治理思路：首先在數據庫管理上盡量做到一個賬号一個用戶，其次，如果實際情況确實存在賬号共用，主機用戶通過(guò)工具訪問數據庫的行爲必須先使用主賬号登錄，然後(hòu)才能(néng)使用從賬号即數據庫賬号運維數據庫，從而确保每一次的數據庫操作都(dōu)與實際用戶關聯，最終解決賬号共用時操作無法定位責任人的問題與賬号濫用問題，但此時并不能(néng)阻斷數據庫運維的非法SQL語句命令。

治理思路:從管理上應避免直接登錄操作系統進(jìn)行數據庫操作，日常維護數據庫的宿主機必須要先通過(guò)帕拉迪統一安全管理與運維審計系統SMS，而對(duì)于安裝在LINUX主機上的數據庫，通過(guò)SMS對(duì)關鍵操作設置SQL語句控制，避免誤操作或者惡意操作，确保整個過(guò)程可審計可監控。

風險三：賬号權限過(guò)大，數據庫權限濫用，訪問行爲不可控，無法判斷訪問行爲是否合法。

治理思路：通過(guò)部署帕拉迪數據庫安全運維寶DIM，實現運維數據庫權限治理、阻斷自然人數據庫賬号非法SQL行爲、實現高權限行爲回收、确保運維數據不落地、自定義敏感操作、對(duì)訪問敏感業務數據庫表實現自動脫敏，從而在不影響此賬号的運維工作的同時，又可防止此賬号權限過(guò)大，造成(chéng)數據篡改、數據洩漏的風險。

四、安全風險應對(duì)建議

安全建設應根據用戶實際情況分析客戶面(miàn)臨的安全威脅的利害性，應本著(zhe)先處置高風險，後(hòu)處置或暫時不處置低風險的原則，進(jìn)行相應的數據庫安全方案建設。從數據庫安全運維管理的角度來思考，運維人員需要對(duì)所有的數據庫操作從業務層面(miàn)和運維層面(miàn)進(jìn)行防護，結合産品和技術輔佐數據庫安全運維管理，最終實現數據庫安全有效管理。

情況一:業務系統爲内網系統，運維人員多，業務系統多

此時直接訪問數據庫的行爲帶來的風險較高。綜合考慮，可采用帕拉迪如下治理方案進(jìn)行相應的安全運維建設：

【據庫安全運維寶DIM+下一代WEB應用防火牆NGWAF】

情況二:業務系統爲在外網系統，運維人員多，業務系統多

此時應用訪問數據庫的風險和使用工具訪問數據庫的行爲帶來的風險都(dōu)較高。綜合考慮，可采用帕拉迪如下治理方案進(jìn)行相應的安全運維建設：

【據庫安全運維寶DIM+數據庫準入防火牆DAF+下一代WEB應用防火牆NGWAF】

情況三:基于當前數據庫整體安全的考慮，建議從運維層到業務層進(jìn)行全面(miàn)的防禦操作

基于當前數據庫整體安全的考慮，建議從運維層到業務層進(jìn)行全面(miàn)的防禦操作。此時可采用帕拉迪如下綜合治理方案進(jìn)行相應的安全運維建設：

【據庫安全運維寶DIM+下一代WEB應用防火牆NGWAF+下一代數據庫應用防禦系統NGDAP】

結語：

當和客戶探讨數據庫安全風險應對(duì)的思路時，建議按照以上不同的場景提供相對(duì)應的解決方案，确保最大力度地將(jiāng)數據安全風險降到最低。