中安君干货|数据库安全方案选型之二

上次写了第一篇文章后，据说反响还不错，在部门内部就“资深”售前的称号问题产生了争执，大家一致认为本人虽然“长的着急”了点，但是心理年龄似乎还是比较年轻的，是啊，就像那首歌里唱的：“革命人永远是年轻……”

言归正传，上回从客户面临的数据库安全“核心痛点”，以及中安威士针对客户“痛点”开发的几款产品的实现原理，两个方面介绍了在数据库安全加固产品选型时的一些参考依据。

今天我们来聊聊造成数据库风险存在的最大，最直接，最重要的因素：人！您别笑，我也没和您开玩笑。您仔细想想看，围绕数据库安全的诸多维度，例如，数据库的权限配置、数据库的备份与恢复、数据库的误操作，甚至是数据库本身存在的各种漏洞和针对数据库发起攻击的黑客们，都离不开我说的这个一撇一捺的“人”字。

举个例子:

首先，我们只从数据库泄露途径这个相对单纯的维度来分析“人”带来的威胁。不难看出,数据泄露的途径主要来自外部和内部两个方面。第一个方面——外部威胁：一般指各种黑客攻击，SQL注入，恶意后门等等方法来企图窃取数据。另一方面——内部人员泄露：指内部人员的蓄意越权访问、误操作或是介质窃取等，这些都是数据泄露和数据遭到破坏的途径。值得一提的是，内部人员通常权限较高，可以轻而易举导出整库整表的数据，和黑客们的外部攻击相比，看似缺乏技术含量低的内部威胁却逐渐成为了数据泄露风险的主流因素。根据权威咨询公司的调查结果显示，来自于内部的数据泄漏事件占70%以上。

随着企业在边界防护上的不断强化，越来越多的数据安全防线被从内部攻破。特别是具有敏感数据访问权限的人员不合规操作成为数据泄密的主要途径。如何针对现实工作中的多种人员角色来选择中安威士的数据库安全加固产品，以规避数据泄露的风险呢？我们已经总结好了，为了让您看得清清楚楚、明明白白、真真切切……当然还是上表格啦！

以上表格，结合企业中围绕数据库应用的各种角色，分别以“必选”，“推荐”等两种级别，标识了在环境中应用和部署四款数据库安全产品的迫切程度。

从表格中不难看出，数据库审计产品可以说是一款数据库安全的“标配”产品。无论企业中围绕数据库的角色多还是少，都应该部署数据库审计产品。数据库审计系统能够对数据的访问和活动情况进行全方位的监控和记录，便于事后审计和追查。可以及时发现数据的异常活动情况和风险，产生报警并且输出可视化的报表，便于统计分析及相关汇报。

数据库防火墙则通过实时分析用户对数据库的访问行为，自动建立访问数据库的合法特征模型。对于越权的访问或非法操作实现即时阻断，在业务系统自身的角色权限基础上，在数据库层面实现了深度的数据安全防护。

数据库加密产品，在防范外部攻击窃取数据的同时，更重要的是针对来自内部的数据泄露风险点，增强了对加密敏感数据的权限管理，防止越权权限的滥用、权限盗用、合法权限滥用导致的数据泄漏。

针对很多公司将自己业务系统的开发和测试工作外包给第三方公司的情况，数据库脱敏产品成为了保护企业敏感数据不被一并“外包”的有效工具。

如何选择适合的数据库安全产品，通过今天的分析，是不是给了您一些方向性的意见呢？

中安威士——保护核心数据，捍卫网络安全！