數(shù)據(jù)庫訪問控制安全中間件白皮書

1、數(shù)據(jù)庫安全訪問中間件數(shù)據(jù)庫安全訪問中間件 技術(shù)白皮書技術(shù)白皮書 目目 錄錄 1.產(chǎn)品簡介.1 2.產(chǎn)品安全特性.2 3.性能與易用性.6 4.產(chǎn)品體系結(jié)構(gòu).7 5.部署方案.9 6.支持平臺.12 7.性能測試數(shù)據(jù).13 1. 產(chǎn)品簡介產(chǎn)品簡介 隨著計算機技術(shù)的飛速發(fā)展，數(shù)據(jù)庫的應用十分廣泛，深 入到各個領(lǐng)域。但隨之而來產(chǎn)生了數(shù)據(jù)的安全問題。數(shù)據(jù)庫系 統(tǒng)作為信息的聚集體，是計算機信息系統(tǒng)的核心部件，其安全 性至關(guān)重要。小則關(guān)系到企業(yè)興衰、大則關(guān)系到國家安全。 在涉密單位或者大型企業(yè)中，廣泛的實施了安全防護措施， 包括機房安全、物理隔離、防火墻、入侵檢測、加密傳輸身份 認證系統(tǒng)等等。但是數(shù)據(jù)庫的

2、安全問題卻一直得不到應有的重 視。同時，之前的市場上也缺乏有效的數(shù)據(jù)庫安全增強產(chǎn)品。 這就致使數(shù)據(jù)庫及其應用系統(tǒng)在安全方面普遍存在一些安全隱 患。其中比較嚴峻的幾個方面表現(xiàn)在： （1）由于國內(nèi)只能購買到 c2 安全級別的數(shù)據(jù)庫安全系統(tǒng)，該類 系統(tǒng)采用自主訪問控制（dac）模式，dba 角色能擁有至高的 權(quán)限，權(quán)限可以不受限制的傳播。這就使得獲取 dba 角色的權(quán) 限成為攻擊者的目標。一旦攻擊者獲得 dba 角色的權(quán)限，數(shù)據(jù) 庫將對其徹底暴露，毫無任何安全性可言。 （2）數(shù)據(jù)庫系統(tǒng)是一個復雜的系統(tǒng)，根據(jù)已經(jīng)公布的資料， 數(shù)據(jù)庫存在許多漏洞，其中不少是致命的缺陷和漏洞。舉例來 說，號稱擁有全球最安

3、全的數(shù)據(jù)庫產(chǎn)品的 oracle 公司在 2006 年 1 月發(fā)布了其季度安全補丁包，該補丁包修補了多個產(chǎn)品中 的 80 多個漏洞。其中不少漏洞可以非常容易地被黑客利用， 一旦遭到攻擊將給用戶造成嚴重影響。 （3）數(shù)據(jù)庫及其應用系統(tǒng)每天都可能受到包括 sql 注入攻 擊在內(nèi)的廣泛的攻擊。攻擊者利用應用程序設(shè)計中的漏洞，對 數(shù)據(jù)庫系統(tǒng)發(fā)起攻擊，獲得不應該具有的權(quán)限，甚至下載整個 數(shù)據(jù)庫文件，給數(shù)據(jù)庫的安全造成嚴重威脅。 （4）c2 級數(shù)據(jù)庫采用基于口令的認證方式。本身缺乏有效 的登錄口令管理機制，口令更換周期長，使用復雜口令很困難， 口令泄露的風險大。 由于 c2 級商業(yè)數(shù)據(jù)庫管理系統(tǒng)在上述各個安

4、全方面的不可 信，攻擊者可能通過非正常途徑來訪問數(shù)據(jù)庫，破壞系統(tǒng)的安 全性。 為增強數(shù)據(jù)庫系統(tǒng)的安全，本產(chǎn)品在應用系統(tǒng)和數(shù)據(jù)庫之 間增加一個透明中間件，來屏蔽數(shù)據(jù)庫系統(tǒng)的訪問入口。所有 用戶，包括 dba，必須通過中間件才能對數(shù)據(jù)庫進行訪問或管 理。中間件提供透明代理、多重安全認證、完全獨立的授權(quán)管 理、動態(tài)密碼（輔助登錄）等功能，達到牢牢控制數(shù)據(jù)庫入口 的目的。 2. 產(chǎn)品安全特性產(chǎn)品安全特性 1、屏蔽用戶和應用程序直接訪問數(shù)據(jù)庫所有通道和隱通道 部署中間件之前，應用服務器和用戶直接連接到數(shù)據(jù)庫服 務器，如下圖所示： 數(shù)據(jù)庫服務器 數(shù)據(jù)庫 應用服務器 數(shù)據(jù)庫管理界面 直接訪問 用戶 由于數(shù)據(jù)

5、庫服務器直接與用戶和應用服務器連接并提供服 務，極易受到形形色色的攻擊。并且數(shù)據(jù)庫系統(tǒng)存在的未知的 隱通道，也很容易被攻擊者利用。 數(shù)據(jù)庫服務器通常采用默認的端口，比如 oracle 的 1521 端 口，sql server 的 1433 端口。攻擊者可以輕易的掃描這些 端口，得知數(shù)據(jù)庫的類型，進而進行攻擊。 部署中間件之后，中間件介于數(shù)據(jù)庫服務器和應用服務器 之間，如下圖所示： 數(shù)據(jù)庫服務器 數(shù)據(jù)庫 應用服務器 數(shù)據(jù)庫管理界面 用戶 數(shù)據(jù)庫安 全中間件 直接連接 數(shù)據(jù)庫服務器與應用程序之間通過中間件進行隔離。所有 對數(shù)據(jù)庫的訪問都必須經(jīng)過中間件進行。各種隱通道也相應被 屏蔽，不會被攻擊者直

6、接利用。 中間件提供的端口映射功能，隱藏實際的數(shù)據(jù)庫端口，使 得對外提供的服務端口可以是任意空閑的端口，不再是缺省端 口，攻擊者難以得知數(shù)據(jù)庫端口的所在。 2、應用軟件到數(shù)據(jù)庫的訪問經(jīng)過二次認證和獨立權(quán)限檢查 在部署中間件以前，由于數(shù)據(jù)庫直接與應用程序進行連接， 且只能通過口令進行認證，數(shù)據(jù)庫極易受到假冒用戶的連接和 惡意的攻擊。 由于 dba 角色具有超級權(quán)限，當惡意攻擊者將自己的角色 提高到 dba 時，整個數(shù)據(jù)庫將完全被其操縱。應用服務器也極 易在類似 sql 注入攻擊的過程中，成為攻擊者的跳板。 部署中間件之后，應用程序?qū)?shù)據(jù)庫的訪問，必須經(jīng)過中 間件和數(shù)據(jù)庫系統(tǒng)兩層身份認證和權(quán)限檢查

7、。 中間件使用 ip 地址、mac 地址、以及硬盤序列號、主板 序列號等多種計算機系統(tǒng)的特征，結(jié)合證書的驗證方式，確保 訪問來源的真實性，杜絕 ip 地址欺騙和假冒用戶的連接。 中間件提供與數(shù)據(jù)庫系統(tǒng)完全獨立的授權(quán)檢查，對每個 ip 來源上的每一個用戶單獨進行權(quán)限控制。權(quán)限的控制可以精確 到表一級。就算攻擊者成功攻陷應用服務器，并將角色提高到 dba 也是徒勞。由于有中間件提供了獨立的權(quán)限管理，攻擊者 仍然只能獲得受限的權(quán)限，不能獲取 dba 的特權(quán)。從而有效的 遏制了越權(quán)訪問、sql 注入攻擊、存儲過程非法使用等攻擊類 型。 3、動態(tài)口令 為解決管理員登錄口令管理困難的問題，中間件提供動態(tài)

8、口令功能。管理員可以將登錄口令交給中間件托管，在每次需 要登錄的時候，通過動態(tài)密碼客戶端獲取當前登錄口令。服務 器端在每次響應口令請求之后，自動更換登錄口令，使之前的 口令作廢。這樣，管理員不必擔心口令泄露的問題。因為即使 得到的口令不小心被泄露，也不會威脅到數(shù)據(jù)庫，因為真正的 登錄口令已經(jīng)被改變。 口令客戶端和服務器端通過 ssl 加密連接，確保網(wǎng)絡(luò)傳輸 的安全。動態(tài)口令采用硬件隨機數(shù)發(fā)生器生成，具有很高的強 度。 口令客戶端同樣采用證書的驗證方式，結(jié)合 ip 地址、mac 地址、以及硬盤序列號、主板序列號等多種計算機系統(tǒng)的特征， 確保訪問來源的真實性，杜絕假冒用戶的連接。 對于采用 usb

9、 key 進行身份認證的應用環(huán)境，中間件能 夠與現(xiàn)有身份認證系統(tǒng)結(jié)合，將 usb key 與數(shù)據(jù)庫用戶進行 綁定。 4、高度的網(wǎng)絡(luò)安全 中間件服務器端和客戶端之間的數(shù)據(jù)傳輸采用 ssl 加密傳 輸方式，包括動態(tài)口令在內(nèi)的敏感數(shù)據(jù)不以明文的方式進行傳 送。 本地配置文件和審計文件進行加密存儲，加密算法和密碼 由硬件設(shè)備提供。 5、完善的系統(tǒng)審計功能 系統(tǒng)能夠?qū)徲媮碜悦總€應用服務器的訪問情況。包括請求 的數(shù)據(jù)庫，連接的時間，連接斷開的時間，通信量大小等信息。 強制審計每次非法進入數(shù)據(jù)庫系統(tǒng)的企圖，以及每次非法 越權(quán)訪問的企圖。 審計信息加密存儲，任何人不可修改審計記錄。 3. 性能與易用性性能與易

10、用性 1、使用多線程技術(shù)和緩存技術(shù)，支持來自多個應用系統(tǒng)的 并發(fā)連接。 2、透明中間件的加入，對系統(tǒng)的效率不會造成明顯的影響。 3、中間件支持 tcp/ip 和 ssl 傳輸協(xié)議，支持多種網(wǎng)絡(luò)環(huán) 境。 4、中間件支持 oci、odbc、jdbc 等多種連接方式。 5、采用標準的 windows 界面，方便用戶的學習和使用。 6、現(xiàn)有應用程序與透明中間件之間可以無縫連接，部署和 配置過程非常簡單、不需要對現(xiàn)有的應用系統(tǒng)進行更改。 7、可以靈活的對每個客戶端的訪問權(quán)限進行配置?？梢赃x 擇全部放行、到數(shù)據(jù)庫級別、模式級別、表級別的權(quán)限控制。 還可以對存儲過程和函數(shù)的調(diào)用權(quán)限進行控制。 8、可以配置審

11、計的內(nèi)容。對重要的事件，系統(tǒng)進行強制審 計。用戶也可以選擇對常規(guī)操作進行審計。 9、服務器端和客戶端可以分別部署于 windows 或 linux 平臺，用戶界面完全一致。 4. 產(chǎn)品體系結(jié)構(gòu)產(chǎn)品體系結(jié)構(gòu) 本產(chǎn)品的體系結(jié)構(gòu)如下圖所示。 透透明明 代代理理 輔輔助助登登 陸陸 中中 間間 件件 服服 務務 器器 證證書書管管理理 ca 權(quán)權(quán)限限檢檢驗驗 數(shù)數(shù)字字證證書書 數(shù)數(shù)字字證證書書 操操作作數(shù)數(shù)據(jù)據(jù)流流 數(shù) 據(jù) 庫 數(shù)數(shù)據(jù)據(jù)庫庫操操作作 管管理理員員登登陸陸 中中 間間 件件 客客 戶戶 端端 透透明明 代代理理 證證書書管管 理理 權(quán)權(quán) 限限 檢檢 驗驗 操操作作數(shù)數(shù) 據(jù)據(jù)流流 應應用用

12、程程序序 數(shù)數(shù)據(jù)據(jù)庫庫操操作作 數(shù)數(shù)字字證證書書 輔輔助助登登陸陸 登登陸陸數(shù)數(shù)據(jù)據(jù)庫庫 管管理理員員 數(shù)數(shù)字字證證書書 ssl ssl（可可關(guān)關(guān)閉閉） 審審 計計 審審計計 如上圖所示，產(chǎn)品包括中間件服務器端和中間件客戶端。 服務器端連接到數(shù)據(jù)庫服務器，客戶端直接與用戶或者應用程 序連接。服務器端與客戶端通過 ssl 加密通道進行連接。 權(quán)限檢驗模塊根據(jù)定制的安全策略，對提交到數(shù)據(jù)庫的訪 問進行權(quán)限檢驗。將 ip 地址和數(shù)據(jù)庫的用戶名綁定起來作為一 個被授權(quán)的對象。服務器端的權(quán)限管理包括 ip 地址、用戶名、 數(shù)據(jù)庫名、模式名、表、視圖、函數(shù)、存儲過程等?？蛻舳说?權(quán)限管理只包括 ip 地址

13、、用戶名和數(shù)據(jù)庫名。權(quán)限管理可以被 設(shè)置為全部放行，這時候中間件作為一個虛擬數(shù)據(jù)庫，將真實 數(shù)據(jù)庫和應用程序隔離，屏蔽其余的訪問通道。 透明代理模塊實現(xiàn)一個虛擬的數(shù)據(jù)庫，將真實的數(shù)據(jù)庫服 務器 ip 和端口屏蔽起來，并將應用程序和數(shù)據(jù)庫服務器隔離開， 工作方式很類似于防火墻。該模塊允許設(shè)置服務器和客戶端的 加密傳輸方式，真實數(shù)據(jù)庫服務器的 ip 和端口，連接超時等選 項。 輔助登錄模塊實現(xiàn)登錄口令的管理。管理員可以將登錄的 口令安全的托管起來，實現(xiàn)當前登錄口令的自動獲取和自動更 改。所有口令進行加密保存，加密算法在 usb key 內(nèi)由硬件 實現(xiàn)，加密密鑰不出 key?？梢苑奖愕奶砑佑脩簦瑢崿F(xiàn)

14、多用戶 的管理，可以配置自動更改密碼的時間。 證書管理模塊實現(xiàn)基于證書的客戶端認證，以及 ssl 的加 密傳輸。服務器端具有 ca 證書中心的功能，可以為客戶端頒 發(fā)證書，建立認證體系。證書中將計算機系統(tǒng)的硬件信息進行 綁定，以保證數(shù)據(jù)來源的真實性。 審計模塊實現(xiàn)審計功能。審計方式包括強制審計和對常規(guī) 操作的審計。強制審計只審計諸如數(shù)據(jù)庫連接、越權(quán)訪問、不 在授權(quán) ip 地址范圍內(nèi)的連接請求等。對常規(guī)操作的審計則包括 對所有 sql 語句的審計。審計信息也進行加密保存，任何用戶 只能查看，不能修改。 5. 部署方案部署方案 本產(chǎn)品的部署具有很大的靈活性，可以根據(jù)實際情況，進 行多種選擇。以下為

15、幾種典型的部署方案。 1、僅部署中間件服務器，與數(shù)據(jù)庫服務器共用同一服務器 客客戶戶機機 客客戶戶機機 客客戶戶機機 數(shù)據(jù)庫服務器 中間件 服務器 端 如上圖所示，中間件作為一個獨立的服務，部署于數(shù)據(jù)庫 服務器上，客戶端與中間件服務程序進行連接。將服務器的監(jiān) 聽服務設(shè)置為只接受來自本機的 ip，屏蔽訪問通道。 這種部署方式不具有加密傳輸?shù)陌踩匦裕m合于已有較 高安全防護等級的內(nèi)網(wǎng)使用。當交換的數(shù)據(jù)量很大的情況下， 會對數(shù)據(jù)庫服務器的性能造成影響。 2、僅部署中間件服務器，中間件服務器與數(shù)據(jù)庫服務器獨 立 客客戶戶機機 客客戶戶機機 客客戶戶機機 數(shù)數(shù)據(jù)據(jù)庫庫服服務務器器 中中間間件件服服務務

16、器器 如上圖所示，中間件被部署在一個獨立的服務器上面，客 戶端與中間件服務器連接。將服務器的監(jiān)聽服務設(shè)置為只接受 來自中間件服務器的 ip，屏蔽訪問通道。 這種部署方式不具有加密傳輸?shù)陌踩匦?，適合于已有較 高安全防護等級的內(nèi)網(wǎng)使用。當交換的數(shù)據(jù)量很大的情況下， 不會對數(shù)據(jù)庫服務器的性能造成影響，而且可以擴展到多中間 件到多數(shù)據(jù)庫服務器的多對多映射，實現(xiàn)負載的分攤。 3、同時部署服務器和客戶端 中中間間件件客客戶戶端端應 應用用程程序序 中中間間件件客客戶戶端端應應用用程程序序 中中間間件件客客戶戶端端應應用用程程序序 數(shù)數(shù)據(jù)據(jù)庫庫服服務務器器 中中間間件件服服務務器器 如上圖所示，中間件被部

17、署在數(shù)據(jù)庫服務器上或者獨立的 服務器上，連接到數(shù)據(jù)庫服務器?？蛻舳瞬渴鹪趹梅掌魃?或者獨立的服務器上，連接到應用程序。將服務器的監(jiān)聽服務 設(shè)置為只接受來自中間件服務器的 ip，屏蔽訪問通道。 這種部署方式具有加密傳輸?shù)陌踩匦裕m合于現(xiàn)有安全 防護等級較低的網(wǎng)絡(luò)環(huán)境中使用。尤其適合于應用程序和數(shù)據(jù) 庫服務器分屬于不同的機房和樓宇的情況。并可以根據(jù)業(yè)務數(shù) 據(jù)量的大小，考慮是否使用獨立的中間件服務器，也可以擴展 到多中間件到多數(shù)據(jù)庫服務器的多對多映射，實現(xiàn)負載的分攤。 6. 支持平臺支持平臺 支持的操作系統(tǒng) windows 2000, xp, 2003 linux solaris，hp-uni

18、x aix 服務器端和客戶端可以選擇不同的操作系統(tǒng)平臺 支持的數(shù)據(jù)庫 oracle 8.1.7，oracle 9i，oracle 10g microsoft sql server 2000 ibm db2 7. 性能測試數(shù)據(jù)性能測試數(shù)據(jù) 測試用例如下： 虛擬用戶數(shù) 50，分別進行 insert、select、delete 操 作。記錄每個操作和每個事務的時間特性。運行環(huán)境為 windows xp。 分別對比測試以下四種部署方案： 不配置中間件 只配置服務器：中間件和服務器部署于同一服務器 集成配置關(guān)閉 ssl：部署服務器端和客戶端，中間件和 服務器處于同一服務器，客戶端同應用服務器處于同一 服務器，不啟用 ssl 集成配置啟用 ssl：啟用 ssl，其余同上一配置 對比測試結(jié)果 (