

评测回顾 | 数据库安全防护核心-可信、可控、可用

数智安全行动计划

2022-08-01

数据是智能化数字世界的核心，是驱动政企持续卓越发展的重要组成部分。2021年《数据安全法》《个人信息保护法》的正式出台，与《网络安全法》等其他法律法规共同构成数据领域更加完整的基础性法律体系，维护了我国的数据主权，进一步督促了政企数据安全发展规划。

对于企业而言，数据决定企业的未来，数据安全的建设更是重中之重。作为承载企业最核心要素的数据库自然成为了数据安全最需要的关注部分，黑客也无时无刻的伺机寻找各种漏洞攻击企业组织核心的数据库，数据泄露、数据篡改等事件时常发生，这些事件每时每刻都在提醒着安全管理人员要加强对数据库的安全防护。数据安全风险就在我们身边，数据库安全泄露事件让各企业、组织、机构得到了惨痛的教训，加强数据库安全防护应是数据安全建设中最重要的部分。

对于业务账号而言，原则上需要赋予该账号所需能保障业务正常运行的最小权限（principle of least privilege），但是大多数实际场景中存在大量问题，包括但不限于：企业业务发展迅速、人员流动大、岗位及角色错综复杂、数据库账号权限存在直接继承与间接继承关系，因此如何根据访问行为，在操作中授予最小权限是困扰目前大多数企业和组织的难题。所以企业在进行自身安全建设时，首先要对数据进行分级分类，根据数据分类分级结构和实际业务需求，对数据库账号进行精细化的权限管控。有效杜绝因人员和账号权限问题产生的数据安全风险。

为了推动数据库安全网关建设，使企业的数据安全访问控制产品标准化，中国信息通信研究院（以下简称：中国信通院）联合行业企业共同制定了《大数据数据安全网关技术要求》产品标准，致力于规范数据安全工具的标准化发展，为优秀产品研发及客户产品选型提供参考依据。

杭州安恒信息技术股份有限公司（以下简称“安恒信息”）为了验证自身产品 AiGate数据库安全网关的有效性和合规性，积极参与产品标准制定与评测，经过严格的产品评测与专业评审，顺利通过中国信通院“可信数安-数据安全网关”专项测评。该产品在数据资产管理、网络协议解析、精细化访问控制、异常行为分析与识别等多个方面高度符合数据安全网关标准。在6月29日的大数据产业峰会“可信数安”评估评测结果发布中，安恒信息 AiGate数据库安全网关成为首批通过“可信数安-数据安全网关”产品评测的两家企业之一。

安恒信息AiGate数据库安全网关助力企业数据库安全防护

为了帮助企业实现数据库安全防护，安恒信息结合多年的数据安全访问控制理论和数据库防火墙的经验，打造了一款全方面的数据库安全防护与访问控制产品。该产品集数据库访问控制、数据动态脱敏、攻击防护、运维审批、重要数据恢复等多种功能于一体。同时符合法律法规和运维安全内部控制的要求，该产品已经在政府、医疗、教育等多个行业广泛应用，为客户数据库稳定运行护航。

产品核心功能

1.精细化访问控制

数据库安全网关系统可通过IP、客户端主机名、操作系统用户名、客户端工具名和数据库账号等多个维度实现对用户主体的“身份标记”，通过内置数据识别规则，实现对数据库中的数据梳理。通过对数据访问主、客体的组合，辅以访问控制规则，实现精细化访问控制。可以有效避免如拖库、撞库、特权账号越权访问、误操作等风险行为造成的数据库安全隐患。

2.动态脱敏

AiGate数据库安全网关可以对外部应用程序访问的敏感数据进行实时脱敏处理，并即时返回处理后的结果。整个过程不会对原始真实数据进行修改，有效避免了数据泄漏。

3.虚拟补丁

AiGate数据库安全网关使用数据库虚拟补丁技术，通过控制数据库的请求参数、类型和个数在一定层面防御黑客利用已公开的数据库安全漏洞攻击数据库，对数据库的安全漏洞进行主动的防护，极大的保护了未升级漏洞补丁的数据库，有效降低了针对数据库漏洞利用攻击的威胁。

4.运维审批

为了避免运维过程中账号管理混乱、运维操作不透明等一系列不合规现象造成的数据泄露，以及如Drop Table，Truncate Table等数据库的高危险性操作造成的巨大安全风险，同时也为了保障运维人员对部分数据操作的安全性和实际应用的灵活性，当运维人员必须进行某些危险性操作或者访问敏感数据时，需提交临时授权工单，由多级安全审批人进行逐级审批后方可进行操作。保障了流程的公开、透明、合规。审批人可灵活地通过系统审批或邮件审批方式进行检查、审批，保障数据库侧的操作安全。

5.审计和告警

AiGate数据库安全网关可将所有经过自身的数据库访问行为及请求进行记录并展示，供用户实现运维侧的数据库操作行为溯源。所有审计数据均支持日志导出，对于违反指定规则的行为可进行告警。

实践案例

目前AiGate数据库安全网关已在金融、政府、运营商、医疗等多个行业均有实践案例，以某运营商集团为例分享AiGate数据库安全网关落地案例。

该运营商集团为大数据平台CDH，通过Kerberos认证方式准入，权限则通过Sentry配置hdfs、hive、hbase等组件控制，仅能控制到表级别，无法实现对已有权限的精细化访问控制，无有效手段避免集团内越权访问、合法权限滥用、敏感数据泄漏等风险事件。

客户价值：

助力客户大数据平台安全建设：AiGate通过攻坚对kerberos认证方式的支持，可以适配客户的大数据平台，实现了分布式模式下的数据库安全访问控制。
精细化访问控制：结合分类分级结果，通过IP、客户端主机名、操作系统用户名、客户端工具名和数据库账号等多个维度实现对数据库访问行为进行表字段、行数等多种纬度的细粒度管控，对访问高敏感数据动态脱敏或安全阻断，低敏感数据放行，确保符合最小权限够用原则。
高稳定性：通过部署主备AiGate数据库安全网关设备在网络架构中，在高并发场景下保持了系统稳定运行，实施已有一段时间，经过多轮业务高峰期，性能稳定运行保持在2.6%以下。