如果說數據是血液

數據庫則是心臟

掌握著全身血液的流動與去向

貫穿著數據的來世與今生

采集、存儲、處理、傳輸、交換、銷毀

數據全生命周期防護

筑牢數據庫安全

2024年1月，國家數據局等17部門聯合印發《“數據要素×”三年行動計劃（2024—2026年）》旨在充分發揮數據要素“乘數效應”，賦能經濟社會發展。2024年政府工作報告中“數據”一詞被重點提及，“健全數據基礎制度，大力推動數據開發開放和流通使用”“解決數據跨境流動問題”“提高網絡、數據等安全保障能力”，為下一階段數據要素發展與安全防護指明了方向。

“ 《數據安全法》重點強調數據全生命周期的各環節的安全保護，如：對于數據訪問、檢索、修改等各項行為需要做到身份核驗、權限控制以及風險檢測?！缎畔踩夹g 網絡安全等級保護基本要求》明確要求對數據庫資產要進行審計與防控，如：應保護審計記錄，避免受到未預期的刪除、修改或覆蓋等。訪問控制的粒度應達到主體為用戶級或進程級，客體為文件、數據庫表級?！?/span>

本文從數據庫使用的十大常見風險出發，結合天融信多年來在數據安全領域的技術積累與實踐，提供數據庫使用的“正確方式”，為企業數據資產安全保駕護航。

業務人員繞過應用系統直接訪問數據庫

業務人員常因方便繞過應用系統直接訪問數據庫，導致操作錯誤、數據丟失，同時還增加數據泄露和賬戶濫用風險。

安全錦囊

在數據庫資產前串行部署天融信數據庫審計與防護系統，通過識別用戶操作數據庫的流量信息，如：數據庫賬號、客戶端主機名等特征字段，結合人員的五元組信息進行精準訪問控制，同時通過實名審計功能將IP與姓名、部門等個人信息掛鉤，進而溯源到實際操作人，有效降低業務人員繞過應用系統直接訪問數據庫的系列風險。

偽冒合法用戶訪問數據庫違規操作

如果用戶賬號被竊取，非法用戶就可能偽冒合法用戶訪問數據庫，并進行違規操作，從而導致大規模數據泄漏。

安全錦囊

天融信運維安全審計系統、天融信數據庫審計與防護系統聯動使用可避免此類風險。其中，天融信運維安全審計負責認證鑒權，通過使用認證UKEY、動態令牌等技術實現身份認證；天融信數據庫審計與防護可根據操作行為進行特征判定，實時阻斷非法SQL語句命令，同時根據用戶使用行為建立行為基線，當行為偏離基線時可以第一時間告警。

利用應用程序檢查漏洞實施注入攻擊

黑客常常利用應用系統對用戶輸入驗證不嚴格的弱點，通過惡意拼接搜索語句并注入SQL代碼，以此“誘騙”數據庫執行未經授權的查詢操作，進行非法訪問并竊取敏感數據。

安全錦囊

天融信數據庫審計與防護系統內置豐富的SQL注入攻擊檢測規則，從數據準入、行為模式、業務建模等多方面進行深度分析，識別并阻止各種惡意攻擊，大幅減少數據庫遭受侵害風險，確保數據的安全性和完整性。

利用數據庫漏洞毀損或竊取數據庫數據

攻擊者常常會搜尋并利用數據庫系統的安全漏洞，從而獲取敏感信息、破壞數據完整性，控制數據庫服務器。

安全錦囊

天融信數據庫審計與防護系統具備豐富的漏洞庫規則，基于漏洞掃描功能實時掃描數據庫實例資產，并出具掃描報告，依據報告打補丁加固資產，對數據庫資產進行全方位安全加固，預防數據泄露風險。

非工作時間段登錄操作數據庫

在非工作訪問時段（如深夜、凌晨以及非工作日等），企業安全防護較為薄弱，用戶登陸操作數據庫面臨較大的安全風險。企業難以在數據泄漏事件爆發時快速感知、及時響應。

安全錦囊

天融信數據庫審計與防護系統通過關聯用戶的訪問行為與時間，來評估在特定時間段內對數據庫的操作是否符合規定。一旦檢測到違規行為，系統將及時中斷并發出警報，從而阻止未經授權的登錄或不當操作，有效預防數據泄露或損壞的風險。

短時間內多次嘗試登錄數據庫

用戶在極短時間內連續多次嘗試登錄數據庫，極有可能存在暴力破解或撞庫攻擊等潛在威脅，進一步加大數據泄露或賬戶被未授權訪問的風險。

安全錦囊

天融信數據庫審計與防護系統通過設定自定義的頻次和時間閾值，設置暴力破解規則精確識別暴力破解行為。此外，系統內置數億條弱口令規則，實時掃描實例賬號，檢測是否存在弱口令，有效地減少暴力破解和撞庫攻擊的風險。

短時間內批量操作數據庫

用戶在短時間對目標數據庫執行批量操作，如批量導出或批量修改數據，極有可能導致大規模的數據泄漏。

安全錦囊

天融信數據庫審計與防護系統允許用戶自定義頻次閾值、時間以及操作動作，從而有效監控并管控短時間內的大批量操作行為，顯著降低因數據庫批量操作而引發的數據泄露風險。

普通用戶非法提權后進行高危操作

某些低權限賬戶可能會利用間接方法提升其控制權限，如非法變更、漏洞利用等，并在權限變更后執行高風險操作，從而導致數據泄露。

安全錦囊

天融信數據庫審計與防護系統通過定義細粒度規則，將如truncate table、drop table等操作標識為高危行為，并限制普通用戶的執行權限，從而防止數據庫表刪除等高風險操作，有效避免了核心數據泄露風險。

開發測試、數據分析場景竊取敏感數據

在開發測試和數據分析的場景中，常常直接使用未經脫敏的生產數據進行測試和分析，存在重大安全隱患，極易導致數據泄露。

安全錦囊

天融信數據庫審計與防護系統擁有強大的數據脫敏功能，利用內置的高效脫敏算法將敏感信息轉換成虛構數據，從而保護真實數據不被泄露，同時滿足企業的合規性要求，有效解決企業在系統開發測試、數據分析和大數據應用過程中可能遭遇的數據泄漏問題，同時保障開發測試質量。

第三方人員通過審計系統日志竊取敏感數據

審計設備存儲了眾多業務和數據庫數據在內的敏感信息，第三方運維人員可利用查詢審計設備數據或日志等方式，竊取敏感數據。

安全錦囊

天融信數據庫審計與防護系統可對審計日志中的敏感信息（如身份證號、手機號、銀行卡號等）執行掩碼操作，實施有效隱私保護措施，同時自定義敏感保護規則，防止因查看審計設備而造成的敏感數據二次泄漏。

天融信數據庫審計與防護系統

數據庫安全防護利器

除上述十大風險的防范外，天融信數據庫審計與防護系統還可運用數據庫狀態監控、風險行為分析、智能行為基線等先進技術手段，通過對數據庫資產的實時監控分析，以及審計與防護，及時發現異常行為并采取相應的防控措施，兼具全面審計粒度細、操作行為控制嚴、風險分析場景多、億級數據檢索快的四大優勢特點，幫助客戶發現和防范數據庫面臨的多種安全威脅，保障客戶數據庫安全。

作為國內網絡安全領軍企業，天融信自2012年開始布局數據安全領域，率先提出“以數據為中心的安全體系建設”，形成了覆蓋數據全生命周期的安全產品與服務體系，相繼推出了數據庫審計、網絡審計、數據防泄漏、數據脫敏、備份一體機、數據安全管理平臺、數據庫審計與防護等一系列數據安全產品，并發布了面向AI時代的一體化數據安全解決方案（點擊查看詳情），快速、全面、低成本解決數據安全問題，持續賦能客戶數字化轉型。

TOPSEC

據IDC分析，數據庫安全市場正處于快速發展的關鍵時期，同時也面臨著諸多挑戰。隨著企業和機構數據量的急劇增長，對數據庫安全的保護需求也日益凸顯。未來，天融信作為數據安全共同體計劃的聯合發起單位，將在數據庫安全領域中持續發力，為全面審計、安全溯源、快速定位提供堅實的保障力量，筑牢網絡安全防線，助力數字中國建設！