2016資料庫運維安全現狀調查報告

　　近日，安華金和麵向各行業IT運維人群開展了一次資料庫運維安全現狀調研。希望藉此方式瞭解使用者的資料庫運維場景及安全現狀，發現各行業使用者在資料庫運維工作中的安全需求，並研發出真正具有使用者價值的安全產品。安華金和從多方通道獲取的近500份問卷中抽取150份有效樣本進行統計分析，總結歸納出此份《2016資料庫運維安全現狀調研報告》，摘取報告重點分析結論，分享給關注資料庫安全的人士。

　　一. 參與人員概況

　　抽取調研樣本來自不同行業，包括：政府，金融，能源，教育，製造業，網際網路，交通，醫療行業等。調查物件主要為技術人員，直接從事IT運維或技術開發工作，或者為使用者提供運維側解決方案及相關產品諮詢。參與調研人群共涉及10餘類崗位，其中以工程師、技術經理佔大多數，佔比49%，其餘職位亦多為技術層決策人員及研究人員，對於企業資料庫系統的技術原理及運維操作比較瞭解，這對此份調研報告的客觀、專業度提供保障。

　　二. 調查結果

　　2.1 當前資料庫運維環境

　　隨著各行業資訊化水平的提升，應用型別多樣而複雜。調查結果顯示，各行業使用者的資料儲存規模及資料處理要求進一步提升。面對複雜的網路環境，大多數單位採取了一定的技術手段保護核心資料庫系統。

　　半數以上資料庫伺服器規模超50臺

　　根據有效樣本統計，51%以上的企業部署資料庫伺服器超過50臺，三成企業達到百臺規模。

　　▲1.1 資料庫伺服器規模

　　資料庫伺服器部署位置分佈

　　參與調查人群中，44%的參與者反饋資料庫伺服器部署在內網環境中，另有49%反饋內網及外網環境中均有部署。選擇單純部署於外網或不區分內外網的比例僅有6%左右，

　　具有對核心資料庫的安全防護意識

　　調查結果顯示，78%的使用者會使用網路隔離等技術手段保護核心生產庫

　　2.2 資料庫安全政策要求及安全檢查現狀

　　在安全政策合規方面，大多數單位都需要滿足等保、分保等安全檢查標準。51%的參與者需要透過等保檢查標準，35%需要透過分保檢查標準，28%需要透過其他行業性安全標準。調查顯示，64%的企業對於資料庫會定期進行安全檢查，其餘為不定期檢查。但有50%的參與者表示安全檢查中沒有使用專業的檢查工具，這在一定程度上對於檢查結果的全面性和專業度有所影響。

　　▲1.2 安全政策合規需求

　　2.3 資料庫安全防護手段

　　大多數使用者具有對核心資料的保護意識，在系統架構上更多采用網路隔離的手段保護核心資料庫。對內部人員需要授權訪問，敏感資料對外會採用脫敏或加密處理。

　　調查結果顯示，對於核心生產庫的安全防護，70%的參與者反饋會採用網路隔離等技術手段進行核心資料庫的保護，但仍有近30%的企業尚未採取相關技術手段加以防護。

　　在提供外網服務的應用系統所用資料庫中，存有敏感資料的比例佔到74%。這種情況下，共計79%的調查參與者反饋，無論資料庫中是否存有敏感資料，運維人員訪問資料庫系統必須得到授權。

　　當敏感資料用於第三方公司進行開發、測試、培訓等環節前，62%的參與者反饋會對敏感資料進行脫敏或加密處理，但是仍有38%的企業在此方面沒有防護手段，這是導致資料庫安全隱患的重要原因之一。

　　▲1.3 敏感資訊的訪問

　　目前所採取的資料庫安全管控技術手段中，資料庫防火牆是選擇最多的資料庫安全管控技術手段，但仍有超半數單位沒有使用專業的資料庫安全管控產品，近一半單位不能滿足資料庫管理制度的要求。

　　在資料庫安全管控手段的選擇上，半數單位已採取專業的資料庫管控手段。調查顯示，49%的參與者已部署資料庫防火牆或資料庫訪問管控平臺，但仍有23%只部署了堡壘機，29%沒有采取任何技術手段進行管控。同時，42%的參與者反饋目前的技術管理手段不能滿足資料庫管理制度的要求。這與企業沒有選擇專業的資料庫管控手段有必然關係，對於技術手段的認知有待提高。

　　▲1.4 資料庫安全管控技術手段

　　大部分企業會進行資料庫訪問審計，近三成單位只對少部分核心資料庫系統進行審計。

　　關於資料庫訪問審計的具體範圍，針對所有資料庫、針對大多數資料庫和不進行資料庫審計這三個選項的比例相當，其中針對少部分資料庫進行審計的比例會稍高一些，佔到31%。可見目前大多數使用者對於資料庫審計接受度較高，在此趨勢下，小部分未採取審計手段的使用者可能被引導。

　　▲1.5資料庫訪問審計的範圍

　　三. 安全防護建議

　　綜合調查結果，我們針對資料庫運維安全現狀，提供具有實際可落地的安全防護建議：

　　3.1 在開發、測試、培訓等工作環節中，使用敏感資料前進行脫敏處理是必要的，選擇專業工具能夠提高工作效率，保證資料處理效果及質量。

　　大多數使用者在資料外發之前，會採取脫敏或加密手段對敏感資料進行處理，這將在很大程度上降低資料洩露風險。但目前專業資料庫脫敏和加密工具並沒有被廣泛使用，使用者多選擇自行編寫程式。當資料量的規模較大，各資料表、資料子集之間的關聯關係較為複雜的情況下，手工脫敏或加密工作量大，且處理質量無法保證。這將導致外發資料無法滿足開發、測試、分析等業務需求，影響結果準確性，同時，耗費的人力及時間成本往往得不償失。

　　專業的資料庫脫敏工具可以保持原有資料型別和業務格式，保證長度不變、資料內涵不丟失，保持表間、表內資料關聯關係，確保以上業務場景中的脫敏資料真實有效。同時提供動態脫敏功能，對敏感資料進行透明、實時脫敏，對資料庫使用者名稱、IP\客戶端型別、訪問時間甚至業務使用者等多重身份進行訪問控制，提供多種安全策略。

　　3.2 使用專業有效的資料庫管控手段可以提供細粒度的.資料庫運維管控，滿足資料庫管理制度要求，防止危險訪問行為。

　　與堡壘機相比，使用專業的資料庫管控產品，透過對資料庫訪問協議的精確解析，而不是單純對訪問操作進行錄屏，事後追責。

　　資料庫防火牆優勢：基於對SQL語句的精準解析，提供高危訪問控制、SQL注入禁止、返回行數超標禁止、SQL黑名單等技術功能，對於匹配策略的威脅操作實時攔截、阻斷，而堡壘機由於不具備SQL語句的精準解析能力，無法提供如此細粒度的訪問控制。

　　資料庫安全管控平臺優勢：目前大多數企業使用堡壘機對運維人員的資料庫操作行為進行審批，但對於實際操作的事中控制，無法監控。運維人員的實際操作是否與申請一致?實際操作人是誰?如果出現誤操作，如何追溯?這一系列問題堡壘機無法解決。專業的資料庫安全管控平臺在審批通過後返回唯一的操作碼，使用任意客戶端建立連線時，無操作碼或與原申請操作不符時，拒絕訪問。提高操作準確度，防止高危操作及誤操作，彌補傳統解決方案對於事中控制的缺失。

　　3.3 運維部門對整體資料庫訪問行為有必要進行實時有效的監控與審計，審計產品的風險感知能力、審計效率及審計結果的準確度是重要依據。

　　傳統的網路審計產品無法解析資料庫通訊協議，只能透過審計訪問來源的IP地址、埠號等基本使用者資訊判斷訪問是否合法，而資料庫審計產品對SQL語句的精確解析能夠識別每條操作的實際含義，結合應用行為與使用者行為建模分析，智慧判斷資料庫是否遭到威脅，實時發出告警。調查顯示大多數使用者已經區域性部署或全面部署資料庫審計系統，在此基礎上，我們更應關注審計產品是否專業，如資料庫流量是否全捕獲，對於長語句、引數化語句等是否能夠精準解析，是否具有風險感知能力，審計資料是否高效入庫，對審計結果是否能夠高效分析及檢索。這些關鍵點決定一款資料庫監控與審計產品是否真正具有使用價值，而不是簡單地解決有無問題。