不久前國(guó)家信息安全漏洞共享平臺(tái)正式發(fā)布通告“Oracle數(shù)據(jù)庫(kù)勒索病毒RushQL死灰復(fù)燃”。

事實(shí)上，RushQL勒索病毒已經(jīng)不是第一次肆虐Oracle數(shù)據(jù)庫(kù)，早在2016年11月就已經(jīng)在全球掀起了一場(chǎng)血雨腥風(fēng)。當(dāng)然，那時(shí)候它有個(gè)更響亮的名字“比特幣勒索病毒”。

目光回溯到2016年11月，全國(guó)多家企事業(yè)單位遭受比特幣勒索通知“你的數(shù)據(jù)庫(kù)已被鎖死，發(fā)送5個(gè)比特幣到這個(gè)地址！”。用戶在登陸Oracle數(shù)據(jù)庫(kù)時(shí)出現(xiàn)如下勒索警告信息，被要求上交5個(gè)比特幣來(lái)?yè)Q取解鎖數(shù)據(jù)庫(kù)的服務(wù)。

盡管這場(chǎng)戰(zhàn)役防守方取得了勝利，但時(shí)隔兩年，RushQL勒索病毒卷土重來(lái)，發(fā)動(dòng)新一輪的肆虐。

不少?lài)^群眾情不自禁反問(wèn)，為什么我們會(huì)遭到同一勒索病毒連續(xù)攻擊？數(shù)據(jù)庫(kù)安全廠商能幫助數(shù)據(jù)庫(kù)用戶做些什么？在不久前安華金和發(fā)布的《2017-2018數(shù)據(jù)庫(kù)安全應(yīng)用指南》似乎可以尋找到一些技能。

簡(jiǎn)單說(shuō)，企業(yè)對(duì)數(shù)據(jù)庫(kù)安全的需求共同點(diǎn)有如下四點(diǎn)：

數(shù)據(jù)庫(kù)運(yùn)維人員，擁有高權(quán)限賬號(hào)可以直接對(duì)數(shù)據(jù)庫(kù)進(jìn)行信息檢索、查詢和修改。

第三方人員可能會(huì)在業(yè)務(wù)系統(tǒng)及數(shù)據(jù)庫(kù)系統(tǒng)中留有后門(mén)程序，長(zhǎng)期監(jiān)控、竊取數(shù)據(jù)。

黑客利用攻擊手段盜取敏感數(shù)據(jù)。

數(shù)據(jù)庫(kù)安全現(xiàn)狀未知，無(wú)法掌握數(shù)據(jù)庫(kù)漏洞情況、配置情況、敏感數(shù)據(jù)分布等內(nèi)容。

而針對(duì)這些情況安全廠商應(yīng)該做的是什么？

周期防護(hù)構(gòu)建縱深防護(hù)體系

為了解決數(shù)據(jù)庫(kù)在防攻擊、防篡改、防丟失、防泄密、防超級(jí)權(quán)限、內(nèi)部高危操作等問(wèn)題。數(shù)據(jù)庫(kù)的安全防護(hù)應(yīng)從數(shù)據(jù)庫(kù)安全的三維角度，構(gòu)建事前-事中-事后的全生命周期數(shù)據(jù)安全過(guò)程，并結(jié)合多層次安全技術(shù)防護(hù)能力，形成整體的數(shù)據(jù)庫(kù)縱深防護(hù)體系。

主動(dòng)防御減少威脅

通過(guò)事中主動(dòng)防御手段在數(shù)據(jù)庫(kù)前端對(duì)入侵行為做到有效的控制，通過(guò)強(qiáng)大特征庫(kù)和漏洞防御庫(kù)，主動(dòng)防御內(nèi)外部用戶的違規(guī)操作以及黑客的入侵行為。

對(duì)IP/MAC等要素進(jìn)行策略配置，確保應(yīng)用程序的身份安全可靠。通過(guò)黑白名單對(duì)敏感數(shù)據(jù)訪問(wèn)控制，定義非法用戶行為的方式定義安全策略，有效通過(guò)SQL注入特征識(shí)別庫(kù)。 

權(quán)限控制解決拖庫(kù)

從數(shù)據(jù)庫(kù)級(jí)別應(yīng)進(jìn)行最小化權(quán)限控制，杜絕超級(jí)管理員的產(chǎn)生，通過(guò)數(shù)據(jù)庫(kù)防火墻和數(shù)據(jù)庫(kù)加密措施進(jìn)行從根源上徹底控制 數(shù)據(jù)信息的泄露，為 信息化打好底層基礎(chǔ)。有效防止存儲(chǔ)文件和備份文件被“拖庫(kù)”的風(fēng)險(xiǎn)。

應(yīng)用透明

技術(shù)的實(shí)施應(yīng)對(duì)于現(xiàn)有應(yīng)用系統(tǒng)基本透明，對(duì)原有數(shù)據(jù)庫(kù)特性、原有應(yīng)用無(wú)改造，不改變應(yīng)用及用戶使用習(xí)慣。

政策合規(guī)滿足標(biāo)準(zhǔn)

在等級(jí)保護(hù)、分級(jí)保護(hù)基本要求中，數(shù)據(jù)庫(kù)安全是主機(jī)安全的一個(gè)部分，數(shù)據(jù)庫(kù)的測(cè)評(píng)指標(biāo)是從“主機(jī)安全”和“數(shù)據(jù)安全及備份恢復(fù)”中根據(jù)數(shù)據(jù)庫(kù)的特點(diǎn)映射得到的。對(duì)等保三級(jí)、分保秘密級(jí)以上系統(tǒng)中，關(guān)鍵敏感數(shù)據(jù)的安全防護(hù)要求滿足了標(biāo)準(zhǔn)特性：

數(shù)據(jù)保密性

滿足了“實(shí)現(xiàn)系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)的存儲(chǔ)保密性”。

訪問(wèn)控制性

實(shí)現(xiàn)了最小授權(quán)原則，使得用戶的權(quán)限最小化，同時(shí)要求對(duì)重要信息資源設(shè)置敏感標(biāo)記。

安全審計(jì)性

完成了“對(duì)用戶行為、安全事件等進(jìn)行記錄”。

從數(shù)據(jù)庫(kù)安全的時(shí)代沿革來(lái)看，我們走過(guò)了系統(tǒng)安全主導(dǎo)的DBMS1.0時(shí)代，這個(gè)階段是以網(wǎng)絡(luò)安全思想作數(shù)據(jù)庫(kù)安全，強(qiáng)調(diào)防護(hù)與防入侵；正在經(jīng)歷以數(shù)據(jù)為中心，由場(chǎng)景化安全主導(dǎo)的2.0時(shí)代，這個(gè)階段強(qiáng)調(diào)數(shù)據(jù)在使用、流動(dòng)、共享等場(chǎng)景中的安全；而接下來(lái)在國(guó)家戰(zhàn)略政策層面驅(qū)動(dòng)下，組織將更加強(qiáng)調(diào)內(nèi)部流程、規(guī)范與技術(shù)的整合，在整體體系化安全的建設(shè)需求驅(qū)動(dòng)下，以數(shù)據(jù)安全治理為核心的3.0時(shí)代即將到來(lái)。

雷鋒網(wǎng)宅客頻道（微信公眾號(hào)：letshome），專(zhuān)注先鋒科技，講述黑客背后的故事，歡迎關(guān)注雷鋒網(wǎng)宅客頻道。

雷鋒網(wǎng)雷鋒網(wǎng)雷鋒網(wǎng)

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。