不久前國家信息安全漏洞共享平臺正式發布通告“Oracle 數據庫勒索病毒 RushQL 死灰復燃”。

　　事實上，RushQL 勒索病毒已經不是第一次肆虐 Oracle 數據庫，早在 2016 年 11 月就已經在全球掀起了一場血雨腥風。當然，那時候它有個更響亮的名字“比特幣勒索病毒”。

　　目光回溯到 2016 年 11 月，全國多家企事業單位遭受比特幣勒索通知“你的數據庫已被鎖死，發送 5 個比特幣到這個地址!”。用戶在登陸 Oracle 數據庫時出現如下勒索警告信息，被要求上交 5 個比特幣來換取解鎖數據庫的服務。

　　盡管這場戰役防守方取得了勝利，但時隔兩年，RushQL 勒索病毒卷土重來，發動新一輪的肆虐。

　　不少圍觀群眾情不自禁反問，為什么我們會遭到同一勒索病毒連續攻擊?數據庫安全廠商能幫助數據庫用戶做些什么?在不久前安華金和發布的《2017-2018 數據庫安全應用指南》似乎可以尋找到一些技能。

　　簡單說，企業對數據庫安全的需求共同點有如下四點：

　　數據庫運維人員，擁有高權限賬號可以直接對數據庫進行信息檢索、查詢和修改。

　　第三方人員可能會在業務系統及數據庫系統中留有后門程序，長期監控、竊取數據。

　　黑客利用攻擊手段盜取敏感數據。

　　數據庫安全現狀未知，無法掌握數據庫漏洞情況、配置情況、敏感數據分布等內容。

　　而針對這些情況安全廠商應該做的是什么?

　　周期防護構建縱深防護體系

　　為了解決數據庫在防攻擊、防篡改、防丟失、防泄密、防超級權限、內部高危操作等問題。數據庫的安全防護應從數據庫安全的三維角度，構建事前-事中-事后的全生命周期數據安全過程，并結合多層次安全技術防護能力，形成整體的數據庫縱深防護體系。

　　主動防御減少威脅

　　通過事中主動防御手段在數據庫前端對入侵行為做到有效的控制，通過強大特征庫和漏洞防御庫，主動防御內外部用戶的違規操作以及黑客的入侵行為。

　　對 IP/MAC 等要素進行策略配置，確保應用程序的身份安全可靠。通過黑白名單對敏感數據訪問控制，定義非法用戶行為的方式定義安全策略，有效通過 SQL 注入特征識別庫。

　　權限控制解決拖庫

　　從數據庫級別應進行最小化權限控制，杜絕超級管理員的產生，通過數據庫防火墻和數據庫加密措施進行從根源上徹底控制數據信息的泄露，為信息化打好底層基礎。有效防止存儲文件和備份文件被“拖庫”的風險。

　　應用透明

　　技術的實施應對于現有應用系統基本透明，對原有數據庫特性、原有應用無改造，不改變應用及用戶使用習慣。

　　政策合規滿足標準

　　在等級保護、分級保護基本要求中，數據庫安全是主機安全的一個部分，數據庫的測評指標是從“主機安全”和“數據安全及備份恢復”中根據數據庫的特點映射得到的。對等保三級、分保秘密級以上系統中，關鍵敏感數據的安全防護要求滿足了標準特性：

　　數據保密性

　　滿足了“實現系統管理數據、鑒別信息和重要業務數據的存儲保密性”。

　　訪問控制性

　　實現了最小授權原則，使得用戶的權限最小化，同時要求對重要信息資源設置敏感標記。

　　安全審計性

　　完成了“對用戶行為、安全事件等進行記錄”。

　　從數據庫安全的時代沿革來看，我們走過了系統安全主導的 DBMS1.0 時代，這個階段是以網絡安全思想作數據庫安全，強調防護與防入侵;正在經歷以數據為中心，由場景化安全主導的 2.0 時代，這個階段強調數據在使用、流動、共享等場景中的安全;而接下來在國家戰略政策層面驅動下，組織將更加強調內部流程、規范與技術的整合，在整體體系化安全的建設需求驅動下，以數據安全治理為核心的 3.0 時代即將到來。
　　（邯鄲網站建設）