數(shù)據(jù)庫安全風(fēng)險分析和解決方案

數(shù)據(jù)庫安全風(fēng)險分析和解決方案數(shù)據(jù)庫安全風(fēng)險分析經(jīng)過十多年的發(fā)展，目前各行各業(yè)的信息系統(tǒng)都已經(jīng)得到了長足發(fā)展，一套高效、安全、可靠的信息系統(tǒng)已經(jīng)是衡量一個政府或者企業(yè)的管理效率的關(guān)鍵指標(biāo)，政府和企業(yè)也都更加依賴于信息系統(tǒng)，所以信息系統(tǒng)能否穩(wěn)定、安全的運行也是大家越來越關(guān)注的話題。我們稍作統(tǒng)計和回顧，不難發(fā)現(xiàn)最近幾年信息安全話題討論越來越激烈，信息安全事件也越來越多。近期美國“棱鏡”事件和英國“顳颥”事件被曝光震驚全世界、2012年震驚中國的互聯(lián)網(wǎng)用戶信息大泄露和三大運營商個人隱私信息批量泄露等。這些信息安全事件攻擊手段多樣，但我們不難發(fā)現(xiàn)有一個共同的特征，他們的攻擊和竊取目標(biāo)就是用戶的隱私數(shù)據(jù)，而大部分數(shù)據(jù)的承載主體就是——數(shù)據(jù)庫系統(tǒng)。所以我們今天對數(shù)據(jù)庫安全進行一些簡要的分析。如果說各類業(yè)務(wù)系統(tǒng)是基礎(chǔ)部件，暢通的網(wǎng)絡(luò)是血液，那心臟理應(yīng)就是數(shù)據(jù)庫系統(tǒng)。其存儲了所有的業(yè)務(wù)數(shù)據(jù)，牽涉到所有用戶的切身利益。所以其要求各類數(shù)據(jù)必須是完整的，可用的，而且是保密的。如果發(fā)生數(shù)據(jù)丟失或者數(shù)據(jù)不可用，猶如心臟出現(xiàn)問題，其他所有的基礎(chǔ)部件也將無法正常工作，直接導(dǎo)致整個業(yè)務(wù)系統(tǒng)的終止，少則讓企事業(yè)單位受到經(jīng)濟和名譽的損失，大則直接威脅企業(yè)的生存和發(fā)展，甚至威脅國家和社會的穩(wěn)定和安全。當(dāng)然承載數(shù)據(jù)庫的服務(wù)器以及網(wǎng)絡(luò)設(shè)備、安全設(shè)備、存儲系統(tǒng)、應(yīng)用軟件等相關(guān)配套設(shè)置的安全性也是非常重要的，一旦由于內(nèi)部操作失誤、故意泄露或者外部入侵等都可能給業(yè)務(wù)數(shù)據(jù)帶來致命的安全威脅。對于數(shù)據(jù)庫，我認為其安全威脅主要來自于幾方面，一個是數(shù)據(jù)庫自身安全，一個是數(shù)據(jù)庫運行環(huán)境和數(shù)據(jù)庫運行維護過程的安全。首先我們來分析一下數(shù)據(jù)庫自身安全，我們認為中國面臨一個最大的安全威脅就在于絕大部分數(shù)據(jù)庫都是采用oracle、sqlserver、mysql等國外數(shù)據(jù)庫系統(tǒng)。我們無法了解這些國外數(shù)據(jù)庫系統(tǒng)是否留下了后門，是否嵌入了不安全的代碼等，最近美國棱鏡門就更加印證了我們的結(jié)論，因為美國多個通信設(shè)備廠家都參與了棱鏡計劃。當(dāng)然，這個可能大家覺得會比較隱蔽和遙遠，那數(shù)據(jù)庫自身漏洞就可能比較容易理解，我們不難發(fā)現(xiàn)近期數(shù)據(jù)庫的漏洞也不斷被暴光。而我們因為系統(tǒng)的持續(xù)運行需要，或者由于管理水平等原因，我可能都無法對數(shù)據(jù)庫系統(tǒng)的漏洞進行加固和修復(fù)，所以我們所面臨的數(shù)據(jù)庫安全風(fēng)險有多大，大家可想而知。在數(shù)據(jù)庫運行維護過程中，其所面臨的安全威脅一點也不少。下圖我們描繪了一個典型的信息系統(tǒng)結(jié)構(gòu)圖，我們分別來從幾個方面分析一下其威脅。外部入侵威脅層面，因為我們信息系統(tǒng)需要對公眾開放訪問，所以我們不得不面臨外部黑客入侵的分析。黑客可能從系統(tǒng)層面入侵我們對外的服務(wù)器和主機，也可以從web應(yīng)用層面先攻擊web服務(wù)器，然后以web服務(wù)器為跳板，攻擊內(nèi)部數(shù)據(jù)庫，從而竊取敏感數(shù)據(jù)。其也可通過預(yù)埋惡意代碼或者SQL注入方式竊取數(shù)據(jù)。而內(nèi)部管理方面，我們又不得不面臨員工越權(quán)操作、惡意操作、誤操作等不同安全威脅。內(nèi)部員工總是有意或者無意做一些超越自己權(quán)限范圍的事情，比如越權(quán)查看一些敏感的信息，定期導(dǎo)出備份一些有價值的數(shù)據(jù)等。離職員工可能為了報復(fù)，預(yù)埋一些腳本、存儲過程在數(shù)據(jù)庫中，定期的導(dǎo)出一些敏感數(shù)據(jù)。當(dāng)然也還有很多外包和系統(tǒng)開發(fā)商，因為他們既具備高超的技術(shù)，又非常熟悉業(yè)務(wù)系統(tǒng)，所以其威脅也非常大，近期出現(xiàn)的大量安全事件可以說明這一點?？偨Y(jié)下來，我們認為以下十個方面是數(shù)據(jù)庫安全所面臨的最大威脅：TOP1.授權(quán)不合理，導(dǎo)致越權(quán)操作嚴(yán)重TOP2.帳號復(fù)用與濫用，安全事件無法定位TOP3.脆弱的web應(yīng)用,導(dǎo)入侵事情頻發(fā)TOP4.數(shù)據(jù)庫漏洞和配置不合理TOP5.身份驗證措施薄弱TOP6.備份管理不足，備份數(shù)據(jù)泄露嚴(yán)重TOP7.缺乏審計措施，安全事件無法追蹤TOP8.訪問控制措施不力TOP9.普遍采用國外數(shù)據(jù)庫系統(tǒng)TOP10.缺失有效加密措施安恒信息解決方案通過對大量安全事件的分析和總結(jié)，安恒信息認為要比較好的解決數(shù)據(jù)庫安全風(fēng)險，就必須采用“事前掃描、事中防御、事后審計”三者結(jié)合的方案?！笆虑皰呙琛敝竿ㄟ^明鑒數(shù)據(jù)庫審計與風(fēng)險控制的漏洞掃描模塊實現(xiàn)對數(shù)據(jù)庫的安全漏洞、不合理配置、弱口令等方面的檢查，通過直觀豐富的報表展示出相關(guān)的安全漏洞以及加固建議。幫助客戶不斷提升數(shù)據(jù)庫安全水平，防止數(shù)據(jù)庫被入侵、密碼被破解而導(dǎo)致的數(shù)據(jù)泄露行為發(fā)生?！笆轮蟹烙敝饕ㄟ^明御運維審計與風(fēng)險控制系統(tǒng)實現(xiàn)，其通過對運維人員的集中賬號和訪問通道管控，實現(xiàn)單點登錄、統(tǒng)一授權(quán)和訪問控制，包括對SSH、RDP等加密協(xié)議的審計和控制等功能，在服務(wù)器及后臺數(shù)據(jù)庫的核心設(shè)備層面的數(shù)據(jù)保護、智能攔截和行為審計，實現(xiàn)了真正意義上的智能管控和深度審計的目的。“事后審計”主要通過明御web審計、數(shù)據(jù)庫審計和運維審計一起去實現(xiàn)，通過細粒度的訪問行為審計、精細化規(guī)則以及簡單易懂的告警和報表實現(xiàn)對違規(guī)行為的監(jiān)控，一方面提供追蹤非法行為的直接依據(jù)和證據(jù)，更加重要的是通過安全審計反過來推動防御策略、管理措施的提升，實現(xiàn)信息安全閉環(huán)管理。解決方案防護效果說明上文我們總結(jié)了數(shù)據(jù)庫安全所面臨的十大威脅，本文我們詳細說明一下采用安恒信息解決方案后如何有效解決這十大安全威脅。TOP1.授權(quán)不合理，導(dǎo)致越權(quán)操作嚴(yán)重解決思路：運維審計可實現(xiàn)權(quán)限統(tǒng)一管理，其首先保障每個數(shù)據(jù)庫的管理人員都通過實名制進行維護，并只有通過運維審計的高強度認證才可以看到自己所擁有權(quán)限的數(shù)據(jù)庫列表，并屏蔽了數(shù)據(jù)庫的賬號、密碼，任何人員都無法繞過運維審計直接訪問數(shù)據(jù)庫?？傮w來說運維審計可以保障數(shù)據(jù)庫的運維源IP、賬號的合法性，而且可以保障合法來源僅能訪問自己權(quán)限范圍內(nèi)的數(shù)據(jù)庫、賬號。那數(shù)據(jù)庫審計系統(tǒng)則可以從表、命令一級進行審計分析，分析每個管理員的操作行為權(quán)限，并建立起每個賬號的權(quán)限模型，一旦有人超越自己的合法權(quán)限，數(shù)據(jù)庫審計都能夠及時發(fā)現(xiàn)并告警。TOP2.帳號復(fù)用與濫用，安全事件無法定位解決思路：運維審計實現(xiàn)了數(shù)據(jù)庫賬號密碼的代填，所以一般情況下任何一個數(shù)據(jù)庫管理員都不清楚具體的數(shù)據(jù)庫賬號密碼，他們僅知道自己的個人運維主賬號，這可以大大避免賬號復(fù)用和濫用的問題。即使有人繞開了運維審計的控制，后方的數(shù)據(jù)庫審計系統(tǒng)也能夠發(fā)現(xiàn)賬號的復(fù)用和濫用行為，因為數(shù)據(jù)庫審計持續(xù)獨立的監(jiān)控所有數(shù)據(jù)庫訪問行為，如果有賬號出現(xiàn)多個源IP地址、多個PC主機用戶名等，數(shù)據(jù)庫審計就能判斷其是賬號復(fù)用或者濫用，并及時告警。TOP3.脆弱的web應(yīng)用,導(dǎo)入侵事情頻發(fā)解決思路：數(shù)據(jù)庫審計系統(tǒng)內(nèi)置web審計模塊，而且關(guān)鍵的是內(nèi)置了大量的web入侵防御審計規(guī)則，一旦有人試圖通過入侵web業(yè)務(wù)系統(tǒng)，即可以被web審計模塊所發(fā)現(xiàn)和告警。而且數(shù)據(jù)庫審計系統(tǒng)也可以對入侵web后的進一步動作進行審計發(fā)現(xiàn)，并提醒管理員采取必要措施。當(dāng)然為了方案的完整性，也可以采用安恒信息的web應(yīng)用防火墻和網(wǎng)站衛(wèi)士系統(tǒng)進行深度防御，及時阻止入侵。TOP4.數(shù)據(jù)庫漏洞和配置不合理解決思路：數(shù)據(jù)庫審計的漏洞掃描模塊具備oracle、sqlserver、mysql、DB2等常見數(shù)據(jù)庫的漏洞庫，支持授權(quán)和非授權(quán)兩種模式的掃描，可深度發(fā)現(xiàn)數(shù)據(jù)庫系統(tǒng)存在的自身漏洞，并提供有效的解決方案和加固建議。而且還支持定期任務(wù)的掃描模式，可對不同時期的漏洞情況進行比對分析，持續(xù)跟進漏洞和配置不合理改進情況。更為關(guān)鍵的是數(shù)據(jù)庫審計一旦發(fā)現(xiàn)數(shù)據(jù)庫存在安全漏洞，其就可以啟用相應(yīng)的審計防護規(guī)則，一旦有人對該漏洞進行試探，數(shù)據(jù)庫審計即可及時發(fā)現(xiàn)，并告警。TOP5.身份驗證措施薄弱解決思路：運維審計實現(xiàn)了統(tǒng)一認證管理，其支持CA證書、動態(tài)口令、USBkey等雙因子認證手段，可以保證運維過程的身份認證合法性。而且運維審計還支持對系統(tǒng)賬號密碼自動定期修改，以保證密碼的復(fù)雜性和安全。TOP6.備份管理不足，備份數(shù)據(jù)泄露嚴(yán)重解決思路：數(shù)據(jù)庫審計系統(tǒng)可以持續(xù)監(jiān)控數(shù)據(jù)庫的備份行為，可以通過規(guī)則設(shè)定判斷合法和非法的備份行為。如果非常備份與合法備份在時間上、IP地址來源上、賬號來源上甚至備份命令上有差異的話，數(shù)據(jù)庫審計都可以進行有效發(fā)現(xiàn)和告警。對于合法備份的文件，運維審計能夠進行一定的控制，記錄每次文件傳輸?shù)耐緩?、時間、操作人員信息等，防止備份文件非法使用。TOP7.缺乏審計措施，安全事件無法追蹤解決思路：運維審計和數(shù)據(jù)庫審計都是有效的、獨立的第三方審計系統(tǒng)，能夠有效的解決審計措施確實的問題，也能夠解決oracle數(shù)據(jù)庫等自身審計的不可信問題。是一個可信、可追溯的完整審計方案。TOP8.訪問控制措施不力解決思路：運維審計自身能夠從用戶、IP地址、來源、時間范圍甚至操作命令等層面進行控制，以解決訪問措施不足的問題。數(shù)據(jù)庫審計也可以通過建立數(shù)據(jù)庫的訪問行為模型，來分析每個數(shù)據(jù)庫的訪問賬號、源IP地址、工具名、操作對象、操作類型、主機名等?？梢酝ㄟ^模型的變更來判斷數(shù)據(jù)庫訪問行為的變化情況，并可以通過告警和報表的方式持續(xù)監(jiān)控訪問措施的執(zhí)行情況，不斷推動訪問控制更新和完善，保障訪問控制的有效性。TOP9.普遍采用國外數(shù)據(jù)庫系統(tǒng)解決思路：采用國外數(shù)據(jù)庫系統(tǒng)可能我們短期內(nèi)無法改變，所以我們只能通過持續(xù)監(jiān)控，而且是第三方獨立的審計來進行解決。TOP10.缺失有效加密措施解決思路：建議在數(shù)據(jù)庫層面采用加密方式存儲，在運維過程采用加密方式進行管理，比如SSH、RDP等。還可以通過運維審計對SSH、RDP等運維過程進行集中控制和審計，以彌補機密措施不足的缺點。解決方案價值說明審計規(guī)則和三層關(guān)聯(lián)結(jié)合，發(fā)現(xiàn)數(shù)據(jù)庫管理員賬號密碼泄露某公司的財務(wù)系統(tǒng)在部署明御數(shù)據(jù)庫審計與風(fēng)險控制系統(tǒng)以后，設(shè)置了四個核心管理員賬號的審計規(guī)則。只要這四個管理員賬號在非法主機登錄就設(shè)置為關(guān)注行為，對于delete、insert等高危操作設(shè)置為高級告警。不久就發(fā)現(xiàn)有很多違規(guī)行為，大部分是通過系統(tǒng)開發(fā)商、第三方維護人員進行操作。以上說明數(shù)據(jù)庫高級管理員賬號密碼已經(jīng)泄露，后面結(jié)合三層審計功能、細粒度的審計記錄功能，找到了相應(yīng)人員的IP地址、MAC地址、主機名等資料，并實時制止了此類行為。雙向?qū)徲?，發(fā)現(xiàn)客戶資料批量泄密行為某證券公司的CRM系統(tǒng)在部署了數(shù)據(jù)庫審計后，設(shè)置了對客戶資料表（User_info）的select返回結(jié)果超過100條的行為進行告警，不久就發(fā)現(xiàn)每天有很多這樣的告警行為。這說明有很多內(nèi)部人員掌握了公司很多客戶資料，存在很大的泄密隱患。為了制止這樣的行為，公司發(fā)布了緊急通知，明令禁止批量查詢客戶行為，也告知員工已經(jīng)有技術(shù)手段可以監(jiān)控此類行為，一旦發(fā)現(xiàn)將嚴(yán)格處理。通過技術(shù)和管理兩種結(jié)合的方式，此類行為得到有效控制。安全評估和統(tǒng)計關(guān)聯(lián)分析，發(fā)現(xiàn)門戶網(wǎng)站數(shù)據(jù)庫服務(wù)器被入侵通過安恒明御數(shù)據(jù)庫審計與風(fēng)險控制系統(tǒng)的漏洞掃描模塊對數(shù)據(jù)庫進行漏洞掃描，發(fā)現(xiàn)部分數(shù)據(jù)庫存在很多安全漏洞。結(jié)合審計記錄分析發(fā)現(xiàn)在0:00---3:00左右有異常的查詢行為，在這段時間存在大量的登錄失敗、且后面登陸成功了，并發(fā)現(xiàn)數(shù)據(jù)庫系統(tǒng)表修改更新的告警行為。另外還發(fā)現(xiàn)有大量的SQL注入攻擊告警。通過關(guān)聯(lián)分析、統(tǒng)計