内部数据安全风险源自何处?
内部数据安全风险源自何处?
企业安全管理员为运维、开发、测试人员提供数据库登陆凭证时,普遍采用多人单一账号管理机制,意味着众多人员采用同一账户,账户也大多由简易名称、弱密码组成,企业管理者普遍有“有账户,所有访问操作即是合法”的认知错觉,而全然不知账号正由于员工的亲密关系、离职合同解除、个人情绪等原因向外扩散。
DBA权限最具代表性,数据库分配的DBA权限账户拥有天然高权限,可以任意操控数据库,如创建数据库、删除数据库等,而正是这种高权限又不受监管的运维频频给数据库的正常运行带来故障,有意时,随意增删改查数据,无意时,DBA运维失误,其自身又难以定位出故障原由,白白增加运维负担。
以“身份”和“资产”为中心,实现运维安全有效管控
如上所说,组织机构内部若建立行之有效的数据安全防护体系,显然需从根本消除对内部人员的无条件信任,对 “人”在数据访问过程中所具备的一切特征进行重新的审视、定义,建立以“身份”和“资产”为中心的主动式防护体系。
对此,为了解决当下数据库运维场景面临的越权访问数据、非法/无意操纵数据、敏感数据外泄的难题,美创科技推出数据库防水坝系统。
产品遵循以下思路:
产品总体架构及功能模块:
防护力量聚焦于价值性隐私数据,通过主动、快速发现敏感资产,一键快速的配置敏感资产集合,对不同的资产集合采用不同的安全策略,支持SCHEMA、表、列级别的资产梳理及管控,从而实现有的放矢,防止高危操作或大批量数据泄露。
提供多因素认证(如IP、UKEY、登陆时间等)、撞库检测防御、免密登陆等功能,聚力身份真实性、访问合法性确认,让通过准入机制校验的“人”是合法的,而非仿冒、盗用凭证等行为。
全方位考量人、资产、行为,针对预先设置的行为基线,将资产防护细粒到人、权责分离,加之实时的上下文分析,快速阻断威胁行为,如账户管理操作(Create user、Alter user、drop user等),授权管理操作(Grant),敏感数据操作(Truncat table,drop table)以及代码操作(修改Package,view)等,形成主动、动态的防御模块。
从而帮助用户实现:
与传统的运维安全风险管理平台相比,美创数据库防水坝除了主动式防御理念,同时具备以下天然优势:
全面的访问渠道覆盖:面对数据库多样化访问路径,全面支持本地、代理、直连等访问渠道的安全管控,颠覆传统只能管控逻辑串接的代理访问来源,全渠道的监测机制让用户所有访问路径无所遁形。
全流程式安全风险防护:数据访问前暴力破解防护、数据访问中权限合法性监测、数据请求值脱敏处理、数据合法访问后的文件加密导出等功能,防护机制及防护能力沉淀于用户真实访问的各个环节,全面封锁数据泄露路径。
同时,美创科技提供数据库防水坝与堡垒机联动方案,实现从主机到数据库、从数据库至数据表的集中安全管控,帮助用户消除数据操作过程无法透明管控的安全盲区,实现向“运维过程全面管理”的转变,保障数据安全,全面满足运维安全内部控制和各类法规要求。
频发的内部数据泄露事件警醒着各行各业需重新审视安全体系的构建。事前充分防御与控制风险,事中实时管控恶意行为,事后快速溯源定责。唯有如此,才能避免成为威胁的受害者。如果您对数据库防水坝感兴趣或有任何问题,拨打400-811-3777,我们将为您详细解答。