本文將介紹從1到10的等級范圍內(nèi)量化數(shù)據(jù)庫的安全級別。首席信息安全官和數(shù)據(jù)庫管理員(DBA)可以使用它來確定他們的安全成熟度等級,并確定進一步改進的步驟。
查找數(shù)據(jù)庫安全等級
1到10級的安全等級,1級是最低安全等級,10級是最高安全等級。所有安全等級的內(nèi)容都是累積的,因此每個等級都包含先前評等級的所有要求。
安全等級的順序反映了安全性的增加以及成本和復(fù)雜性的增加。雖然無需額外軟件即可實現(xiàn)較低等級,但實現(xiàn)更高的安全等級變得越來越困難,并且需要合適的產(chǎn)品。
1.沒有額外的安全措施
等級1適用于不安全的數(shù)據(jù)庫。這些數(shù)據(jù)庫都提供了固有的安全級別,沒有額外的安全措施。例如,他們需要憑據(jù)才能連接并擁有角色和特權(quán)。管理數(shù)據(jù)庫中的數(shù)據(jù)是確保數(shù)據(jù)安全的第一步。
2.標準安全和最低權(quán)限
等級2適用于數(shù)據(jù)庫和操作系統(tǒng)均按照行業(yè)標準和最佳實踐進行配置的數(shù)據(jù)庫。
這個等級還要求所有數(shù)據(jù)庫帳戶的權(quán)限最低,這意味著授予帳戶的權(quán)限是履行其職責所需的最低權(quán)限。
作為等級2要求的一部分,應(yīng)該努力消除共享帳戶。如果存在共享帳戶,則不應(yīng)經(jīng)常使用它們,并且它們的憑據(jù)應(yīng)保密。
對于內(nèi)置于數(shù)據(jù)庫中的特權(quán)共享帳戶,限制使用尤其如此。Oracle公司中的SYS和SYSTEM或SQL-Server中的SA等數(shù)據(jù)庫帳戶不應(yīng)經(jīng)常使用,它們的密碼應(yīng)安全保存并限制訪問。
例如,當應(yīng)用程序使用特權(quán)帳戶或共享帳戶是企業(yè)運營方式的一部分時,這一要求可能具有挑戰(zhàn)性。減少和控制這些帳戶的使用對于安全至關(guān)重要。
3.變更控制和元數(shù)據(jù)快照
等級3適用于受變更控制的數(shù)據(jù)庫。這意味著對元數(shù)據(jù)(例如用戶、權(quán)限、配置和對象)的任何更改都應(yīng)經(jīng)過更改控制批準流程。
作為等級3要求的一部分,需要制作配置、用戶、權(quán)限和對象元數(shù)據(jù)的每日快照。應(yīng)及時調(diào)查和批準快照之間的更改。
此外建議將這些快照與類似數(shù)據(jù)庫進行交叉比較,以確保一致且統(tǒng)一的配置、用戶、權(quán)限等。
變更控制的挑戰(zhàn)在于它可能很麻煩并且被視為無用的繁文縟節(jié)。然而,缺乏對元數(shù)據(jù)更改的控制很快就會變成對數(shù)據(jù)的缺乏控制。
4.會話監(jiān)控和審查
等級4適用于所有登錄都受到監(jiān)控和定期審查的數(shù)據(jù)庫。企業(yè)應(yīng)該及時調(diào)查來自意外用戶、程序或機器的登錄。
破壞數(shù)據(jù)庫安全的最簡單方法之一是竊取憑證。例如,竊取數(shù)據(jù)庫管理員(DBA)用戶名和密碼將授予攻擊者對數(shù)據(jù)的無限制訪問權(quán)限。監(jiān)控登錄可以降低這種風險。
大多數(shù)數(shù)據(jù)庫允許以最小的開銷審計登錄和失敗的登錄。實施挑戰(zhàn)是通過報告提供對信息的有效審查。
5.基本的SQL審計(DDL&DML)
等級5適用于定期記錄、報告和審查高風險SQL活動的數(shù)據(jù)庫。
高風險SQL活動包括:
•所有DDL(包括DCL)——修改數(shù)據(jù)庫配置、對象、用戶、權(quán)限等的SQL。
•來自意外來源的DML,例如特權(quán)用戶和特定程序。
該要求的目的是對不頻繁和高風險的活動實施控制。審核罕見的活動通常不會產(chǎn)生性能開銷,并且需要最少的時間投入。實施方面的挑戰(zhàn)是允許對活動進行及時有效的審查。
6.完整的SQL審計和網(wǎng)絡(luò)加密
等級6適用于接受全面SQL審計的數(shù)據(jù)庫,其中所有具有潛在風險的SQL活動都會定期記錄、報告和審查。
這將轉(zhuǎn)化為審計大量活動,包括查詢。例如:
•使用查詢和DML訪問敏感表。
•所有的數(shù)據(jù)庫管理員(DBA)和特權(quán)用戶活動。
•來自高風險程序(例如SQL Plus、Management Studio等)的所有活動。
•不是來自應(yīng)用程序服務(wù)器的應(yīng)用程序帳戶的活動。
•即使在數(shù)據(jù)庫內(nèi)部由存儲過程或觸發(fā)器執(zhí)行的敏感活動。
等級6還要求所有數(shù)據(jù)庫網(wǎng)絡(luò)活動完全加密,以防止網(wǎng)絡(luò)嗅探和欺騙。這一要求的目的是開始對SQL活動應(yīng)用嚴格的安全措施,并防止許多網(wǎng)絡(luò)攻擊。
在大多數(shù)數(shù)據(jù)庫中,網(wǎng)絡(luò)活動的加密措施是免費內(nèi)置的,并且很容易開啟。這一要求中的主要實施挑戰(zhàn)是在沒有適當解決方案的情況下審計過多活動,這可能會對數(shù)據(jù)庫性能產(chǎn)生重大影響。第二個挑戰(zhàn)是實現(xiàn)高效的報告,以最少的時間投入及時審查信息。
在搜索審計解決方案時,需要注意某些產(chǎn)品沒有避免數(shù)據(jù)庫性能開銷,而其他產(chǎn)品不支持網(wǎng)絡(luò)加密。
7.會話異常檢測和告警
等級7適用于對異常活動源進行自動檢測和警報的數(shù)據(jù)庫。與等級4中執(zhí)行的人工會話審查不同,這一等級需要能夠檢測活動源配置文件變化并發(fā)出警報的自動化。
其中包括:
•對連接到數(shù)據(jù)庫的新用戶、程序、機器或它們的組合發(fā)出警報。
•檢測共享帳戶(多個個人使用的帳戶)以及使用多個帳戶的個人。
這個要求的目的是通過自動化來補充人工審查,以注意到并突出異常活動。這有助于避免意外疏忽,并確??焖贆z測和響應(yīng)。實施需要適當?shù)慕鉀Q方案來執(zhí)行分析。
8.SQL異常檢測與告警
等級8適用于對異常SQL活動進行自動檢測和警報的數(shù)據(jù)庫。與等級5和等級6中的人工SQL審查不同,等級8需要能夠分析數(shù)據(jù)庫中所有SQL活動(包括應(yīng)用程序活動)的自動化。
其中包括:
•異常的應(yīng)用程序行為,例如潛在的SQL注入。
•異?;顒铀?。例如,執(zhí)行的SQL數(shù)或訪問的行數(shù)異常多。
•在一天中的奇數(shù)時間進行活動。
•涉及敏感表新的SQL。
這一要求的目標遠遠超出了避免意外疏忽和改進檢測時間的范圍。其目的是對無法接受人工審查的數(shù)據(jù)庫中不可能高的活動量進行控制。
即使是低活動的數(shù)據(jù)庫每天也可能執(zhí)行數(shù)百萬次SQL查詢,如果沒有實現(xiàn)自動化,就不可能對它們應(yīng)用任何級別的控制。實施需要能夠以低開銷捕獲所有活動并執(zhí)行分析的軟件。
9.主動取證審查
等級9適用于定期進行主動活動審查的數(shù)據(jù)庫。這意味著熟悉數(shù)據(jù)庫活動概況的人員會定期檢查活動(例如每月一次)。
取證審查的目的是識別可能未被發(fā)現(xiàn)的行為,包括內(nèi)部濫用和外部攻擊。此外還可以突出控制、風險做法等方面的差距。
實施取證審查需要一個解決方案,能夠以最小的開銷捕獲所有活動,減少并將其存儲在合理數(shù)量的磁盤空間中,并提供取證工具來分析和審查它。
10.限制對DBA和應(yīng)用程序的訪問
等級10適用于限制訪問帳戶的數(shù)據(jù)庫,否則對數(shù)據(jù)的訪問不受限制,例如數(shù)據(jù)庫管理員(DBA)帳戶、特權(quán)帳戶和應(yīng)用程序帳戶。
此類限制通常不是原生數(shù)據(jù)庫功能的一部分,可能包括:
•防止特權(quán)帳戶訪問他們不應(yīng)訪問的模式、表或?qū)ο?。例如,?shù)據(jù)庫管理員(DBA)帳戶通常不應(yīng)訪問數(shù)據(jù)。
•防止不應(yīng)訪問的程序或機器訪問該帳戶。例如,只有應(yīng)用程序和應(yīng)用服務(wù)器才能訪問應(yīng)用帳號。
•防止在不應(yīng)該使用帳戶的日子和時間訪問帳戶。
•防止帳戶訪問超出預(yù)期的數(shù)據(jù)(速率限制)。
•通過要求安全人員預(yù)先授權(quán)某些特權(quán)活動來強制分離職責。
這個要求需要一個解決方案來實施,因為它超出了內(nèi)置的數(shù)據(jù)庫預(yù)防控制。對數(shù)據(jù)庫應(yīng)用預(yù)防控制會帶來阻止合法活動的操作風險。因此,必須按照適當?shù)淖罴褜嵺`謹慎地部署此類措施,以最大程度地減少中斷的可能性。
結(jié)語
如果企業(yè)的安全等級沒有想象的那么高,那么不要擔心,繼續(xù)加強。而保持數(shù)據(jù)庫安全需要堅持不懈的追求,這將逐漸提高企業(yè)的安全等級。
數(shù)據(jù)庫安全是一項必不可少的投資,它將讓企業(yè)確信其數(shù)據(jù)是安全和可靠的。
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責任的權(quán)利。
京公網(wǎng)安備 11010502049343號