访问控制技术是确保数据安全共享的重要手段,是保证网络数据安全重要的核心策略,也是数据安全治理的关键技术之一。《网络数据安全管理条例(征求意见稿)》第九条中明确指出“数据处理者应当采取备份、加密、访问控制等必要措施,保障数据免遭泄露、窃取、篡改、毁损、丢失、非法使用,应对数据安全事件,防范针对和利用数据的违法犯罪活动,维护数据的完整性、保密性、可用性。”并在第十二条中提出“处理重要数据或者赴境外上市的数据处理者,(三)数据安全管理制度,数据备份、加密、访问控制等安全防护措施,以及管理制度实施情况和防护措施的有效性”,可见对于数据处理者、重要数据处理者或赴境外上市的数据处理者,掌握访问控制这一数据安全技术手段的重要性。本文介绍了访问控制的基本概念、标准依据、访问控制技术在数据库安全防护中的应用,希望对数据处理者做好数据安全治理有帮助。
基本概念
1、访问控制的定义
GB/T 25069-2022 《信息安全技术 术语》,“3.147 访问控制 access control 一种确保数据处理系统的资源只能由经授权实体以授权方式进行访问的手段。”
访问控制是在保障授权用户能获取所需资源的同时拒绝非授权用户的安全机制,确保只有合法用户的合法访问才能给予批准,而且相应的访问只能执行授权的操作。
2、访问控制的三要素
主体依据某些控制策略或权限对客体本身或是其资源进行的不同授权访问。访问控制的三要素是主体S(subject)、客体O(object)和控制策略A(Attribution)。
主体是指一个提出请求或要求的实体,是动作的发起者,可以是某个用户,也可以是用户启动的进程、服务和设备。
客体是接受其他实体访问的被动实体,可以是被操作的信息、资源、对象,也可以是网络上的数据库。
控制策略是主体对客体的访问规则集,体现了一种授权行为,限制访问主体对客体的访问权限,从而使网络数据在合法范围内使用。
3、访问控制的三方面含义
机密性控制,保证数据资源不被非法读出;
完整性控制,保证数据资源不被非法增加、改写、删除和生成;
有效性控制,保证数据资源不被非法访问和破坏。
标准依据
1、GB/T 22239-2019 《信息安全技术 网络安全等级保护基本要求》
如下表所示,体现了等保二、三级安全通用要求中的访问控制。
2、GB/T 35273-2020《信息安全技术 个人信息安全规范》
7 个人信息的使用
7.1 个人信息访问控制措施
对个人信息控制者的要求包括:
a) 对被授权访问个人信息的人员,应建立最小授权的访问控制策略,使其只能访问职责所需的最小必要的个人信息,且仅具备完成职责所需的最少的数据操作权限;
b) 对个人信息的重要操作设置内部审批流程,如进行批量修改、拷贝、下载等重要操作;
e) 对个人敏感信息的访问、修改等操作行为,宜在对角色权限控制的基础上,按照业务流程的需求触发操作授权。例如,当收到客户投诉,投诉处理人员才可访问该个人信息主体的相关信息。
7.2 个人信息的展示限制
涉及通过界面展示个人信息的(如显示屏幕、纸面),个人信息控制者宜对需展示的个人信息采取去标识化处理等措施,降低个人信息在展示环节的泄露风险。例如,在个人信息展示时,防止内部非授权人员及个人信息主体之外的其他人员未经授权获取个人信息。
访问控制技术在数据库安全防护中的应用
(层层设防:数据库防护体系建设图)
大多数业务系统的重要数据存储在关系型数据库中,上图体现了数据库防护体系建设的层层设防思路,数据库自身的访问控制可以通过DB权控体系来实现。
(数据库的应用侧和运维侧访问控制图)
数据库网络上的访问控制首先要考虑SQL访问是来自应用侧还是运维侧,应用侧的SQL访问并发连接高、语句重复(SQL语句模版相同而参数不同)、响应及时,运维侧的SQL访问并发连接低、语句多种多样、响应时间有可能较长,比如:一个复杂的分析操作,数据库40分钟后返回结果也有可能。
数据库应用侧的访问控制
等保三级标准中:“访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表级”,这要求是一种基于数据库访问协议解析与控制技术的网络访问控制设备。根据数据库应用侧SQL访问特点,数据库安全防护系统应低延迟、高性能,能实现的访问控制动作有中断会话和拦截语句,也要具备数据库业务的连续性保持能力,比如:多层bypass、网络三通、双机部署。
主要访问控制能力如下:
防止外部黑客攻击:黑客利用Web应用漏洞,进行SQL注入;或以Web应用服务器为跳板,利用数据库自身漏洞攻击和侵入。
防护:通过虚拟补丁技术捕获和阻断漏洞攻击行为,通过SQL注入特征库捕获和阻断SQL注入行为。参考GB/T 20281-2020《信息安全技术防火墙安全技术要求和测试评价方法》,虚拟补丁应包含22种数据库漏洞类型,尤其要关注CVE、CNNVD、CNVD目前已经公布的漏洞和有攻击性的漏洞类型,比如:缓冲区溢出、权限提升、系统注入、数据库通讯协议漏洞等。
防止内部高危操作:系统维护人员、外包人员、开发人员等,拥有直接访问数据库的权限,有意无意的高危操作对数据造成破坏。
防护:通过限定更新和删除影响行、限定无Where的更新和删除操作、限定drop、truncate等高危操作避免大规模损失。
防止敏感数据泄漏:黑客、开发人员可以通过应用批量下载敏感数据,内部维护人员远程批量导出敏感数据。
防护:限定数据查询和下载数量、限定敏感数据访问的用户、地点和时间。
防止应用连接数据库的账户被利用,绕过合法应用服务器的数据库访问。
防护:合法数据库访问识别,网络上可信:网络上确保无法绕过合法应用的IP地址访问数据库;运维时间可信:限定运维时间,如:只允许服务外包人员工作时间访问数据库;应用服务器可信:通过IP/MAC绑定,确保只有授权服务器、设备访问数据库。
数据库运维侧的访问控制
数据库运维侧的SQL操作缺乏有效的管控,这其中既包括主观攻击行为(违规访问、恶意操作、数据窃取等),也包括非恶意行为(误操作、权限滥用等)。以前通常使用堡垒机来对运维人员进行管理,但这种管理方式在数据库的访问控制上存在一定问题,比如:运维人员的可视化数据库操作仅能录屏、无法及时中断批量导出操作、返回的敏感数据不能脱敏或遮蔽等,需要有专门的数据库运维安全系统来实现。根据数据库运维侧SQL访问特点,数据库运维安全系统基于网络协议解析和语法词法分析准确识别运维人员的SQL语句,实现的访问控制动作主要是中断会话,由于并发连接和响应实时性要求不高,可以加入审批流程和对敏感数据遮盖显示,也可以结合堡垒机或OA系统共同实现SQL操作审批,部署方式主要是透明网桥、代理接入模式,支持双机高可用。
数据库运维安全系统主要的访问控制能力如下:
■ 事中运维控制:系统可对运维人员的IP、客户端工具、账号、时间等进行登录限制,针对数据库数据表,可按照受影响数据行数(阀值)进行精细管控,包括查询、更新和删除动作,超出阀值的行为进行阻断或拦截,防止高危操作或大批量数据泄露。
■ 操作行为审批:用户可以通过第三方工具登录数据库进行操作,简单口令认证,不改变原有工作习惯,口令通过者只能执行其申请的操作内容,杜绝误操作及违规操作。未经口令认证者无法操作敏感对象,防止越权操作。
■ 支持双因素认证,可以通过动态令牌、Ukey、证书等实现运维人员登录时的双因素认证。系统支持“安全运维系统帐号”与“数据库帐号”相关联,实现操作者的自然人身份确认,解决多人共用同一数据库账号,无法定责的问题。
■ 多角色多权限管理:在运维安全系统中设置普通用户、审批人、审计管理员、系统管理员四种角色,每种角色对应权限不同。
■ 敏感数据遮蔽显示:对返回的敏感数据进行遮蔽显示,避免敏感数据泄露。
隐私保护的访问控制
如下表所示:
类别 | 概念 | 定义 |
保护 客体 | 敏感 个人 信息 | 一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。 |
行为 相关 | 去标 识化 | 个人信息经过处理,使其在不借助额外信息的情况下无法识别特定自然人的过程。 |
匿名化 | 个人信息经过处理无法识别特定自然人且不能复原的过程。 |
根据《个人信息安全规范》的标准要求实现个人信息访问控制措施和个人信息的展示限制,主要采用的核心技术思路如下图。
数据库动态脱敏系统可以同时作用于运维侧和应用侧,实现差异化按需脱敏,保障运维中数据不被泄露,提高数据共享安全性,主要的部署方式有代理部署、半透明网桥,支持主备双机。
数据库动态脱敏系统主要的访问控制能力如下:
■ 敏感数据快速发现:掌握敏感数据分布,是进行敏感数据管理与脱敏的前提,在充分了解行业数据使用场景后,持续地发现新的敏感数据,通过自动识别敏感数据,可以避免按照字段定义敏感数据元的繁琐工作。
■ 进行脱敏规则配置:依据数据发现的结果,按照不同数据使用者的需求,进行了脱敏方案的配置。
□ 针对开发环境,对用户的姓名、住址、电话号等非条件字段进行随机替换处理。对身份证、等条件字段,按照确定性脱敏方式配置,以确保在不同表、不同库中的同一个身份证号,脱敏后的结果仍然相同。
□ 针对测试环境,选择仿真程度更高的脱敏策略,确保脱敏后的数据离散度、数据关联度都得到了很好的保障,使功能测试可以覆盖到业务系统的所有场景,性能测试具有足够的数据及接近真实环境的数据分布。
■ 脱敏方案配置完成后,结合管理机制,运维部门只要定期执行脱敏任务,即可保障各类敏感数据按照不同场景需求向其准确及时的提供。
总 结
数据安全治理是以数据分类分级和敏感个人信息识别为基础的,自然作为数据安全治理的关键技术——访问控制,也要在此基础上实现。
本文介绍了访问控制的基本概念和标准依据,访问控制技术在数据库安全防护中的三种应用方式,对于业务系统不多,数据较为敏感的中小型政企单位直接部署即可以实现较好的防护效果,但是对于大型数据中心还是需要依托数据安全治理体系化建设思路,采用数据安全运营平台等进行综合管控才能满足网络数据安全管理要求。
(本文作者:北京安华金和科技有限公司 谭峻楠)
声明:本文来自CCIA数据安全工作委员会,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。