摘要: 作为国家基础性产业,能源行业的信息化建设自上世纪60年代启动。信息化程度日趋成熟,很大程度上提高了行业内企业管理效率及核心竞争力,但与此同时,随着能源行业多项业务系统的上线,核心业务数据的存储与管理面临更大的挑战,业务数据、用户数据以及各类财务、人力等内部运营...
作为国家基础性产业,能源行业的信息化建设自上世纪60年代启动。信息化程度日趋成熟,很大程度上提高了行业内企业管理效率及核心竞争力,但与此同时,随着能源行业多项业务系统的上线,核心业务数据的存储与管理面临更大的挑战,业务数据、用户数据以及各类财务、人力等内部运营敏感信息,一旦遭到泄露或篡改,将影响业务系统的正常运转,关系民生。近年来,能源行业对于核心数据库的安全防护,已经在行业内获得关注。
安华金和近些年为能源行业多家用户进行过数据库安全评估,整体情况并不乐观,我们看到有用户检测结果显示,未通过项中高危漏洞占比达到近三成。在几轮的安全评估之后,我们从中归纳总结出几类安全问题,由于该行业的信息系统大多为统一标准,几类问题可以说是整个行业的数据库安全通病。
以某能源行业北方某分公司数据库安全加固项目为例,用户在进行数据库加固项目规划前,首先对核心数据库系统进行了一次全面的安全检查,希望根据检测报告制定有针对性的加固方案。
本次安全检查利用安华金和数据库漏洞扫描系统,检测共涉及1000余检测项,结果显示未通过项为50余项,其中高危风险占比21%,中、低危风险占58%,其余为存在潜在风险的警告提示。风险等级主要根据各类安全漏洞、隐患可能导致的危害程度来评定。
综合检测结果,以及与用户交流数据库系统的运维情况,安华金和对能源行业整体数据库安全问题及隐患进行了归纳与总结,希望可以为该行业用户数据库安全治理提供一些参考:
用户对自身数据资产具体情况不完全清晰
数据库安全状况的检测和后期加固,需要用户提供自身数据库系统的详细架构、数据表分布和使用情况等,例如信息系统中数据资产的规模和分布是怎样?数据资产之间的关联关系是怎样?哪些数据需要进行安全防护?哪些数据应该清理?我们发现,数据这些问题有些用户并不能梳理清楚。这将直接影响后续数据库安全加固建设方向的准确制定,在后期方案落地过程中也将面临诸多问题。
数据库系统自身存在的安全漏洞无法实时更新补丁
检测未通过项中数据库自身的安全漏洞占比不小,这个结果在我们的预料之中,该能源行业主要使用的数据库系统为Oracle、MySQL、Postgre、SQL Server等主流数据库类型。我们知道,越是成熟、广泛应用的数据库,被发现的自身漏洞反而越多,虽然数据库厂商能够及时发布补丁,但出于时间、人力成本及对关键业务系统运转连续性的考虑,户很难做到频繁的更新补丁、重启系统。利用诸如SQL注入、缓冲区溢出、权限提升等安全漏洞,发起威胁攻击正是黑客们最常用的攻击手段。
数据库系统存在的弱口令账户、缺省账户以及低安全配置,构成潜在安全隐患
数据库用户密码过于简单易猜,检测工具识别为弱口令账户,此外,扫描结果显示,用户数据库系统中仍然存在一些未修改过初始密码的账户,即为缺省账户。拿Oracle来说,各版本数据库系统共计700多个账户,出厂自带的原始用户名和密码大多类似,稍有数据库操作经验的人很容易破解。弱口令和缺省账户的存在,成为外部人员暴力破解,入侵数据库的捷径,不容小觑,以下是在检查中发现的部分缺省用户:
上文我们提到,该能源行业信息化程度较高,各类业务系统的开发、测试、运维等需要耗费大量的人力成本,第三方外包显然是最为合适的方式,对于第三方运维工作,外包人员往往被授予数据库最高权限;而对于开发、测试等外包项目则需要将部分或全库数据外发,谁来保障他们的可信度?另一方面,检测中安华金和数据库漏洞扫描系统对低安全性的系统配置项进行了警告,如各类权限分配不当、参数设置不当、登陆次数不受限等等。配置缺陷属于潜在隐患,可能形成安全风险或系统性能的损耗。下面列举个别配置缺陷警告:
对于拥有高权限的内部运维人员、第三方人员,无有效的细粒度管控措施
反观内部,本就掌握数据库最高权限的运维人员同样存在安全风险,我们了解到,一名运维人员常常肩负多个大型业务系统及数据库服务器的运维管理职责,工作强度高峰期时,误操作在所难免。这种情况下,没有采取有效的细粒度管控措施,则无法确保高权限用户的增删改查操作是否符合原业务需求,近年来的多起数据泄露事件显示,越来越多的泄露或丢失原因开始指向内部人员或第三方外包人员。
基于上述在能源行业用户中显现的真实问题,安华金和给予有效的安全加固建议
- 针对数据资产进行全面梳理
- 实现高细粒度的事中安全管控
- 针对数据库操作进行实行审批管控
- 使用专业的脱敏工具保证数据脱敏效果
- 针对数据库操作进行实时风险感知,全面审计告警