信息化安全的提升��,某種程度上���,依賴于攻擊與防護對抗的碰撞力度����。攻擊愈烈�,防守意識愈能提升,安全防護的技術水平愈加速發(fā)展�,和安全防御的能力愈不斷提升;而防守越強,同時也反向刺激攻擊手段不斷“創(chuàng)新”與“求變”����。
本次社保行業(yè)信息泄露事件的集中報道,就是信息化安全攻與防較量的一個典型代表�。
1、社保數(shù)據(jù)遭受泄露事件曝光絕不”純屬偶然”
7天連鎖酒店的600萬會員信息泄密�;
CSDN 1000多萬客戶信息被竊取���;
06網(wǎng)站被攻破��,上百萬人的信息泄露�����;
“房叔房姐”信息屢被搜集挖掘����,終被曝光��;
陜西移動1300萬的用戶數(shù)據(jù)泄露�����,被運維工程師竊取網(wǎng)上兜售�;
3.15晚會連續(xù)4年報道電信行業(yè)內鬼,持續(xù)倒賣客戶信息����;
……
近4、5年來�,數(shù)據(jù)泄密事件層出不窮。大大小小的企業(yè)�����、組織都在遭到數(shù)據(jù)庫泄密事件的重創(chuàng)�。組織整體的信息化安全結構和水平?jīng)Q定了安全攻擊的目標和核心。
根據(jù)verizon 對2億8500萬次累計攻擊行為調查而發(fā)布的數(shù)據(jù)泄露調查報告表明���,數(shù)據(jù)庫成為入侵者最主要的攻擊目標���,高達76%的數(shù)據(jù)泄露直接來自數(shù)據(jù)庫。
2�����、安全事件發(fā)生的原因分析
1) 當前信息化安全主要短板逐漸顯示在后端
絕大部分政府/大型企業(yè)用戶����,當前已經(jīng)進行了終端安全�、網(wǎng)絡安全防護��,形成相對有效的邊界安全防護能力���,防火墻�����、防病毒軟件����、網(wǎng)站防攻擊軟件����、CA認證系統(tǒng)等都已具備。
然而�����,在最接近核心資產(chǎn)數(shù)據(jù)庫的后端”應用”和數(shù)據(jù)庫部分�,很多用戶是沒有有效防護手段甚至沒有意識到需要安全防護。
2)B/S外網(wǎng)系統(tǒng)��,存在明顯的隱患,成為安全攻擊的重要場所
B/S應用系統(tǒng)����,由于其特殊的使用方式��,使得終端用戶可以輕松與后臺應用服務進行互聯(lián)�,當前外網(wǎng)型B/S應用已經(jīng)成為黑客及其他攻擊者的首選試驗田。
其中����,最常用的就是利用應用系統(tǒng)、數(shù)據(jù)庫的漏洞進行SQL注入�。一旦SQL注入成功,可以輕松做到:一�����、不具備用戶口令��,但騙取登入應用�;二、在查詢窗口注入語句�����,可騙取應用的處理邏輯直接獲得整表或大批量數(shù)據(jù)。
SQLMap等開源SQL注入工具�,已經(jīng)驗證一大批B/S應用的注入點,成為攻擊者的教學使用軟件�����。
當前雖然有不少用戶已經(jīng)使用了WAF(WEB應用防火墻)等手段進行防護��,但效果顯然還不夠健壯��。目前已經(jīng)曝光的多種SQL注入��,是WAF不易防范的�����,如運算函數(shù)�、SQL動態(tài)語句、數(shù)據(jù)庫函數(shù)運算等特征的SQL注入等�。
3)數(shù)據(jù)庫自身缺陷,使得運維端容易獲取批量數(shù)據(jù)
數(shù)據(jù)庫自身的設計缺陷�����,使得DBA超級用戶在數(shù)據(jù)庫中完全不受限�,另外有Oracle等數(shù)據(jù)庫存在SYS超級用戶本地訪問不需校驗密碼等重大缺陷��。這使得運維域的管理員��、駐場人員�、運維人員���、測試人員、網(wǎng)管等都有機會批量獲取敏感數(shù)據(jù)�。
3、敏感數(shù)據(jù)安全提升的有效解決辦法
敏感數(shù)據(jù)的安全性提升���,嚴格來講�,不是某一個安全產(chǎn)品或廠商的單點職責��。有效的安全機制應該是一個閉環(huán)的����、由外到內的、由弱到強的��、多層次塔式防御體系���。
在終端��、網(wǎng)絡等傳統(tǒng)安全措施相對健全的條件下�、重點需要加強針對數(shù)據(jù)庫內在核心的本質防護。
作為人力資源和社會保障自主可控信息化產(chǎn)業(yè)聯(lián)盟(簡稱人社聯(lián)盟)成員單位��,北京安華金和科技有限公司���,作為國家專業(yè)數(shù)據(jù)庫安全廠商�����,為廣大用戶可提供如下數(shù)據(jù)庫安全防護建議:
1)建立數(shù)據(jù)庫安全主動防御機制
利用專門的數(shù)據(jù)庫防火墻技術�,徹底的對SQL注入��、數(shù)據(jù)庫漏洞攻擊行為進行防御�。
數(shù)據(jù)庫防火墻,不同于傳統(tǒng)的防火墻�����,傳統(tǒng)的防火墻無法防止SQL注入等攻擊手段�����;也不同于WEB防火墻,WEB防火墻實際上有很多的應用限制����,有很多的SQL注入繞開手段,WEB防火墻也無法做到防止批量下載和后門程序��。
而數(shù)據(jù)庫防火墻可以對數(shù)據(jù)庫的通訊過程進行精確的解析和控制�;對于SQL注入本身比WEB防火墻攔截得更為徹底;同時可以對社保行業(yè)應用建立應用特征模型���,建立社保正常訪問語句的抽象表達,對每種語句的返回總量進行控制��;從而防止批量下載和后門程序�。
2)建立數(shù)據(jù)庫底線保護機制
安全防護與安全攻擊一樣,都有成功概率�。即使能防護住99%的行為,也有可能存在1%的攻破概率����,而且隨著攻擊人員不斷“創(chuàng)新”攻擊方案或程序,比如會存在短暫的攻方暫時領先��,如同殺毒軟件的病毒庫更新一樣��。
因此,在數(shù)據(jù)庫安全的防護上�,建議增加底線防護機制,通過使用數(shù)據(jù)記錄行數(shù)閥值控制的技術���,在最鄰近數(shù)據(jù)庫的位置部署數(shù)據(jù)庫防火墻��,即使攻擊方法穿透了網(wǎng)絡�����、主機�����、應用�,但是一旦超過一定閥值(如100行)���,所有的訪問行為將立即進行阻斷��、攔截�����。首先能做到規(guī)避大規(guī)模數(shù)據(jù)的泄密災難���。
3)建立數(shù)據(jù)庫安全監(jiān)控和告警機制
利用數(shù)據(jù)庫監(jiān)控與審計技術�,可以記錄下所有人員�����、所有通道���、所有時間的數(shù)據(jù)庫訪問行為���;可以突破應用層限制,將SQL語句與業(yè)務人員身份有效關聯(lián)��,在發(fā)生安全事件后����,形成有效追蹤���。為追責����、問責提供有力的保障手段����。
最后�����,安華金和的技術專家們提醒大家��,任何目的攻擊測試與實驗����,有目的或無意識的公眾系統(tǒng)安全攻擊���,一旦造成個人隱私���、國家信息的泄露與竊取行為,都是違法的�����,都需要受到刑法的追責���。
產(chǎn)品咨詢:4000 258 365 
