如果說(shuō)數(shù)據(jù)是血液

數(shù)據(jù)庫(kù)則是心臟

掌握著全身血液的流動(dòng)與去向

貫穿著數(shù)據(jù)的來(lái)世與今生

采集、存儲(chǔ)、處理、傳輸、交換、銷毀

數(shù)據(jù)全生命周期防護(hù)

筑牢數(shù)據(jù)庫(kù)安全

2024年1月，國(guó)家數(shù)據(jù)局等17部門(mén)聯(lián)合印發(fā)《“數(shù)據(jù)要素×”三年行動(dòng)計(jì)劃（2024—2026年）》旨在充分發(fā)揮數(shù)據(jù)要素“乘數(shù)效應(yīng)”，賦能經(jīng)濟(jì)社會(huì)發(fā)展。2024年政府工作報(bào)告中“數(shù)據(jù)”一詞被重點(diǎn)提及，“健全數(shù)據(jù)基礎(chǔ)制度，大力推動(dòng)數(shù)據(jù)開(kāi)發(fā)開(kāi)放和流通使用”“解決數(shù)據(jù)跨境流動(dòng)問(wèn)題”“提高網(wǎng)絡(luò)、數(shù)據(jù)等安全保障能力”，為下一階段數(shù)據(jù)要素發(fā)展與安全防護(hù)指明了方向。

“ 《數(shù)據(jù)安全法》重點(diǎn)強(qiáng)調(diào)數(shù)據(jù)全生命周期的各環(huán)節(jié)的安全保護(hù)，如：對(duì)于數(shù)據(jù)訪問(wèn)、檢索、修改等各項(xiàng)行為需要做到身份核驗(yàn)、權(quán)限控制以及風(fēng)險(xiǎn)檢測(cè)。《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》明確要求對(duì)數(shù)據(jù)庫(kù)資產(chǎn)要進(jìn)行審計(jì)與防控，如：應(yīng)保護(hù)審計(jì)記錄，避免受到未預(yù)期的刪除、修改或覆蓋等。訪問(wèn)控制的粒度應(yīng)達(dá)到主體為用戶級(jí)或進(jìn)程級(jí)，客體為文件、數(shù)據(jù)庫(kù)表級(jí)。”

本文從數(shù)據(jù)庫(kù)使用的十大常見(jiàn)風(fēng)險(xiǎn)出發(fā)，結(jié)合天融信多年來(lái)在數(shù)據(jù)安全領(lǐng)域的技術(shù)積累與實(shí)踐，提供數(shù)據(jù)庫(kù)使用的“正確方式”，為企業(yè)數(shù)據(jù)資產(chǎn)安全保駕護(hù)航。

業(yè)務(wù)人員繞過(guò)應(yīng)用系統(tǒng)直接訪問(wèn)數(shù)據(jù)庫(kù)

業(yè)務(wù)人員常因方便繞過(guò)應(yīng)用系統(tǒng)直接訪問(wèn)數(shù)據(jù)庫(kù)，導(dǎo)致操作錯(cuò)誤、數(shù)據(jù)丟失，同時(shí)還增加數(shù)據(jù)泄露和賬戶濫用風(fēng)險(xiǎn)。

安全錦囊

在數(shù)據(jù)庫(kù)資產(chǎn)前串行部署天融信數(shù)據(jù)庫(kù)審計(jì)與防護(hù)系統(tǒng)，通過(guò)識(shí)別用戶操作數(shù)據(jù)庫(kù)的流量信息，如：數(shù)據(jù)庫(kù)賬號(hào)、客戶端主機(jī)名等特征字段，結(jié)合人員的五元組信息進(jìn)行精準(zhǔn)訪問(wèn)控制，同時(shí)通過(guò)實(shí)名審計(jì)功能將IP與姓名、部門(mén)等個(gè)人信息掛鉤，進(jìn)而溯源到實(shí)際操作人，有效降低業(yè)務(wù)人員繞過(guò)應(yīng)用系統(tǒng)直接訪問(wèn)數(shù)據(jù)庫(kù)的系列風(fēng)險(xiǎn)。

偽冒合法用戶訪問(wèn)數(shù)據(jù)庫(kù)違規(guī)操作

如果用戶賬號(hào)被竊取，非法用戶就可能偽冒合法用戶訪問(wèn)數(shù)據(jù)庫(kù)，并進(jìn)行違規(guī)操作，從而導(dǎo)致大規(guī)模數(shù)據(jù)泄漏。

安全錦囊

天融信運(yùn)維安全審計(jì)系統(tǒng)、天融信數(shù)據(jù)庫(kù)審計(jì)與防護(hù)系統(tǒng)聯(lián)動(dòng)使用可避免此類風(fēng)險(xiǎn)。其中，天融信運(yùn)維安全審計(jì)負(fù)責(zé)認(rèn)證鑒權(quán)，通過(guò)使用認(rèn)證UKEY、動(dòng)態(tài)令牌等技術(shù)實(shí)現(xiàn)身份認(rèn)證；天融信數(shù)據(jù)庫(kù)審計(jì)與防護(hù)可根據(jù)操作行為進(jìn)行特征判定，實(shí)時(shí)阻斷非法SQL語(yǔ)句命令，同時(shí)根據(jù)用戶使用行為建立行為基線，當(dāng)行為偏離基線時(shí)可以第一時(shí)間告警。

利用應(yīng)用程序檢查漏洞實(shí)施注入攻擊

黑客常常利用應(yīng)用系統(tǒng)對(duì)用戶輸入驗(yàn)證不嚴(yán)格的弱點(diǎn)，通過(guò)惡意拼接搜索語(yǔ)句并注入SQL代碼，以此“誘騙”數(shù)據(jù)庫(kù)執(zhí)行未經(jīng)授權(quán)的查詢操作，進(jìn)行非法訪問(wèn)并竊取敏感數(shù)據(jù)。

安全錦囊

天融信數(shù)據(jù)庫(kù)審計(jì)與防護(hù)系統(tǒng)內(nèi)置豐富的SQL注入攻擊檢測(cè)規(guī)則，從數(shù)據(jù)準(zhǔn)入、行為模式、業(yè)務(wù)建模等多方面進(jìn)行深度分析，識(shí)別并阻止各種惡意攻擊，大幅減少數(shù)據(jù)庫(kù)遭受侵害風(fēng)險(xiǎn)，確保數(shù)據(jù)的安全性和完整性。

利用數(shù)據(jù)庫(kù)漏洞毀損或竊取數(shù)據(jù)庫(kù)數(shù)據(jù)

攻擊者常常會(huì)搜尋并利用數(shù)據(jù)庫(kù)系統(tǒng)的安全漏洞，從而獲取敏感信息、破壞數(shù)據(jù)完整性，控制數(shù)據(jù)庫(kù)服務(wù)器。

安全錦囊

天融信數(shù)據(jù)庫(kù)審計(jì)與防護(hù)系統(tǒng)具備豐富的漏洞庫(kù)規(guī)則，基于漏洞掃描功能實(shí)時(shí)掃描數(shù)據(jù)庫(kù)實(shí)例資產(chǎn)，并出具掃描報(bào)告，依據(jù)報(bào)告打補(bǔ)丁加固資產(chǎn)，對(duì)數(shù)據(jù)庫(kù)資產(chǎn)進(jìn)行全方位安全加固，預(yù)防數(shù)據(jù)泄露風(fēng)險(xiǎn)。

非工作時(shí)間段登錄操作數(shù)據(jù)庫(kù)

在非工作訪問(wèn)時(shí)段（如深夜、凌晨以及非工作日等），企業(yè)安全防護(hù)較為薄弱，用戶登陸操作數(shù)據(jù)庫(kù)面臨較大的安全風(fēng)險(xiǎn)。企業(yè)難以在數(shù)據(jù)泄漏事件爆發(fā)時(shí)快速感知、及時(shí)響應(yīng)。

安全錦囊

天融信數(shù)據(jù)庫(kù)審計(jì)與防護(hù)系統(tǒng)通過(guò)關(guān)聯(lián)用戶的訪問(wèn)行為與時(shí)間，來(lái)評(píng)估在特定時(shí)間段內(nèi)對(duì)數(shù)據(jù)庫(kù)的操作是否符合規(guī)定。一旦檢測(cè)到違規(guī)行為，系統(tǒng)將及時(shí)中斷并發(fā)出警報(bào)，從而阻止未經(jīng)授權(quán)的登錄或不當(dāng)操作，有效預(yù)防數(shù)據(jù)泄露或損壞的風(fēng)險(xiǎn)。

短時(shí)間內(nèi)多次嘗試登錄數(shù)據(jù)庫(kù)

用戶在極短時(shí)間內(nèi)連續(xù)多次嘗試登錄數(shù)據(jù)庫(kù)，極有可能存在暴力破解或撞庫(kù)攻擊等潛在威脅，進(jìn)一步加大數(shù)據(jù)泄露或賬戶被未授權(quán)訪問(wèn)的風(fēng)險(xiǎn)。

安全錦囊

天融信數(shù)據(jù)庫(kù)審計(jì)與防護(hù)系統(tǒng)通過(guò)設(shè)定自定義的頻次和時(shí)間閾值，設(shè)置暴力破解規(guī)則精確識(shí)別暴力破解行為。此外，系統(tǒng)內(nèi)置數(shù)億條弱口令規(guī)則，實(shí)時(shí)掃描實(shí)例賬號(hào)，檢測(cè)是否存在弱口令，有效地減少暴力破解和撞庫(kù)攻擊的風(fēng)險(xiǎn)。

短時(shí)間內(nèi)批量操作數(shù)據(jù)庫(kù)

用戶在短時(shí)間對(duì)目標(biāo)數(shù)據(jù)庫(kù)執(zhí)行批量操作，如批量導(dǎo)出或批量修改數(shù)據(jù)，極有可能導(dǎo)致大規(guī)模的數(shù)據(jù)泄漏。

安全錦囊

天融信數(shù)據(jù)庫(kù)審計(jì)與防護(hù)系統(tǒng)允許用戶自定義頻次閾值、時(shí)間以及操作動(dòng)作，從而有效監(jiān)控并管控短時(shí)間內(nèi)的大批量操作行為，顯著降低因數(shù)據(jù)庫(kù)批量操作而引發(fā)的數(shù)據(jù)泄露風(fēng)險(xiǎn)。

普通用戶非法提權(quán)后進(jìn)行高危操作

某些低權(quán)限賬戶可能會(huì)利用間接方法提升其控制權(quán)限，如非法變更、漏洞利用等，并在權(quán)限變更后執(zhí)行高風(fēng)險(xiǎn)操作，從而導(dǎo)致數(shù)據(jù)泄露。

安全錦囊

天融信數(shù)據(jù)庫(kù)審計(jì)與防護(hù)系統(tǒng)通過(guò)定義細(xì)粒度規(guī)則，將如truncate table、drop table等操作標(biāo)識(shí)為高危行為，并限制普通用戶的執(zhí)行權(quán)限，從而防止數(shù)據(jù)庫(kù)表刪除等高風(fēng)險(xiǎn)操作，有效避免了核心數(shù)據(jù)泄露風(fēng)險(xiǎn)。

開(kāi)發(fā)測(cè)試、數(shù)據(jù)分析場(chǎng)景竊取敏感數(shù)據(jù)

在開(kāi)發(fā)測(cè)試和數(shù)據(jù)分析的場(chǎng)景中，常常直接使用未經(jīng)脫敏的生產(chǎn)數(shù)據(jù)進(jìn)行測(cè)試和分析，存在重大安全隱患，極易導(dǎo)致數(shù)據(jù)泄露。

安全錦囊

天融信數(shù)據(jù)庫(kù)審計(jì)與防護(hù)系統(tǒng)擁有強(qiáng)大的數(shù)據(jù)脫敏功能，利用內(nèi)置的高效脫敏算法將敏感信息轉(zhuǎn)換成虛構(gòu)數(shù)據(jù)，從而保護(hù)真實(shí)數(shù)據(jù)不被泄露，同時(shí)滿足企業(yè)的合規(guī)性要求，有效解決企業(yè)在系統(tǒng)開(kāi)發(fā)測(cè)試、數(shù)據(jù)分析和大數(shù)據(jù)應(yīng)用過(guò)程中可能遭遇的數(shù)據(jù)泄漏問(wèn)題，同時(shí)保障開(kāi)發(fā)測(cè)試質(zhì)量。

第三方人員通過(guò)審計(jì)系統(tǒng)日志竊取敏感數(shù)據(jù)

審計(jì)設(shè)備存儲(chǔ)了眾多業(yè)務(wù)和數(shù)據(jù)庫(kù)數(shù)據(jù)在內(nèi)的敏感信息，第三方運(yùn)維人員可利用查詢審計(jì)設(shè)備數(shù)據(jù)或日志等方式，竊取敏感數(shù)據(jù)。

安全錦囊

天融信數(shù)據(jù)庫(kù)審計(jì)與防護(hù)系統(tǒng)可對(duì)審計(jì)日志中的敏感信息（如身份證號(hào)、手機(jī)號(hào)、銀行卡號(hào)等）執(zhí)行掩碼操作，實(shí)施有效隱私保護(hù)措施，同時(shí)自定義敏感保護(hù)規(guī)則，防止因查看審計(jì)設(shè)備而造成的敏感數(shù)據(jù)二次泄漏。

天融信數(shù)據(jù)庫(kù)審計(jì)與防護(hù)系統(tǒng)

數(shù)據(jù)庫(kù)安全防護(hù)利器

除上述十大風(fēng)險(xiǎn)的防范外，天融信數(shù)據(jù)庫(kù)審計(jì)與防護(hù)系統(tǒng)還可運(yùn)用數(shù)據(jù)庫(kù)狀態(tài)監(jiān)控、風(fēng)險(xiǎn)行為分析、智能行為基線等先進(jìn)技術(shù)手段，通過(guò)對(duì)數(shù)據(jù)庫(kù)資產(chǎn)的實(shí)時(shí)監(jiān)控分析，以及審計(jì)與防護(hù)，及時(shí)發(fā)現(xiàn)異常行為并采取相應(yīng)的防控措施，兼具全面審計(jì)粒度細(xì)、操作行為控制嚴(yán)、風(fēng)險(xiǎn)分析場(chǎng)景多、億級(jí)數(shù)據(jù)檢索快的四大優(yōu)勢(shì)特點(diǎn)，幫助客戶發(fā)現(xiàn)和防范數(shù)據(jù)庫(kù)面臨的多種安全威脅，保障客戶數(shù)據(jù)庫(kù)安全。

作為國(guó)內(nèi)網(wǎng)絡(luò)安全領(lǐng)軍企業(yè)，天融信自2012年開(kāi)始布局?jǐn)?shù)據(jù)安全領(lǐng)域，率先提出“以數(shù)據(jù)為中心的安全體系建設(shè)”，形成了覆蓋數(shù)據(jù)全生命周期的安全產(chǎn)品與服務(wù)體系，相繼推出了數(shù)據(jù)庫(kù)審計(jì)、網(wǎng)絡(luò)審計(jì)、數(shù)據(jù)防泄漏、數(shù)據(jù)脫敏、備份一體機(jī)、數(shù)據(jù)安全管理平臺(tái)、數(shù)據(jù)庫(kù)審計(jì)與防護(hù)等一系列數(shù)據(jù)安全產(chǎn)品，并發(fā)布了面向AI時(shí)代的一體化數(shù)據(jù)安全解決方案（點(diǎn)擊查看詳情），快速、全面、低成本解決數(shù)據(jù)安全問(wèn)題，持續(xù)賦能客戶數(shù)字化轉(zhuǎn)型。

TOPSEC

據(jù)IDC分析，數(shù)據(jù)庫(kù)安全市場(chǎng)正處于快速發(fā)展的關(guān)鍵時(shí)期，同時(shí)也面臨著諸多挑戰(zhàn)。隨著企業(yè)和機(jī)構(gòu)數(shù)據(jù)量的急劇增長(zhǎng)，對(duì)數(shù)據(jù)庫(kù)安全的保護(hù)需求也日益凸顯。未來(lái)，天融信作為數(shù)據(jù)安全共同體計(jì)劃的聯(lián)合發(fā)起單位，將在數(shù)據(jù)庫(kù)安全領(lǐng)域中持續(xù)發(fā)力，為全面審計(jì)、安全溯源、快速定位提供堅(jiān)實(shí)的保障力量，筑牢網(wǎng)絡(luò)安全防線，助力數(shù)字中國(guó)建設(shè)！