概 述
基本概念
1、访问控制的定义
GB/T 25069-2022 《信息安全技术 术语》,“3.147 访问控制 access control 一种确保数据处理系统的资源只能由经授权实体以授权方式进行访问的手段。”
访问控制是在保障授权用户能获取所需资源的同时拒绝非授权用户的安全机制,确保只有合法用户的合法访问才能给予批准,而且相应的访问只能执行授权的操作。
2、访问控制的三要素
主体依据某些控制策略或权限对客体本身或是其资源进行的不同授权访问。访问控制的三要素是主体S(subject)、客体O(object)和控制策略A(Attribution)。
主体是指一个提出请求或要求的实体,是动作的发起者,可以是某个用户,也可以是用户启动的进程、服务和设备。
客体是接受其他实体访问的被动实体,可以是被操作的信息、资源、对象,也可以是网络上的数据库。
控制策略是主体对客体的访问规则集,体现了一种授权行为,限制访问主体对客体的访问权限,从而使网络数据在合法范围内使用。
3、访问控制的三方面含义
机密性控制,保证数据资源不被非法读出;
完整性控制,保证数据资源不被非法增加、改写、删除和生成;
有效性控制,保证数据资源不被非法访问和破坏。
标准依据
1、GB/T 22239-2019 《信息安全技术 网络安全等级保护基本要求》
2、GB/T 35273-2020《信息安全技术 个人信息安全规范》
7 个人信息的使用
7.1 个人信息访问控制措施
7.2 个人信息的展示限制
访问控制技术在数据库安全防护中的应用
(层层设防:数据库防护体系建设图)
大多数业务系统的重要数据存储在关系型数据库中,上图体现了数据库防护体系建设的层层设防思路,数据库自身的访问控制可以通过DB权控体系来实现。
(数据库的应用侧和运维侧访问控制图)
数据库网络上的访问控制首先要考虑SQL访问是来自应用侧还是运维侧,应用侧的SQL访问并发连接高、语句重复(SQL语句模版相同而参数不同)、响应及时,运维侧的SQL访问并发连接低、语句多种多样、响应时间有可能较长,比如:一个复杂的分析操作,数据库40分钟后返回结果也有可能。
数据库应用侧的访问控制
主要访问控制能力如下:
防止外部黑客攻击:黑客利用Web应用漏洞,进行SQL注入;或以Web应用服务器为跳板,利用数据库自身漏洞攻击和侵入。
防护:通过虚拟补丁技术捕获和阻断漏洞攻击行为,通过SQL注入特征库捕获和阻断SQL注入行为。参考GB/T 20281-2020《信息安全技术防火墙安全技术要求和测试评价方法》,虚拟补丁应包含22种数据库漏洞类型,尤其要关注CVE、CNNVD、CNVD目前已经公布的漏洞和有攻击性的漏洞类型,比如:缓冲区溢出、权限提升、系统注入、数据库通讯协议漏洞等。
防止内部高危操作:系统维护人员、外包人员、开发人员等,拥有直接访问数据库的权限,有意无意的高危操作对数据造成破坏。
防护:通过限定更新和删除影响行、限定无Where的更新和删除操作、限定drop、truncate等高危操作避免大规模损失。
防止敏感数据泄漏:黑客、开发人员可以通过应用批量下载敏感数据,内部维护人员远程批量导出敏感数据。
防护:限定数据查询和下载数量、限定敏感数据访问的用户、地点和时间。
防止应用连接数据库的账户被利用,绕过合法应用服务器的数据库访问。
防护:合法数据库访问识别,网络上可信:网络上确保无法绕过合法应用的IP地址访问数据库;运维时间可信:限定运维时间,如:只允许服务外包人员工作时间访问数据库;应用服务器可信:通过IP/MAC绑定,确保只有授权服务器、设备访问数据库。
数据库运维侧的访问控制
数据库运维安全系统主要的访问控制能力如下:
■ 事中运维控制:系统可对运维人员的IP、客户端工具、账号、时间等进行登录限制,针对数据库数据表,可按照受影响数据行数(阀值)进行精细管控,包括查询、更新和删除动作,超出阀值的行为进行阻断或拦截,防止高危操作或大批量数据泄露。
■ 操作行为审批:用户可以通过第三方工具登录数据库进行操作,简单口令认证,不改变原有工作习惯,口令通过者只能执行其申请的操作内容,杜绝误操作及违规操作。未经口令认证者无法操作敏感对象,防止越权操作。
■ 支持双因素认证,可以通过动态令牌、Ukey、证书等实现运维人员登录时的双因素认证。系统支持“安全运维系统帐号”与“数据库帐号”相关联,实现操作者的自然人身份确认,解决多人共用同一数据库账号,无法定责的问题。
■ 多角色多权限管理:在运维安全系统中设置普通用户、审批人、审计管理员、系统管理员四种角色,每种角色对应权限不同。
■ 敏感数据遮蔽显示:对返回的敏感数据进行遮蔽显示,避免敏感数据泄露。
隐私保护的访问控制
类别 | 概念 | 定义 |
保护 客体 | 敏感 个人 信息 | 一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。 |
行为 相关 | 去标 识化 | 个人信息经过处理,使其在不借助额外信息的情况下无法识别特定自然人的过程。 |
匿名化 | 个人信息经过处理无法识别特定自然人且不能复原的过程。 |
根据《个人信息安全规范》的标准要求实现个人信息访问控制措施和个人信息的展示限制,主要采用的核心技术思路如下图。
数据库动态脱敏系统可以同时作用于运维侧和应用侧,实现差异化按需脱敏,保障运维中数据不被泄露,提高数据共享安全性,主要的部署方式有代理部署、半透明网桥,支持主备双机。
数据库动态脱敏系统主要的访问控制能力如下:
■ 敏感数据快速发现:掌握敏感数据分布,是进行敏感数据管理与脱敏的前提,在充分了解行业数据使用场景后,持续地发现新的敏感数据,通过自动识别敏感数据,可以避免按照字段定义敏感数据元的繁琐工作。
■ 进行脱敏规则配置:依据数据发现的结果,按照不同数据使用者的需求,进行了脱敏方案的配置。
□ 针对开发环境,对用户的姓名、住址、电话号等非条件字段进行随机替换处理。对身份证、等条件字段,按照确定性脱敏方式配置,以确保在不同表、不同库中的同一个身份证号,脱敏后的结果仍然相同。
□ 针对测试环境,选择仿真程度更高的脱敏策略,确保脱敏后的数据离散度、数据关联度都得到了很好的保障,使功能测试可以覆盖到业务系统的所有场景,性能测试具有足够的数据及接近真实环境的数据分布。
■ 脱敏方案配置完成后,结合管理机制,运维部门只要定期执行脱敏任务,即可保障各类敏感数据按照不同场景需求向其准确及时的提供。
总 结
数据安全治理是以数据分类分级和敏感个人信息识别为基础的,自然作为数据安全治理的关键技术——访问控制,也要在此基础上实现。
本文介绍了访问控制的基本概念和标准依据,访问控制技术在数据库安全防护中的三种应用方式,对于业务系统不多,数据较为敏感的中小型政企单位直接部署即可以实现较好的防护效果,但是对于大型数据中心还是需要依托数据安全治理体系化建设思路,采用数据安全运营平台等进行综合管控才能满足网络数据安全管理要求。
CCIA数据安全工作委员会单位介绍 |
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...