近日，安華金和面向各行業IT運維人群開展了一次數據庫運維安全現狀調研。希望借此方式了解用戶的數據庫運維場景及安全現狀，發現各行業用戶在數據庫運維工作中的安全需求，并研發出真正具有用戶價值的安全產品。安華金和從多方通道獲取的近500份問卷中抽取150份有效樣本進行統計分析，總結歸納出此份《2016數據庫運維安全現狀調研報告》，摘取報告重點分析結論，分享給關注數據庫安全的人士。

　　一. 參與人員概況

　　抽取調研樣本來自不同行業，包括：政府，金融，能源，教育，制造業，互聯網，交通，醫療行業等。調查對象主要為技術人員，直接從事IT運維或技術開發工作，或者為用戶提供運維側解決方案及相關產品咨詢。參與調研人群共涉及10余類崗位，其中以工程師、技術經理占大多數，占比49%，其余職位亦多為技術層決策人員及研究人員，對于企業數據庫系統的技術原理及運維操作比較了解，這對此份調研報告的客觀、專業度提供保障。

　　二. 調查結果

　　2.1 當前數據庫運維環境

　　隨著各行業信息化水平的提升，應用類型多樣而復雜。調查結果顯示，各行業用戶的數據存儲規模及數據處理要求進一步提升。面對復雜的網絡環境，大多數單位采取了一定的技術手段保護核心數據庫系統。

　　半數以上數據庫服務器規模超50臺

　　根據有效樣本統計，51%以上的企業部署數據庫服務器超過50臺，三成企業達到百臺規模。

　　▲1.1 數據庫服務器規模

　　數據庫服務器部署位置分布

　　參與調查人群中，44%的參與者反饋數據庫服務器部署在內網環境中，另有49%反饋內網及外網環境中均有部署。選擇單純部署于外網或不區分內外網的比例僅有6%左右，

　　具有對核心數據庫的安全防護意識

　　調查結果顯示，78%的用戶會使用網絡隔離等技術手段保護核心生產庫

　　2.2 數據庫安全政策要求及安全檢查現狀

　　在安全政策合規方面，大多數單位都需要滿足等保、分保等安全檢查標準。51%的參與者需要通過等保檢查標準，35%需要通過分保檢查標準，28%需要通過其他行業性安全標準。調查顯示，64%的企業對于數據庫會定期進行安全檢查，其余為不定期檢查。但有50%的參與者表示安全檢查中沒有使用專業的檢查工具，這在一定程度上對于檢查結果的全面性和專業度有所影響。

　　▲1.2 安全政策合規需求

　　2.3 數據庫安全防護手段

　　大多數用戶具有對核心數據的保護意識，在系統架構上更多采用網絡隔離的手段保護核心數據庫。對內部人員需要授權訪問，敏感數據對外會采用脫敏或加密處理。

　　調查結果顯示，對于核心生產庫的安全防護，70%的參與者反饋會采用網絡隔離等技術手段進行核心數據庫的保護，但仍有近30%的企業尚未采取相關技術手段加以防護。

　　在提供外網服務的應用系統所用數據庫中，存有敏感數據的比例占到74%。這種情況下，共計79%的調查參與者反饋，無論數據庫中是否存有敏感數據，運維人員訪問數據庫系統必須得到授權。

　　當敏感數據用于第三方公司進行開發、測試、培訓等環節前，62%的參與者反饋會對敏感數據進行脫敏或加密處理，但是仍有38%的企業在此方面沒有防護手段，這是導致數據庫安全隱患的重要原因之一。

　　▲1.3 敏感信息的訪問

　　目前所采取的數據庫安全管控技術手段中，數據庫防火墻是選擇最多的數據庫安全管控技術手段，但仍有超半數單位沒有使用專業的數據庫安全管控產品，近一半單位不能滿足數據庫管理制度的要求。

　　在數據庫安全管控手段的選擇上，半數單位已采取專業的數據庫管控手段。調查顯示，49%的參與者已部署數據庫防火墻或數據庫訪問管控平臺，但仍有23%只部署了堡壘機，29%沒有采取任何技術手段進行管控。同時，42%的參與者反饋目前的技術管理手段不能滿足數據庫管理制度的要求。這與企業沒有選擇專業的數據庫管控手段有必然關系，對于技術手段的認知有待提高。

　　▲1.4 數據庫安全管控技術手段

　　大部分企業會進行數據庫訪問審計，近三成單位只對少部分核心數據庫系統進行審計。

　　關于數據庫訪問審計的具體范圍，針對所有數據庫、針對大多數數據庫和不進行數據庫審計這三個選項的比例相當，其中針對少部分數據庫進行審計的比例會稍高一些，占到31%。可見目前大多數用戶對于數據庫審計接受度較高，在此趨勢下，小部分未采取審計手段的用戶可能被引導。

　　▲1.5數據庫訪問審計的范圍