9TB数据被恶意删除,“删库跑路”该如何防范
发布时间 2021-01-15近日,又一起“删库跑路”事件进行了宣判,被告人因恶意删除企业9TB重要数据,犯破坏计算机信息系统罪,判处有期徒刑七年。虽然坏人得到了惩处,但是给企业带来的严重损失,却难以弥补。
在这起案件中,被告人负责财务系统数据库运维管理。按照规定,被告人只能以普通用户权限运维公司的数据库,但由于公司管理混乱,入职后就给了被告人管理权限。
在被告人工作调动后的某天下午,财务系统突然无法正常使用,经过多方专家确认分析,被告人远程以root身份登录至该服务器,通过执行rm、shred命令,删除了服务器中的数据文件,并擦除了当前用户的所有操作日志。
“删库跑路”案件的频发,给企业的信息系统管理人员又敲响了警钟。如何预防运维人员的恶意操作和误操作,是一个企业的信息系统管理人员必须要考虑并且付诸于行动的重要工作。
那到底该如何预防这种恶性事件的发生呢?
“删库跑路”这种事情发生的主要原因多为其运维人员对公司不满,而又恰好掌握着本不属于自己权限范围的系统高权限。
此次案件就是“删库跑路”的典型案例,被告人的公司信息系统管理混乱,刚入职就给了他管理权限,而且没有对高危命令进行严格管控,被告人在进行违法犯罪时,可谓是畅通无阻。
所以,要想预防“删库跑路”事件的发生,就必须进行严格的权限管控,以最小化权限原则去约束每一个运维人员,让其只能在合适的地点、用合适的系统账号、执行合适的命令!
启明星辰集团运维安全网关(堡垒机)是一款针对运维人员实现强身份认证、单点登录、访问控制、安全审计的网络安全必备产品。能够对运维人员实现双因素认证,并对运维过程进行全面跟踪、控制、记录、回放;支持细粒度配置运维人员的访问权限,实时阻断违规、越权的访问行为,同时提供维护人员操作的全过程的记录与报告;系统支持对加密与图形协议进行审计,消除了传统行为审计系统中的审计盲点,是IT系统内部控制最有力的支撑平台。
本次案件中,被告人删除了某核心业务数据库数据,是堡垒机的一个典型防护场景:
1、运维人员需进行双因素认证;
2、防火墙或其他安全设备进行网络限制,仅允许从堡垒机才可访问至核心资产;
3、数据库等系统资源账号密码托管在堡垒机中,堡垒机定期自动改密,运维人员无需知道数据库等系统资源的账号密码;
4、严格控制后台资源的访问权限,做到访问权限最小化原则,给不同运维人员分配最小访问权限;
5、设置数据库等高危操作命令的金库模式,执行高危命令时可触发阻断、二次审批等操作;
6、根据实际情况设置更高级别安全限制,比如登录堡垒机时的IP地址、MAC地址限制,登录堡垒机的时间限制等等。
但随便买台堡垒机就可以解决上述的问题吗?不是的!
多种数据库命令级的操作权限控制是需要对数据库协议有极强的解析能力。这也恰恰体现了一个网络安全企业堡垒机的实力!
启明星辰集团运维安全网关(堡垒机)以数据安全为核心思路,并在部署方式灵活性、操作使用便捷性、管控方式严格性、审计效果精细化、认证方式多样性、运维协议全面性等方面,结合客户业务实际需求,持续优化加强自身产品功能,获得市场与用户的广泛认可,成为值得政企客户信赖的首选品牌。
往期相关文章链接:
京公网安备11010802024551号