数据库安全,是指以保护数据库系统、数据库服务器和数据库中的数据、应用、存储,以及相关网络连接为目的,是防止数据库系统及其数据遭到泄露、篡改或破坏的安全技术。
数据库往往是企业最为核心的数据保护对象,与传统的网络安全防护体系不同,数据库安全技术更加注重从客户内部的角度做安全。其内涵包括了保密性、完整性和可用性,即所谓的CIA(Confidentiality, Integrity, Availability)三个方面。
(1)保密性:不允许未经授权的用户存取信息;
(2)完整性:只允许被授权的用户修改数据;
(3)可用性:不应拒绝已授权的用户对数据进行存取。
数据库安全技术分类与产品
数据库安全技术,从最早的数据库审计到数据库防火墙、数据库漏洞扫描、数据库加密、数据脱敏、数据梳理,发展至今已经有数十家国内外厂商从事这一业务,并发展出10余款数据库安全防护产品。为了方便对用户对每一种技术和产品有一个大致的了解,下面我们将对目前主要的技术产品进行简要的描述,后续文章中我们会针对每一种数据库安全防护技术进行详细的解读和分析。
敏感数据梳理
敏感数据梳理是在组织网络内自动探测未知数据库、自动识别数据库中的敏感数据、数据库账户权限、敏感数据使用的一种数据库资产梳理产品。
数据库漏洞扫描
数据库漏洞扫描是专门对数据库系统进行自动化安全评估的专业技术,通过数据库漏洞扫描能够有效的评估数据库系统的安全漏洞和威胁并提供修复建议。
数据库防火墙
数据库防火墙系统是一款针对应用侧异常数据访问的数据库安全防护产品。一般采用主动防御机制,通过学习期行为建模,预定义风险策略;并结合数据库虚拟补丁、注入规则和应用关联防护机制,实现数据库的访问行为控制、高危风险阻断和可疑行为审计。
数据库安全运维
数据库安全运维产品是面向数据库运维人员的数据库安全加固与访问管控产品,能够有效提升数据库日常运维管理工作的精细度及安全性。可以对运维行为进行流程化管理,提供事前审批、事中控制、事后审计、定期报表等功能,将审批、控制和追责有效结合,避免内部运维人员的恶意操作和误操作行为,解决运维账号共享带来的身份不清问题,确保运维行为在受控的范畴内安全高效的执行。
数据库加密
数据库加密产品目前从技术角度一般可以分为列加密和表加密两种。其能够实现对数据库中的敏感数据加密存储、访问控制增强、应用访问安全、密文访问审计以及三权分立等功能。通过数据加密能够有效防止明文存储引起的数据内部泄密、高权限用户的数据窃取,从根源上防止敏感数据泄漏。
数据库脱敏
数据库脱敏是一种采用专门的脱敏算法对敏感数据进行变形、屏蔽、替换、随机化、加密,并将敏感数据转化为虚构数据的技术。按照作用位置、实现原理不同,数据脱敏可以划分为静态数据脱敏(Static Data Masking, SDM )和动态数据脱敏(Dynamic Data Masking, DDM )。
数据库审计
数据库审计能够实时记录网络上的数据库活动,对数据库操作进行细粒度审计。除此之外,数据库审计还能对数据库遭受到的风险行为进行告警,如:数据库漏洞攻击、SQL注入攻击、高危风险操作等。数据库审计技术一般采用旁路部署,通过镜像流量或探针的方式采集流量,并基于语法语义的解析技术提取出SQL中相关的要素(用户、SQL操作、表、字段等)进而实时记录来自各个层面的所有数据库活动,包括:普通用户和超级用户的访问行为请求,以及使用数据库客户端工具执行的操作。
作为目前国内专注于数据库安全产品的专业数据库安全厂商北京安华金和科技有限公司,从对核心数据进行根本性防御视角,不断延伸和演进产品技术,目前全面覆盖了基于数据库安全建设的数据库漏扫描产品、数据资产梳理产品、数据库防火墙产品、数据库安全运维、数据库加密产品、数据库脱敏产品、数据库水印产品、数据库监控与审计等产品,并结合云计算的发展应用,将数据库安全防护技术扩展到云端,满足更多用户的业务需求,真正为用户实现让数据使用更安全的使命。
来源:安华金和