近日,安华金和面向各行业IT运维人群开展了一次数据库运维安全现状调研。希望借此方式了解用户的数据库运维场景及安全现状,发现各行业用户在数据库运维工作中的安全需求,并研发出真正具有用户价值的安全产品。安华金和从多方通道获取的近500份问卷中抽取150份有效样本进行统计分析,总结归纳出此份《2016数据库运维安全现状调研报告》,摘取报告重点分析结论,分享给关注数据库安全的人士。
一. 参与人员概况
抽取调研样本来自不同行业,包括:政府,金融,能源,教育,制造业,互联网,交通,医疗行业等。调查对象主要为技术人员,直接从事IT运维或技术开发工作,或者为用户提供运维侧解决方案及相关产品咨询。参与调研人群共涉及10余类岗位,其中以工程师、技术经理占大多数,占比49%,其余职位亦多为技术层决策人员及研究人员,对于企业数据库系统的技术原理及运维操作比较了解,这对此份调研报告的客观、专业度提供保障。
二. 调查结果
2.1 当前数据库运维环境
随着各行业信息化水平的提升,应用类型多样而复杂。调查结果显示,各行业用户的数据存储规模及数据处理要求进一步提升。面对复杂的网络环境,大多数单位采取了一定的技术手段保护核心数据库系统。
半数以上数据库服务器规模超50台
根据有效样本统计,51%以上的企业部署数据库服务器超过50台,三成企业达到百台规模。
▲1.1 数据库服务器规模
数据库服务器部署位置分布
参与调查人群中,44%的参与者反馈数据库服务器部署在内网环境中,另有49%反馈内网及外网环境中均有部署。选择单纯部署于外网或不区分内外网的比例仅有6%左右,
具有对核心数据库的安全防护意识
调查结果显示,78%的用户会使用网络隔离等技术手段保护核心生产库
2.2 数据库安全政策要求及安全检查现状
在安全政策合规方面,大多数单位都需要满足等保、分保等安全检查标准。51%的参与者需要通过等保检查标准,35%需要通过分保检查标准,28%需要通过其他行业性安全标准。调查显示,64%的企业对于数据库会定期进行安全检查,其余为不定期检查。但有50%的参与者表示安全检查中没有使用专业的检查工具,这在一定程度上对于检查结果的全面性和专业度有所影响。
▲1.2 安全政策合规需求
2.3 数据库安全防护手段
大多数用户具有对核心数据的保护意识,在系统架构上更多采用网络隔离的手段保护核心数据库。对内部人员需要授权访问,敏感数据对外会采用脱敏或加密处理。
调查结果显示,对于核心生产库的安全防护,70%的参与者反馈会采用网络隔离等技术手段进行核心数据库的保护,但仍有近30%的企业尚未采取相关技术手段加以防护。
在提供外网服务的应用系统所用数据库中,存有敏感数据的比例占到74%。这种情况下,共计79%的调查参与者反馈,无论数据库中是否存有敏感数据,运维人员访问数据库系统必须得到授权。
当敏感数据用于第三方公司进行开发、测试、培训等环节前,62%的参与者反馈会对敏感数据进行脱敏或加密处理,但是仍有38%的企业在此方面没有防护手段,这是导致数据库安全隐患的重要原因之一。
▲1.3 敏感信息的访问
目前所采取的数据库安全管控技术手段中,数据库防火墙是选择最多的数据库安全管控技术手段,但仍有超半数单位没有使用专业的数据库安全管控产品,近一半单位不能满足数据库管理制度的要求。
在数据库安全管控手段的选择上,半数单位已采取专业的数据库管控手段。调查显示,49%的参与者已部署数据库防火墙或数据库访问管控平台,但仍有23%只部署了堡垒机,29%没有采取任何技术手段进行管控。同时,42%的参与者反馈目前的技术管理手段不能满足数据库管理制度的要求。这与企业没有选择专业的数据库管控手段有必然关系,对于技术手段的认知有待提高。
▲1.4 数据库安全管控技术手段
大部分企业会进行数据库访问审计,近三成单位只对少部分核心数据库系统进行审计。
关于数据库访问审计的具体范围,针对所有数据库、针对大多数数据库和不进行数据库审计这三个选项的比例相当,其中针对少部分数据库进行审计的比例会稍高一些,占到31%。可见目前大多数用户对于数据库审计接受度较高,在此趋势下,小部分未采取审计手段的用户可能被引导。
▲1.5数据库访问审计的范围