不久前國家信息安全漏洞共享平臺正式發(fā)布通告“Oracle 數(shù)據(jù)庫勒索病毒 RushQL 死灰復燃”���。
事實上,RushQL 勒索病毒已經(jīng)不是第一次肆虐 Oracle 數(shù)據(jù)庫�,早在 2016 年 11 月就已經(jīng)在全球掀起了一場血雨腥風。當然�����,那時候它有個更響亮的名字“比特幣勒索病毒”����。
目光回溯到 2016 年 11 月���,全國多家企事業(yè)單位遭受比特幣勒索通知“你的數(shù)據(jù)庫已被鎖死,發(fā)送 5 個比特幣到這個地址!”��。用戶在登陸 Oracle 數(shù)據(jù)庫時出現(xiàn)如下勒索警告信息��,被要求上交 5 個比特幣來換取解鎖數(shù)據(jù)庫的服務�。
盡管這場戰(zhàn)役防守方取得了勝利��,但時隔兩年�,RushQL 勒索病毒卷土重來,發(fā)動新一輪的肆虐���。
不少圍觀群眾情不自禁反問����,為什么我們會遭到同一勒索病毒連續(xù)攻擊?數(shù)據(jù)庫安全廠商能幫助數(shù)據(jù)庫用戶做些什么?在不久前安華金和發(fā)布的《2017-2018 數(shù)據(jù)庫安全應用指南》似乎可以尋找到一些技能�。
簡單說,企業(yè)對數(shù)據(jù)庫安全的需求共同點有如下四點:
數(shù)據(jù)庫運維人員�����,擁有高權限賬號可以直接對數(shù)據(jù)庫進行信息檢索、查詢和修改�。
第三方人員可能會在業(yè)務系統(tǒng)及數(shù)據(jù)庫系統(tǒng)中留有后門程序,長期監(jiān)控�����、竊取數(shù)據(jù)����。
黑客利用攻擊手段盜取敏感數(shù)據(jù)。
數(shù)據(jù)庫安全現(xiàn)狀未知�����,無法掌握數(shù)據(jù)庫漏洞情況�����、配置情況�����、敏感數(shù)據(jù)分布等內(nèi)容���。
而針對這些情況安全廠商應該做的是什么?
周期防護構建縱深防護體系
為了解決數(shù)據(jù)庫在防攻擊���、防篡改�、防丟失����、防泄密、防超級權限��、內(nèi)部高危操作等問題���。數(shù)據(jù)庫的安全防護應從數(shù)據(jù)庫安全的三維角度�,構建事前-事中-事后的全生命周期數(shù)據(jù)安全過程����,并結合多層次安全技術防護能力�,形成整體的數(shù)據(jù)庫縱深防護體系。
主動防御減少威脅
通過事中主動防御手段在數(shù)據(jù)庫前端對入侵行為做到有效的控制��,通過強大特征庫和漏洞防御庫�����,主動防御內(nèi)外部用戶的違規(guī)操作以及黑客的入侵行為�����。
對 IP/MAC 等要素進行策略配置,確保應用程序的身份安全可靠���。通過黑白名單對敏感數(shù)據(jù)訪問控制���,定義非法用戶行為的方式定義安全策略,有效通過 SQL 注入特征識別庫���。
權限控制解決拖庫
從數(shù)據(jù)庫級別應進行最小化權限控制��,杜絕超級管理員的產(chǎn)生��,通過數(shù)據(jù)庫防火墻和數(shù)據(jù)庫加密措施進行從根源上徹底控制數(shù)據(jù)信息的泄露��,為信息化打好底層基礎��。有效防止存儲文件和備份文件被“拖庫”的風險�����。
應用透明
技術的實施應對于現(xiàn)有應用系統(tǒng)基本透明��,對原有數(shù)據(jù)庫特性�����、原有應用無改造�,不改變應用及用戶使用習慣。
政策合規(guī)滿足標準
在等級保護���、分級保護基本要求中����,數(shù)據(jù)庫安全是主機安全的一個部分��,數(shù)據(jù)庫的測評指標是從“主機安全”和“數(shù)據(jù)安全及備份恢復”中根據(jù)數(shù)據(jù)庫的特點映射得到的�。對等保三級、分保秘密級以上系統(tǒng)中�,關鍵敏感數(shù)據(jù)的安全防護要求滿足了標準特性:
數(shù)據(jù)保密性
滿足了“實現(xiàn)系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務數(shù)據(jù)的存儲保密性”�。
訪問控制性
實現(xiàn)了最小授權原則�����,使得用戶的權限最小化��,同時要求對重要信息資源設置敏感標記�����。
安全審計性
完成了“對用戶行為、安全事件等進行記錄”�����。
從數(shù)據(jù)庫安全的時代沿革來看���,我們走過了系統(tǒng)安全主導的 DBMS1.0 時代��,這個階段是以網(wǎng)絡安全思想作數(shù)據(jù)庫安全��,強調防護與防入侵;正在經(jīng)歷以數(shù)據(jù)為中心����,由場景化安全主導的 2.0 時代��,這個階段強調數(shù)據(jù)在使用���、流動����、共享等場景中的安全;而接下來在國家戰(zhàn)略政策層面驅動下,組織將更加強調內(nèi)部流程�、規(guī)范與技術的整合,在整體體系化安全的建設需求驅動下����,以數(shù)據(jù)安全治理為核心的 3.0 時代即將到來。
?。?a href="http://www.rzslsm.com">邯鄲網(wǎng)站建設)
