SQL安全基线是围绕数据资产价值、攻击路径与运维现实三者交集构建的系统性防线,聚焦连接控制、查询行为控制、变更管控、审计留存四类刚性控制点,并嵌入研发运维闭环及灰度验证机制。
SQL安全基线不是简单罗列几条“禁止明文密码”或“开启审计”,而是围绕数据资产价值、攻击路径、运维现实三者交集,系统性划定数据库必须守住的底线。核心是:让高危行为可识别、可拦截、可追溯,且不因过度限制影响业务连续性。
明确资产分级与风险映射
先对数据库实例、库、表、字段做分级(如:核心交易库>用户信息库>日志库>测试库),再逐级匹配威胁场景。例如:核心库必须禁用SELECT *跨表查询、禁止应用直连生产库、敏感字段强制加密存储;而日志库可放宽SQL注入防护强度,但需保留完整执行日志。
- 字段级打标:用注释或元数据标记身份证、手机号、银行卡等敏感字段,基线规则自动关联这些标签触发检查
- 动态调整机制:当某张表被新增为风控模型训练源,自动将其提升至“高敏”等级,基线策略同步升级
聚焦四类刚性控制点
不追求全覆盖,只死守攻击链中最易得手、后果最严重的环节:
- 连接控制:仅允许可信IP段+指定账号+SSL加密连接;禁用root/SA等默认超级账号远程登录;应用账号按最小权限原则分配,禁止授予DROP TABLE、CREATE USER等DDL/DCL权限
- 查询行为控制:在数据库代理层或WAF侧拦截典型高危语法(如UNION SELECT、EXEC xp_cmdshell、sleep(5));对单次查询返回行数、执行时长设硬阈值(如>10万行或>30秒自动终止)
- 变更管控:所有结构变更(ALTER、DROP、CREATE)必须经审批流程,由DBA通过专用工单系统执行;禁止开发人员直接操作生产库schema
- 审计留存:开启全量SQL审计(含绑定变量值),日志保留≥180天;关键操作(如删库、删表、权限变更)实时告警并同步推送至SOC平台
嵌入研发与运维闭环
基线不能只贴在墙上。需把检查能力下沉到具体环节:
- CI/CD流水线中集成SQL静态扫描(如检测未参数化的拼接语句、硬编码凭证),失败则阻断发布
- 数据库部署模板(Terraform/Ansible)内置基线配置项(如log_statement = 'all'、password_encryption = on),新实例自动达标
- 定期执行基线自检脚本(如检查是否存在空密码账号、是否关闭多余监听端口),结果接入ITSM生成整改工单
建立灰度验证与豁免机制
允许业务合理性例外,但必须受控:
- 临时豁免需填写电子申请单,注明原因、有效期、替代补偿措施(如加白名单IP、限定操作时段),经安全+DBA双审批
- 所有豁免自动进入监控看板,超期未关闭则强制恢复基线或触发复核
- 新基线版本上线前,在非核心库做72小时灰度验证,对比性能损耗、误报率、告警有效性
