从能源行业数据库安全检测报告观行业安全现状

简介:

作为国家基础性产业,能源行业的信息化建设自上世纪60年代启动。信息化程度日趋成熟,很大程度上提高了行业内企业管理效率及核心竞争力,但与此同时,随着能源行业多项业务系统的上线,核心业务数据的存储与管理面临更大的挑战,业务数据、用户数据以及各类财务、人力等内部运营敏感信息,一旦遭到泄露或篡改,将影响业务系统的正常运转,关系民生。近年来,能源行业对于核心数据库的安全防护,已经在行业内获得关注。

安华金和近些年为能源行业多家用户进行过数据库安全评估,整体情况并不乐观,我们看到有用户检测结果显示,“未通过项”中高危漏洞占比达到近三成。在几轮的安全评估之后,我们从中归纳总结出几类安全问题,由于该行业的信息系统大多为统一标准,几类问题可以说是整个行业的数据库安全通病。

以某能源行业北方某分公司数据库安全加固项目为例,用户在进行数据库加固项目规划前,首先对核心数据库系统进行了一次全面的安全检查,希望根据检测报告制定有针对性的加固方案。

本次安全检查利用安华金和数据库漏洞扫描系统(DBScan),检测共涉及1000余检测项,结果显示未通过项为50余项,其中高危风险占比21%,中、低危风险占58%,其余为存在潜在风险的警告提示。风险等级主要根据各类安全漏洞、隐患可能导致的危害程度来评定。

从能源行业数据库安全检测报告观行业安全现状

综合检测结果,以及与用户交流数据库系统的运维情况,安华金和对能源行业整体数据库安全问题及隐患进行了归纳与总结,希望可以为该行业用户数据库安全治理提供一些参考:

用户对自身数据资产具体情况不完全清晰

数据库安全状况的检测和后期加固,需要用户提供自身数据库系统的详细架构、数据表分布和使用情况等,例如信息系统中数据资产的规模和分布是怎样?数据资产之间的关联关系是怎样?哪些数据需要进行安全防护?哪些数据应该清理?我们发现,数据这些问题有些用户并不能梳理清楚。这将直接影响后续数据库安全加固建设方向的准确制定,在后期方案落地过程中也将面临诸多问题。

数据库系统自身存在的安全漏洞无法实时更新补丁

检测未通过项中数据库自身的安全漏洞占比不小,这个结果在我们的预料之中,该能源行业主要使用的数据库系统为Oracle、MySQL、Postgre、SQL Server等主流数据库类型。我们知道,越是成熟、广泛应用的数据库,被发现的自身漏洞反而越多,虽然数据库厂商能够及时发布补丁,但出于时间、人力成本及对关键业务系统运转连续性的考虑,户很难做到频繁的更新补丁、重启系统。利用诸如SQL注入、缓冲区溢出、权限提升等安全漏洞,发起威胁攻击正是黑客们最常用的攻击手段。

数据库系统存在的弱口令账户、缺省账户以及低安全配置,构成潜在安全隐患

数据库用户密码过于简单易猜,检测工具识别为弱口令账户,此外,扫描结果显示,用户数据库系统中仍然存在一些未修改过初始密码的账户,即为缺省账户。拿Oracle来说,各版本数据库系统共计700多个账户,出厂自带的原始用户名和密码大多类似,稍有数据库操作经验的人很容易破解。弱口令和缺省账户的存在,成为外部人员暴力破解,入侵数据库的捷径,不容小觑,以下是在检查中发现的部分缺省用户:

从能源行业数据库安全检测报告观行业安全现状

另一方面,检测中安华金和数据库漏洞扫描系统对低安全性的系统配置项进行了警告,如各类权限分配不当、参数设置不当、登陆次数不受限等等。配置缺陷属于潜在隐患,可能形成安全风险或系统性能的损耗。下面列举个别配置缺陷警告:

从能源行业数据库安全检测报告观行业安全现状

从能源行业数据库安全检测报告观行业安全现状

对于拥有高权限的内部运维人员、第三方人员,无有效的细粒度管控措施

上文我们提到,该能源行业信息化程度较高,各类业务系统的开发、测试、运维等需要耗费大量的人力成本,第三方外包显然是最为合适的方式,对于第三方运维工作,外包人员往往被授予数据库最高权限;而对于开发、测试等外包项目则需要将部分或全库数据外发,谁来保障他们的可信度?

反观内部,本就掌握数据库最高权限的运维人员同样存在安全风险,我们了解到,一名运维人员常常肩负多个大型业务系统及数据库服务器的运维管理职责,工作强度高峰期时,误操作在所难免。这种情况下,没有采取有效的细粒度管控措施,则无法确保高权限用户的增删改查操作是否符合原业务需求,近年来的多起数据泄露事件显示,越来越多的泄露或丢失原因开始指向内部人员或第三方外包人员。

基于上述在能源行业用户中显现的真实问题,安华金和的技术专家提出了几项有效的安全加固建议

1、针对数据资产进行全面梳理

在进行数据库安全防护之前,首先建议用户对企业内数据资产进行梳理,理清企业数据资产数量、其中的关联关系,形成统一规范的登记备案流程,这个步骤对于IT建设较早的大型企事业单位来说,是决定一系列数据库安全防护动作的先决条件。

2、实现高细粒度的事中安全管控

建议引入专业的数据库防火墙,基于对SQL语句的精确解析,可以对数据库进行高细粒度的主动安全管控,需要特别提到的是,数据库防火墙(DBFirewall)因其特有的虚拟补丁功能,能够提供漏洞特征检测能力,不改造数据程序的前提下,及时更新数据库补丁,避免数据库安全风险。

3、针对数据库操作进行实行审批管控

针对数据库操作不当的行为,更多体现在数据库运维人员身上,为了实现对运维侧的数据库操作行为监管审批,市场中应运而生一款数据库安全运维产品,该产品中引入规范的操作审批流程与机制,对内部或第三方运维人员的操作申请细化至语句级别的审批,同时提示操作申请的风险度,并确保实际操作、执行人与原申请保持一致。

4、使用专业的脱敏工具保证数据脱敏效果

当敏感数据需要外发时,为保证真实数据不被泄露,脱敏处理是必要手段。既要确保真实数据被扰乱,同时又不影响开发、测试、分析等工作的顺畅进行,引入专业的数据脱敏工具能够输出这样的高质量脱敏结果。同时,面对该能源行业各类应用系统对数据库的访问,动态脱敏技术,能够满足应用客户端对数据库的实时访问,动态脱敏,确保只释放权限内的敏感数据满足业务需要。

5、针对数据库操作进行实时风险感知,全面审计告警

需要对数据库访问及操作行为进行实时的监控与审计,实时捕获数据库登陆的异常行为,比如频繁出现的数据库登陆用户口令异常等。通过审计记录,对来自运维侧或应用侧执行的失败sql语句进行分析汇总,发现可能出现的逻辑错误或对数据库构成威胁的异常访问行为,比如权限不足的用户尝试对数据库敏感信息进行越权访问或变更。

以上内容是安华金和面向能源行业,针对多家用户单位进行数据库安全检测后总结提炼,希望可以让用户意识到数据库安全防护的重要性,并有效帮助用户解决核心数据安全问题。


作者:佚名

来源:51CTO

相关文章
|
7月前
|
存储 监控 安全
360 企业安全浏览器基于阿里云数据库 SelectDB 版内核 Apache Doris 的数据架构升级实践
为了提供更好的日志数据服务,360 企业安全浏览器设计了统一运维管理平台,并引入 Apache Doris 替代了 Elasticsearch,实现日志检索与报表分析架构的统一,同时依赖 Doris 优异性能,聚合分析效率呈数量级提升、存储成本下降 60%....为日志数据的可视化和价值发挥提供了坚实的基础。
360 企业安全浏览器基于阿里云数据库 SelectDB 版内核 Apache Doris 的数据架构升级实践
|
14天前
|
Cloud Native 关系型数据库 分布式数据库
PolarDB 分布式版 V2.0,安全可靠的集中分布式一体化数据库管理软件
阿里云PolarDB数据库管理软件(分布式版)V2.0 ,安全可靠的集中分布式一体化数据库管理软件。
|
1月前
|
SQL 安全 Java
MyBatis-Plus条件构造器:构建安全、高效的数据库查询
MyBatis-Plus 提供了一套强大的条件构造器(Wrapper),用于构建复杂的数据库查询条件。Wrapper 类允许开发者以链式调用的方式构造查询条件,无需编写繁琐的 SQL 语句,从而提高开发效率并减少 SQL 注入的风险。
30 1
MyBatis-Plus条件构造器:构建安全、高效的数据库查询
|
2月前
|
安全 NoSQL 关系型数据库
阿里云数据库:构建高性能与安全的数据管理系统
在企业数字化转型过程中,数据库是支撑企业业务运转的核心。随着数据量的急剧增长和数据处理需求的不断增加,企业需要一个既能提供高性能又能保障数据安全的数据库解决方案。阿里云数据库产品为企业提供了一站式的数据管理服务,涵盖关系型、非关系型、内存数据库等多种类型,帮助企业构建高效的数据基础设施。
132 2
|
4月前
|
关系型数据库 分布式数据库 数据库
安全可靠的国产自研数据库PolarDB V2.0,让数据库开发像“搭积木”一样简单!
安全可靠的国产自研数据库PolarDB V2.0,让数据库开发像“搭积木”一样简单!
安全可靠的国产自研数据库PolarDB V2.0,让数据库开发像“搭积木”一样简单!
|
4月前
|
安全 关系型数据库 数据库
FastAPI数据库操作秘籍:如何通过高效且安全的数据库访问策略,使你的Web应用飞速运转并保持数据完整性?
【8月更文挑战第31天】在构建现代Web应用时,数据库操作至关重要。FastAPI不仅简化了API创建,还提供了高效数据库交互的方法。本文探讨如何在FastAPI中实现快速、安全的数据处理。FastAPI支持多种数据库,如SQLite、PostgreSQL和MySQL;选择合适的数据库可显著提升性能。通过安装相应驱动并配置连接参数,结合ORM库(如Tortoise-ORM或SQLAlchemy),可以简化数据库操作。使用索引、批量操作及异步处理等最佳实践可进一步提高效率。同时,确保使用参数化查询防止SQL注入,并从环境变量中读取敏感信息以增强安全性。
225 1
|
4月前
|
存储 安全 关系型数据库
"揭秘!如何设计数据库架构,让信息系统心脏强健无比?一场关于数据效率、安全与可扩展性的深度探索"
【8月更文挑战第19天】数据库架构是信息系统的核心,关乎数据存储效率与安全及应用性能和扩展性。优秀设计需综合考量业务需求、数据模型选择、查询优化、事务处理、安全性和扩展性。首先,深刻理解业务需求,如电商系统需高效处理并增长商品、订单等数据。其次,基于需求选择合适的数据模型,如关系型或非关系型数据库。再者,优化查询性能与索引策略以平衡读写负载。同时,考虑事务处理和并发控制以保证数据一致性和完整性。最后,加强安全性措施和备份恢复策略以防数据风险。通过这些步骤,可以构建稳健高效的数据库架构,支持系统的稳定运行。
54 0
|
5月前
|
数据可视化 安全 API
数据库开放权限风险高,API非唯一选择:DataV为您开启安全高效的数据可视化之旅
良好的用户体验:DataV注重用户体验设计,提供了丰富的交互效果和动画效果,使得数据可视化大屏更加生动、吸引人。这有助于提升用户的参与度和满意度,促进数据的广泛应用
|
5月前
|
存储 监控 安全
安全规范问题之跟数据库交互涉及的敏感数据操作需要有哪些措施
安全规范问题之跟数据库交互涉及的敏感数据操作需要有哪些措施
|
6月前
|
SQL 安全 关系型数据库
关系性数据库错误日志安全审计
【6月更文挑战第4天】
71 8