2016数据库运维安全现状调查报告
近日,安华金和面向各行业IT运维人群开展了一次数据库运维安全现状调研。希望借此方式了解用户的数据库运维场景及安全现状,发现各行业用户在数据库运维工作中的安全需求,并研发出真正具有用户价值的安全产品。安华金和从多方通道获取的近500份问卷中抽取150份有效样本进行统计分析,总结归纳出此份《2016数据库运维安全现状调研报告》,摘取报告重点分析结论,分享给关注数据库安全的人士。
一. 参与人员概况
抽取调研样本来自不同行业,包括:政府,金融,能源,教育,制造业,互联网,交通,医疗行业等。调查对象主要为技术人员,直接从事IT运维或技术开发工作,或者为用户提供运维侧解决方案及相关产品咨询。参与调研人群共涉及10余类岗位,其中以工程师、技术经理占大多数,占比49%,其余职位亦多为技术层决策人员及研究人员,对于企业数据库系统的技术原理及运维操作比较了解,这对此份调研报告的客观、专业度提供保障。
二. 调查结果
2.1 当前数据库运维环境
随着各行业信息化水平的提升,应用类型多样而复杂。调查结果显示,各行业用户的数据存储规模及数据处理要求进一步提升。面对复杂的网络环境,大多数单位采取了一定的技术手段保护核心数据库系统。
半数以上数据库服务器规模超50台
根据有效样本统计,51%以上的企业部署数据库服务器超过50台,三成企业达到百台规模。
▲1.1 数据库服务器规模
数据库服务器部署位置分布
参与调查人群中,44%的参与者反馈数据库服务器部署在内网环境中,另有49%反馈内网及外网环境中均有部署。选择单纯部署于外网或不区分内外网的比例仅有6%左右,
具有对核心数据库的安全防护意识
调查结果显示,78%的用户会使用网络隔离等技术手段保护核心生产库
2.2 数据库安全政策要求及安全检查现状
在安全政策合规方面,大多数单位都需要满足等保、分保等安全检查标准。51%的参与者需要通过等保检查标准,35%需要通过分保检查标准,28%需要通过其他行业性安全标准。调查显示,64%的企业对于数据库会定期进行安全检查,其余为不定期检查。但有50%的参与者表示安全检查中没有使用专业的检查工具,这在一定程度上对于检查结果的全面性和专业度有所影响。
▲1.2 安全政策合规需求
2.3 数据库安全防护手段
大多数用户具有对核心数据的保护意识,在系统架构上更多采用网络隔离的手段保护核心数据库。对内部人员需要授权访问,敏感数据对外会采用脱敏或加密处理。
调查结果显示,对于核心生产库的安全防护,70%的参与者反馈会采用网络隔离等技术手段进行核心数据库的保护,但仍有近30%的企业尚未采取相关技术手段加以防护。
在提供外网服务的应用系统所用数据库中,存有敏感数据的比例占到74%。这种情况下,共计79%的调查参与者反馈,无论数据库中是否存有敏感数据,运维人员访问数据库系统必须得到授权。
当敏感数据用于第三方公司进行开发、测试、培训等环节前,62%的参与者反馈会对敏感数据进行脱敏或加密处理,但是仍有38%的企业在此方面没有防护手段,这是导致数据库安全隐患的重要原因之一。
▲1.3 敏感信息的访问
目前所采取的数据库安全管控技术手段中,数据库防火墙是选择最多的数据库安全管控技术手段,但仍有超半数单位没有使用专业的数据库安全管控产品,近一半单位不能满足数据库管理制度的要求。
在数据库安全管控手段的选择上,半数单位已采取专业的数据库管控手段。调查显示,49%的参与者已部署数据库防火墙或数据库访问管控平台,但仍有23%只部署了堡垒机,29%没有采取任何技术手段进行管控。同时,42%的参与者反馈目前的技术管理手段不能满足数据库管理制度的要求。这与企业没有选择专业的数据库管控手段有必然关系,对于技术手段的认知有待提高。
▲1.4 数据库安全管控技术手段
大部分企业会进行数据库访问审计,近三成单位只对少部分核心数据库系统进行审计。
关于数据库访问审计的具体范围,针对所有数据库、针对大多数数据库和不进行数据库审计这三个选项的比例相当,其中针对少部分数据库进行审计的比例会稍高一些,占到31%。可见目前大多数用户对于数据库审计接受度较高,在此趋势下,小部分未采取审计手段的用户可能被引导。
▲1.5数据库访问审计的范围
三. 安全防护建议
综合调查结果,我们针对数据库运维安全现状,提供具有实际可落地的安全防护建议:
3.1 在开发、测试、培训等工作环节中,使用敏感数据前进行脱敏处理是必要的,选择专业工具能够提高工作效率,保证数据处理效果及质量。
大多数用户在数据外发之前,会采取脱敏或加密手段对敏感数据进行处理,这将在很大程度上降低数据泄露风险。但目前专业数据库脱敏和加密工具并没有被广泛使用,用户多选择自行编写程序。当数据量的规模较大,各数据表、数据子集之间的关联关系较为复杂的情况下,手工脱敏或加密工作量大,且处理质量无法保证。这将导致外发数据无法满足开发、测试、分析等业务需求,影响结果准确性,同时,耗费的人力及时间成本往往得不偿失。
专业的数据库脱敏工具可以保持原有数据类型和业务格式,保证长度不变、数据内涵不丢失,保持表间、表内数据关联关系,确保以上业务场景中的脱敏数据真实有效。同时提供动态脱敏功能,对敏感数据进行透明、实时脱敏,对数据库用户名、IP\客户端类型、访问时间甚至业务用户等多重身份进行访问控制,提供多种安全策略。
3.2 使用专业有效的数据库管控手段可以提供细粒度的.数据库运维管控,满足数据库管理制度要求,防止危险访问行为。
与堡垒机相比,使用专业的数据库管控产品,通过对数据库访问协议的精确解析,而不是单纯对访问操作进行录屏,事后追责。
数据库防火墙优势:基于对SQL语句的精准解析,提供高危访问控制、SQL注入禁止、返回行数超标禁止、SQL黑名单等技术功能,对于匹配策略的威胁操作实时拦截、阻断,而堡垒机由于不具备SQL语句的精准解析能力,无法提供如此细粒度的访问控制。
数据库安全管控平台优势:目前大多数企业使用堡垒机对运维人员的数据库操作行为进行审批,但对于实际操作的事中控制,无法监控。运维人员的实际操作是否与申请一致?实际操作人是谁?如果出现误操作,如何追溯?这一系列问题堡垒机无法解决。专业的数据库安全管控平台在审批通过后返回唯一的操作码,使用任意客户端建立连接时,无操作码或与原申请操作不符时,拒绝访问。提高操作准确度,防止高危操作及误操作,弥补传统解决方案对于事中控制的缺失。
3.3 运维部门对整体数据库访问行为有必要进行实时有效的监控与审计,审计产品的风险感知能力、审计效率及审计结果的准确度是重要依据。
传统的网络审计产品无法解析数据库通信协议,只能通过审计访问来源的IP地址、端口号等基本用户信息判断访问是否合法,而数据库审计产品对SQL语句的精确解析能够识别每条操作的实际含义,结合应用行为与用户行为建模分析,智能判断数据库是否遭到威胁,实时发出告警。调查显示大多数用户已经局部部署或全面部署数据库审计系统,在此基础上,我们更应关注审计产品是否专业,如数据库流量是否全捕获,对于长语句、参数化语句等是否能够精准解析,是否具有风险感知能力,审计数据是否高效入库,对审计结果是否能够高效分析及检索。这些关键点决定一款数据库监控与审计产品是否真正具有使用价值,而不是简单地解决有无问题。
河南高考排名243480左右排位理科可以上哪些大学,具体能上什么大学
广西高考排名212400左右排位理科可以上哪些大学,具体能上什么大学
广东高考排名85850左右排位物理可以上哪些大学,具体能上什么大学
陕西高考排名150120左右排位理科可以上哪些大学,具体能上什么大学
福建高考排名3220左右排位历史可以上哪些大学,具体能上什么大学
河北高考排名114880左右排位物理可以上哪些大学,具体能上什么大学
精选教师产假请假条四篇
日语专业学生实习报告四篇
企业管理层转正述职报告范文(精选五篇)
关于物流行业调研报告
日语专业学生实习报告四篇
企业管理层转正述职报告范文(精选五篇)
关于物流行业调研报告
工程技术部述职报告
在幼儿园的暑假工作实践报告范文
大学生消费状况调查报告模板
重庆高考排名14250左右排位历史可以上哪些大学,具体能上什么大学
河北高考排名141780左右排位历史可以上哪些大学,具体能上什么大学
贵州高考排名122910左右排位文科可以上哪些大学,具体能上什么大学
河南高考排名13840左右排位文科可以上哪些大学,具体能上什么大学
四川电影电视学院和沈阳大学哪个好 附对比和区别排名
考浙江东方职业技术学院要多少分山西考生 附2024录取名次和最低分
云南高考排名44990左右排位理科可以上哪些大学,具体能上什么大学
黑龙江高考排名95680左右排位理科可以上哪些大学,具体能上什么大学
安徽高考排名91690左右排位理科可以上哪些大学,具体能上什么大学
岳阳职业技术学院的医学检验技术专业排名怎么样 附历年录戎数线
文山学院和韶关学院哪个好 附对比和区别排名
海南高考排名4000左右排位综合可以上哪些大学,具体能上什么大学
沈阳科技学院和广州软件学院哪个好 附对比和区别排名
重庆交通大学的能源与动力工程专业排名怎么样 附历年录戎数线
山东高考排名438500左右排位综合可以上哪些大学,具体能上什么大学
广东高考排名49880左右排位物理可以上哪些大学,具体能上什么大学
辽宁财贸学院和新疆农业大学哪个好 附对比和区别排名
青海高考排名16830左右排位理科可以上哪些大学,具体能上什么大学
广东高考排名224680左右排位物理可以上哪些大学,具体能上什么大学
皖西学院和山西中医药大学哪个好 附对比和区别排名
语文教师学期述职报告范文
语言类实习报告汇总六篇
关于美丽家乡的社会实践报告
客服主管岗位竞聘报告(客服主管岗位竞聘报告优秀范文)
物流公司员工年终述职报告
小学见习总结报告
幼儿园园长的述职报告范文
精选大学生就业观调查报告
会计人员述职报告范文(通用7篇)
大学生综合测评个人总结报告
消防安全生产隐患自查报告范文
销售员工的年终述职报告范文
老年公寓可行性报告怎么写
大学生教育见习报告
专业技术工作述职报告