數(shù)據(jù)庫(kù)服務(wù)器安全

簡(jiǎn)介數(shù)據(jù)庫(kù)服務(wù)器實(shí)際上是每一個(gè)電子交易、金融和企業(yè)資源規(guī)劃（erp）系統(tǒng)的基礎(chǔ)，他還經(jīng)常包括來(lái)自商業(yè)伙伴和客戶的敏感信息。盡管這些系統(tǒng)的數(shù)據(jù)完整性和安全性是相當(dāng)重要的，但對(duì)數(shù)據(jù)庫(kù)采取的安全檢查措施的級(jí)別還比不上操作系統(tǒng)和網(wǎng)絡(luò)的安全檢查措施的級(jí)別。許多因素都可能破壞數(shù)據(jù)的完整性并導(dǎo)致非法訪問(wèn)，這些因素包括復(fù)雜程度、密碼安全性較差、誤設(shè)置、未被察覺(jué)的系統(tǒng)后門及自適應(yīng)數(shù)據(jù)庫(kù)安全方法的強(qiáng)制性常規(guī)使用等。數(shù)據(jù)庫(kù)安全問(wèn)題為什么非常重要？保護(hù)系統(tǒng)敏感信息和數(shù)字資產(chǎn)不受非法訪問(wèn)。所有公司的主要電子數(shù)字資產(chǎn)都存貯在現(xiàn)代的關(guān)系數(shù)據(jù)產(chǎn)品中。商業(yè)機(jī)構(gòu)和政府組織都是利用這些數(shù)據(jù)庫(kù)服務(wù)器得到人事信息，如員工的工資表，醫(yī)療記錄等。因此他們有責(zé)任保護(hù)別人的隱私，并為他們保密。數(shù)據(jù)庫(kù)服務(wù)器還存有以前的和將來(lái)的敏感的金融數(shù)據(jù)，包括貿(mào)易記錄、商業(yè)合同及帳務(wù)數(shù)據(jù)等。象技術(shù)的所有權(quán)、工程數(shù)據(jù)，甚至市場(chǎng)企劃等決策性的機(jī)密信息，必須對(duì)竟?fàn)幷弑Ｃ?，并阻止非法訪問(wèn)，數(shù)據(jù)庫(kù)服務(wù)器還包括周詳?shù)念櫩托畔?，如?cái)務(wù)帳目，信用卡號(hào)及商業(yè)伙伴的信用信息等。數(shù)據(jù)庫(kù)是個(gè)極為復(fù)雜的系統(tǒng)，因此非常難進(jìn)行正確的設(shè)置和安全維護(hù)數(shù)據(jù)庫(kù)服務(wù)器的應(yīng)用相當(dāng)復(fù)雜，掌控起來(lái)非常困難一當(dāng)然竟?fàn)幷呤褂玫牟僮飨到y(tǒng)也是相同的復(fù)雜。諸如oracle、sybase、microsoftsql服務(wù)器都具有以下特征：用戶帳號(hào)及密碼、校驗(yàn)系統(tǒng)、優(yōu)先級(jí)模型和控制數(shù)據(jù)庫(kù)目標(biāo)的特別許可、內(nèi)置式命令（存儲(chǔ)的步驟或包）、唯一的腳本和編程語(yǔ)言（通常為 sql的特別衍生語(yǔ)）、middleware、網(wǎng)絡(luò)協(xié)議、補(bǔ)丁和服務(wù)包、強(qiáng)有力的數(shù)據(jù)庫(kù)管理實(shí)用程式和研發(fā)工具。許多dba都忙于管理復(fù)雜的系統(tǒng)，所以非?？赡軟](méi)有檢查出嚴(yán)重的安全隱患和不當(dāng)?shù)脑O(shè)置，甚至根本沒(méi)有進(jìn)行檢測(cè)。所以，正是由于傳統(tǒng)的安全體系在非常大程度上忽略了數(shù)據(jù)庫(kù)安全這一主題，使數(shù)據(jù)庫(kù)專業(yè)人員也通常沒(méi)有把安全問(wèn)題當(dāng)作他們的首要任務(wù)?！白赃m應(yīng)網(wǎng)絡(luò)安全”的理念一將安全問(wèn)題看作持續(xù)不斷的“工作進(jìn)程”，而不是一次性的檢查一并未被大多數(shù)數(shù)據(jù)庫(kù)管理者所接受。保障數(shù)據(jù)庫(kù)服務(wù)器上的網(wǎng)絡(luò)和操作系統(tǒng)數(shù)據(jù)安全是至關(guān)重要的，但這些措施對(duì)于保護(hù)數(shù)據(jù)庫(kù)服務(wù)器的安全還非常不夠。在許多資深安全專家中普遍存在著一個(gè)錯(cuò)誤概念，他們認(rèn)為：一旦訪問(wèn)并鎖定了關(guān)鍵的網(wǎng)絡(luò)服務(wù)和操作系統(tǒng)的漏洞，服務(wù)器上的所有應(yīng)用程式就得到了安全保障?，F(xiàn)代數(shù)據(jù)庫(kù)系統(tǒng)具有多種特征和性能設(shè)置方式，在使用時(shí)可能會(huì)誤用，或危及數(shù)據(jù)的保密性、有效性和完整性。首先，所有現(xiàn)代關(guān)系型數(shù)據(jù)庫(kù)系統(tǒng)都是“可從端口尋址的”，這意味著所有人只要有合適的查詢工具，就都可和數(shù)據(jù)庫(kù)直接相連，并能躲開(kāi)操作系統(tǒng)的安全機(jī)制。例如：能用tcp/ip協(xié)議從1521和1526端口訪問(wèn)oracle7.3和8數(shù)據(jù)庫(kù)。多數(shù)數(shù)據(jù)庫(kù)系統(tǒng)更有眾所周知的默認(rèn)帳號(hào)和密碼，可支持對(duì)數(shù)據(jù)庫(kù)資源的各級(jí)訪問(wèn)。從這兩個(gè)簡(jiǎn)單的數(shù)據(jù)相結(jié)合，非常多重要的數(shù)據(jù)庫(kù)系統(tǒng)非常可能受到威協(xié)。不幸的是，高水平的入侵者還沒(méi)有停止對(duì)數(shù)據(jù)庫(kù)的攻擊。拙劣的數(shù)據(jù)庫(kù)安全保障設(shè)施不僅會(huì)危及數(shù)據(jù)庫(kù)的安全，還會(huì)影響到服務(wù)器的操作系統(tǒng)和其他信用系統(tǒng)。更有一個(gè)不非常明顯的原因說(shuō)明了確保數(shù)據(jù)庫(kù)安全的重要性一數(shù)據(jù)庫(kù)系統(tǒng)自身可能會(huì)提供危及整個(gè)網(wǎng)絡(luò)體系的機(jī)制。例如，某個(gè)公司可能會(huì)用數(shù)據(jù)庫(kù)服務(wù)器保存所有的技術(shù)手冊(cè)、文件和白皮書的庫(kù)存清單。數(shù)據(jù)庫(kù)里的這些信息并不是特別重要的，所以他的安全優(yōu)先級(jí)別不高。即使運(yùn)行在安全狀況良好的操作系統(tǒng)中，入侵者也可通過(guò)“擴(kuò)展入駐程式”等強(qiáng)有力的內(nèi)置數(shù)據(jù)庫(kù)特征，利用對(duì)數(shù)據(jù)庫(kù)的訪問(wèn)，獲取對(duì)本地操作系統(tǒng)的訪問(wèn)權(quán)限。這些程式能發(fā)出管理員級(jí)的命令，訪問(wèn)基本的操作系統(tǒng)及其全部的資源。如果這個(gè)特定的數(shù)據(jù)庫(kù)系統(tǒng)和其他服務(wù)器有信用關(guān)系，那么入侵者就會(huì)危及整個(gè)網(wǎng)絡(luò)域的安全。數(shù)據(jù)庫(kù)是新型電子交易、企業(yè)資源規(guī)劃（erp）和其他重要商業(yè)系統(tǒng)的基礎(chǔ)。在電子商務(wù)、電子貿(mào)易的著眼點(diǎn)集中于web服務(wù)器、java和其他新技術(shù)的同時(shí)，應(yīng)該記住這些以用戶為導(dǎo)向和企業(yè)對(duì)企業(yè)的系統(tǒng)都是以web服務(wù)器后的關(guān)系數(shù)據(jù)庫(kù)為基礎(chǔ)的。他們的安全直接關(guān)系到系統(tǒng)的有效性、數(shù)據(jù)和交易的完整性、保密性。系統(tǒng)拖延效率欠佳，不僅影響商業(yè)活動(dòng)，還會(huì)影響公司的信譽(yù)。不可避免地，這些系統(tǒng)受到入侵的可能性更大，不過(guò)并未對(duì)商業(yè)伙伴和客戶敏感信息的保密性加以更有效的防范。此外，erp和管理系統(tǒng)，如aspr/3和peoplesoft等，都是建立在相同標(biāo)準(zhǔn)的數(shù)據(jù)庫(kù)系統(tǒng)中。無(wú)人管理的安全漏洞和時(shí)間拖延、系統(tǒng)完整性問(wèn)題和客戶信任等有直接的關(guān)系。我需要尋找哪此類型的安全漏洞呢？傳統(tǒng)的數(shù)據(jù)庫(kù)安全系統(tǒng)只側(cè)重于以下幾項(xiàng)：用戶帳戶、作用和對(duì)特定數(shù)據(jù)庫(kù)目標(biāo)的操作許可。例如，對(duì)表單和存儲(chǔ)步驟的訪問(wèn)。必須對(duì)數(shù)據(jù)庫(kù)系統(tǒng)做范圍更廣的完全安全分析，找出所有可能領(lǐng)域內(nèi)的潛在漏洞，包括以下提到的各項(xiàng)內(nèi)容。和銷售商提供的軟件相關(guān)的風(fēng)險(xiǎn)一軟件的bug、缺少操作系統(tǒng)補(bǔ)丁、脆弱的服務(wù)和選擇不安全的默認(rèn)設(shè)置。和管理有關(guān)的風(fēng)險(xiǎn)一可用的但并未正確使用的安全選項(xiàng)、危險(xiǎn)的默認(rèn)設(shè)置、給用戶更多的不適當(dāng)?shù)臋?quán)限，對(duì)系統(tǒng)設(shè)置的未經(jīng)授權(quán)的改動(dòng)。和用戶活動(dòng)有關(guān)的風(fēng)險(xiǎn)一密碼長(zhǎng)度不夠、對(duì)重要數(shù)據(jù)的非法訪問(wèn)及竊取數(shù)據(jù)庫(kù)內(nèi)容等惡意行動(dòng)。以上各類危險(xiǎn)都可能發(fā)生在網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)或數(shù)據(jù)庫(kù)自身當(dāng)中。對(duì)數(shù)據(jù)庫(kù)服務(wù)器進(jìn)行安全保護(hù)時(shí)，都應(yīng)將這些因素考慮在內(nèi)。數(shù)據(jù)庫(kù)安全一漏洞區(qū)域及示例在重要數(shù)據(jù)庫(kù)服務(wù)器中，還存在著多種數(shù)據(jù)庫(kù)服務(wù)器的漏洞和錯(cuò)誤設(shè)置。下面列出了幾個(gè)實(shí)例。安全特征不夠成熟一絕大多數(shù)常用的關(guān)系數(shù)據(jù)庫(kù)系統(tǒng)已存在了十多年之久，并且具有強(qiáng)大的特性，產(chǎn)品非常成熟。但不幸的是，it及安全專業(yè)人士認(rèn)為理所當(dāng)然應(yīng)該具有的許多特征，在操作系統(tǒng)和目前普遍使用的數(shù)據(jù)庫(kù)系統(tǒng)中，并沒(méi)有提供。非內(nèi)建式數(shù)據(jù)庫(kù)標(biāo)準(zhǔn)安全性能mssqlserversybaseoracle 7oracle8帳戶鎖定設(shè)備no nonoyes重命名管理帳戶no nonono需求嚴(yán)密的口 令no nonoyes陳舊的帳戶no nonono密碼失效no yesnoyes登錄時(shí)間限制nononono例如，上表列出了大多數(shù)it專業(yè)人士期望或需求操作系統(tǒng)所應(yīng)具有的特性，但在數(shù)據(jù)庫(kù)服務(wù)器的標(biāo)準(zhǔn)安全設(shè)施中并未出現(xiàn)。由于這些數(shù)據(jù)庫(kù)都可進(jìn)行端口尋址的，操作系統(tǒng)的核心安全機(jī)制并未應(yīng)用到和網(wǎng)絡(luò)直接聯(lián)接的數(shù)據(jù)庫(kù)中。一些產(chǎn)品，例如microsoftsqlserver,都可利用功能更加強(qiáng)大的windowsnt安全機(jī)制去發(fā)現(xiàn)上面提到的安全漏洞。不過(guò)，考慮到兼容性問(wèn)題（運(yùn)行環(huán)境并不全是windowsnt），所以大多數(shù)依然執(zhí)行mssqlserver的安全標(biāo)準(zhǔn)。而實(shí)施則是另外一回事了。如果公司實(shí)用的是oracle8,管理員怎么能知道是否真地實(shí)施了安全特性？是否一直在全公司中得到實(shí)施？這幾項(xiàng)特性相結(jié)合，使得和之相關(guān)的問(wèn)題更加嚴(yán)峻。由于系統(tǒng)管理員的帳號(hào)是不能重命名的（sql和sybase是“sa”，對(duì)于oracle是“system”和“sys”），如果沒(méi)有密碼封鎖可用或已設(shè)置完畢，入侵者就能對(duì)數(shù)據(jù)庫(kù)服務(wù)器發(fā)動(dòng)強(qiáng)大字典式登錄進(jìn)攻，最終能破解密碼，有什么能夠擋住他們對(duì)服務(wù)器耐心，持久的高水平攻擊呢？數(shù)據(jù)庫(kù)密碼的管理一在多數(shù)數(shù)據(jù)庫(kù)系統(tǒng)提供的安全標(biāo)準(zhǔn)中，沒(méi)有所有機(jī)制能夠確保某個(gè)用戶正在選擇有力的一或任意的一密碼。這一基本的安全問(wèn)題需要細(xì)心的監(jiān)督。此外還需要對(duì)全部密碼列表進(jìn)行管理和安全檢查。例如，oracle數(shù)據(jù)庫(kù)系統(tǒng)具有十個(gè)以上地特定地默認(rèn)用戶帳號(hào)和密碼，此外更有用于管理重要數(shù)據(jù)庫(kù)操作的唯一密碼，如對(duì)oracle數(shù)據(jù)庫(kù)開(kāi)機(jī)程式的管理、訪問(wèn)網(wǎng)絡(luò)的聽(tīng)眾過(guò)程及遠(yuǎn)程訪問(wèn)數(shù)據(jù)庫(kù)的權(quán)限等。如果安全出現(xiàn)了問(wèn)題，這些系統(tǒng)的許多密碼都可讓入侵者對(duì)數(shù)據(jù)庫(kù)進(jìn)行完全訪問(wèn)，這些密碼甚至還被存儲(chǔ)在操作系統(tǒng)的普通文本文件里。下面有幾個(gè)示例：oracleinternal密碼一oracle內(nèi)部密碼存放在文件名為“strxxx.cmd”的文本文件中，xxx是oracle系統(tǒng)的id或sid，默認(rèn)值為“orcl”。用在oracle數(shù)據(jù)庫(kù)的啟動(dòng)過(guò)程中，要用到oracleinternet密碼，具有隨意訪問(wèn)數(shù)據(jù)庫(kù)資源的權(quán)力。這個(gè)文件應(yīng)妥善保管，以用于基于windowsnt的oracle程式。oracle監(jiān)聽(tīng)程式過(guò)程密碼一用于起動(dòng)并停止oracle監(jiān)聽(tīng)程式過(guò)程的密碼，該過(guò)程可將所有的新業(yè)務(wù)路由到系統(tǒng)上合適的oracle例子中，需選擇一個(gè)保密性強(qiáng)的密碼替換系統(tǒng)的默認(rèn)值，使用許可必須在“l(fā)istener.ora”文件中得到保護(hù)，該文件存貯了oracle所有的使用密碼。對(duì)密碼的不當(dāng)訪問(wèn)可能會(huì)使入侵者對(duì)基于oracle的電子交易站點(diǎn)進(jìn)行拒絕服務(wù)攻擊。oracle內(nèi)部密碼一“orapw”文件許可控制一oracle內(nèi)部密碼和由sysdba授權(quán)的帳號(hào)密碼存貯在“orapw”文本文件中。盡管文件已被加密，但在oracle的unix和windowsnt的程式中，還是要限制該文件的使用權(quán)限。如果該文件被訪問(wèn)，那么遭解密的文件非常容易遭到強(qiáng)有力的攻擊。這些例子說(shuō)明了管理員、系統(tǒng)密碼和帳號(hào)是何等的重要，他們都可能會(huì)遭到意想不到的攻擊方法的攻擊。注意密碼管理問(wèn)題決不僅限于oracle數(shù)據(jù)庫(kù)，幾乎所有主要數(shù)據(jù)庫(kù)提供商的產(chǎn)品都有這種問(wèn)題。操作系統(tǒng)的后門一許多數(shù)據(jù)庫(kù)系統(tǒng)的特征參數(shù)盡管方便了dba，但也為數(shù)據(jù)庫(kù)服務(wù)器主機(jī)操作系統(tǒng)留下了后門。如上所述，對(duì)sybase或sql服務(wù)器的“sa”密碼造成危害的入侵者有可能利用“擴(kuò)展入駐程式”，得到基本操作系統(tǒng)的使用權(quán)限。以“sa”的身份登錄，入侵者使用擴(kuò)展入駐程式xp?cmdshell，該程式允許sybase或sql服務(wù)器的用戶運(yùn)行系統(tǒng)指令，就象該用戶在服務(wù)器控制臺(tái)上運(yùn)行指令相同。例如，可實(shí)用下列 sql指令添加一個(gè)windowsnt帳號(hào)，帳號(hào)名為“hackerl”，密碼為“nopassoword”，并把“hackerl”添加到“administrators”組：xp-cmdshell 'net user hackerl nopassword/add'goxp-comdshell 'net localgroup/add administrators hackerl'go目前這個(gè)非法入侵者就成了windowsnt的管理員了（我們只能祈禱這個(gè)sql服務(wù)器不是域控制器）。這個(gè)簡(jiǎn)單的攻擊之所以成功，是因?yàn)槊畋惶峤唤o實(shí)用windowsnt帳號(hào)的操作系統(tǒng)，而mssqlserver的服務(wù)就運(yùn)行在這個(gè)帳號(hào)下。在默認(rèn)情況下，這個(gè)帳號(hào)就是“l(fā)ocalsystem”帳號(hào)---本地windowsnt系統(tǒng)中最有效力的帳號(hào)。另一個(gè)途徑是黑客可能使用sql服務(wù)器，利用入駐程式xp-regread從注冊(cè)表中讀出加密的windowsntsam密碼，對(duì)操作系統(tǒng)的安全造成威脅。由于有幾種免費(fèi)的 windowsnt密碼攻擊器軟件，因此保管好加密的windowsnt密碼的安全變得格外重要。以下例子說(shuō)明了入侵者是怎樣得到信息的：xp-regread'hkey?local?machine','securitysamdomainsaccount','f'注意，從注冊(cè)表中讀出加密密碼是一件本地windowsnt管理員帳號(hào)都無(wú)法做到的事。sql服務(wù)器之所以能夠做到，是因?yàn)槟J(rèn)方式運(yùn)行的sql服務(wù)使用的恰恰就是“l(fā)ocalsystem”帳號(hào)。oracle數(shù)據(jù)庫(kù)系統(tǒng)還具有非常多有用的特征，可用于對(duì)操作系統(tǒng)自帶文件系統(tǒng)的直接訪問(wèn)。例如在合法訪問(wèn)時(shí)，utl_file軟件包允許用戶向主機(jī)操作系統(tǒng)進(jìn)行讀寫文件的操作。utl_file_dir簡(jiǎn)檔變量非常容易設(shè)置錯(cuò)誤，或被故意設(shè)置為允許oracle用戶用utl_file軟件包在文件系統(tǒng)的所有地方進(jìn)行寫入操作，這樣也對(duì)主機(jī)操作系統(tǒng)構(gòu)成了潛在的威脅。校驗(yàn)一關(guān)系數(shù)據(jù)庫(kù)系統(tǒng)的校驗(yàn)系統(tǒng)能記錄下信息和事件，從基本情況到任一細(xì)節(jié)，無(wú)一遺漏。不過(guò)校驗(yàn)系統(tǒng)只在合理使用和設(shè)置的前提下，才能提供有用的安全防范和警告信息。當(dāng)入侵者正在試圖侵入特定的數(shù)據(jù)庫(kù)服務(wù)器時(shí)，這些特征可及早給出警告信息，為檢測(cè)和彌補(bǔ)損失提供了寶貴的線索。特洛伊木馬程式一盡管人們知道操作系統(tǒng)中的特洛伊木馬程式已有好幾年了，不過(guò)數(shù)據(jù)庫(kù)管理員還需注意到木馬程式帶給系統(tǒng)入駐程式的威脅。一個(gè)著名的特洛伊木馬程式修改了入駐程式的密碼，并且當(dāng)更新密碼時(shí)，入侵者能得到新的密碼。例如，某個(gè)個(gè)人能在sp?password系統(tǒng)入駐程式中添加幾行命令，