2020年數(shù)據(jù)庫運維安全現(xiàn)狀調(diào)查報告

1、xx數(shù)據(jù)庫運維安全現(xiàn)狀調(diào)查報告近日， 安華金和面向各行業(yè)IT運維人群開展了一次數(shù)據(jù)庫運維 安全現(xiàn)狀 調(diào)研。希望借此方式了解用戶的數(shù)據(jù)庫運維場景及安全現(xiàn)狀， 發(fā)現(xiàn)各行業(yè)用戶 在數(shù)據(jù)庫運維工作中的安全需求， 并研發(fā)出真正具有 用戶價值的安全產(chǎn)品。 安 華金和從多方通道獲取的近500份問卷中抽 取150份有效樣本進行統(tǒng)計分析， 總結(jié)歸納出此份xx數(shù)據(jù)庫運維 安全現(xiàn)狀調(diào)研報告，摘取報告重點分析結(jié) 論，分享給關(guān)注數(shù)據(jù)庫安 全的人士。一.參與人員概況 抽取調(diào)研樣本不同行業(yè)，包括：政府，金融，能源， 教育，制 造業(yè)，互聯(lián)網(wǎng)，交通，醫(yī)療行業(yè)等。調(diào)查對象主要為技術(shù)人員，直接 從事IT運維或技術(shù)開發(fā)工作，或者為用

2、戶提供運維側(cè)解決方案及相 關(guān)產(chǎn)品咨 詢。參與調(diào)研人群共涉及10余類崗位，其中以工程師、技 術(shù)經(jīng)理占大多數(shù)， 占比49%，其余職位亦多為技術(shù)層決策人員及研究 人員，對于企業(yè)數(shù)據(jù)庫系 統(tǒng)的技術(shù)原理及運維操作比較了解， 這對此 份調(diào)研報告的客觀、 專業(yè)度提供保 障。二.調(diào)查結(jié)果2.1當(dāng)前數(shù)據(jù)庫運維環(huán)境 隨著各行業(yè)信息化水平的提升，應(yīng)用類型多樣 而復(fù)雜。調(diào)查結(jié) 果顯示，各行業(yè)用戶的數(shù)據(jù)存儲規(guī)模及數(shù)據(jù)處理要求進一步提 升。面 對復(fù)雜的網(wǎng)絡(luò)環(huán)境， 大多數(shù)單位采取了一定的技術(shù)手段保護核心數(shù)據(jù) 庫 系統(tǒng)。半數(shù)以上數(shù)據(jù)庫服務(wù)器規(guī)模超50臺根據(jù)有效樣本統(tǒng)計，51%以上的企業(yè)部署數(shù)據(jù)庫服務(wù)器超過50臺，三 成企業(yè)達

3、到百臺規(guī)模。1.1數(shù)據(jù)庫服務(wù)器規(guī)模 數(shù)據(jù)庫服務(wù)器部署位置分布 參與調(diào)查人群中，44%的參與者反饋數(shù)據(jù)庫服務(wù)器部署在內(nèi)網(wǎng)環(huán) 境中， 另有49%反饋內(nèi)網(wǎng)及外網(wǎng)環(huán)境中均有部署。選擇單純部署于外網(wǎng)或不區(qū)分內(nèi)外網(wǎng)的比例僅有6%左右，具有對核心數(shù)據(jù)庫的安全防護意識調(diào)查結(jié)果顯示，78%的用戶會使用網(wǎng)絡(luò)隔離等技術(shù)手段保護核心 生產(chǎn)庫2.2數(shù)據(jù)庫安全政策要求及安全檢查現(xiàn)狀 在安全政策合規(guī)方面，大多數(shù) 單位都需要滿足等保、分保等安 全檢查標(biāo)準(zhǔn)。51%的參與者需要通過等保檢 查標(biāo)準(zhǔn)，35%需要通過分保檢查標(biāo)準(zhǔn)，28%需要通過其他行業(yè)性安全標(biāo)準(zhǔn)。 調(diào)查顯示，64%的企業(yè)對于數(shù)據(jù)庫會定期進行安全檢查，其余為不定期檢查。

4、但有50%的參 與者表示安全檢查中沒有使用專業(yè)的檢查工具， 這在一定程度上對于檢查結(jié)果 的全面性和專業(yè)度有所影響。1.2安全政策合規(guī)需求2.3數(shù)據(jù)庫安全防護手段 大多數(shù)用戶具有對核心數(shù)據(jù)的保護意識，在系統(tǒng)架構(gòu)上更多采 用網(wǎng)絡(luò)隔 離的手段保護核心數(shù)據(jù)庫。 對內(nèi)部人員需要授權(quán)訪問，敏感數(shù)據(jù)對外會采用 脫敏或加密處理。調(diào)查結(jié)果顯示，對于核心生產(chǎn)庫的安全防護，70%的參與者反饋會采 用網(wǎng)絡(luò)隔離等技術(shù)手段進行核心數(shù)據(jù)庫的保護，但仍有近30%的企業(yè)尚未采取相關(guān)技術(shù)手段加以防護 在提供外網(wǎng)服務(wù)的應(yīng)用系統(tǒng)所用數(shù)據(jù)庫中，存有敏感數(shù)據(jù)的比 例占到74%。這種情況下，共計79%的調(diào)查參與者反饋，無論數(shù)據(jù)庫 中是否存

5、有敏 感數(shù)據(jù)，運維人員訪問數(shù)據(jù)庫系統(tǒng)必須得到授權(quán)。當(dāng)敏感數(shù)據(jù)用于第三方公司進行開發(fā)、測試、培訓(xùn)等環(huán)節(jié)前，62%的參與者反饋會對敏感數(shù)據(jù)進行脫敏或加密處理，但是仍有38%的企業(yè)在此方面沒有防護手段， 這是導(dǎo)致數(shù)據(jù)庫安全隱患的重要原因 之一。1.3敏感信息的訪問目前所采取的數(shù)據(jù)庫安全管控技術(shù)手段中，數(shù)據(jù) 庫防火墻是選擇最多的數(shù)據(jù)庫安全管控技術(shù)手段， 但仍有超半數(shù)單位沒有使用 專業(yè)的數(shù)據(jù)庫安全管控產(chǎn)品， 近一半單位不能滿足數(shù)據(jù)庫管理制度的要求。在數(shù)據(jù)庫安全管控手段的選擇上，半數(shù)單位已采取專業(yè)的數(shù)據(jù) 庫管控手段。調(diào)查顯示，49%的參與者已部署數(shù)據(jù)庫防火墻或數(shù)據(jù)庫 訪問管控平臺， 但仍有23%只部署了堡

6、壘機，29%沒有采取任何技術(shù)手段進行管控。同時，42%的參與者反饋目前的技術(shù)管理手段不能滿 足數(shù)據(jù)庫管理制度的要求。這與企業(yè)沒有選擇專業(yè)的數(shù)據(jù)庫管控手段 有必然關(guān) 系，對于技術(shù)手段的認知有待提高。1.4數(shù)據(jù)庫安全管控技術(shù)手段 大部分企業(yè)會進行數(shù)據(jù)庫訪問審計，近 三成單位只對少部分核 心數(shù)據(jù)庫系統(tǒng)進行審計。關(guān)于數(shù)據(jù)庫訪問審計的具體范圍，針對所有數(shù)據(jù)庫、針對大多 數(shù)數(shù)據(jù)庫 和不進行數(shù)據(jù)庫審計這三個選項的比例相當(dāng)， 其中針對少部分數(shù)據(jù)庫進行審計 的比例會稍高一些，占到31%?？梢娔壳按蠖鄶?shù)用戶對于數(shù)據(jù)庫審計接受度 較高，在此趨勢下，小部分未采取審計手段 的用戶可能被引導(dǎo)。1.5數(shù)據(jù)庫訪問審計的范圍

7、三.安全防護建議綜合調(diào)查結(jié)果，我們針對數(shù)據(jù)庫運維安全現(xiàn)狀，提供具有實際 可落地的 安全防護建議：3.1在開發(fā)、測試、培訓(xùn)等工作環(huán)節(jié)中，使用敏感數(shù)據(jù)前進行 脫敏處理是必 要的， 選擇專業(yè)工具能夠提高工作效率， 保證數(shù)據(jù)處理 效果及質(zhì)量。大多數(shù)用戶在數(shù)據(jù)外發(fā)之前，會采取脫敏或加密手段對敏感數(shù) 據(jù)進行處理， 這將在很大程度上降低數(shù)據(jù)泄露風(fēng)險。 但目前專業(yè)數(shù)據(jù) 庫脫敏和加密工 具并沒有被廣泛使用， 用戶多選擇自行編寫程序。 當(dāng) 數(shù)據(jù)量的規(guī)模較大， 各 數(shù)據(jù)表、 數(shù)據(jù)子集之間的關(guān)聯(lián)關(guān)系較為復(fù)雜的 情況下，手工脫敏或加密工作量 大，且處理質(zhì)量無法保證。這將導(dǎo)致 外發(fā)數(shù)據(jù)無法滿足開發(fā)、測試、分析等業(yè) 務(wù)需求

8、，影響結(jié)果準(zhǔn)確性， 同時，耗費的人力及時間成本往往得不償失。專業(yè)的數(shù)據(jù)庫脫敏工具可以保持原有數(shù)據(jù)類型和業(yè)務(wù)格式，保 證長度不變、數(shù)據(jù)內(nèi)涵不丟失，保持表間、表內(nèi)數(shù)據(jù)關(guān)聯(lián)關(guān)系，確保 以上業(yè)務(wù)場景中的 脫敏數(shù)據(jù)真實有效。 同時提供動態(tài)脫敏功能， 對敏 感數(shù)據(jù)進行透明、實時脫 敏，對數(shù)據(jù)庫用戶名、 客戶端類型、 訪 問時間甚至業(yè)務(wù)用戶等多重身份進行訪 問控制，提供多種安全策略。3.2使用專業(yè)有效的數(shù)據(jù)庫管控手段可以提供細粒度的數(shù)據(jù)庫 運維管控，滿足數(shù)據(jù)庫管理制度要求，防止危險訪問行為。與堡壘機相比，使用專業(yè)的數(shù)據(jù)庫管控產(chǎn)品，通過對數(shù)據(jù)庫訪 問協(xié)議的 精確解析，而不是單純對訪問操作進行錄屏，事后追責(zé)。數(shù)

9、據(jù)庫防火墻優(yōu)勢： 基于對SQL語句的精準(zhǔn)解析， 提供高危訪 問控制、SQL注入禁止、返回行數(shù)超標(biāo)禁止、SQL黑名單等技術(shù)功能， 對于匹配策略的 威脅操作實時攔截、阻斷，而堡壘機由于不具備SQL語句的精準(zhǔn)解析能力，無 法提供如此細粒度的訪問控制。數(shù)據(jù)庫安全管控平臺優(yōu)勢：目前大多數(shù)企業(yè)使用堡壘機對運維 人員的數(shù) 據(jù)庫操作行為進行審批， 但對于實際操作的事中控制， 無法 監(jiān)控。運維人員 的實際操作是否與申請一致?實際操作人是誰?如果出 現(xiàn)誤操作，如何追溯?這一系列問題堡壘機無法解決。 專業(yè)的數(shù)據(jù)庫 安全管控平臺在審批通過后返回 唯一的操作碼， 使用任意客戶端建立 連接時，無操作碼或與原申請操作不符時， 拒絕訪問。 提高操作準(zhǔn)確 度，防止高危操作及誤操作， 彌補傳統(tǒng)解決方案對于 事中控制的缺失。3.3運維部門對整體數(shù)據(jù)庫訪問行為有必要進行實時有效的監(jiān) 控與審計，審計產(chǎn)品的風(fēng)險感知能力、 審計效率及審計結(jié)果的準(zhǔn)確度 是重要依據(jù)。傳統(tǒng)的網(wǎng)絡(luò)審計產(chǎn)品無法解析數(shù)據(jù)庫通信協(xié)議， 只能通過審計 訪問的IP地址、端口號等基本用戶信息判斷訪問是否合法，而數(shù)據(jù) 庫審計產(chǎn)品對SQL語句的精確解析能夠識別每條操作的實際含義， 結(jié) 合應(yīng)用行為與用戶行為建模 分析，智能判斷數(shù)據(jù)庫是否遭到威脅， 實 時發(fā)出告警。調(diào)查顯示大多數(shù)用戶 已經(jīng)局部部署或全面部