2020年數(shù)據(jù)庫運(yùn)維安全現(xiàn)狀調(diào)查報(bào)告

1、xx數(shù)據(jù)庫運(yùn)維安全現(xiàn)狀調(diào)查報(bào)告近日， 安華金和面向各行業(yè)IT運(yùn)維人群開展了一次數(shù)據(jù)庫運(yùn)維 安全現(xiàn)狀 調(diào)研。希望借此方式了解用戶的數(shù)據(jù)庫運(yùn)維場(chǎng)景及安全現(xiàn)狀， 發(fā)現(xiàn)各行業(yè)用戶 在數(shù)據(jù)庫運(yùn)維工作中的安全需求， 并研發(fā)出真正具有 用戶價(jià)值的安全產(chǎn)品。 安 華金和從多方通道獲取的近500份問卷中抽 取150份有效樣本進(jìn)行統(tǒng)計(jì)分析， 總結(jié)歸納出此份xx數(shù)據(jù)庫運(yùn)維 安全現(xiàn)狀調(diào)研報(bào)告，摘取報(bào)告重點(diǎn)分析結(jié) 論，分享給關(guān)注數(shù)據(jù)庫安 全的人士。一.參與人員概況 抽取調(diào)研樣本不同行業(yè)，包括：政府，金融，能源， 教育，制 造業(yè)，互聯(lián)網(wǎng)，交通，醫(yī)療行業(yè)等。調(diào)查對(duì)象主要為技術(shù)人員，直接 從事IT運(yùn)維或技術(shù)開發(fā)工作，或者為用

2、戶提供運(yùn)維側(cè)解決方案及相 關(guān)產(chǎn)品咨 詢。參與調(diào)研人群共涉及10余類崗位，其中以工程師、技 術(shù)經(jīng)理占大多數(shù)， 占比49%，其余職位亦多為技術(shù)層決策人員及研究 人員，對(duì)于企業(yè)數(shù)據(jù)庫系 統(tǒng)的技術(shù)原理及運(yùn)維操作比較了解， 這對(duì)此 份調(diào)研報(bào)告的客觀、 專業(yè)度提供保 障。二.調(diào)查結(jié)果2.1當(dāng)前數(shù)據(jù)庫運(yùn)維環(huán)境 隨著各行業(yè)信息化水平的提升，應(yīng)用類型多樣 而復(fù)雜。調(diào)查結(jié) 果顯示，各行業(yè)用戶的數(shù)據(jù)存儲(chǔ)規(guī)模及數(shù)據(jù)處理要求進(jìn)一步提 升。面 對(duì)復(fù)雜的網(wǎng)絡(luò)環(huán)境， 大多數(shù)單位采取了一定的技術(shù)手段保護(hù)核心數(shù)據(jù) 庫 系統(tǒng)。半數(shù)以上數(shù)據(jù)庫服務(wù)器規(guī)模超50臺(tái)根據(jù)有效樣本統(tǒng)計(jì)，51%以上的企業(yè)部署數(shù)據(jù)庫服務(wù)器超過50臺(tái)，三 成企業(yè)達(dá)

3、到百臺(tái)規(guī)模。1.1數(shù)據(jù)庫服務(wù)器規(guī)模 數(shù)據(jù)庫服務(wù)器部署位置分布 參與調(diào)查人群中，44%的參與者反饋數(shù)據(jù)庫服務(wù)器部署在內(nèi)網(wǎng)環(huán) 境中， 另有49%反饋內(nèi)網(wǎng)及外網(wǎng)環(huán)境中均有部署。選擇單純部署于外網(wǎng)或不區(qū)分內(nèi)外網(wǎng)的比例僅有6%左右，具有對(duì)核心數(shù)據(jù)庫的安全防護(hù)意識(shí)調(diào)查結(jié)果顯示，78%的用戶會(huì)使用網(wǎng)絡(luò)隔離等技術(shù)手段保護(hù)核心 生產(chǎn)庫2.2數(shù)據(jù)庫安全政策要求及安全檢查現(xiàn)狀 在安全政策合規(guī)方面，大多數(shù) 單位都需要滿足等保、分保等安 全檢查標(biāo)準(zhǔn)。51%的參與者需要通過等保檢 查標(biāo)準(zhǔn)，35%需要通過分保檢查標(biāo)準(zhǔn)，28%需要通過其他行業(yè)性安全標(biāo)準(zhǔn)。 調(diào)查顯示，64%的企業(yè)對(duì)于數(shù)據(jù)庫會(huì)定期進(jìn)行安全檢查，其余為不定期檢查。

4、但有50%的參 與者表示安全檢查中沒有使用專業(yè)的檢查工具， 這在一定程度上對(duì)于檢查結(jié)果 的全面性和專業(yè)度有所影響。1.2安全政策合規(guī)需求2.3數(shù)據(jù)庫安全防護(hù)手段 大多數(shù)用戶具有對(duì)核心數(shù)據(jù)的保護(hù)意識(shí)，在系統(tǒng)架構(gòu)上更多采 用網(wǎng)絡(luò)隔 離的手段保護(hù)核心數(shù)據(jù)庫。 對(duì)內(nèi)部人員需要授權(quán)訪問，敏感數(shù)據(jù)對(duì)外會(huì)采用 脫敏或加密處理。調(diào)查結(jié)果顯示，對(duì)于核心生產(chǎn)庫的安全防護(hù)，70%的參與者反饋會(huì)采 用網(wǎng)絡(luò)隔離等技術(shù)手段進(jìn)行核心數(shù)據(jù)庫的保護(hù)，但仍有近30%的企業(yè)尚未采取相關(guān)技術(shù)手段加以防護(hù) 在提供外網(wǎng)服務(wù)的應(yīng)用系統(tǒng)所用數(shù)據(jù)庫中，存有敏感數(shù)據(jù)的比 例占到74%。這種情況下，共計(jì)79%的調(diào)查參與者反饋，無論數(shù)據(jù)庫 中是否存

5、有敏 感數(shù)據(jù)，運(yùn)維人員訪問數(shù)據(jù)庫系統(tǒng)必須得到授權(quán)。當(dāng)敏感數(shù)據(jù)用于第三方公司進(jìn)行開發(fā)、測(cè)試、培訓(xùn)等環(huán)節(jié)前，62%的參與者反饋會(huì)對(duì)敏感數(shù)據(jù)進(jìn)行脫敏或加密處理，但是仍有38%的企業(yè)在此方面沒有防護(hù)手段， 這是導(dǎo)致數(shù)據(jù)庫安全隱患的重要原因 之一。1.3敏感信息的訪問目前所采取的數(shù)據(jù)庫安全管控技術(shù)手段中，數(shù)據(jù) 庫防火墻是選擇最多的數(shù)據(jù)庫安全管控技術(shù)手段， 但仍有超半數(shù)單位沒有使用 專業(yè)的數(shù)據(jù)庫安全管控產(chǎn)品， 近一半單位不能滿足數(shù)據(jù)庫管理制度的要求。在數(shù)據(jù)庫安全管控手段的選擇上，半數(shù)單位已采取專業(yè)的數(shù)據(jù) 庫管控手段。調(diào)查顯示，49%的參與者已部署數(shù)據(jù)庫防火墻或數(shù)據(jù)庫 訪問管控平臺(tái)， 但仍有23%只部署了堡

6、壘機(jī)，29%沒有采取任何技術(shù)手段進(jìn)行管控。同時(shí)，42%的參與者反饋目前的技術(shù)管理手段不能滿 足數(shù)據(jù)庫管理制度的要求。這與企業(yè)沒有選擇專業(yè)的數(shù)據(jù)庫管控手段 有必然關(guān) 系，對(duì)于技術(shù)手段的認(rèn)知有待提高。1.4數(shù)據(jù)庫安全管控技術(shù)手段 大部分企業(yè)會(huì)進(jìn)行數(shù)據(jù)庫訪問審計(jì)，近 三成單位只對(duì)少部分核 心數(shù)據(jù)庫系統(tǒng)進(jìn)行審計(jì)。關(guān)于數(shù)據(jù)庫訪問審計(jì)的具體范圍，針對(duì)所有數(shù)據(jù)庫、針對(duì)大多 數(shù)數(shù)據(jù)庫 和不進(jìn)行數(shù)據(jù)庫審計(jì)這三個(gè)選項(xiàng)的比例相當(dāng)， 其中針對(duì)少部分?jǐn)?shù)據(jù)庫進(jìn)行審計(jì) 的比例會(huì)稍高一些，占到31%?？梢娔壳按蠖鄶?shù)用戶對(duì)于數(shù)據(jù)庫審計(jì)接受度 較高，在此趨勢(shì)下，小部分未采取審計(jì)手段 的用戶可能被引導(dǎo)。1.5數(shù)據(jù)庫訪問審計(jì)的范圍

7、三.安全防護(hù)建議綜合調(diào)查結(jié)果，我們針對(duì)數(shù)據(jù)庫運(yùn)維安全現(xiàn)狀，提供具有實(shí)際 可落地的 安全防護(hù)建議：3.1在開發(fā)、測(cè)試、培訓(xùn)等工作環(huán)節(jié)中，使用敏感數(shù)據(jù)前進(jìn)行 脫敏處理是必 要的， 選擇專業(yè)工具能夠提高工作效率， 保證數(shù)據(jù)處理 效果及質(zhì)量。大多數(shù)用戶在數(shù)據(jù)外發(fā)之前，會(huì)采取脫敏或加密手段對(duì)敏感數(shù) 據(jù)進(jìn)行處理， 這將在很大程度上降低數(shù)據(jù)泄露風(fēng)險(xiǎn)。 但目前專業(yè)數(shù)據(jù) 庫脫敏和加密工 具并沒有被廣泛使用， 用戶多選擇自行編寫程序。 當(dāng) 數(shù)據(jù)量的規(guī)模較大， 各 數(shù)據(jù)表、 數(shù)據(jù)子集之間的關(guān)聯(lián)關(guān)系較為復(fù)雜的 情況下，手工脫敏或加密工作量 大，且處理質(zhì)量無法保證。這將導(dǎo)致 外發(fā)數(shù)據(jù)無法滿足開發(fā)、測(cè)試、分析等業(yè) 務(wù)需求

8、，影響結(jié)果準(zhǔn)確性， 同時(shí)，耗費(fèi)的人力及時(shí)間成本往往得不償失。專業(yè)的數(shù)據(jù)庫脫敏工具可以保持原有數(shù)據(jù)類型和業(yè)務(wù)格式，保 證長(zhǎng)度不變、數(shù)據(jù)內(nèi)涵不丟失，保持表間、表內(nèi)數(shù)據(jù)關(guān)聯(lián)關(guān)系，確保 以上業(yè)務(wù)場(chǎng)景中的 脫敏數(shù)據(jù)真實(shí)有效。 同時(shí)提供動(dòng)態(tài)脫敏功能， 對(duì)敏 感數(shù)據(jù)進(jìn)行透明、實(shí)時(shí)脫 敏，對(duì)數(shù)據(jù)庫用戶名、 客戶端類型、 訪 問時(shí)間甚至業(yè)務(wù)用戶等多重身份進(jìn)行訪 問控制，提供多種安全策略。3.2使用專業(yè)有效的數(shù)據(jù)庫管控手段可以提供細(xì)粒度的數(shù)據(jù)庫 運(yùn)維管控，滿足數(shù)據(jù)庫管理制度要求，防止危險(xiǎn)訪問行為。與堡壘機(jī)相比，使用專業(yè)的數(shù)據(jù)庫管控產(chǎn)品，通過對(duì)數(shù)據(jù)庫訪 問協(xié)議的 精確解析，而不是單純對(duì)訪問操作進(jìn)行錄屏，事后追責(zé)。數(shù)

9、據(jù)庫防火墻優(yōu)勢(shì)： 基于對(duì)SQL語句的精準(zhǔn)解析， 提供高危訪 問控制、SQL注入禁止、返回行數(shù)超標(biāo)禁止、SQL黑名單等技術(shù)功能， 對(duì)于匹配策略的 威脅操作實(shí)時(shí)攔截、阻斷，而堡壘機(jī)由于不具備SQL語句的精準(zhǔn)解析能力，無 法提供如此細(xì)粒度的訪問控制。數(shù)據(jù)庫安全管控平臺(tái)優(yōu)勢(shì)：目前大多數(shù)企業(yè)使用堡壘機(jī)對(duì)運(yùn)維 人員的數(shù) 據(jù)庫操作行為進(jìn)行審批， 但對(duì)于實(shí)際操作的事中控制， 無法 監(jiān)控。運(yùn)維人員 的實(shí)際操作是否與申請(qǐng)一致?實(shí)際操作人是誰?如果出 現(xiàn)誤操作，如何追溯?這一系列問題堡壘機(jī)無法解決。 專業(yè)的數(shù)據(jù)庫 安全管控平臺(tái)在審批通過后返回 唯一的操作碼， 使用任意客戶端建立 連接時(shí)，無操作碼或與原申請(qǐng)操作不符時(shí)， 拒絕訪問。 提高操作準(zhǔn)確 度，防止高危操作及誤操作， 彌補(bǔ)傳統(tǒng)解決方案對(duì)于 事中控制的缺失。3.3運(yùn)維部門對(duì)整體數(shù)據(jù)庫訪問行為有必要進(jìn)行實(shí)時(shí)有效的監(jiān) 控與審計(jì)，審計(jì)產(chǎn)品的風(fēng)險(xiǎn)感知能力、 審計(jì)效率及審計(jì)結(jié)果的準(zhǔn)確度 是重要依據(jù)。傳統(tǒng)的網(wǎng)絡(luò)審計(jì)產(chǎn)品無法解析數(shù)據(jù)庫通信協(xié)議， 只能通過審計(jì) 訪問的IP地址、端口號(hào)等基本用戶信息判斷訪問是否合法，而數(shù)據(jù) 庫審計(jì)產(chǎn)品對(duì)SQL語句的精確解析能夠識(shí)別每條操作的實(shí)際含義， 結(jié) 合應(yīng)用行為與用戶行為建模 分析，智能判斷數(shù)據(jù)庫是否遭到威脅， 實(shí) 時(shí)發(fā)出告警。調(diào)查顯示大多數(shù)用戶 已經(jīng)局部部署或全面部