数据库运维安全现状调查报告

精品范文时间：2024-03-10 07:13:29 收藏本文下载本文

第1篇：2016数据库运维安全现状调查报告

2016数据库运维安全现状调查报告

近日，安华金和面向各行业IT运维人群开展了一次数据库运维安全现状调研。希望借此方式了解用户的数据库运维场景及安全现状，发现各行业用户在数据库运维工作中的安全需求，并研发出真正具有用户价值的安全产品。安华金和从多方通道获取的近500份问卷中抽取150份有效样本进行统计分析，总结归纳出此份《2016数据库运维安全现状调研报告》，摘取报告重点分析结论，分享给关注数据库安全的人士。

一. 参与人员概况

抽取调研样本来自不同行业，包括：政府，金融，能源，教育，制造业，互联网，交通，医疗行业等。调查对象主要为技术人员，直接从事IT运维或技术开发工作，或者为用户提供运维侧解决方案及相关产品咨询。参与调研人群共涉及10余类岗位，其中以工程师、技术经理占大多数，占比49%，其余职位亦多为技术层决策人员及研究人员，对于企业数据库系统的技术原理及运维操作比较了解，这对此份调研报告的客观、专业度提供保障。

二. 调查结果

2.1 当前数据库运维环境

随着各行业信息化水平的提升，应用类型多样而复杂。调查结果显示，各行业用户的数据存储规模及数据处理要求进一步提升。面对复杂的网络环境，大多数单位采取了一定的技术手段保护核心数据库系统。

半数以上数据库服务器规模超50台

根据有效样本统计，51%以上的企业部署数据库服务器超过50台，三成企业达到百台规模。

▲1.1 数据库服务器规模

数据库服务器部署位置分布

参与调查人群中，44%的参与者反馈数据库服务器部署在内网环境中，另有49%反馈内网及外网环境中均有部署。选择单纯部署于外网或不区分内外网的比例仅有6%左右，

具有对核心数据库的安全防护意识

调查结果显示，78%的用户会使用网络隔离等技术手段保护核心生产库

2.2 数据库安全政策要求及安全检查现状

在安全政策合规方面，大多数单位都需要满足等保、分保等安全检查标准。51%的参与者需要通过等保检查标准，35%需要通过分保检查标准，28%需要通过其他行业性安全标准。调查显示，64%的企业对于数据库会定期进行安全检查，其余为不定期检查。但有50%的参与者表示安全检查中没有使用专业的检查工具，这在一定程度上对于检查结果的全面性和专业度有所影响。

▲1.2 安全政策合规需求

2.3 数据库安全防护手段

大多数用户具有对核心数据的保护意识，在系统架构上更多采用网络隔离的手段保护核心数据库。对内部人员需要授权访问，敏感数据对外会采用脱敏或加密处理。

调查结果显示，对于核心生产库的安全防护，70%的参与者反馈会采用网络隔离等技术手段进行核心数据库的保护，但仍有近30%的企业尚未采取相关技术手段加以防护。

在提供外网服务的应用系统所用数据库中，存有敏感数据的比例占到74%。这种情况下，共计79%的调查参与者反馈，无论数据库中是否存有敏感数据，运维人员访问数据库系统必须得到授权。

当敏感数据用于第三方公司进行开发、测试、培训等环节前，62%的参与者反馈会对敏感数据进行脱敏或加密处理，但是仍有38%的企业在此方面没有防护手段，这是导致数据库安全隐患的重要原因之一。

▲1.3 敏感信息的访问

目前所采取的数据库安全管控技术手段中，数据库防火墙是选择最多的数据库安全管控技术手段，但仍有超半数单位没有使用专业的数据库安全管控产品，近一半单位不能满足数据库管理制度的要求。

在数据库安全管控手段的选择上，半数单位已采取专业的数据库管控手段。调查显示，49%的参与者已部署数据库防火墙或数据库访问管控平台，但仍有23%只部署了堡垒机，29%没有采取任何技术手段进行管控。同时，42%的参与者反馈目前的技术管理手段不能满足数据库管理制度的要求。这与企业没有选择专业的数据库管控手段有必然关系，对于技术手段的认知有待提高。

▲1.4 数据库安全管控技术手段

大部分企业会进行数据库访问审计，近三成单位只对少部分核心数据库系统进行审计。

关于数据库访问审计的具体范围，针对所有数据库、针对大多数数据库和不进行数据库审计这三个选项的比例相当，其中针对少部分数据库进行审计的比例会稍高一些，占到31%。可见目前大多数用户对于数据库审计接受度较高，在此趋势下，小部分未采取审计手段的用户可能被引导。

▲1.5数据库访问审计的范围

三. 安全防护建议

综合调查结果，我们针对数据库运维安全现状，提供具有实际可落地的安全防护建议：

3.1 在开发、测试、培训等工作环节中，使用敏感数据前进行脱敏处理是必要的，选择专业工具能够提高工作效率，保证数据处理效果及质量。

大多数用户在数据外发之前，会采取脱敏或加密手段对敏感数据进行处理，这将在很大程度上降低数据泄露风险。但目前专业数据库脱敏和加密工具并没有被广泛使用，用户多选择自行编写程序。当数据量的规模较大，各数据表、数据子集之间的关联关系较为复杂的情况下，手工脱敏或加密工作量大，且处理质量无法保证。这将导致外发数据无法满足开发、测试、分析等业务需求，影响结果准确性，同时，耗费的人力及时间成本往往得不偿失。

专业的数据库脱敏工具可以保持原有数据类型和业务格式，保证长度不变、数据内涵不丢失，保持表间、表内数据关联关系，确保以上业务场景中的脱敏数据真实有效。同时提供动态脱敏功能，对敏感数据进行透明、实时脱敏，对数据库用户名、IP客户端类型、访问时间甚至业务用户等多重身份进行访问控制，提供多种安全策略。

3.2 使用专业有效的数据库管控手段可以提供细粒度的.数据库运维管控，满足数据库管理制度要求，防止危险访问行为。

与堡垒机相比，使用专业的数据库管控产品，通过对数据库访问协议的精确解析，而不是单纯对访问操作进行录屏，事后追责。

数据库防火墙优势：基于对SQL语句的精准解析，提供高危访问控制、SQL注入禁止、返回行数超标禁止、SQL黑名单等技术功能，对于匹配策略的威胁操作实时拦截、阻断，而堡垒机由于不具备SQL语句的精准解析能力，无法提供如此细粒度的访问控制。

数据库安全管控平台优势：目前大多数企业使用堡垒机对运维人员的数据库操作行为进行审批，但对于实际操作的事中控制，无法监控。运维人员的实际操作是否与申请一致?实际操作人是谁?如果出现误操作，如何追溯?这一系列问题堡垒机无法解决。专业的数据库安全管控平台在审批通过后返回唯一的操作码，使用任意客户端建立连接时，无操作码或与原申请操作不符时，拒绝访问。提高操作准确度，防止高危操作及误操作，弥补传统解决方案对于事中控制的缺失。

3.3 运维部门对整体数据库访问行为有必要进行实时有效的监控与审计，审计产品的风险感知能力、审计效率及审计结果的准确度是重要依据。

传统的网络审计产品无法解析数据库通信协议，只能通过审计访问来源的IP地址、端口号等基本用户信息判断访问是否合法，而数据库审计产品对SQL语句的精确解析能够识别每条操作的实际含义，结合应用行为与用户行为建模分析，智能判断数据库是否遭到威胁，实时发出告警。调查显示大多数用户已经局部部署或全面部署数据库审计系统，在此基础上，我们更应关注审计产品是否专业，如数据库流量是否全捕获，对于长语句、参数化语句等是否能够精准解析，是否具有风险感知能力，审计数据是否高效入库，对审计结果是否能够高效分析及检索。这些关键点决定一款数据库监控与审计产品是否真正具有使用价值，而不是简单地解决有无问题。

第2篇：IT运维现状

伴着IT在企业中的作用日益明显，IT建设和IT运维同时成为了企业效率的加速器。同时，计算机硬件系统和软件系统的运维已成为了各行各业单位，尤其是信息服务部门普遍头痛的事情。本文以下内容总结几个头痛的主要因子，拿出来供大家参考指导，并接下来的系列课题中会对针对这些现状提出改进措施。

现状一：IT运维人员成本偏高

据专业调查，大多数CIO表示最关心的是IT运维成本过高。原因是在过去的5年中,很多企业都实施了很多IT系统,使到IT运行越来越复杂,也越来越难管理。同时，其中有50%的受访CIO认为IT运维成本过高的一个原因是IT运维的自动化做得还不够好,依靠手工流程来管理,不但使到运维效率不高,而且人力成本更是花费惊人。

同时，另一家国际知名调查机构Gartner调查发现,在IT运维成本中,源自技术或产品(包括硬件、软件、网络等)成本其实只占20%,而流程维护成本占40%,运维人员成本占40%。流程维护成本包括日常维护、变更管理、测试成本等;人员成本包括训练、教育、人员流失、招聘成本等。

从图中，我们可以看出，“流程维护”类和“运维人员”两者都与软性方面的成本相关非常紧密。而且三者的关系可以用下图来表示：

备注：C类成本的大小很大程度取决于B和D类。

现状二：处在“救火式”的IT运维控制

目前，国内在IT运维过程中,IT员工大多数只是处在被动低效率手工救火的状态,只有当事件已经发生并已造成业务影响时才能发现和着手处理。这种被动“救火”会导致：①.IT运维人员终日忙碌，IT运维人员日常大部分时间和精力是处理一些简单重复的问题;②IT运维本身质量很难提高;③再加上故障预警机制的不完善,往往是故障发生后或报警后才会进行处理,不但事倍功半而且故障还常常会出现恶性连锁反应;④IT部门和业务部门对IT运维的服务满意度都不高。

现状三：简单的自动化程度起了“反作用”

尽管IT运维管理的技术在不断进步,但实际上很多IT运维人员并没有真正解脱出来，主要原因是目前的自动化不高而导致的。目前的技术虽然能够获取IT设备、服务器、网络流量,甚至数据库的警告信息,但成千上万条警告信息堆积在一起更本没法判断问题的根源在哪里。还有,目前许多企业的更新管理绝大多数工作都是手工操作的。即使一个简单的系统变更或更新往往都需要运维人员逐一登录每台设备进行手工变更,当设备数量达至成百上千时,其工作量之大可想而知。而这样的变更和检查操作在IT运维中往往每天都在进行,占用了大量的运维资源。因此,实现运维管理工作的自动化对企业来说已迫在眉睫。

就如图中一样，所有信息(杂乱)都从各个地方被收集到了这个圆圈(容量不变)里面，信息进去后不能主动流出来。可能会出现的情况：这个圆圈容器装满后会爆破，或者是溢出来;圆圈的运行速度会慢慢降下来，从而导致信息输入的速度也会变慢。

现状四：本是同家兄弟，却不经常来往

这个问题主要是发生在拥有许多子公司的企业，每个子公司的系统都是独立的，下面主要以国内银行业为例。以前国内的银行业没有搞集中建设，每家银行的各个地方分行都单独建设和维护自己的核心业务系统，都各自配备开发人员和维护人员。

同时在运行维护方面，对故障的解决，完全依靠运行维护部门的工程师的上门服务。不管问题大小，工程师都要来回去现场解决。遇到一些技术难度大的问题，如果工程师的水平高，处理起来就快;如果水平低，甚至花上几个小时，可能也解决不了。

虽然现在国内银行业的IT运行维护管理水平，有点接近国外80年代末90年代初银行业的水平，现在银行IT结构上都采用了大集中模式。从硬件设备上来看，国内银行不比别人差，甚至还有些领先，但IT运维管理还没达到国外当时的水平，尤其是呼叫中心、客户服务方面。”

结束语

从上面三个现状来看，主要是有关软性方面的。的确如此，国内借着近十几年高速发展，硬件方面的发展取得了重大进步，某些方面的水平甚至是超过了国外的水平，并且IT硬件的生产厂商也是出现了很多与国外厂商同等秀舞的水平，如华为、中兴等。但是往往是硬件易学，知识技巧难寻。这不仅与国内教育环境有关外，还与知识经验的继承又关。

第3篇：数据库运维管理求职简历模板

简历，顾名思义，就是对个人学历、经历、特长、爱好及其它有关情况所作的简明扼要的书面介绍。简历是有针对性的自我介绍的一种规范化、逻辑化的书面表达。对应聘者来说，简历是求职的“敲门砖“。简历模板小编为你提供一份数据库运维管理求职简历模板!希望助你求职成功啦。

更多最新求职简历模板推荐：

仓库管理求职简历模板

保险内勤求职简历模板

机电技术员求职简历模板

电信通信维护测量求职简历模板

电子测试工程师的求职简历模板

姓名	简历模板	身份证号码		性别	男
年龄	23岁	政治面貌	中共党员	婚姻状况	未婚
视力状况	轻度近视	身高(厘米)	173 cm	体重(公斤)	68 kg
民族	汉族	户口所在地	南昌市(含区市县)	技术职称
最高学历	本科	现居住地	南昌市(含区市县)	毕业时间
求职状态	目前正在找工作	电话、手机
EMAIL		个人主页
地址		邮编