序論:在您撰寫數(shù)據(jù)庫平臺系統(tǒng)安全防護舉措時�����,參考他人的優(yōu)秀作品可以開闊視野����,小編為您整理的1篇范文,希望這些建議能夠激發(fā)您的創(chuàng)作熱情�,引導您走向新的創(chuàng)作高度���。
隨著現(xiàn)代社會基礎網(wǎng)絡的快速發(fā)展,海量數(shù)據(jù)依托社會日?���;顒佣Q生,為實現(xiàn)大批量數(shù)據(jù)的快速傳遞���、交流和便捷管理����,數(shù)據(jù)庫平臺系統(tǒng)得到了快速發(fā)展��。數(shù)據(jù)庫平臺系統(tǒng)可使業(yè)務系統(tǒng)內(nèi)的所有數(shù)據(jù)實現(xiàn)共享和交換���,并保證各部分數(shù)據(jù)所使用的格式保持統(tǒng)一和一致�。同時���,數(shù)據(jù)庫平臺系統(tǒng)可為數(shù)據(jù)管理運維人員提供針對所有數(shù)據(jù)的增刪改查��,并基于對數(shù)據(jù)的集中管理實現(xiàn)對所有數(shù)據(jù)的備份、脫敏�、加密等安全防護操作��。然而���,數(shù)據(jù)庫平臺系統(tǒng)在運行過程中時刻遭受外在或內(nèi)在的網(wǎng)絡安全威脅,很容易出現(xiàn)被黑客攻擊的危險���,并且隨著存儲的數(shù)據(jù)量逐漸增大����,數(shù)據(jù)被攻擊所帶來的經(jīng)濟損失和社會不良影響也變得越來越大���。因此��,數(shù)據(jù)庫平臺系統(tǒng)的運維人員和管理者需要不斷提升安全意識����,針對網(wǎng)絡安全風險點部署防護措施����,使得數(shù)據(jù)庫平臺系統(tǒng)在擴大規(guī)模的同時提升網(wǎng)絡安全防護能力。
一�����、數(shù)據(jù)庫平臺系統(tǒng)受網(wǎng)絡攻擊現(xiàn)狀
近年來,數(shù)據(jù)庫平臺系統(tǒng)遭網(wǎng)絡攻擊導致數(shù)據(jù)被竊取或破壞的事件頻繁發(fā)生�,攻擊者通過憑證竊取、木馬投毒��、網(wǎng)絡釣魚��、僵尸網(wǎng)絡���、漏洞利用等方式發(fā)起網(wǎng)絡攻擊����。攻擊目的主要分為兩類:一類為加密數(shù)據(jù)并對運營主體進行勒索�,謀求高額贖金;另一類為竊取數(shù)據(jù)庫大量重要敏感數(shù)據(jù)進行售賣�,牟取巨額非法利益。
1.數(shù)據(jù)庫頻繁遭勒索攻擊
勒索攻擊通常指攻擊者使用惡意木馬軟件對受害者數(shù)據(jù)進行加密���,導致受害者業(yè)務數(shù)據(jù)無法正常使用����,造成業(yè)務停擺�����,并以此為要挾,要求受害者支付大量的贖金才對數(shù)據(jù)進行解密����。據(jù)統(tǒng)計����,2022年上半年,勒索軟件發(fā)起的攻擊增幅超過了過去五年總和�。同時,勒索攻擊的發(fā)起逐漸成規(guī)?;蜕虡I(yè)化,演變?yōu)榇笮蜕虡I(yè)組織黑色產(chǎn)業(yè)活動���,其中以LockBit��、Conti和LapsusS三大組織最為猖獗��。2022年2月23日��,國際科技巨頭英偉達遭受LapsusS勒索攻擊����,攻擊者成功竊取英偉達公司1TB敏感數(shù)據(jù),包括顯卡設計圖��、驅動軟件代碼��、SDK開發(fā)代碼等����。6月份,LockBit勒索軟件家族完成病毒更新�,并于7月推出LockBit3.0版本,據(jù)研究�,新版本的LockBit勒索病毒優(yōu)化了針對安全軟件的對抗能力,以新的免查殺攻擊技術逃避安全數(shù)據(jù)庫平臺系統(tǒng)安全防護措施研究軟件的檢測�����,在不到一個月的時間內(nèi)�����,LockBit在其暗網(wǎng)網(wǎng)站上已經(jīng)公布了幾十個受害者���。
2.數(shù)據(jù)遭竊取謀取經(jīng)濟利益
2022年6月21日���,有媒體報道超星學習通App信息遭竊取泄露�����,數(shù)據(jù)信息被公開售賣���。2018年8月,浙江紹興警方破獲一起涉及30億條數(shù)據(jù)的大規(guī)模數(shù)據(jù)竊取案件��,從2014年開始�,犯罪分子將惡意木馬軟件植入基礎電信企業(yè)內(nèi)部的流量服務器上���,自動清洗����、采集用戶的Cookie和訪問記錄�,從而掌握了網(wǎng)絡上記載的個人搜索記錄、外出記錄�����、交易記錄等隱私信息���,該些數(shù)據(jù)甚至被存儲在境外的服務器上���,長期用于謀取不正當經(jīng)濟利益�。此外�����,據(jù)公開報道��,以數(shù)據(jù)竊取為目的的網(wǎng)絡攻擊在航空�、能源、金融等多領域頻繁爆發(fā)�����,被售賣的數(shù)據(jù)往往具有極高的經(jīng)濟價值���,且比較敏感�����,極易造成惡劣社會影響���。
二、數(shù)據(jù)庫平臺系統(tǒng)網(wǎng)絡安全風險分析
當今數(shù)字經(jīng)濟時代��,數(shù)據(jù)已取代傳統(tǒng)能源成為最具經(jīng)濟價值的資源,而數(shù)據(jù)庫平臺系統(tǒng)正是海量數(shù)據(jù)的核心載體���。數(shù)據(jù)庫平臺系統(tǒng)往往由多臺服務器和數(shù)據(jù)庫組成��,海量敏感數(shù)據(jù)的高度集中導致其極易成為網(wǎng)絡攻擊的針對性目標�,特別是對金融���、能源等經(jīng)濟集中度較高的領域�����,遭受網(wǎng)絡攻擊的可能性大大提升。數(shù)據(jù)庫平臺系統(tǒng)成功被網(wǎng)絡攻擊���,主要包括核心軟件頻繁出現(xiàn)漏洞����、供應鏈存在風險隱患以及日常管理存在不完善三方面原因�����。
1.核心軟件頻繁爆出漏洞
數(shù)據(jù)庫平臺系統(tǒng)是規(guī)模巨大的數(shù)據(jù)庫集成平臺�����,內(nèi)含多個不同類型、不同版本的數(shù)據(jù)庫及服務器���,其中服務器和數(shù)據(jù)庫往往出現(xiàn)漏洞��,導致數(shù)據(jù)庫平臺系統(tǒng)存在網(wǎng)絡安全防護隱患�。數(shù)據(jù)庫平臺系統(tǒng)常用的ElasticSearch���、MongoDB���、MySQL、Oracle���、Redis等開源軟件頻繁爆發(fā)高危漏洞���。例如ElasticSearch多次出現(xiàn)未授權訪問漏洞;2022年6月22日�,Spring官方發(fā)布SpringDataMongoDB存在表達式注入高危漏洞,攻擊者利用該漏洞可在目標服務器上執(zhí)行代碼����。據(jù)統(tǒng)計���,2021年主流數(shù)據(jù)庫被監(jiān)測發(fā)現(xiàn)200多個不同等級的漏洞,其中MySQL被發(fā)現(xiàn)超過160個軟件漏洞(含3個高危漏洞)�、Oracle被檢測出近30個軟件漏洞(含7個高危漏洞)、MongoDB則被發(fā)現(xiàn)存在13個軟件漏洞(含2個高危漏洞)�。數(shù)據(jù)庫平臺系統(tǒng)作為存儲重要敏感數(shù)據(jù)的“倉庫”,一旦自身網(wǎng)絡安全漏洞被發(fā)現(xiàn)��,將為攻擊者發(fā)起網(wǎng)絡攻擊竊取重要敏感數(shù)據(jù)提供突破口�����,帶來極大風險����。
2.數(shù)據(jù)庫平臺系統(tǒng)供應鏈安全隱患
大型數(shù)據(jù)庫平臺系統(tǒng)多采用開源軟件或國外進口軟硬件��,近年來�����,核心網(wǎng)絡安全設備及產(chǎn)品服務面臨的供應鏈風險越來越嚴峻�����。2020年12月,美國網(wǎng)絡安全巨頭FireEye發(fā)布了太陽風(SolarWinds)供應鏈攻擊通告預警���,黑客利用太陽風公司網(wǎng)管軟件漏洞���,攻陷了多個美國聯(lián)邦機構及財富500強企業(yè)網(wǎng)絡,當月13日�,美國政府確認多個部門遭受供應鏈攻擊。據(jù)統(tǒng)計�,太陽風供應鏈攻擊波及全球多個國家和地區(qū)的超過18000個用戶,被認為是史上最嚴重的供應鏈攻擊�。供應鏈攻擊較一般的網(wǎng)絡攻擊更為復雜,影響范圍也更廣���,攻擊者可在供應鏈的任一環(huán)節(jié)發(fā)起惡意篡改����、惡意代碼植入等攻擊���,甚至部分網(wǎng)絡安全產(chǎn)品服務存在隱蔽的遠程控制功能�,這些安全威脅可能導致數(shù)據(jù)庫平臺系統(tǒng)遭受干擾��,甚至被非法控制或破壞。
3.數(shù)據(jù)庫平臺系統(tǒng)日常管理存在隱患
任何系統(tǒng)的運維管理因內(nèi)部人員而導致安全問題的發(fā)生��,都是不可避免的�����,其主要有兩大類�����,一種是因隨機���、偶然性的操作失誤導致安全事件發(fā)生;另一種則是因為日常安全管理不完善����。其中���,日常安全管理不完善往往是導致大型網(wǎng)絡安全事件的根源�����。例如運營主體未設置網(wǎng)絡安全責任部門,無網(wǎng)絡安全專職人員��,系統(tǒng)開發(fā)運維人員明文存儲用戶賬號及口令、明文存儲及傳輸重要數(shù)據(jù)等���。此外��,還存在第三方供應商帶來的網(wǎng)絡安全風險�,第三方供應商內(nèi)部人員在安全管理不完善的情況下����,會給數(shù)據(jù)庫平臺系統(tǒng)帶來極大的不確定性風險。
三��、數(shù)據(jù)庫平臺系統(tǒng)網(wǎng)絡安全防范措施
針對上述風險點����,本文提出以防止數(shù)據(jù)庫重要敏感數(shù)據(jù)被勒索或竊取為目標,在網(wǎng)絡層����、數(shù)據(jù)層、應用層�����、管理層多層面部署防護措施�,保證數(shù)據(jù)在使用過程中完整性����、一致性不被破壞的網(wǎng)絡安全防范架構�。如圖1所示。
1.網(wǎng)絡層面防護措施
通常�����,大型數(shù)據(jù)庫平臺系統(tǒng)通過專網(wǎng)部署��,并與互聯(lián)網(wǎng)隔離��。但很多數(shù)據(jù)庫平臺系統(tǒng)并不具備專網(wǎng)部署的能力��,因此需要做嚴格的網(wǎng)絡劃分��,保證數(shù)據(jù)所在網(wǎng)絡區(qū)域不直接與互聯(lián)網(wǎng)連接�����,提升數(shù)據(jù)庫的網(wǎng)絡安全防護能力�。常見的網(wǎng)絡層隔離示意圖如圖2所示,網(wǎng)絡劃分一般依靠防火墻實現(xiàn)��,可將整體網(wǎng)絡區(qū)域劃分為內(nèi)網(wǎng)�、外網(wǎng)和隔離區(qū)(DMZ)三部分。其中�,數(shù)據(jù)庫服務器可部署于內(nèi)網(wǎng)區(qū),Web服務器及安全設備可部署于DMZ區(qū)���,依托DMZ區(qū)��,外網(wǎng)訪問的用戶無法直接訪問數(shù)據(jù)庫�����。同時��,防火墻可配置訪問控制策略�����,依托白名單機制限制Web服務器訪問數(shù)據(jù)庫服務器��,從而有效保證數(shù)據(jù)的安全訪問�����。此外����,還可通過網(wǎng)閘進行網(wǎng)絡的分區(qū),并限制數(shù)據(jù)的逆向流動��。
2.應用層防護措施在應用層面��,可從數(shù)據(jù)庫漏洞探測和數(shù)據(jù)庫使用審計兩個角度采取防護措施��。數(shù)據(jù)庫依托業(yè)務系統(tǒng)而存在�����,可通過漏洞掃描�����、滲透測試等方式檢測數(shù)據(jù)庫在使用過程中存在的安全風險隱患�,及時發(fā)現(xiàn)漏洞,并做好針對性的防護措施��。同時����,數(shù)據(jù)庫平臺系統(tǒng)在使用過程中要做好安全審計和流量記錄。一方面可實時記錄所有運維人員針對數(shù)據(jù)的操作�����,包括登錄時間、登錄IP����、操作記錄和操作對象等��,也可利用數(shù)據(jù)庫審計對危險操作進行告警�����;另一方面���,可通過日志記錄及時溯源排查網(wǎng)絡攻擊線索��,定位追蹤攻擊者���,為數(shù)據(jù)庫的恢復和數(shù)據(jù)的追回贏得時間。
3.數(shù)據(jù)層面防護措施
在數(shù)據(jù)層面����,可針對數(shù)據(jù)庫的存儲過程采取安全防護措施。一方面���,針對重要的敏感數(shù)據(jù)����,可采取加密的方式進行存儲,數(shù)據(jù)加密可有效防止數(shù)據(jù)遭竊取泄露風險���,常見的數(shù)據(jù)加密算法包括AES����、RSA等��;另一方面��,數(shù)據(jù)在存儲過程中��,為突出保護重點���,并將有限的防護措施用于最核心���、最敏感的數(shù)據(jù)上,需對數(shù)據(jù)作分類分級處理�����。我國施行的數(shù)據(jù)安全法明確提出建立數(shù)據(jù)分類分級保護制度,無論是對政府機構或是企業(yè)���,實施分類分級可有效避免數(shù)據(jù)在遭受攻擊時被全部破壞或竊取�。數(shù)據(jù)的分類分級一般可基于數(shù)據(jù)的形式和內(nèi)容進行劃分�,按照數(shù)據(jù)涉及的主體、存儲方式�����、所處位置和數(shù)據(jù)量的大小等進行分類���,并按照不同數(shù)據(jù)遭破壞所帶來的影響劃分不同的等級。
4.管理層防護措施
數(shù)據(jù)庫平臺系統(tǒng)的管理層防護措施主要包括數(shù)據(jù)庫的備份管理與安全運維管理��。數(shù)據(jù)備份通常指利用在線或離線傳輸?shù)氖侄螌⒈镜財?shù)據(jù)庫中的數(shù)據(jù)部分或全部復制到另一數(shù)據(jù)庫中��。通過數(shù)據(jù)備份�����,當某一數(shù)據(jù)庫服務器發(fā)生故障或遭受勒索攻擊時���,可憑借備份數(shù)據(jù)庫及時恢復業(yè)務系統(tǒng)的正常運轉��。此外���,大型數(shù)據(jù)庫平臺系統(tǒng)在滿足本地備份的同時��,需建立異地實時備份����。安全運維管理需建立安全運維體系��,包括但不限于人員組織及架構管理用于明晰安全管理責任�����,高效執(zhí)行數(shù)據(jù)庫平臺系統(tǒng)的日常安全維護�。安全事件處置及應急預案管理用于快速響應可能發(fā)生的網(wǎng)絡安全事件,保證業(yè)務系統(tǒng)可在第一時間進行恢復���,將損失降至最低�。外包管理用于防止企業(yè)網(wǎng)絡安全責任轉移�����,及時有效地監(jiān)控第三方人員的操作�����,防止人為破壞數(shù)據(jù)庫平臺系統(tǒng)。
結語
隨著數(shù)據(jù)的價值越來越大���,數(shù)據(jù)庫遭受網(wǎng)絡攻擊的頻率也越來越高�����,數(shù)據(jù)庫平臺系統(tǒng)作為海量數(shù)據(jù)的核心載體�����,其安全保障已經(jīng)成為一項迫在眉睫的工作。為了防止出現(xiàn)針對數(shù)據(jù)庫平臺系統(tǒng)的數(shù)據(jù)勒索和數(shù)據(jù)泄露事件�,需深刻分析數(shù)據(jù)庫平臺系統(tǒng)的安全防護薄弱點和可能存在的風險隱患,并從技術和管理兩個維度來綜合提高系統(tǒng)的網(wǎng)絡安全防護能力��。
作者: 袁豪杰 王翔宇 唐剛 鄒云飛 單位:中國軟件評測中心 中移(成都)信息通信科技有限公司
