作為國家基礎性產業，能源行業的信息化建設自上世紀60年代啟動。信息化程度日趨成熟，很大程度上提高了行業內企業管理效率及核心競爭力，但與此同時，隨著能源行業多項業務系統的上線，核心業務數據的存儲與管理面臨更大的挑戰，業務數據、用戶數據以及各類財務、人力等內部運營敏感信息，一旦遭到泄露或篡改，將影響業務系統的正常運轉，關系民生。近年來，能源行業對于核心數據庫的安全防護，已經在行業內獲得關注。

安華金和近些年為能源行業多家用戶進行過數據庫安全評估，整體情況并不樂觀，我們看到有用戶檢測結果顯示，“未通過項”中高危漏洞占比達到近三成。在幾輪的安全評估之后，我們從中歸納總結出幾類安全問題，由于該行業的信息系統大多為統一標準，幾類問題可以說是整個行業的數據庫安全通病。

以某能源行業北方某分公司數據庫安全加固項目為例，用戶在進行數據庫加固項目規劃前，首先對核心數據庫系統進行了一次全面的安全檢查，希望根據檢測報告制定有針對性的加固方案。

本次安全檢查利用安華金和數據庫漏洞掃描系統(DBScan)，檢測共涉及1000余檢測項，結果顯示未通過項為50余項，其中高危風險占比21%，中、低危風險占58%，其余為存在潛在風險的警告提示。風險等級主要根據各類安全漏洞、隱患可能導致的危害程度來評定。

綜合檢測結果，以及與用戶交流數據庫系統的運維情況，安華金和對能源行業整體數據庫安全問題及隱患進行了歸納與總結，希望可以為該行業用戶數據庫安全治理提供一些參考：

用戶對自身數據資產具體情況不完全清晰

數據庫安全狀況的檢測和后期加固，需要用戶提供自身數據庫系統的詳細架構、數據表分布和使用情況等，例如信息系統中數據資產的規模和分布是怎樣?數據資產之間的關聯關系是怎樣?哪些數據需要進行安全防護?哪些數據應該清理?我們發現，數據這些問題有些用戶并不能梳理清楚。這將直接影響后續數據庫安全加固建設方向的準確制定，在后期方案落地過程中也將面臨諸多問題。

數據庫系統自身存在的安全漏洞無法實時更新補丁

檢測未通過項中數據庫自身的安全漏洞占比不小，這個結果在我們的預料之中，該能源行業主要使用的數據庫系統為Oracle、MySQL、Postgre、SQL Server等主流數據庫類型。我們知道，越是成熟、廣泛應用的數據庫，被發現的自身漏洞反而越多，雖然數據庫廠商能夠及時發布補丁，但出于時間、人力成本及對關鍵業務系統運轉連續性的考慮，戶很難做到頻繁的更新補丁、重啟系統。利用諸如SQL注入、緩沖區溢出、權限提升等安全漏洞，發起威脅攻擊正是黑客們最常用的攻擊手段。

數據庫系統存在的弱口令賬戶、缺省賬戶以及低安全配置，構成潛在安全隱患

數據庫用戶密碼過于簡單易猜，檢測工具識別為弱口令賬戶，此外，掃描結果顯示，用戶數據庫系統中仍然存在一些未修改過初始密碼的賬戶，即為缺省賬戶。拿Oracle來說，各版本數據庫系統共計700多個賬戶，出廠自帶的原始用戶名和密碼大多類似，稍有數據庫操作經驗的人很容易破解。弱口令和缺省賬戶的存在，成為外部人員暴力破解，入侵數據庫的捷徑，不容小覷，以下是在檢查中發現的部分缺省用戶：

另一方面，檢測中安華金和數據庫漏洞掃描系統對低安全性的系統配置項進行了警告，如各類權限分配不當、參數設置不當、登陸次數不受限等等。配置缺陷屬于潛在隱患，可能形成安全風險或系統性能的損耗。下面列舉個別配置缺陷警告：

對于擁有高權限的內部運維人員、第三方人員，無有效的細粒度管控措施

上文我們提到，該能源行業信息化程度較高，各類業務系統的開發、測試、運維等需要耗費大量的人力成本，第三方外包顯然是最為合適的方式，對于第三方運維工作，外包人員往往被授予數據庫最高權限;而對于開發、測試等外包項目則需要將部分或全庫數據外發，誰來保障他們的可信度?

反觀內部，本就掌握數據庫最高權限的運維人員同樣存在安全風險，我們了解到，一名運維人員常常肩負多個大型業務系統及數據庫服務器的運維管理職責，工作強度高峰期時，誤操作在所難免。這種情況下，沒有采取有效的細粒度管控措施，則無法確保高權限用戶的增刪改查操作是否符合原業務需求，近年來的多起數據泄露事件顯示，越來越多的泄露或丟失原因開始指向內部人員或第三方外包人員。

基于上述在能源行業用戶中顯現的真實問題，安華金和的技術專家提出了幾項有效的安全加固建議

1、針對數據資產進行全面梳理

在進行數據庫安全防護之前，首先建議用戶對企業內數據資產進行梳理，理清企業數據資產數量、其中的關聯關系，形成統一規范的登記備案流程，這個步驟對于IT建設較早的大型企事業單位來說，是決定一系列數據庫安全防護動作的先決條件。

2、實現高細粒度的事中安全管控

建議引入專業的數據庫防火墻，基于對SQL語句的精確解析，可以對數據庫進行高細粒度的主動安全管控，需要特別提到的是，數據庫防火墻(DBFirewall)因其特有的虛擬補丁功能，能夠提供漏洞特征檢測能力，不改造數據程序的前提下，及時更新數據庫補丁，避免數據庫安全風險。

3、針對數據庫操作進行實行審批管控

針對數據庫操作不當的行為，更多體現在數據庫運維人員身上，為了實現對運維側的數據庫操作行為監管審批，市場中應運而生一款數據庫安全運維產品，該產品中引入規范的操作審批流程與機制，對內部或第三方運維人員的操作申請細化至語句級別的審批，同時提示操作申請的風險度，并確保實際操作、執行人與原申請保持一致。

4、使用專業的脫敏工具保證數據脫敏效果

當敏感數據需要外發時，為保證真實數據不被泄露，脫敏處理是必要手段。既要確保真實數據被擾亂，同時又不影響開發、測試、分析等工作的順暢進行，引入專業的數據脫敏工具能夠輸出這樣的高質量脫敏結果。同時，面對該能源行業各類應用系統對數據庫的訪問，動態脫敏技術，能夠滿足應用客戶端對數據庫的實時訪問，動態脫敏，確保只釋放權限內的敏感數據滿足業務需要。

5、針對數據庫操作進行實時風險感知，全面審計告警

需要對數據庫訪問及操作行為進行實時的監控與審計，實時捕獲數據庫登陸的異常行為，比如頻繁出現的數據庫登陸用戶口令異常等。通過審計記錄，對來自運維側或應用側執行的失敗sql語句進行分析匯總，發現可能出現的邏輯錯誤或對數據庫構成威脅的異常訪問行為，比如權限不足的用戶嘗試對數據庫敏感信息進行越權訪問或變更。

以上內容是安華金和面向能源行業，針對多家用戶單位進行數據庫安全檢測后總結提煉，希望可以讓用戶意識到數據庫安全防護的重要性，并有效幫助用戶解決核心數據安全問題。