近日,安華金和面向各行業(yè)IT運(yùn)維人群開(kāi)展了一次數(shù)據(jù)庫(kù)運(yùn)維安全現(xiàn)狀調(diào)研。希望借此方式了解用戶的數(shù)據(jù)庫(kù)運(yùn)維場(chǎng)景及安全現(xiàn)狀,發(fā)現(xiàn)各行業(yè)用戶在數(shù)據(jù)庫(kù)運(yùn)維工作中的安全需求,并研發(fā)出真正具有用戶價(jià)值的安全產(chǎn)品。安華金和從多方通道獲取的近500份問(wèn)卷中抽取150份有效樣本進(jìn)行統(tǒng)計(jì)分析,總結(jié)歸納出此份《2016數(shù)據(jù)庫(kù)運(yùn)維安全現(xiàn)狀調(diào)研報(bào)告》,摘取報(bào)告重點(diǎn)分析結(jié)論,分享給關(guān)注數(shù)據(jù)庫(kù)安全的人士。
一. 參與人員概況
抽取調(diào)研樣本來(lái)自不同行業(yè),包括:政府,金融,能源,教育,制造業(yè),互聯(lián)網(wǎng),交通,醫(yī)療行業(yè)等。調(diào)查對(duì)象主要為技術(shù)人員,直接從事IT運(yùn)維或技術(shù)開(kāi)發(fā)工作,或者為用戶提供運(yùn)維側(cè)解決方案及相關(guān)產(chǎn)品咨詢。參與調(diào)研人群共涉及10余類崗位,其中以工程師、技術(shù)經(jīng)理占大多數(shù),占比49%,其余職位亦多為技術(shù)層決策人員及研究人員,對(duì)于企業(yè)數(shù)據(jù)庫(kù)系統(tǒng)的技術(shù)原理及運(yùn)維操作比較了解,這對(duì)此份調(diào)研報(bào)告的客觀、專業(yè)度提供保障。
二. 調(diào)查結(jié)果
2.1 當(dāng)前數(shù)據(jù)庫(kù)運(yùn)維環(huán)境
隨著各行業(yè)信息化水平的提升,應(yīng)用類型多樣而復(fù)雜。調(diào)查結(jié)果顯示,各行業(yè)用戶的數(shù)據(jù)存儲(chǔ)規(guī)模及數(shù)據(jù)處理要求進(jìn)一步提升。面對(duì)復(fù)雜的網(wǎng)絡(luò)環(huán)境,大多數(shù)單位采取了一定的技術(shù)手段保護(hù)核心數(shù)據(jù)庫(kù)系統(tǒng)。
半數(shù)以上數(shù)據(jù)庫(kù)服務(wù)器規(guī)模超50臺(tái)
根據(jù)有效樣本統(tǒng)計(jì),51%以上的企業(yè)部署數(shù)據(jù)庫(kù)服務(wù)器超過(guò)50臺(tái),三成企業(yè)達(dá)到百臺(tái)規(guī)模。
▲1.1 數(shù)據(jù)庫(kù)服務(wù)器規(guī)模
數(shù)據(jù)庫(kù)服務(wù)器部署位置分布
參與調(diào)查人群中,44%的參與者反饋數(shù)據(jù)庫(kù)服務(wù)器部署在內(nèi)網(wǎng)環(huán)境中,另有49%反饋內(nèi)網(wǎng)及外網(wǎng)環(huán)境中均有部署。選擇單純部署于外網(wǎng)或不區(qū)分內(nèi)外網(wǎng)的比例僅有6%左右,
具有對(duì)核心數(shù)據(jù)庫(kù)的安全防護(hù)意識(shí)
調(diào)查結(jié)果顯示,78%的用戶會(huì)使用網(wǎng)絡(luò)隔離等技術(shù)手段保護(hù)核心生產(chǎn)庫(kù)
2.2 數(shù)據(jù)庫(kù)安全政策要求及安全檢查現(xiàn)狀
在安全政策合規(guī)方面,大多數(shù)單位都需要滿足等保、分保等安全檢查標(biāo)準(zhǔn)。51%的參與者需要通過(guò)等保檢查標(biāo)準(zhǔn),35%需要通過(guò)分保檢查標(biāo)準(zhǔn),28%需要通過(guò)其他行業(yè)性安全標(biāo)準(zhǔn)。調(diào)查顯示,64%的企業(yè)對(duì)于數(shù)據(jù)庫(kù)會(huì)定期進(jìn)行安全檢查,其余為不定期檢查。但有50%的參與者表示安全檢查中沒(méi)有使用專業(yè)的檢查工具,這在一定程度上對(duì)于檢查結(jié)果的全面性和專業(yè)度有所影響。
▲1.2 安全政策合規(guī)需求
2.3 數(shù)據(jù)庫(kù)安全防護(hù)手段
大多數(shù)用戶具有對(duì)核心數(shù)據(jù)的保護(hù)意識(shí),在系統(tǒng)架構(gòu)上更多采用網(wǎng)絡(luò)隔離的手段保護(hù)核心數(shù)據(jù)庫(kù)。對(duì)內(nèi)部人員需要授權(quán)訪問(wèn),敏感數(shù)據(jù)對(duì)外會(huì)采用脫敏或加密處理。
調(diào)查結(jié)果顯示,對(duì)于核心生產(chǎn)庫(kù)的安全防護(hù),70%的參與者反饋會(huì)采用網(wǎng)絡(luò)隔離等技術(shù)手段進(jìn)行核心數(shù)據(jù)庫(kù)的保護(hù),但仍有近30%的企業(yè)尚未采取相關(guān)技術(shù)手段加以防護(hù)。
在提供外網(wǎng)服務(wù)的應(yīng)用系統(tǒng)所用數(shù)據(jù)庫(kù)中,存有敏感數(shù)據(jù)的比例占到74%。這種情況下,共計(jì)79%的調(diào)查參與者反饋,無(wú)論數(shù)據(jù)庫(kù)中是否存有敏感數(shù)據(jù),運(yùn)維人員訪問(wèn)數(shù)據(jù)庫(kù)系統(tǒng)必須得到授權(quán)。
當(dāng)敏感數(shù)據(jù)用于第三方公司進(jìn)行開(kāi)發(fā)、測(cè)試、培訓(xùn)等環(huán)節(jié)前,62%的參與者反饋會(huì)對(duì)敏感數(shù)據(jù)進(jìn)行脫敏或加密處理,但是仍有38%的企業(yè)在此方面沒(méi)有防護(hù)手段,這是導(dǎo)致數(shù)據(jù)庫(kù)安全隱患的重要原因之一。
▲1.3 敏感信息的訪問(wèn)
目前所采取的數(shù)據(jù)庫(kù)安全管控技術(shù)手段中,數(shù)據(jù)庫(kù)防火墻是選擇最多的數(shù)據(jù)庫(kù)安全管控技術(shù)手段,但仍有超半數(shù)單位沒(méi)有使用專業(yè)的數(shù)據(jù)庫(kù)安全管控產(chǎn)品,近一半單位不能滿足數(shù)據(jù)庫(kù)管理制度的要求。
在數(shù)據(jù)庫(kù)安全管控手段的選擇上,半數(shù)單位已采取專業(yè)的數(shù)據(jù)庫(kù)管控手段。調(diào)查顯示,49%的參與者已部署數(shù)據(jù)庫(kù)防火墻或數(shù)據(jù)庫(kù)訪問(wèn)管控平臺(tái),但仍有23%只部署了堡壘機(jī),29%沒(méi)有采取任何技術(shù)手段進(jìn)行管控。同時(shí),42%的參與者反饋目前的技術(shù)管理手段不能滿足數(shù)據(jù)庫(kù)管理制度的要求。這與企業(yè)沒(méi)有選擇專業(yè)的數(shù)據(jù)庫(kù)管控手段有必然關(guān)系,對(duì)于技術(shù)手段的認(rèn)知有待提高。
▲1.4 數(shù)據(jù)庫(kù)安全管控技術(shù)手段
大部分企業(yè)會(huì)進(jìn)行數(shù)據(jù)庫(kù)訪問(wèn)審計(jì),近三成單位只對(duì)少部分核心數(shù)據(jù)庫(kù)系統(tǒng)進(jìn)行審計(jì)。
關(guān)于數(shù)據(jù)庫(kù)訪問(wèn)審計(jì)的具體范圍,針對(duì)所有數(shù)據(jù)庫(kù)、針對(duì)大多數(shù)數(shù)據(jù)庫(kù)和不進(jìn)行數(shù)據(jù)庫(kù)審計(jì)這三個(gè)選項(xiàng)的比例相當(dāng),其中針對(duì)少部分?jǐn)?shù)據(jù)庫(kù)進(jìn)行審計(jì)的比例會(huì)稍高一些,占到31%。可見(jiàn)目前大多數(shù)用戶對(duì)于數(shù)據(jù)庫(kù)審計(jì)接受度較高,在此趨勢(shì)下,小部分未采取審計(jì)手段的用戶可能被引導(dǎo)。
▲1.5數(shù)據(jù)庫(kù)訪問(wèn)審計(jì)的范圍
本文來(lái)源:http://www.nvnqwx.com/gongwen/diaochabaogao/419978.htm