不用发送比特币，安华让你的数据库免受勒索（四）

精细运维管控

目前的数据库勒索软件是通过删除数据库登录验证信息的方式限制了用户对数据库的访问请求，这种技术手段还略显笨拙。安华金和预言，今后的数据库勒索软件一定会效仿文件勒索的方式，对数据库表中数据进行类似加密劫持，如果是这种方式的话修复的难度将会大大增加。

因此，安华金和提供更为精细的管控方案，用以应对更为复杂的勒索方式。如果黑客想要达到对数据库表数据篡改，势必会以运维侧为跳板发起攻击，因为运维侧与数据库中间的通道最“宽敞”，这样攻击起来杀伤力最大。因此，如果我们需要对篡改行为进行精确防护，必须要严格把守运维侧与数据库之间这道关。

通过建立运维管控体系，将所有运维行为标准化，在这里我们提出数据库运维行为审批的理念，即所有运维人员如果想操作数据库则必须通过审批。在审批环节中，系统执行“三查一构”：

检查风险威胁：检查审批提交的语句是否包含勒索特征，如果包含则自动退回申请；

检查语法语意：检查审批提交的语句是否存在语法语义错误，从而提高语句执行准确程度；

检查语句执行：检查运维人员执行的语句是否是当时申请的语句，如果不是则禁止执行；

构筑安全模型：随着系统不断的使用，系统将会自动学习从而对SQL语句的执行进行安全建模。

由此，我们通过运维管控体系的建立，关闭传统运维直达数据库的通道，从而拒绝了勒索软件在暗中发送数据库表数据篡改的请求。为保障正常运维行为的执行，需通过标准化的窗口进行运维行为的发起，通过审批环节对提交的语句进行机器智能识别及人工判断的方式，确保提交的语句对数据库无害，进而达到在不影响正常运维的前提下，确保了数据库不被勒索软件篡改的风险。