当前,众多单位的核心数据库系统,在内部几乎不设防,表现为:因连接的应⽤种类繁多,数据库密码难以做到定期更新;外协厂商直接连接到核心生产数据库中进行操作;运维人员操作的SQL无法法审计与跟踪;即席查询的SQL导致数据库资源的消耗巨大,无法有效的事前拦截;运维人员连接数据库的客户端软件来路不明,存在引入勒索病毒的极高风险;无法有效的阻止敏感数据被查询、甚至被破坏的风险等。
面对上述诸多痛点,各单位信息主管部门也是加强了数据安全防范措施,积极的应对各类数据安全风险,特别是在《中华人民共和国数据安全法》于2021年9月1日实施以后,信息安全受到前所未有的重视。但最终的结果往往难以达到较为满意的效果。就其原因,主要有以下方面的难点:数据库安全涉及数据库审计、访问防控、数据脱敏、运维人员管控、使用终端管控等诸多要素,通过诸多产品组合实现相应的安全策略与防范,导致产品间缺乏有效的配合,因此需要统⼀的端到端数据安全防御产品来破解这个难题;数据库自身的审计功能、授权功能,没法做到一人一角色。因此,也就无法追踪到具体操作的SQL是由哪个人、哪台电脑、执行了哪些操作等信息内容;市面上数据库堡垒机产品,普遍存在通过别名、同义词、视图、匿名块等方式就可以轻易绕过安全监管策略而获得数据访问权限;外协单位等人员使用的数据库客户端软件,难以做到完全合规要求。而通过来路不明的软件引入的勒索病毒导致数据库永久锁止的情况时有发生。
