近年來企業數據泄露事件頻傳,針對大量敏感行業的專業性攻擊已逐步蔓延,企業面臨的信息平安挑戰日趨嚴峻,為了更有效地杜絕數據竊密行為,往往制訂許多審查的系統與處理辦法.然而“最堅固的堡壘都是從內部攻破的”,即使我們的個人信息保護體系再完善,“內鬼”總讓人防不勝防.比如近期京東與騰訊平安團隊聯手協助公安部破獲的特大竊取販賣公民個人信息案,有50億條公民信息遭到泄漏,而嫌疑犯被傳曾在國內多家知名互聯網公司工作,多次利用工作之便竊取數據,并與黑客長期相互勾結在互聯網上進行販賣.本篇主要對內鬼竊取數據庫的途徑進行分析,從技術層面提出平安建議.

企業內鬼造成的數據庫數據泄露的道路：

1. 企業內部系統開發人員、運維管理人員、系統管理員等管理人員利用工作之便非法或違規獲取數據庫中的小我信息.

2. 企業內部員工利用應用系統獲取到敏感數據,然后通過其他手段進行盜賣

3. 合作單元或者第三方服務機構的員工通過應用系統直接看到明文的客戶敏感信息

那么如何能力從根本上防范內部員工造成的信息泄密、把風險降到最低?

從數據庫平安技術方面談如何防范企業內鬼泄密

針對于特權人員拜訪敏感客戶信息的行為首先要限制其直接遠程登錄數據庫服務器進行維護,可通過堡壘機或者其它技術對運維操作行為進行審計和控制.同時通過非數據庫自身的權限控制系統限制特權人員拜訪敏感的表或者列,如中安星云數據庫防火墻系統,它可以對所有拜訪數據庫的行為進行過濾,限制數據庫特權人員只能拜訪管理數據庫相關的表,限制有風險、高頻次的拜訪行為,限制其拜訪業務數據相關的表.對于特別敏感的數據在權限控制的基礎上進行數據庫敏感數據透明加密,杜絕從存儲介質和操作系統層面獲取敏感數據的行為.

數據庫平安防護技術

對于內部員工或者第三方合作機構人員,可以通過數據庫在線脫敏技術,根據實際的業務必要,對敏感的數據進行脫敏處理,只返回能夠滿足業務必要并經過修改的數據.如身份信息只顯示出生年月日信息,手機號只顯示后四位進行驗證等.

另一方面可通過數據庫審計產品對于數據庫所有的訪問操作行為進行記錄、統計和分析,一方面可以了解數據庫的運行狀況,以及潛在的平安風險,另一方面便于平安事件發生后進行事故追蹤溯源.

(起源：中安星云 趙衛國 郝文琛)