可落地的安全防護建議：

　　3.1 在開發(fā)、測試、培訓等工作環(huán)節(jié)中，使用敏感數(shù)據(jù)前進行脫敏處理是必要的，選擇專業(yè)工具能夠提高工作效率，保證數(shù)據(jù)處理效果及質(zhì)量。

　　大多數(shù)用戶在數(shù)據(jù)外發(fā)之前，會采取脫敏或加密手段對敏感數(shù)據(jù)進行處理，這將在很大程度上降低數(shù)據(jù)泄露風險。但目前專業(yè)數(shù)據(jù)庫脫敏和加密工具并沒有被廣泛使用，用戶多選擇自行編寫程序。當數(shù)據(jù)量的規(guī)模較大，各數(shù)據(jù)表、數(shù)據(jù)子集之間的關聯(lián)關系較為復雜的情況下，手工脫敏或加密工作量大，且處理質(zhì)量無法保證。這將導致外發(fā)數(shù)據(jù)無法滿足開發(fā)、測試、分析等業(yè)務需求，影響結果準確性，同時，耗費的人力及時間成本往往得不償失。

　　專業(yè)的數(shù)據(jù)庫脫敏工具可以保持原有數(shù)據(jù)類型和業(yè)務格式，保證長度不變、數(shù)據(jù)內(nèi)涵不丟失，保持表間、表內(nèi)數(shù)據(jù)關聯(lián)關系，確保以上業(yè)務場景中的脫敏數(shù)據(jù)真實有效。同時提供動態(tài)脫敏功能，對敏感數(shù)據(jù)進行透明、實時脫敏，對數(shù)據(jù)庫用戶名、IP\客戶端類型、訪問時間甚至業(yè)務用戶等多重身份進行訪問控制，提供多種安全策略。

　　3.2 使用專業(yè)有效的數(shù)據(jù)庫管控手段可以提供細粒度的數(shù)據(jù)庫運維管控，滿足數(shù)據(jù)庫管理制度要求，防止危險訪問行為。

　　與堡壘機相比，使用專業(yè)的數(shù)據(jù)庫管控產(chǎn)品，通過對數(shù)據(jù)庫訪問協(xié)議的精確解析，而不是單純對訪問操作進行錄屏，事后追責。

　　數(shù)據(jù)庫防火墻優(yōu)勢：基于對SQL語句的精準解析，提供高危訪問控制、SQL注入禁止、返回行數(shù)超標禁止、SQL黑名單等技術功能，對于匹配策略的威脅操作實時攔截、阻斷，而堡壘機由于不具備SQL語句的精準解析能力，無法提供如此細粒度的訪問控制。

　　數(shù)據(jù)庫安全管控平臺優(yōu)勢：目前大多數(shù)企業(yè)使用堡壘機對運維人員的數(shù)據(jù)庫操作行為進行審批，但對于實際操作的事中控制，無法監(jiān)控。運維人員的實際操作是否與申請一致?實際操作人是誰?如果出現(xiàn)誤操作，如何追溯?這一系列問題堡壘機無法解決。專業(yè)的數(shù)據(jù)庫安全管控平臺在審批通過后返回唯一的操作碼，使用任意客戶端建立連接時，無操作碼或與原申請操作不符時，拒絕訪問。提高操作準確度，防止高危操作及誤操作，彌補傳統(tǒng)解決方案對于事中控制的缺失。

　　3.3 運維部門對整體數(shù)據(jù)庫訪問行為有必要進行實時有效的監(jiān)控與審計，審計產(chǎn)品的風險感知能力、審計效率及審計結果的準確度是重要依據(jù)。

　　傳統(tǒng)的網(wǎng)絡審計產(chǎn)品無法解析數(shù)據(jù)庫通信協(xié)議，只能通過審計訪問來源的IP地址、端口號等基本用戶信息判斷訪問是否合法，而數(shù)據(jù)庫審計產(chǎn)品對SQL語句的精確解析能夠識別每條操作的實際含義，結合應用行為與用戶行為建模分析，智能判斷數(shù)據(jù)庫是否遭到威脅，實時發(fā)出告警。調(diào)查顯示大多數(shù)用戶已經(jīng)局部部署或全面部署數(shù)據(jù)庫審計系統(tǒng)，在此基礎上，我們更應關注審計產(chǎn)品是否專業(yè)，如數(shù)據(jù)庫流量是否全捕獲，對于長語句、參數(shù)化語句等是否能夠精準解析，是否具有風險感知能力，審計數(shù)據(jù)是否高效入庫，對審計結果是否能夠高效分析及檢索。這些關鍵點決定一款數(shù)據(jù)庫監(jiān)控與審計產(chǎn)品是否真正具有使用價值，而不是簡單地解決有無問題。

【數(shù)據(jù)庫運維安全現(xiàn)狀調(diào)查報告】相關文章：

運維述職報告11-23

運維實習報告04-20

運維工作報告04-25

運維述職報告范文06-13

運維工作總結05-23

IT運維工作總結05-24

運維工作計劃03-29

網(wǎng)絡運維述職報告03-26

運維部工作總結06-07

系統(tǒng)運維工作計劃03-28