摘要:本文通過對信息安全攻擊實例中的數(shù)據(jù)庫安全風險進行分析,結(jié)合信息安全等級保護對數(shù)據(jù)庫安全防護的指導思路����,提高信息系統(tǒng)的數(shù)據(jù)庫安全防護能力。
數(shù)據(jù)庫安全風險分析
與很多業(yè)務快速發(fā)展而忽視了信息安全建設的公司類似����,好運公司被黑客卡爾竊取了大量客戶和信用卡信息,而且自己也沒有發(fā)現(xiàn)���。一段時間后��,監(jiān)管機構(gòu)發(fā)
現(xiàn)大量信用卡欺詐行為�����,涉案信用卡有一個共同點�,曾在好運公司進行過信用卡交易,由此監(jiān)管機構(gòu)發(fā)現(xiàn)好運公司出現(xiàn)了問題��,并通知了好運公司�����。
好運公司展開內(nèi)部調(diào)查�,按照有關(guān)法律,好運公司不得不告知信用卡持卡人��,并履行相應的賠償����。由于卡爾這次信用卡盜竊行為,好運公司蒙受了慘痛的聲譽和經(jīng)濟損失���。
那么在實際的應用中��,究竟都存在哪些數(shù)據(jù)庫安全風險導致敏感信息的批量泄漏?如下圖所示:
風險1:利用數(shù)據(jù)庫漏洞對數(shù)據(jù)庫進行攻擊����,批量導出數(shù)據(jù)或篡改數(shù)據(jù);
風險2:外部黑客通過應用系統(tǒng)的SQL注入點越權(quán)查詢數(shù)據(jù)庫敏感信息�;
風險3:繞過合法應用暴力破解登錄數(shù)據(jù)庫或獲取明文存儲數(shù)據(jù)庫文件�。
那么好運公司如何在業(yè)務快速發(fā)展的同時做好信息安全建設呢���?下面我們來看下信息系統(tǒng)等級保護有哪些指導性的建議�。
信息安全政策要求
等級保護制度是國家信息安全保障工作的基本制度�����、基本國策��,是開展信息安全工作的基本方法�����,是促進信息化維護國家信息安全的根本保障�����?����!缎畔踩?術(shù)
信息系統(tǒng)安全等級保護基本要求》對信息系統(tǒng)分等級進行安全保護和監(jiān)管�����,五個規(guī)定動作:信息系統(tǒng)定級、備案�����、安全建設整改��、等級測評���、監(jiān)督檢查�����,信息安全產(chǎn)
品分等級使用管理���,信息安全事件分等級響應、處置��,按照“準確定級�、嚴格審批、及時備案����、認真整改、科學測評”的要求開展工作����。
《基本要求》是階段性目標,《信息系統(tǒng)等級保護安全設計技術(shù)要求》是實現(xiàn)該目標的方法和途徑之一��,提出“一個中心三維防護”(安全管理中心和計算環(huán)境安全���、區(qū)域邊界安全�����、通信網(wǎng)絡安全)的安全保護設計技術(shù)要求��。
數(shù)據(jù)庫安全在等級保護《基本要求》中的位置是主機安全的一個部分��,數(shù)據(jù)庫的安全技術(shù)建設指標是從“主機安全”和“數(shù)據(jù)安全及備份恢復”中根據(jù)數(shù)據(jù)庫的特點映射得到的��。
主機安全中的身份鑒別�����、訪問控制�、安全審計和資源控制�����,數(shù)據(jù)安全中的數(shù)據(jù)保密性,都對數(shù)據(jù)庫安全有具體要求�。在等保定級為二級的系統(tǒng),數(shù)據(jù)庫安全審計產(chǎn)品是必選設備����,同時對三級及以上系統(tǒng)中的關(guān)鍵敏感數(shù)據(jù)安全防護,等保技術(shù)指標要求如下:
安全審計
要求“對用戶行為����、安全事件等進行記錄”。
訪問控制
強調(diào)了最小授權(quán)原則�����,使得用戶的權(quán)限最小化���,同時要求對重要信息資源設置敏感標記��。
數(shù)據(jù)保密性
要求“實現(xiàn)系統(tǒng)管理數(shù)據(jù)����、鑒別信息和重要業(yè)務數(shù)據(jù)的存儲保密性”����。
Oracle
查看是否啟用口令復雜度函數(shù):select limit from dba_profiles where profile=‘DEFAULT’
and resource_name=‘PASSWORD_VERIFY_FUNCTION’;2)檢查utlpwdmg.sql中“-- Check
for the minimum length of the
password”部分中“l(fā)ength(password)<”后的值����。3)或者:查看口令管理制度以及執(zhí)行記錄�����,并選擇驗證�。
Oracle
執(zhí)行命令:select limit from dba_profiles where profile='DEFAULT' and resource_name='FAILED_LOGIN_ATTEMPTS'��。
執(zhí)行命令:select limit from dba_profiles where profile='DEFAULT' and resource_name='PASSWORD_LOCK_TIME' �。
應嚴格限制默認賬戶的訪問權(quán)限,重命名系統(tǒng)默認賬戶���,并修改這些賬戶的默認口令���。
Oracle
登錄驗證sys的口令是否為CHANGE_ON_INSTALL;
登錄驗證system的口令是否為manager�;
登錄驗證dbsnmp的口令是否為dbsnmp。
Oracle
1)檢查是否啟用了數(shù)據(jù)庫自帶安全審計功能:select value from v$parameter where name='audit_trail';
2)或使用第三方的安全審計工具�。
3)檢查審計策略,審計范圍是否覆蓋到所有用戶�。
數(shù)據(jù)庫安全產(chǎn)品防護效果
根據(jù)數(shù)據(jù)庫安全防護的不同時機我們分為事前診斷(數(shù)據(jù)庫漏掃)�����、事中控制(數(shù)據(jù)庫防火墻���、數(shù)據(jù)庫保險箱)和事后審計(數(shù)據(jù)庫監(jiān)控與審計)。
數(shù)據(jù)庫漏洞掃描可以通過事前的數(shù)據(jù)庫安全風險評估��,檢測數(shù)據(jù)庫的弱口令��、連續(xù)登錄失敗鎖定的次數(shù)�����,檢查數(shù)據(jù)庫系統(tǒng)的缺省賬戶��,多余�����、過期的共享賬戶��,應對等保中對身份鑒別和訪問控制的要求��。
數(shù)據(jù)庫防火墻從網(wǎng)絡層實現(xiàn)數(shù)據(jù)庫的外圍防御����,在發(fā)生非法批量導出的操作時�����,提供細粒度的訪問控制��、提供行數(shù)限制的閥值控制�����,可以實現(xiàn)唯一內(nèi)網(wǎng)接入通
道�,同時通過IP訪問控制規(guī)則����,實現(xiàn)對網(wǎng)址等條件的安全保證,有效解決數(shù)據(jù)庫訪問控制的問題��。在數(shù)據(jù)庫資源訪問控制方面,可以提供每個用戶對數(shù)據(jù)庫的最大
連接數(shù)等限制���,防止數(shù)據(jù)庫資源由于連接數(shù)過大導致服務器宕機�。
數(shù)據(jù)庫保險箱從根本上對數(shù)據(jù)庫進行安全加固,通過數(shù)據(jù)庫加密讓數(shù)據(jù)庫文件中存儲的敏感信息為密文�,即使數(shù)據(jù)庫文件丟失了敏感數(shù)據(jù)也不會泄漏����。通過獨
立權(quán)控確保即使有數(shù)據(jù)庫管理員權(quán)限,如果安全管理員不允許訪問敏感信息�,也能有效阻止非法查詢和篡改��,同時又不會影響DBA對數(shù)據(jù)庫正常的運維訪問和對沒
有敏感標記明文數(shù)據(jù)的操作。
數(shù)據(jù)庫監(jiān)控與審計是可以審計到每個用戶的行為��、各種可疑操作并進行告警通知,能對操作記錄進行全面的分析�����,提供自身審計進程的監(jiān)控�,審計記錄防止惡意刪除,同時具備自動歸檔能力��,覆蓋等保安全審計的要求����。
建議防護部署
數(shù)據(jù)庫漏掃系統(tǒng),接入到可連通數(shù)據(jù)庫服務器的交換機上����,采用旁路部署即可。
實現(xiàn)等保要求的身份鑒別和訪問控制能力:
1)分析內(nèi)部不安全配置���,防止越權(quán)訪問:通過只讀賬戶,實現(xiàn)由內(nèi)到外的檢測�����;提供現(xiàn)有數(shù)據(jù)的漏洞透視圖和數(shù)據(jù)庫配置安全評估;避免內(nèi)外部的非授權(quán)訪問����。
2)發(fā)現(xiàn)外部黑客攻擊漏洞�����,防止外部攻擊:實現(xiàn)非授權(quán)的從外到內(nèi)的檢測����;模擬黑客使用的漏洞發(fā)現(xiàn)技術(shù)���,在沒有授權(quán)的情況下,對目標數(shù)據(jù)庫的安全性作深入的探測分析��;收集外部人員可以利用的數(shù)據(jù)庫漏洞的詳細信息。
3)監(jiān)控數(shù)據(jù)庫安全狀況�,防止數(shù)據(jù)庫安全狀況惡化:對于數(shù)據(jù)庫建立安全基線,對數(shù)據(jù)庫進行定期掃描�����,對所有安全狀況發(fā)生的變化進行報告和分析���。
數(shù)據(jù)庫防火墻設備��,數(shù)據(jù)庫防火墻以串接方式部署��,串接的部署方式有透明網(wǎng)橋和本地代理兩種。透明網(wǎng)橋模式:在網(wǎng)絡上物理串聯(lián)接入數(shù)據(jù)庫防火墻設備�,
所有用戶訪問的網(wǎng)絡流量都串聯(lián)流經(jīng)設備,通過透明網(wǎng)橋技術(shù)�,客戶端看到的數(shù)據(jù)庫地址不變。代理接入模式:網(wǎng)絡上并聯(lián)接入數(shù)據(jù)庫防火墻設備��,客戶端邏輯連接
防火墻設備地址,防火墻設備轉(zhuǎn)發(fā)流量到數(shù)據(jù)庫服務器���。
1)滿足等保中的訪問控制增強要求
防止來自于內(nèi)部運維側(cè)的高危操作���,實現(xiàn)數(shù)據(jù)的訪問控制增強�。
防護:通過限定更新和刪除的影響行數(shù)、限定無Where的更新和刪除操作�����、限定drop�����、truncate等高危操作避免大規(guī)模損失�����。
2)滿足等保中的資源控制的要求
防護:通過虛擬補丁技術(shù)捕獲和阻斷漏洞攻擊行為�����,通過SQL注入特征庫捕獲和阻斷SQL注入行為�����。
防護:限定數(shù)據(jù)查詢和下載數(shù)量�����、限定敏感數(shù)據(jù)訪問的用戶����、地點和時間���。
數(shù)據(jù)庫保險箱設備包括三個子系統(tǒng),安全代理子系統(tǒng)安裝在數(shù)據(jù)庫里�,安全服務子系統(tǒng)一般使用兩臺設備����,以主從的方式部署,安全管理子系統(tǒng)安裝在安全管理員使用的終端上����。
如下部署圖所示。
1)實現(xiàn)等保中數(shù)據(jù)存儲保密性要求
防護:將信用卡信息和顧客信息按列加密存儲,防止數(shù)據(jù)庫文件丟失導致的明文數(shù)據(jù)泄漏���。
2)實現(xiàn)等保中訪問控制的要求
防護:通過獨立權(quán)控確保即使是數(shù)據(jù)庫管理員在沒有安全管理員的許可下也不能訪問敏感數(shù)據(jù)。
防護:合法應用程序綁定�,有效識別前臺web應用程序����。
數(shù)據(jù)庫監(jiān)控與審計設備�����,在虛擬專用網(wǎng)上��,通過交換機鏡像流量的方式旁路部署��,對現(xiàn)有網(wǎng)絡性能零影響��。
實現(xiàn)等保要求的安全審計能力,提供對所有數(shù)據(jù)訪問行為的記錄�����,提供事后追蹤分析工具,對違規(guī)操作通過短信和郵件及時向安全管理員告警��。
結(jié)論
等保實施的目的就是要提高信息系統(tǒng)的安全防護能力,好運公司如果在業(yè)務快速發(fā)展的同時�����,也能按等保的要求注重信息安全建設,極有可能避免慘痛的聲譽和經(jīng)濟損失�,信息安全建設與快速的經(jīng)濟發(fā)展之間是相輔相成的關(guān)系�。
產(chǎn)品咨詢:4000 258 365 
