从等保要求谈数据库安全

从等保要求谈数据库安全

厘清事实真相是最基本的要求

数据库安全=主机安全+数据安全

一. 思考一

6月1日国家网络安全法正式实施

信息安全行业备受重视

暂时忘了如火如荼的传播造势

安静下来，思考一些基本的安全理念

究竟被混淆了多少

今天，在等保标准里我们先来厘清

数据库安全与数据安全之间的关系？

关于数据库安全，公安部信息安全等级保护评估中心的等保要求解释如下：数据库安全是主机安全的一个部分，数据库的测评指标是从“主机安全”和“数据安全及备份恢复”中根据数据库的特点映射得到的。

检验一家信息安全企业是否合格，有一个绕不过去的标准——是否做到“以攻促防”？

信息安全企业必须具备“以攻促防”的发展思路

二. 思考二

企业要有一块领域，

不为变现，只为驱动技术创新

数据库攻防实验的核心理念是

“以攻促防”

做好数据库安全防护工作的“防”

前提是要像攻击者一样深谙“攻击”之道

因此信息安全企业

需要搭建一套攻防研究体系

这套体系需要投入大量人力、财力

然而却并不会给企业带来眼前的利益

原因何在？

只有对黑客攻击的手段、节奏、危害等做到了然于胸，才能有的放矢，做好防护产品。没有对数据库漏洞攻击的研究，数据库安全防护就好似纸上谈兵，失去了真实依据。

2010年成立的安华金和数据库攻防实验室（DBSec Labs），是我国一支独立的、持久的针对数据库安全漏洞、数据库攻击技术模拟和数据库安全防护技术进行研究的专业队伍。对数据库安全漏洞进行研究，是DBSLab的首要职责，目前DBSec Labs不仅在国产数据库的漏洞挖掘方面卓有成效，而且对国际数据库的漏洞挖掘获得认可；同时，也针对黑客数据库入侵手段、数据库防护手段作了深入研究。

对于信息安全企业来说，能不囿于当下，不盲目追逐眼前利益，而是基于长远考虑，积极投身攻防实验，付出长达数年的潜心研究，实在是一个企业立定在信息安全领域，目光如炬，追求可持续发展的最好体现。

让攻防研究成为技术产品研发的内在驱动力，激发企业在产品和技术研发方面的创新力，为整个信息安全行业的发展释放更大的安全价值。

等级保护要求下的数据库安全纵深防御思路

三. 思考三

大量的敏感信息存储于数据库中

按照信息安全等级保护的要求

如何做好核心数据资产的安全防护呢？

数据库安全=DBMS系统(数据库管理系统）安全+访问路径安全+核心数据安全

前两点与主机安全要求正好吻合，等保要求主机安全涉及：身份鉴别、访问控制、安全审计、入侵防范、资源控制、恶意代码防范等方面。对此，安华金和提供的数据库安全纵深防御思路如下：

1）事前诊断

通过数据库漏扫技术，有效监测数据库自身漏洞和使用中的安全隐患，并提供修复建议。

2）事中控制

通过数据库防火墙技术，从网络层实现数据库的主动防御，解决数据库安全的70%问题，能够防止SQL注入、数据库漏洞攻击以及对敏感数据的非法访问。

3）底线防守

通过数据库加密技术，防止由于敏感信息明文存储导致的泄密，依靠独立于数据库的权控体系，实现三权分立的安全管理手段，密文索引提高查询速度，应用透明使现有的应用程序和运维操作无需改变。

通过数据库脱敏技术，彻底解决生产区到测试区的真实数据泄漏，在满足合规要求的同时，实现测试数据依然可用。

4）事后追查

通过数据库审计技术实现数据库操作的全面精确记录，具备风险状况、运行状况、性能状况和语句分布的实时监控能力。