數據庫安全技術概述
數據庫安全,是指以保護數據庫系統、數據庫服務器和數據庫中的數據、應用、存儲,以及相關網絡連接爲目的,是防止數據庫系統及其數據遭到泄露、篡改或破壞的安全技術。
數據庫往往是企業最爲核心的數據保護對象,與傳統的網絡安全防護體系不同,數據庫安全技術更加註重從客戶內部的角度做安全。其內涵包括了保密性、完整性和可用性,即所謂的CIA(Confidentiality, Integrity, Availability)三個方面。
(1)保密性:不允許未經授權的用戶存取信息;
(2)完整性:只允許被授權的用戶修改數據;
(3)可用性:不應拒絕已授權的用戶對數據進行存取。
數據庫安全技術分類與產品
數據庫安全技術,從最早的數據庫審計到數據庫防火牆、數據庫漏洞掃描、數據庫加密、數據脫敏、數據梳理,發展至今已經有數十家國內外廠商從事這一業務,並發展出10餘款數據庫安全防護產品。爲了方便對用戶對每一種技術和產品有一個大致的瞭解,下面我們將對目前主要的技術產品進行簡要的描述,後續文章中我們會針對每一種數據庫安全防護技術進行詳細的解讀和分析。
敏感數據梳理是在組織網絡內自動探測未知數據庫、自動識別數據庫中的敏感數據、數據庫賬戶權限、敏感數據使用的一種數據庫資產梳理產品。
數據庫漏洞掃描是專門對數據庫系統進行自動化安全評估的專業技術,通過數據庫漏洞掃描能夠有效的評估數據庫系統的安全漏洞和威脅並提供修復建議。
數據庫防火牆系統是一款針對應用側異常數據訪問的數據庫安全防護產品。一般採用主動防禦機制,通過學習期行爲建模,預定義風險策略;並結合數據庫虛擬補丁、注入規則和應用關聯防護機制,實現數據庫的訪問行爲控制、高危風險阻斷和可疑行爲審計。
數據庫安全運維產品是面向數據庫運維人員的數據庫安全加固與訪問管控產品,能夠有效提升數據庫日常運維管理工作的精細度及安全性。可以對運維行爲進行流程化管理,提供事前審批、事中控制、事後審計、定期報表等功能,將審批、控制和追責有效結合,避免內部運維人員的惡意操作和誤操作行爲,解決運維賬號共享帶來的身份不清問題,確保運維行爲在受控的範疇內安全高效的執行。
數據庫加密產品目前從技術角度一般可以分爲列加密和表加密兩種。其能夠實現對數據庫中的敏感數據加密存儲、訪問控制增強、應用訪問安全、密文訪問審計以及三權分立等功能。通過數據加密能夠有效防止明文存儲引起的數據內部泄密、高權限用戶的數據竊取,從根源上防止敏感數據泄漏。
數據庫脫敏是一種採用專門的脫敏算法對敏感數據進行變形、屏蔽、替換、隨機化、加密,並將敏感數據轉化爲虛構數據的技術。按照作用位置、實現原理不同,數據脫敏可以劃分爲靜態數據脫敏(Static Data Masking, SDM )和動態數據脫敏(Dynamic Data Masking, DDM )。
數據庫審計
數據庫審計能夠實時記錄網絡上的數據庫活動,對數據庫操作進行細粒度審計。除此之外,數據庫審計還能對數據庫遭受到的風險行爲進行告警,如:數據庫漏洞***、SQL注入***、高危風險操作等。數據庫審計技術一般採用旁路部署,通過鏡像流量或探針的方式採集流量,並基於語法語義的解析技術提取出SQL中相關的要素(用戶、SQL操作、表、字段等)進而實時記錄來自各個層面的所有數據庫活動,包括:普通用戶和超級用戶的訪問行爲請求,以及使用數據庫客戶端工具執行的操作。
作爲目前國內專注於數據庫安全產品的專業數據庫安全廠商北京安華金和科技有限公司,從對核心數據進行根本性防禦視角,不斷延伸和演進產品技術,目前全面覆蓋了基於數據庫安全建設的數據庫漏洞掃描產品、數據資產梳理產品、數據庫防火牆產品、數據庫安全運維產品、數據庫加密產品、數據庫脫敏產品、數據庫水印產品、數據庫監控與審計等產品,並結合雲計算的發展應用,將數據庫安全防護技術擴展到雲端,滿足更多用戶的業務需求,真正爲用戶實現讓數據使用更安全的使命。