专栏首页FreeBuf数据库安全能力:数据泄露途径及防护措施

数据库安全能力:数据泄露途径及防护措施

2018-2019年,全球各地深受数据泄露事件的困扰,已造成数以万计损失。据《数据泄露损失研究》评估显示,遭遇数据泄露事件的公司企业平均要损失386万美元,同比去年增加了6.4%。面对如此严峻的数据安全形势,如何有效地保障数据安全成为了众多企业的当务之急。

从数据泄露的途径分析,数据泄漏主要分为三种:窃密、泄密和失密。结合各种实际情况分析,数据泄露的主要途径有以下几种:

窃密

攻击者主动窃密:恶意攻击者或外部竞争对手,基于经济利益或政治原因驱动,通过层出不穷的高超技术手段,窃取企业的各种重要数据。

泄密

离职人员泄密:由于权限管理疏忽等,离职人员在离职时有意或无意违规带走大量核心数据(专利著作及源码数据等)。

内部人员泄密:由于内部员工安全意识薄弱,数据安全分级不明确,操作失误,部分涉密人员无意中泄露数据;部分员工因情绪化报复、利益收买等主动泄露数据。

失密

权限失控失密:由于帐号生命周期管理不善,权限划分及认证鉴别方式失控,导致人员对数据的密级访问权限不对等,高密级数据流向低权限帐号,涉密数据流向无权限帐号等。

数据维护及处置失密:不安全的加密方式或明文存储、公开的存储位置、管理密钥或存储介质丢失、未完全擦除报废,存储数据发生泄露。

信息发布失密:合作渠道商管理不善数据交互泄露,发布信息审核不当涉及密级数据泄露,信息数据流入未授权、竞争关系的第三方。

综合分析数据泄露的原因可能如下:

数据通信安全:网络端口、数据传输等都会因各种原因造成电磁泄露,企业数据库存储未安置防护设施,信息在通信传输过程中未进行加密处置,窃听、非法终端接入、利用非应用方式侵入数据库、线路干扰等方式都可以得知通信信息数据。 数据库管理系统脆弱性:数据及数据库管理系统通常以分级管理,由此DBMS必然存在很多弱点。另外,为了方便访问数据,DBMS会留下不少接口,但其与操作系统的配套必然存在不少不足之处,而且这种不足是先天的,无法完全克服。 病毒与非法入侵:由于病毒或者非法入侵而导致数据泄漏,病毒入侵感染后,破坏数据、勒索加密数据等导致数据不可用,甚至盗取拖库,非法入侵指恶意攻击者运用不道德的手段侵入数据库或者数据存储空间,盗取数据。 系统漏洞:系统内数据库漏洞、操作系统漏洞,硬件上防火墙、存储设备等网络产品的漏洞,补丁更新不及时或不安全配置,导致恶意攻击者主动发现了系统存在的漏洞,从而窃取数据。 访问控制和权限管理不善:人和数据的权限分层、安全分级,帐号的生命周期管理,安全的访问控制,以及因为人的脆弱性存在而导致的数据泄露屡见不鲜。

在数据安全防护措施上有哪些成熟的建议呢?

M1 预防性措施:

l 安全访问控制 l 身份鉴别(强口令认证) l 权限分离 l 多因素认证MFA l 安全策略配置 l 数据分级 l 数据脱敏 l 数据加密 l 安全意识培训

对数据的访问,进行帐号权限的划分,三权分立,知其所需,通过完善接入安全,固定接入的终端设备、应用接口,将非法接入拒之门外,同时采用多因素认证(MFA)方式和强口令认证,周期性修改口令,防止弱口令和权限泄露;数据相关的系统更改不安全的默认配置,进行加固操作;对数据根据重要程度和敏感级别进行分级,划分访问权限;存储和传输数据时,进行敏感数据脱敏和加密处理,同时对内部员工进行安全培训,提供保障数据安全意识。

M2 检测性措施:

l 准入控制 l 漏洞检测/修复 l 安全行为审计 l IDS/IPS/FW

对系统内数据的访问,通过管理权限检测、网络分层(网络层、应用层)控制检测、物理控制做到准入安全;及时检测系统存在的漏洞,进行补丁升级修复或风险规避;对数据访问行为进行记录,通过审计来不断调整权限和发现违规事件;通过入侵检测发现恶意访问事件,进行及时告警。

M3 威慑性措施:

l 防扫描 l WAF/数据库防火墙 l 行为阻断告警

通过WEB和数据库防火墙功能,来保障数据安全访问,及时阻断已知的恶意攻击,同时结合告警反馈和防扫描技术来达到对恶意攻击者的威慑。

M4 恢复性措施:

l 数据备份 l 异地灾备

通过数据备份、异地灾备,可以在数据遭受勒索病毒加密、入侵破坏后,快速恢复业务应用。

*本文原创作者:两块,本文属FreeBuf原创奖励计划,未经许可禁止转载

本文分享自微信公众号 - FreeBuf(freebuf),作者:两块

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2019-08-07

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 2019年数据泄露调查报告

    报告是基于各种来源的数据进行分析,例如公开披露的安全事件,Verizon(VTRAC)和合作单位等提供的案例。

    FB客服
  • 一百多家汽车厂商机密数据泄露,特斯拉通用大众丰田都中招

    据多家外媒报道,7 月初,来自 UpGuard 安全团队的研究员 Chris Vickery 在网上发现了汽车供应商 Level One 的不安全数据库,数据库...

    FB客服
  • GDPR重点条例分析

    2018年,欧盟发布实施了GDPR,一时间引起了轩然大波,先后一些科技巨头公司纷纷被控诉举报违反GDPR,遭到罚款处罚。本文主要是结合条例和日常工作,做一个简单...

    FB客服
  • 统计和分析网络大数据的方法

    大数据给互联网带来的是空前的信息大爆炸,它不仅改变了互联网的数据应用模式,还将深深影响着人们的生产生活。深处在大数据时代中,人们认识到大数据已经将数据分析的认识...

    静一
  • 网络大数据的统计和分析利用

    大数据给互联网带来的是空前的信息大爆炸,它不仅改变了互联网的数据应用模式,还将深深影响着人们的生产生活。深处在大数据时代中,人们认识到大数据已经将数据分析的认识...

    小莹莹
  • 内蒙古大数据发展如火如荼,企业数据泄露事件频发引全球恐慌 | 大数据周周看

    数据猿导读 软件外包服务提供商文思海辉与华为公司合作,共同推出金融大数据平台;京东金融与美国Zestfinance公司共建大数据公司ZRobot;我国首个司法行...

    数据猿
  • 运维数据生态:数据的建设和管理

    前言:在上一篇《运维数据生态:高阶落地的一些场景》中,从产品开发角度,探讨运维数据场景的高阶落地途径和方法。在数据的输出和变现的过程中,场景化作为最终落地的载体...

    顾黄亮
  • 湖北跨平台大数据可视化工具,波若大数据平台如何实现数据轻松采集?

    数据可视化,是关于数据视觉表现形式的科学技术研究。数据可视化是指以图形或图表格式通过人工或以其他方式组织和显示数据,以使受众能够更清楚地查看分析结果、简化正在使...

    数道云大数据
  • CNCC 2018 | 东软集团刘积仁:进行大数据研究要有新思维

    今年的大会主题是「大数据推动数字经济(Big Data Drives the Digital Economy)」,CNCC 邀请到近 400 位国内外计算机领域...

    AI科技评论
  • BDTC 2014|程学旗发布大数据白皮书与发展趋势报告

    【CSDN现场报道】2014年12月12-14日,由中国计算机学会(CCF)主办,CCF大数据专家委员会承办,中科院计算所与CSDN共同协办,以推进大数据科研、...

    CSDN技术头条

扫码关注云+社区

领取腾讯云代金券