安华金和：数据库Security运维.pptx

安华金和刘晓韬
10月22日
让数据使用更安全
数据库Security运维
2 传统IT架构下的数据库Security运维
1 Why? 数据库Security运维
3 Security---互联网+时代的首要运维责任
Verizon《数据泄露调查报告》指出:
数据库中泄露的数据是数据泄漏事件发生的主要来源。
数据库服务器占泄露记录总数的96%,数据库安全成为安全体系建设的关键所在!
几个典型的DB Security事件
2009:深圳福彩运维人员篡改数据库
几个典型的DB Security事件
2011:联创开发人员窃取信息1300W
几个典型的DB Security事件
2014:***公安车管系统
几个典型的DB Security事件
2015:***p2p金融
插播一、一个黑客从外网入侵过程的解析(Sony)
第三方运维
内网访问
测试人员
DBA特权用户
实施人员
外网访问
应用用户
***者
误操作:大量更新
删除业务数据
直接看到真实数据、
批量导出
非法操作:
绕过应用违规访问数据库
非法操作:
提升权限,窃取数据;拷贝备份、数据文件
恶意操作:SQL
注入攻击
程序***:应用软件中
留有数据下载接口
非法操作:盗用
密码越权操作
非法操作:
导出数据
开发人员
VPN特权用户
插播二、数据库Security在现代信息架构的挑战
B/S架构使数据库间接暴露到互联网
各种运维人员和IT外包人员直接访问数据库
应用方式的变更使数据库访问形式多样化
数据库应用环境复杂
DB要Security运维的原因总结
1、传统的安全藩篱已经打破,DB已经不再安全
2、数据价值凸显,价值带来了风险
3、安全责任全员化,DB Security已是重要运维责任