2016數據庫運維安全現狀調查報告

　　近日，安華金和面向各行業(yè)IT運維人群開(kāi)展了一次數據庫運維安全現狀調研。希望借此方式了解用戶(hù)的數據庫運維場(chǎng)景及安全現狀，發(fā)現各行業(yè)用戶(hù)在數據庫運維工作中的安全需求，并研發(fā)出真正具有用戶(hù)價(jià)值的安全產(chǎn)品。安華金和從多方通道獲取的近500份問(wèn)卷中抽取150份有效樣本進(jìn)行統計分析，總結歸納出此份《2016數據庫運維安全現狀調研報告》，摘取報告重點(diǎn)分析結論，分享給關(guān)注數據庫安全的人士。

　　一. 參與人員概況

　　抽取調研樣本來(lái)自不同行業(yè)，包括：政府，金融，能源，教育，制造業(yè)，互聯(lián)網(wǎng)，交通，醫療行業(yè)等。調查對象主要為技術(shù)人員，直接從事IT運維或技術(shù)開(kāi)發(fā)工作，或者為用戶(hù)提供運維側解決方案及相關(guān)產(chǎn)品咨詢(xún)。參與調研人群共涉及10余類(lèi)崗位，其中以工程師、技術(shù)經(jīng)理占大多數，占比49%，其余職位亦多為技術(shù)層決策人員及研究人員，對于企業(yè)數據庫系統的技術(shù)原理及運維操作比較了解，這對此份調研報告的客觀(guān)、專(zhuān)業(yè)度提供保障。

　　二. 調查結果

　　2.1 當前數據庫運維環(huán)境

　　隨著(zhù)各行業(yè)信息化水平的提升，應用類(lèi)型多樣而復雜。調查結果顯示，各行業(yè)用戶(hù)的數據存儲規模及數據處理要求進(jìn)一步提升。面對復雜的網(wǎng)絡(luò )環(huán)境，大多數單位采取了一定的技術(shù)手段保護核心數據庫系統。

　　半數以上數據庫服務(wù)器規模超50臺

　　根據有效樣本統計，51%以上的企業(yè)部署數據庫服務(wù)器超過(guò)50臺，三成企業(yè)達到百臺規模。

　　▲1.1 數據庫服務(wù)器規模

　　數據庫服務(wù)器部署位置分布

　　參與調查人群中，44%的參與者反饋數據庫服務(wù)器部署在內網(wǎng)環(huán)境中，另有49%反饋內網(wǎng)及外網(wǎng)環(huán)境中均有部署。選擇單純部署于外網(wǎng)或不區分內外網(wǎng)的比例僅有6%左右，

　　具有對核心數據庫的安全防護意識

　　調查結果顯示，78%的用戶(hù)會(huì )使用網(wǎng)絡(luò )隔離等技術(shù)手段保護核心生產(chǎn)庫

　　2.2 數據庫安全政策要求及安全檢查現狀

　　在安全政策合規方面，大多數單位都需要滿(mǎn)足等保、分保等安全檢查標準。51%的參與者需要通過(guò)等保檢查標準，35%需要通過(guò)分保檢查標準，28%需要通過(guò)其他行業(yè)性安全標準。調查顯示，64%的企業(yè)對于數據庫會(huì )定期進(jìn)行安全檢查，其余為不定期檢查。但有50%的參與者表示安全檢查中沒(méi)有使用專(zhuān)業(yè)的檢查工具，這在一定程度上對于檢查結果的全面性和專(zhuān)業(yè)度有所影響。

　　▲1.2 安全政策合規需求

　　2.3 數據庫安全防護手段

　　大多數用戶(hù)具有對核心數據的保護意識，在系統架構上更多采用網(wǎng)絡(luò )隔離的手段保護核心數據庫。對內部人員需要授權訪(fǎng)問(wèn)，敏感數據對外會(huì )采用脫敏或加密處理。

　　調查結果顯示，對于核心生產(chǎn)庫的安全防護，70%的參與者反饋會(huì )采用網(wǎng)絡(luò )隔離等技術(shù)手段進(jìn)行核心數據庫的保護，但仍有近30%的企業(yè)尚未采取相關(guān)技術(shù)手段加以防護。

　　在提供外網(wǎng)服務(wù)的應用系統所用數據庫中，存有敏感數據的比例占到74%。這種情況下，共計79%的調查參與者反饋，無(wú)論數據庫中是否存有敏感數據，運維人員訪(fǎng)問(wèn)數據庫系統必須得到授權。

　　當敏感數據用于第三方公司進(jìn)行開(kāi)發(fā)、測試、培訓等環(huán)節前，62%的參與者反饋會(huì )對敏感數據進(jìn)行脫敏或加密處理，但是仍有38%的企業(yè)在此方面沒(méi)有防護手段，這是導致數據庫安全隱患的重要原因之一。

　　▲1.3 敏感信息的訪(fǎng)問(wèn)

　　目前所采取的數據庫安全管控技術(shù)手段中，數據庫防火墻是選擇最多的數據庫安全管控技術(shù)手段，但仍有超半數單位沒(méi)有使用專(zhuān)業(yè)的數據庫安全管控產(chǎn)品，近一半單位不能滿(mǎn)足數據庫管理制度的要求。

　　在數據庫安全管控手段的選擇上，半數單位已采取專(zhuān)業(yè)的數據庫管控手段。調查顯示，49%的參與者已部署數據庫防火墻或數據庫訪(fǎng)問(wèn)管控平臺，但仍有23%只部署了堡壘機，29%沒(méi)有采取任何技術(shù)手段進(jìn)行管控。同時(shí)，42%的參與者反饋目前的技術(shù)管理手段不能滿(mǎn)足數據庫管理制度的要求。這與企業(yè)沒(méi)有選擇專(zhuān)業(yè)的數據庫管控手段有必然關(guān)系，對于技術(shù)手段的認知有待提高。

　　▲1.4 數據庫安全管控技術(shù)手段

　　大部分企業(yè)會(huì )進(jìn)行數據庫訪(fǎng)問(wèn)審計，近三成單位只對少部分核心數據庫系統進(jìn)行審計。

　　關(guān)于數據庫訪(fǎng)問(wèn)審計的具體范圍，針對所有數據庫、針對大多數數據庫和不進(jìn)行數據庫審計這三個(gè)選項的比例相當，其中針對少部分數據庫進(jìn)行審計的比例會(huì )稍高一些，占到31%�？梢�(jiàn)目前大多數用戶(hù)對于數據庫審計接受度較高，在此趨勢下，小部分未采取審計手段的用戶(hù)可能被引導。

　　▲1.5數據庫訪(fǎng)問(wèn)審計的范圍

　　三. 安全防護建議

　　綜合調查結果，我們針對數據庫運維安全現狀，提供具有實(shí)際可落地的安全防護建議：

　　3.1 在開(kāi)發(fā)、測試、培訓等工作環(huán)節中，使用敏感數據前進(jìn)行脫敏處理是必要的，選擇專(zhuān)業(yè)工具能夠提高工作效率，保證數據處理效果及質(zhì)量。

　　大多數用戶(hù)在數據外發(fā)之前，會(huì )采取脫敏或加密手段對敏感數據進(jìn)行處理，這將在很大程度上降低數據泄露風(fēng)險。但目前專(zhuān)業(yè)數據庫脫敏和加密工具并沒(méi)有被廣泛使用，用戶(hù)多選擇自行編寫(xiě)程序。當數據量的規模較大，各數據表、數據子集之間的關(guān)聯(lián)關(guān)系較為復雜的情況下，手工脫敏或加密工作量大，且處理質(zhì)量無(wú)法保證。這將導致外發(fā)數據無(wú)法滿(mǎn)足開(kāi)發(fā)、測試、分析等業(yè)務(wù)需求，影響結果準確性，同時(shí)，耗費的人力及時(shí)間成本往往得不償失。

　　專(zhuān)業(yè)的數據庫脫敏工具可以保持原有數據類(lèi)型和業(yè)務(wù)格式，保證長(cháng)度不變、數據內涵不丟失，保持表間、表內數據關(guān)聯(lián)關(guān)系，確保以上業(yè)務(wù)場(chǎng)景中的脫敏數據真實(shí)有效。同時(shí)提供動(dòng)態(tài)脫敏功能，對敏感數據進(jìn)行透明、實(shí)時(shí)脫敏，對數據庫用戶(hù)名、IP\客戶(hù)端類(lèi)型、訪(fǎng)問(wèn)時(shí)間甚至業(yè)務(wù)用戶(hù)等多重身份進(jìn)行訪(fǎng)問(wèn)控制，提供多種安全策略。

　　3.2 使用專(zhuān)業(yè)有效的數據庫管控手段可以提供細粒度的數據庫運維管控，滿(mǎn)足數據庫管理制度要求，防止危險訪(fǎng)問(wèn)行為。

　　與堡壘機相比，使用專(zhuān)業(yè)的數據庫管控產(chǎn)品，通過(guò)對數據庫訪(fǎng)問(wèn)協(xié)議的精確解析，而不是單純對訪(fǎng)問(wèn)操作進(jìn)行錄屏，事后追責。

　　數據庫防火墻優(yōu)勢：基于對SQL語(yǔ)句的精準解析，提供高危訪(fǎng)問(wèn)控制、SQL注入禁止、返回行數超標禁止、SQL黑名單等技術(shù)功能，對于匹配策略的威脅操作實(shí)時(shí)攔截、阻斷，而堡壘機由于不具備SQL語(yǔ)句的精準解析能力，無(wú)法提供如此細粒度的訪(fǎng)問(wèn)控制。

　　數據庫安全管控平臺優(yōu)勢：目前大多數企業(yè)使用堡壘機對運維人員的數據庫操作行為進(jìn)行審批，但對于實(shí)際操作的事中控制，無(wú)法監控。運維人員的實(shí)際操作是否與申請一致?實(shí)際操作人是誰(shuí)?如果出現誤操作，如何追溯?這一系列問(wèn)題堡壘機無(wú)法解決。專(zhuān)業(yè)的數據庫安全管控平臺在審批通過(guò)后返回唯一的操作碼，使用任意客戶(hù)端建立連接時(shí)，無(wú)操作碼或與原申請操作不符時(shí)，拒絕訪(fǎng)問(wèn)。提高操作準確度，防止高危操作及誤操作，彌補傳統解決方案對于事中控制的缺失。

　　3.3 運維部門(mén)對整體數據庫訪(fǎng)問(wèn)行為有必要進(jìn)行實(shí)時(shí)有效的監控與審計，審計產(chǎn)品的風(fēng)險感知能力、審計效率及審計結果的準確度是重要依據。

　　傳統的網(wǎng)絡(luò )審計產(chǎn)品無(wú)法解析數據庫通信協(xié)議，只能通過(guò)審計訪(fǎng)問(wèn)來(lái)源的IP地址、端口號等基本用戶(hù)信息判斷訪(fǎng)問(wèn)是否合法，而數據庫審計產(chǎn)品對SQL語(yǔ)句的精確解析能夠識別每條操作的實(shí)際含義，結合應用行為與用戶(hù)行為建模分析，智能判斷數據庫是否遭到威脅，實(shí)時(shí)發(fā)出告警。調查顯示大多數用戶(hù)已經(jīng)局部部署或全面部署數據庫審計系統，在此基礎上，我們更應關(guān)注審計產(chǎn)品是否專(zhuān)業(yè)，如數據庫流量是否全捕獲，對于長(cháng)語(yǔ)句、參數化語(yǔ)句等是否能夠精準解析，是否具有風(fēng)險感知能力，審計數據是否高效入庫，對審計結果是否能夠高效分析及檢索。這些關(guān)鍵點(diǎn)決定一款數據庫監控與審計產(chǎn)品是否真正具有使用價(jià)值，而不是簡(jiǎn)單地解決有無(wú)問(wèn)題。

【數據庫運維安全現狀調查報告】相關(guān)文章：

IT運維方案03-20

運維述職報告06-29

運維實(shí)習報告06-29

運維工作總結11-12

IT運維工作總結09-13

運維工作計劃08-03

機房運維工作總結09-17

運維部述職報告范文09-25

系統運維工作計劃09-29

食品安全現狀調查報告10-18