数据库安全-如何从技术层面有效防范内鬼泄密行为

近年来企业数据泄露事件频传,针对大量敏感行业的专业性攻击已逐步蔓延,企业面临的信息平安挑战日趋严峻,为了更有效地杜绝数据窃密行为,往往制订许多审查的系统与处理办法.然而“最坚固的堡垒都是从内部攻破的”,即使我们的个人信息保护体系再完善,“内鬼”总让人防不胜防.比如近期京东与腾讯平安团队联手协助公安部破获的特大窃取贩卖公民个人信息案,有50亿条公民信息遭到泄漏,而嫌疑犯被传曾在国内多家知名互联网公司工作,多次利用工作之便窃取数据,并与黑客长期相互勾结在互联网上进行贩卖.本篇主要对内鬼窃取数据库的途径进行分析,从技术层面提出平安建议.

企业内鬼造成的数据库数据泄露的道路：

1. 企业内部系统开发人员、运维管理人员、系统管理员等管理人员利用工作之便非法或违规获取数据库中的小我信息.

2. 企业内部员工利用应用系统获取到敏感数据,然后通过其他手段进行盗卖

3. 合作单元或者第三方服务机构的员工通过应用系统直接看到明文的客户敏感信息

那么如何能力从根本上防范内部员工造成的信息泄密、把风险降到最低?

从数据库平安技术方面谈如何防范企业内鬼泄密

针对于特权人员拜访敏感客户信息的行为首先要限制其直接远程登录数据库服务器进行维护,可通过堡垒机或者其它技术对运维操作行为进行审计和控制.同时通过非数据库自身的权限控制系统限制特权人员拜访敏感的表或者列,如中安星云数据库防火墙系统,它可以对所有拜访数据库的行为进行过滤,限制数据库特权人员只能拜访管理数据库相关的表,限制有风险、高频次的拜访行为,限制其拜访业务数据相关的表.对于特别敏感的数据在权限控制的基础上进行数据库敏感数据透明加密,杜绝从存储介质和操作系统层面获取敏感数据的行为.

数据库平安防护技术

对于内部员工或者第三方合作机构人员,可以通过数据库在线脱敏技术,根据实际的业务必要,对敏感的数据进行脱敏处理,只返回能够满足业务必要并经过修改的数据.如身份信息只显示出生年月日信息,手机号只显示后四位进行验证等.

另一方面可通过数据库审计产品对于数据库所有的访问操作行为进行记录、统计和分析,一方面可以了解数据库的运行状况,以及潜在的平安风险,另一方面便于平安事件发生后进行事故追踪溯源.

(起源：中安星云 赵卫国 郝文琛)