序論:在您撰寫(xiě)數(shù)據(jù)庫(kù)平臺(tái)系統(tǒng)安全防護(hù)舉措時(shí)�,參考他人的優(yōu)秀作品可以開(kāi)闊視野,小編為您整理的1篇范文���,希望這些建議能夠激發(fā)您的創(chuàng)作熱情�����,引導(dǎo)您走向新的創(chuàng)作高度����。
隨著現(xiàn)代社會(huì)基礎(chǔ)網(wǎng)絡(luò)的快速發(fā)展,海量數(shù)據(jù)依托社會(huì)日?�;顒?dòng)而誕生��,為實(shí)現(xiàn)大批量數(shù)據(jù)的快速傳遞����、交流和便捷管理,數(shù)據(jù)庫(kù)平臺(tái)系統(tǒng)得到了快速發(fā)展�����。數(shù)據(jù)庫(kù)平臺(tái)系統(tǒng)可使業(yè)務(wù)系統(tǒng)內(nèi)的所有數(shù)據(jù)實(shí)現(xiàn)共享和交換��,并保證各部分?jǐn)?shù)據(jù)所使用的格式保持統(tǒng)一和一致�����。同時(shí),數(shù)據(jù)庫(kù)平臺(tái)系統(tǒng)可為數(shù)據(jù)管理運(yùn)維人員提供針對(duì)所有數(shù)據(jù)的增刪改查����,并基于對(duì)數(shù)據(jù)的集中管理實(shí)現(xiàn)對(duì)所有數(shù)據(jù)的備份、脫敏�、加密等安全防護(hù)操作。然而����,數(shù)據(jù)庫(kù)平臺(tái)系統(tǒng)在運(yùn)行過(guò)程中時(shí)刻遭受外在或內(nèi)在的網(wǎng)絡(luò)安全威脅,很容易出現(xiàn)被黑客攻擊的危險(xiǎn)��,并且隨著存儲(chǔ)的數(shù)據(jù)量逐漸增大��,數(shù)據(jù)被攻擊所帶來(lái)的經(jīng)濟(jì)損失和社會(huì)不良影響也變得越來(lái)越大����。因此����,數(shù)據(jù)庫(kù)平臺(tái)系統(tǒng)的運(yùn)維人員和管理者需要不斷提升安全意識(shí),針對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)點(diǎn)部署防護(hù)措施���,使得數(shù)據(jù)庫(kù)平臺(tái)系統(tǒng)在擴(kuò)大規(guī)模的同時(shí)提升網(wǎng)絡(luò)安全防護(hù)能力�����。
一���、數(shù)據(jù)庫(kù)平臺(tái)系統(tǒng)受網(wǎng)絡(luò)攻擊現(xiàn)狀
近年來(lái)��,數(shù)據(jù)庫(kù)平臺(tái)系統(tǒng)遭網(wǎng)絡(luò)攻擊導(dǎo)致數(shù)據(jù)被竊取或破壞的事件頻繁發(fā)生��,攻擊者通過(guò)憑證竊取���、木馬投毒、網(wǎng)絡(luò)釣魚(yú)���、僵尸網(wǎng)絡(luò)���、漏洞利用等方式發(fā)起網(wǎng)絡(luò)攻擊。攻擊目的主要分為兩類(lèi):一類(lèi)為加密數(shù)據(jù)并對(duì)運(yùn)營(yíng)主體進(jìn)行勒索����,謀求高額贖金;另一類(lèi)為竊取數(shù)據(jù)庫(kù)大量重要敏感數(shù)據(jù)進(jìn)行售賣(mài)�����,牟取巨額非法利益。
1.數(shù)據(jù)庫(kù)頻繁遭勒索攻擊
勒索攻擊通常指攻擊者使用惡意木馬軟件對(duì)受害者數(shù)據(jù)進(jìn)行加密�����,導(dǎo)致受害者業(yè)務(wù)數(shù)據(jù)無(wú)法正常使用����,造成業(yè)務(wù)停擺,并以此為要挾��,要求受害者支付大量的贖金才對(duì)數(shù)據(jù)進(jìn)行解密�。據(jù)統(tǒng)計(jì),2022年上半年�,勒索軟件發(fā)起的攻擊增幅超過(guò)了過(guò)去五年總和。同時(shí)��,勒索攻擊的發(fā)起逐漸成規(guī)?��;蜕虡I(yè)化,演變?yōu)榇笮蜕虡I(yè)組織黑色產(chǎn)業(yè)活動(dòng)�,其中以LockBit、Conti和LapsusS三大組織最為猖獗�。2022年2月23日,國(guó)際科技巨頭英偉達(dá)遭受LapsusS勒索攻擊,攻擊者成功竊取英偉達(dá)公司1TB敏感數(shù)據(jù)����,包括顯卡設(shè)計(jì)圖、驅(qū)動(dòng)軟件代碼���、SDK開(kāi)發(fā)代碼等�。6月份�����,LockBit勒索軟件家族完成病毒更新�,并于7月推出LockBit3.0版本,據(jù)研究�,新版本的LockBit勒索病毒優(yōu)化了針對(duì)安全軟件的對(duì)抗能力,以新的免查殺攻擊技術(shù)逃避安全數(shù)據(jù)庫(kù)平臺(tái)系統(tǒng)安全防護(hù)措施研究軟件的檢測(cè)��,在不到一個(gè)月的時(shí)間內(nèi)�����,LockBit在其暗網(wǎng)網(wǎng)站上已經(jīng)公布了幾十個(gè)受害者����。
2.數(shù)據(jù)遭竊取謀取經(jīng)濟(jì)利益
2022年6月21日����,有媒體報(bào)道超星學(xué)習(xí)通App信息遭竊取泄露���,數(shù)據(jù)信息被公開(kāi)售賣(mài)��。2018年8月�����,浙江紹興警方破獲一起涉及30億條數(shù)據(jù)的大規(guī)模數(shù)據(jù)竊取案件���,從2014年開(kāi)始,犯罪分子將惡意木馬軟件植入基礎(chǔ)電信企業(yè)內(nèi)部的流量服務(wù)器上�,自動(dòng)清洗、采集用戶的Cookie和訪問(wèn)記錄���,從而掌握了網(wǎng)絡(luò)上記載的個(gè)人搜索記錄�����、外出記錄��、交易記錄等隱私信息�,該些數(shù)據(jù)甚至被存儲(chǔ)在境外的服務(wù)器上��,長(zhǎng)期用于謀取不正當(dāng)經(jīng)濟(jì)利益�����。此外�����,據(jù)公開(kāi)報(bào)道���,以數(shù)據(jù)竊取為目的的網(wǎng)絡(luò)攻擊在航空��、能源�����、金融等多領(lǐng)域頻繁爆發(fā)��,被售賣(mài)的數(shù)據(jù)往往具有極高的經(jīng)濟(jì)價(jià)值����,且比較敏感����,極易造成惡劣社會(huì)影響�����。
二���、數(shù)據(jù)庫(kù)平臺(tái)系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析
當(dāng)今數(shù)字經(jīng)濟(jì)時(shí)代,數(shù)據(jù)已取代傳統(tǒng)能源成為最具經(jīng)濟(jì)價(jià)值的資源���,而數(shù)據(jù)庫(kù)平臺(tái)系統(tǒng)正是海量數(shù)據(jù)的核心載體���。數(shù)據(jù)庫(kù)平臺(tái)系統(tǒng)往往由多臺(tái)服務(wù)器和數(shù)據(jù)庫(kù)組成,海量敏感數(shù)據(jù)的高度集中導(dǎo)致其極易成為網(wǎng)絡(luò)攻擊的針對(duì)性目標(biāo)����,特別是對(duì)金融、能源等經(jīng)濟(jì)集中度較高的領(lǐng)域�,遭受網(wǎng)絡(luò)攻擊的可能性大大提升。數(shù)據(jù)庫(kù)平臺(tái)系統(tǒng)成功被網(wǎng)絡(luò)攻擊�,主要包括核心軟件頻繁出現(xiàn)漏洞、供應(yīng)鏈存在風(fēng)險(xiǎn)隱患以及日常管理存在不完善三方面原因�����。
1.核心軟件頻繁爆出漏洞
數(shù)據(jù)庫(kù)平臺(tái)系統(tǒng)是規(guī)模巨大的數(shù)據(jù)庫(kù)集成平臺(tái),內(nèi)含多個(gè)不同類(lèi)型�����、不同版本的數(shù)據(jù)庫(kù)及服務(wù)器���,其中服務(wù)器和數(shù)據(jù)庫(kù)往往出現(xiàn)漏洞,導(dǎo)致數(shù)據(jù)庫(kù)平臺(tái)系統(tǒng)存在網(wǎng)絡(luò)安全防護(hù)隱患����。數(shù)據(jù)庫(kù)平臺(tái)系統(tǒng)常用的ElasticSearch、MongoDB���、MySQL����、Oracle����、Redis等開(kāi)源軟件頻繁爆發(fā)高危漏洞。例如ElasticSearch多次出現(xiàn)未授權(quán)訪問(wèn)漏洞��;2022年6月22日����,Spring官方發(fā)布SpringDataMongoDB存在表達(dá)式注入高危漏洞����,攻擊者利用該漏洞可在目標(biāo)服務(wù)器上執(zhí)行代碼�。據(jù)統(tǒng)計(jì),2021年主流數(shù)據(jù)庫(kù)被監(jiān)測(cè)發(fā)現(xiàn)200多個(gè)不同等級(jí)的漏洞��,其中MySQL被發(fā)現(xiàn)超過(guò)160個(gè)軟件漏洞(含3個(gè)高危漏洞)���、Oracle被檢測(cè)出近30個(gè)軟件漏洞(含7個(gè)高危漏洞)���、MongoDB則被發(fā)現(xiàn)存在13個(gè)軟件漏洞(含2個(gè)高危漏洞)。數(shù)據(jù)庫(kù)平臺(tái)系統(tǒng)作為存儲(chǔ)重要敏感數(shù)據(jù)的“倉(cāng)庫(kù)”�����,一旦自身網(wǎng)絡(luò)安全漏洞被發(fā)現(xiàn)��,將為攻擊者發(fā)起網(wǎng)絡(luò)攻擊竊取重要敏感數(shù)據(jù)提供突破口����,帶來(lái)極大風(fēng)險(xiǎn)。
2.數(shù)據(jù)庫(kù)平臺(tái)系統(tǒng)供應(yīng)鏈安全隱患
大型數(shù)據(jù)庫(kù)平臺(tái)系統(tǒng)多采用開(kāi)源軟件或國(guó)外進(jìn)口軟硬件,近年來(lái)��,核心網(wǎng)絡(luò)安全設(shè)備及產(chǎn)品服務(wù)面臨的供應(yīng)鏈風(fēng)險(xiǎn)越來(lái)越嚴(yán)峻�。2020年12月,美國(guó)網(wǎng)絡(luò)安全巨頭FireEye發(fā)布了太陽(yáng)風(fēng)(SolarWinds)供應(yīng)鏈攻擊通告預(yù)警���,黑客利用太陽(yáng)風(fēng)公司網(wǎng)管軟件漏洞��,攻陷了多個(gè)美國(guó)聯(lián)邦機(jī)構(gòu)及財(cái)富500強(qiáng)企業(yè)網(wǎng)絡(luò),當(dāng)月13日�����,美國(guó)政府確認(rèn)多個(gè)部門(mén)遭受供應(yīng)鏈攻擊����。據(jù)統(tǒng)計(jì),太陽(yáng)風(fēng)供應(yīng)鏈攻擊波及全球多個(gè)國(guó)家和地區(qū)的超過(guò)18000個(gè)用戶���,被認(rèn)為是史上最嚴(yán)重的供應(yīng)鏈攻擊�����。供應(yīng)鏈攻擊較一般的網(wǎng)絡(luò)攻擊更為復(fù)雜�����,影響范圍也更廣��,攻擊者可在供應(yīng)鏈的任一環(huán)節(jié)發(fā)起惡意篡改��、惡意代碼植入等攻擊�,甚至部分網(wǎng)絡(luò)安全產(chǎn)品服務(wù)存在隱蔽的遠(yuǎn)程控制功能,這些安全威脅可能導(dǎo)致數(shù)據(jù)庫(kù)平臺(tái)系統(tǒng)遭受干擾���,甚至被非法控制或破壞���。
3.數(shù)據(jù)庫(kù)平臺(tái)系統(tǒng)日常管理存在隱患
任何系統(tǒng)的運(yùn)維管理因內(nèi)部人員而導(dǎo)致安全問(wèn)題的發(fā)生,都是不可避免的���,其主要有兩大類(lèi)�,一種是因隨機(jī)��、偶然性的操作失誤導(dǎo)致安全事件發(fā)生;另一種則是因?yàn)槿粘0踩芾聿煌晟?。其中,日常安全管理不完善往往是?dǎo)致大型網(wǎng)絡(luò)安全事件的根源�。例如運(yùn)營(yíng)主體未設(shè)置網(wǎng)絡(luò)安全責(zé)任部門(mén),無(wú)網(wǎng)絡(luò)安全專(zhuān)職人員�,系統(tǒng)開(kāi)發(fā)運(yùn)維人員明文存儲(chǔ)用戶賬號(hào)及口令、明文存儲(chǔ)及傳輸重要數(shù)據(jù)等。此外���,還存在第三方供應(yīng)商帶來(lái)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)��,第三方供應(yīng)商內(nèi)部人員在安全管理不完善的情況下���,會(huì)給數(shù)據(jù)庫(kù)平臺(tái)系統(tǒng)帶來(lái)極大的不確定性風(fēng)險(xiǎn)。
三���、數(shù)據(jù)庫(kù)平臺(tái)系統(tǒng)網(wǎng)絡(luò)安全防范措施
針對(duì)上述風(fēng)險(xiǎn)點(diǎn)���,本文提出以防止數(shù)據(jù)庫(kù)重要敏感數(shù)據(jù)被勒索或竊取為目標(biāo)�,在網(wǎng)絡(luò)層�����、數(shù)據(jù)層、應(yīng)用層�、管理層多層面部署防護(hù)措施,保證數(shù)據(jù)在使用過(guò)程中完整性���、一致性不被破壞的網(wǎng)絡(luò)安全防范架構(gòu)�����。如圖1所示��。
1.網(wǎng)絡(luò)層面防護(hù)措施
通常���,大型數(shù)據(jù)庫(kù)平臺(tái)系統(tǒng)通過(guò)專(zhuān)網(wǎng)部署���,并與互聯(lián)網(wǎng)隔離。但很多數(shù)據(jù)庫(kù)平臺(tái)系統(tǒng)并不具備專(zhuān)網(wǎng)部署的能力��,因此需要做嚴(yán)格的網(wǎng)絡(luò)劃分�����,保證數(shù)據(jù)所在網(wǎng)絡(luò)區(qū)域不直接與互聯(lián)網(wǎng)連接����,提升數(shù)據(jù)庫(kù)的網(wǎng)絡(luò)安全防護(hù)能力。常見(jiàn)的網(wǎng)絡(luò)層隔離示意圖如圖2所示�����,網(wǎng)絡(luò)劃分一般依靠防火墻實(shí)現(xiàn)���,可將整體網(wǎng)絡(luò)區(qū)域劃分為內(nèi)網(wǎng)���、外網(wǎng)和隔離區(qū)(DMZ)三部分����。其中�,數(shù)據(jù)庫(kù)服務(wù)器可部署于內(nèi)網(wǎng)區(qū),Web服務(wù)器及安全設(shè)備可部署于DMZ區(qū)��,依托DMZ區(qū)����,外網(wǎng)訪問(wèn)的用戶無(wú)法直接訪問(wèn)數(shù)據(jù)庫(kù)。同時(shí)�,防火墻可配置訪問(wèn)控制策略,依托白名單機(jī)制限制Web服務(wù)器訪問(wèn)數(shù)據(jù)庫(kù)服務(wù)器����,從而有效保證數(shù)據(jù)的安全訪問(wèn)��。此外�����,還可通過(guò)網(wǎng)閘進(jìn)行網(wǎng)絡(luò)的分區(qū),并限制數(shù)據(jù)的逆向流動(dòng)����。
2.應(yīng)用層防護(hù)措施在應(yīng)用層面,可從數(shù)據(jù)庫(kù)漏洞探測(cè)和數(shù)據(jù)庫(kù)使用審計(jì)兩個(gè)角度采取防護(hù)措施�����。數(shù)據(jù)庫(kù)依托業(yè)務(wù)系統(tǒng)而存在����,可通過(guò)漏洞掃描、滲透測(cè)試等方式檢測(cè)數(shù)據(jù)庫(kù)在使用過(guò)程中存在的安全風(fēng)險(xiǎn)隱患�,及時(shí)發(fā)現(xiàn)漏洞,并做好針對(duì)性的防護(hù)措施����。同時(shí),數(shù)據(jù)庫(kù)平臺(tái)系統(tǒng)在使用過(guò)程中要做好安全審計(jì)和流量記錄��。一方面可實(shí)時(shí)記錄所有運(yùn)維人員針對(duì)數(shù)據(jù)的操作���,包括登錄時(shí)間��、登錄IP���、操作記錄和操作對(duì)象等���,也可利用數(shù)據(jù)庫(kù)審計(jì)對(duì)危險(xiǎn)操作進(jìn)行告警;另一方面����,可通過(guò)日志記錄及時(shí)溯源排查網(wǎng)絡(luò)攻擊線索,定位追蹤攻擊者�,為數(shù)據(jù)庫(kù)的恢復(fù)和數(shù)據(jù)的追回贏得時(shí)間。
3.數(shù)據(jù)層面防護(hù)措施
在數(shù)據(jù)層面��,可針對(duì)數(shù)據(jù)庫(kù)的存儲(chǔ)過(guò)程采取安全防護(hù)措施����。一方面,針對(duì)重要的敏感數(shù)據(jù)�,可采取加密的方式進(jìn)行存儲(chǔ),數(shù)據(jù)加密可有效防止數(shù)據(jù)遭竊取泄露風(fēng)險(xiǎn)�,常見(jiàn)的數(shù)據(jù)加密算法包括AES、RSA等���;另一方面,數(shù)據(jù)在存儲(chǔ)過(guò)程中���,為突出保護(hù)重點(diǎn)��,并將有限的防護(hù)措施用于最核心�、最敏感的數(shù)據(jù)上,需對(duì)數(shù)據(jù)作分類(lèi)分級(jí)處理����。我國(guó)施行的數(shù)據(jù)安全法明確提出建立數(shù)據(jù)分類(lèi)分級(jí)保護(hù)制度,無(wú)論是對(duì)政府機(jī)構(gòu)或是企業(yè)����,實(shí)施分類(lèi)分級(jí)可有效避免數(shù)據(jù)在遭受攻擊時(shí)被全部破壞或竊取。數(shù)據(jù)的分類(lèi)分級(jí)一般可基于數(shù)據(jù)的形式和內(nèi)容進(jìn)行劃分��,按照數(shù)據(jù)涉及的主體����、存儲(chǔ)方式、所處位置和數(shù)據(jù)量的大小等進(jìn)行分類(lèi)�,并按照不同數(shù)據(jù)遭破壞所帶來(lái)的影響劃分不同的等級(jí)。
4.管理層防護(hù)措施
數(shù)據(jù)庫(kù)平臺(tái)系統(tǒng)的管理層防護(hù)措施主要包括數(shù)據(jù)庫(kù)的備份管理與安全運(yùn)維管理����。數(shù)據(jù)備份通常指利用在線或離線傳輸?shù)氖侄螌⒈镜財(cái)?shù)據(jù)庫(kù)中的數(shù)據(jù)部分或全部復(fù)制到另一數(shù)據(jù)庫(kù)中。通過(guò)數(shù)據(jù)備份�����,當(dāng)某一數(shù)據(jù)庫(kù)服務(wù)器發(fā)生故障或遭受勒索攻擊時(shí),可憑借備份數(shù)據(jù)庫(kù)及時(shí)恢復(fù)業(yè)務(wù)系統(tǒng)的正常運(yùn)轉(zhuǎn)��。此外�����,大型數(shù)據(jù)庫(kù)平臺(tái)系統(tǒng)在滿足本地備份的同時(shí)���,需建立異地實(shí)時(shí)備份��。安全運(yùn)維管理需建立安全運(yùn)維體系�,包括但不限于人員組織及架構(gòu)管理用于明晰安全管理責(zé)任�,高效執(zhí)行數(shù)據(jù)庫(kù)平臺(tái)系統(tǒng)的日常安全維護(hù)。安全事件處置及應(yīng)急預(yù)案管理用于快速響應(yīng)可能發(fā)生的網(wǎng)絡(luò)安全事件����,保證業(yè)務(wù)系統(tǒng)可在第一時(shí)間進(jìn)行恢復(fù),將損失降至最低����。外包管理用于防止企業(yè)網(wǎng)絡(luò)安全責(zé)任轉(zhuǎn)移,及時(shí)有效地監(jiān)控第三方人員的操作,防止人為破壞數(shù)據(jù)庫(kù)平臺(tái)系統(tǒng)����。
結(jié)語(yǔ)
隨著數(shù)據(jù)的價(jià)值越來(lái)越大�,數(shù)據(jù)庫(kù)遭受網(wǎng)絡(luò)攻擊的頻率也越來(lái)越高,數(shù)據(jù)庫(kù)平臺(tái)系統(tǒng)作為海量數(shù)據(jù)的核心載體��,其安全保障已經(jīng)成為一項(xiàng)迫在眉睫的工作�����。為了防止出現(xiàn)針對(duì)數(shù)據(jù)庫(kù)平臺(tái)系統(tǒng)的數(shù)據(jù)勒索和數(shù)據(jù)泄露事件����,需深刻分析數(shù)據(jù)庫(kù)平臺(tái)系統(tǒng)的安全防護(hù)薄弱點(diǎn)和可能存在的風(fēng)險(xiǎn)隱患,并從技術(shù)和管理兩個(gè)維度來(lái)綜合提高系統(tǒng)的網(wǎng)絡(luò)安全防護(hù)能力�。
作者: 袁豪杰 王翔宇 唐剛 鄒云飛 單位:中國(guó)軟件評(píng)測(cè)中心 中移(成都)信息通信科技有限公司
