天融信：化解数据库十大风险，安全激活数据要素潜能

如果说数据是血液

数据库则是心脏

掌握着全身血液的流动与去向

贯穿着数据的来世与今生

采集、存储、处理、传输、交换、销毁

数据全生命周期防护

筑牢数据库安全

2024年1月，国家数据局等17部门联合印发《“数据要素×”三年行动计划（2024—2026年）》旨在充分发挥数据要素“乘数效应”，赋能经济社会发展。2024年政府工作报告中“数据”一词被重点提及，“健全数据基础制度，大力推动数据开发开放和流通使用”“解决数据跨境流动问题”“提高网络、数据等安全保障能力”，为下一阶段数据要素发展与安全防护指明了方向。

“

《数据安全法》重点强调数据全生命周期的各环节的安全保护，如：对于数据访问、检索、修改等各项行为需要做到身份核验、权限控制以及风险检测。《信息安全技术网络安全等级保护基本要求》明确要求对数据库资产要进行审计与防控，如：应保护审计记录，避免受到未预期的删除、修改或覆盖等。访问控制的粒度应达到主体为用户级或进程级，客体为文件、数据库表级。

”

本文从数据库使用的十大常见风险出发，结合天融信多年来在数据安全领域的技术积累与实践，提供数据库使用的“正确方式”，为企业数据资产安全保驾护航。

业务人员绕过应用系统直接访问数据库

业务人员常因方便绕过应用系统直接访问数据库，导致操作错误、数据丢失，同时还增加数据泄露和账户滥用风险。

安全锦囊

在数据库资产前串行部署天融信数据库审计与防护系统，通过识别用户操作数据库的流量信息，如：数据库账号、客户端主机名等特征字段，结合人员的五元组信息进行精准访问控制，同时通过实名审计功能将IP与姓名、部门等个人信息挂钩，进而溯源到实际操作人，有效降低业务人员绕过应用系统直接访问数据库的系列风险。

伪冒合法用户访问数据库违规操作

如果用户账号被窃取，非法用户就可能伪冒合法用户访问数据库，并进行违规操作，从而导致大规模数据泄漏。

安全锦囊

天融信运维安全审计系统、天融信数据库审计与防护系统联动使用可避免此类风险。其中，天融信运维安全审计负责认证鉴权，通过使用认证UKEY、动态令牌等技术实现身份认证；天融信数据库审计与防护可根据操作行为进行特征判定，实时阻断非法SQL语句命令，同时根据用户使用行为建立行为基线，当行为偏离基线时可以第一时间告警。

利用应用程序检查漏洞实施注入攻击

黑客常常利用应用系统对用户输入验证不严格的弱点，通过恶意拼接搜索语句并注入SQL代码，以此“诱骗”数据库执行未经授权的查询操作，进行非法访问并窃取敏感数据。

安全锦囊

天融信数据库审计与防护系统内置丰富的SQL注入攻击检测规则，从数据准入、行为模式、业务建模等多方面进行深度分析，识别并阻止各种恶意攻击，大幅减少数据库遭受侵害风险，确保数据的安全性和完整性。

利用数据库漏洞毁损或窃取数据库数据

攻击者常常会搜寻并利用数据库系统的安全漏洞，从而获取敏感信息、破坏数据完整性，控制数据库服务器。

安全锦囊

天融信数据库审计与防护系统具备丰富的漏洞库规则，基于漏洞扫描功能实时扫描数据库实例资产，并出具扫描报告，依据报告打补丁加固资产，对数据库资产进行全方位安全加固，预防数据泄露风险。

非工作时间段登录操作数据库

在非工作访问时段（如深夜、凌晨以及非工作日等），企业安全防护较为薄弱，用户登陆操作数据库面临较大的安全风险。企业难以在数据泄漏事件爆发时快速感知、及时响应。

安全锦囊

天融信数据库审计与防护系统通过关联用户的访问行为与时间，来评估在特定时间段内对数据库的操作是否符合规定。一旦检测到违规行为，系统将及时中断并发出警报，从而阻止未经授权的登录或不当操作，有效预防数据泄露或损坏的风险。

短时间内多次尝试登录数据库

用户在极短时间内连续多次尝试登录数据库，极有可能存在暴力破解或撞库攻击等潜在威胁，进一步加大数据泄露或账户被未授权访问的风险。

安全锦囊

天融信数据库审计与防护系统通过设定自定义的频次和时间阈值，设置暴力破解规则精确识别暴力破解行为。此外，系统内置数亿条弱口令规则，实时扫描实例账号，检测是否存在弱口令，有效地减少暴力破解和撞库攻击的风险。

短时间内批量操作数据库

用户在短时间对目标数据库执行批量操作，如批量导出或批量修改数据，极有可能导致大规模的数据泄漏。

安全锦囊

天融信数据库审计与防护系统允许用户自定义频次阈值、时间以及操作动作，从而有效监控并管控短时间内的大批量操作行为，显著降低因数据库批量操作而引发的数据泄露风险。

普通用户非法提权后进行高危操作

某些低权限账户可能会利用间接方法提升其控制权限，如非法变更、漏洞利用等，并在权限变更后执行高风险操作，从而导致数据泄露。

安全锦囊

天融信数据库审计与防护系统通过定义细粒度规则，将如truncate table、drop table等操作标识为高危行为，并限制普通用户的执行权限，从而防止数据库表删除等高风险操作，有效避免了核心数据泄露风险。

开发测试、数据分析场景窃取敏感数据

在开发测试和数据分析的场景中，常常直接使用未经脱敏的生产数据进行测试和分析，存在重大安全隐患，极易导致数据泄露。

安全锦囊

天融信数据库审计与防护系统拥有强大的数据脱敏功能，利用内置的高效脱敏算法将敏感信息转换成虚构数据，从而保护真实数据不被泄露，同时满足企业的合规性要求，有效解决企业在系统开发测试、数据分析和大数据应用过程中可能遭遇的数据泄漏问题，同时保障开发测试质量。

第三方人员通过审计系统日志窃取敏感数据

审计设备存储了众多业务和数据库数据在内的敏感信息，第三方运维人员可利用查询审计设备数据或日志等方式，窃取敏感数据。

安全锦囊

天融信数据库审计与防护系统可对审计日志中的敏感信息（如身份证号、手机号、银行卡号等）执行掩码操作，实施有效隐私保护措施，同时自定义敏感保护规则，防止因查看审计设备而造成的敏感数据二次泄漏。

天融信数据库审计与防护系统

数据库安全防护利器

除上述十大风险的防范外，天融信数据库审计与防护系统还可运用数据库状态监控、风险行为分析、智能行为基线等先进技术手段，通过对数据库资产的实时监控分析，以及审计与防护，及时发现异常行为并采取相应的防控措施，兼具全面审计粒度细、操作行为控制严、风险分析场景多、亿级数据检索快的四大优势特点，帮助客户发现和防范数据库面临的多种安全威胁，保障客户数据库安全。

作为国内网络安全领军企业，天融信自2012年开始布局数据安全领域，率先提出“以数据为中心的安全体系建设”，形成了覆盖数据全生命周期的安全产品与服务体系，相继推出了数据库审计、网络审计、数据防泄漏、数据脱敏、备份一体机、数据安全管理平台、数据库审计与防护等一系列数据安全产品，并发布了，快速、全面、低成本解决数据安全问题，持续赋能客户数字化转型。

TOPSEC

据IDC分析，数据库安全市场正处于快速发展的关键时期，同时也面临着诸多挑战。随着企业和机构数据量的急剧增长，对数据库安全的保护需求也日益凸显。未来，天融信作为数据安全共同体计划的联合发起单位，将在数据库安全领域中持续发力，为全面审计、安全溯源、快速定位提供坚实的保障力量，筑牢网络安全防线，助力数字中国建设！