從等保要求談資料庫安全

釐清概念是最基本的要求

資料庫安全=主機安全+數據安全

思考一

6月1日國家網路安全法正式實施

信息安全行業備受重視

暫時忘了如火如荼的傳播造勢

安靜下來，思考一些基本的安全理念

究竟被混淆了多少

今天，在等保標準里我們先來釐清

資料庫安全與數據安全之間的關係？

敲黑板！！！

關於資料庫安全，公安部信息安全等級保護評估中心的等保要求解釋如下：資料庫安全是主機安全的一個部分，資料庫的測評指標是從「主機安全」和「數據安全及備份恢復」中根據資料庫的特點映射得到的。

檢驗一家信息安全企業是否合格，有一個繞不過去的標準……

是否做到「以攻促防」？

信息安全企業

必須具備「以攻促防」的發展思路

思考二

企業要有一塊領域，

不為變現，只為驅動技術創新

資料庫攻防實驗的核心理念是

「以攻促防」

做好資料庫安全防護工作的「防」

前提是要像攻擊者一樣深諳「攻擊」之道

因此信息安全企業

需要搭建一套攻防研究體系

這套體系需要投入大量人力、財力

然而卻並不會給企業帶來眼前的利益

原因何在？

又敲黑板！！！

只有對黑客攻擊的手段、節奏、危害等做到瞭然於胸，才能有的放矢，做好防護產品。沒有對資料庫漏洞攻擊的研究，資料庫安全防護就好似紙上談兵，失去了真實依據。

2010年成立的安華金和資料庫攻防實驗室（DBSec Labs），是我國一支獨立的、持久的針對資料庫安全漏洞、資料庫攻擊技術模擬和資料庫安全防護技術進行研究的專業隊伍。對資料庫安全漏洞進行研究，是DBSLab的首要職責，目前DBSec Labs不僅在國產資料庫的漏洞挖掘方面卓有成效，而且對國際資料庫的漏洞挖掘獲得認可；同時，也針對黑客資料庫入侵手段、資料庫防護手段作了深入研究。

對於信息安全企業來說，能不囿於當下，不盲目追逐眼前利益，而是基於長遠考慮，積極投身攻防實驗，付出長達數年的潛心研究，實在是一個企業立定在信息安全領域，目光如炬，追求可持續發展的最好體現。

讓攻防研究成為技術產品研發的內在驅動力，激發企業在產品和技術研發方面的創新力，為整個信息安全行業的發展釋放更大的安全價值。

等級保護要求下的資料庫安全縱深防禦思路

思考三

大量的敏感信息存儲於資料庫中

按照信息安全等級保護的要求

如何做好核心數據資產的安全防護呢？

再敲黑板！！！

資料庫安全=DBMS系統(資料庫管理系統）安全+訪問路徑安全+核心數據安全

前兩點與主機安全要求正好吻合，等保要求主機安全涉及：身份鑒別、訪問控制、安全審計、入侵防範、資源控制、惡意代碼防範、數據安全及備份恢復等方面。

對此，安華金和提供的資料庫安全縱深防禦思路如下：

1）事前診斷

通過資料庫漏掃技術，有效檢測資料庫已知漏洞，並有效修復。

2）事中控制

通過資料庫防火牆，從網路訪問層實現資料庫的主動防禦，防止未授權的訪問、SQL 注入、資料庫漏洞攻擊以及對敏感數據的非法訪問。

3）底線防守

通過資料庫加密，防止由於敏感明文存儲導致的泄密，通過獨立於資料庫的權控體系實現三權分立的安全管理手段。

通過資料庫脫敏，實現生產區到測試區真實數據泄漏，在滿足合規要求的同時實現測試數據依然可用。

4）事後追查

通過資料庫審計技術實現資料庫操作的全面精確審計記錄，具備風險狀況、運行狀況、性能狀況和語句分布的實時監控能力。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！