信息化安全的提升����,某種程度上�����,依賴于攻擊與防護(hù)對(duì)抗的碰撞力度��。攻擊愈烈���,防守意識(shí)愈能提升�,安全防護(hù)的技術(shù)水平愈加速發(fā)展,和安全防御的能力愈不斷提升��;而防守越強(qiáng)���,同時(shí)也反向刺激攻擊手段不斷“創(chuàng)新”與“求變”�。
本次社保行業(yè)信息泄露事件的集中報(bào)道���,就是信息化安全攻與防較量的一個(gè)典型代表�。
1�、社保數(shù)據(jù)遭受泄露事件曝光絕不”純屬偶然”
7天連鎖酒店的600萬會(huì)員信息泄密;
CSDN 1000多萬客戶信息被竊?����。?/p>
06網(wǎng)站被攻破����,上百萬人的信息泄露;
“房叔房姐”信息屢被搜集挖掘�,終被曝光;
陜西移動(dòng)1300萬的用戶數(shù)據(jù)泄露��,被運(yùn)維工程師竊取網(wǎng)上兜售�;
3.15晚會(huì)連續(xù)4年報(bào)道電信行業(yè)內(nèi)鬼,持續(xù)倒賣客戶信息�����;
……
近4����、5年來,數(shù)據(jù)泄密事件層出不窮�����。大大小小的企業(yè)��、組織都在遭到數(shù)據(jù)庫泄密事件的重創(chuàng)�。組織整體的信息化安全結(jié)構(gòu)和水平?jīng)Q定了安全攻擊的目標(biāo)和核心�。
根據(jù)verizon 對(duì)2億8500萬次累計(jì)攻擊行為調(diào)查而發(fā)布的數(shù)據(jù)泄露調(diào)查報(bào)告表明�,數(shù)據(jù)庫成為入侵者最主要的攻擊目標(biāo),高達(dá)76%的數(shù)據(jù)泄露直接來自數(shù)據(jù)庫��。
2����、安全事件發(fā)生的原因分析
1) 當(dāng)前信息化安全主要短板逐漸顯示在后端
絕大部分政府/大型企業(yè)用戶,當(dāng)前已經(jīng)進(jìn)行了終端安全���、網(wǎng)絡(luò)安全防護(hù),形成相對(duì)有效的邊界安全防護(hù)能力��,防火墻���、防病毒軟件�����、網(wǎng)站防攻擊軟件�����、CA認(rèn)證系統(tǒng)等都已具備���。
然而��,在最接近核心資產(chǎn)數(shù)據(jù)庫的后端”應(yīng)用”和數(shù)據(jù)庫部分����,很多用戶是沒有有效防護(hù)手段甚至沒有意識(shí)到需要安全防護(hù)����。
2)B/S外網(wǎng)系統(tǒng),存在明顯的隱患���,成為安全攻擊的重要場(chǎng)所
B/S應(yīng)用系統(tǒng)�,由于其特殊的使用方式���,使得終端用戶可以輕松與后臺(tái)應(yīng)用服務(wù)進(jìn)行互聯(lián)��,當(dāng)前外網(wǎng)型B/S應(yīng)用已經(jīng)成為黑客及其他攻擊者的首選試驗(yàn)田���。
其中,最常用的就是利用應(yīng)用系統(tǒng)���、數(shù)據(jù)庫的漏洞進(jìn)行SQL注入����。一旦SQL注入成功,可以輕松做到:一����、不具備用戶口令,但騙取登入應(yīng)用�����;二����、在查詢窗口注入語句,可騙取應(yīng)用的處理邏輯直接獲得整表或大批量數(shù)據(jù)����。
SQLMap等開源SQL注入工具�,已經(jīng)驗(yàn)證一大批B/S應(yīng)用的注入點(diǎn),成為攻擊者的教學(xué)使用軟件�����。
當(dāng)前雖然有不少用戶已經(jīng)使用了WAF(WEB應(yīng)用防火墻)等手段進(jìn)行防護(hù)�,但效果顯然還不夠健壯���。目前已經(jīng)曝光的多種SQL注入,是WAF不易防范的���,如運(yùn)算函數(shù)�����、SQL動(dòng)態(tài)語句���、數(shù)據(jù)庫函數(shù)運(yùn)算等特征的SQL注入等。
3)數(shù)據(jù)庫自身缺陷�,使得運(yùn)維端容易獲取批量數(shù)據(jù)
數(shù)據(jù)庫自身的設(shè)計(jì)缺陷,使得DBA超級(jí)用戶在數(shù)據(jù)庫中完全不受限�,另外有Oracle等數(shù)據(jù)庫存在SYS超級(jí)用戶本地訪問不需校驗(yàn)密碼等重大缺陷。這使得運(yùn)維域的管理員�、駐場(chǎng)人員、運(yùn)維人員�、測(cè)試人員、網(wǎng)管等都有機(jī)會(huì)批量獲取敏感數(shù)據(jù)��。
3����、敏感數(shù)據(jù)安全提升的有效解決辦法
敏感數(shù)據(jù)的安全性提升�,嚴(yán)格來講����,不是某一個(gè)安全產(chǎn)品或廠商的單點(diǎn)職責(zé)。有效的安全機(jī)制應(yīng)該是一個(gè)閉環(huán)的�����、由外到內(nèi)的�����、由弱到強(qiáng)的����、多層次塔式防御體系。
在終端�、網(wǎng)絡(luò)等傳統(tǒng)安全措施相對(duì)健全的條件下、重點(diǎn)需要加強(qiáng)針對(duì)數(shù)據(jù)庫內(nèi)在核心的本質(zhì)防護(hù)��。
作為人力資源和社會(huì)保障自主可控信息化產(chǎn)業(yè)聯(lián)盟(簡稱人社聯(lián)盟)成員單位����,北京安華金和科技有限公司,作為國家專業(yè)數(shù)據(jù)庫安全廠商��,為廣大用戶可提供如下數(shù)據(jù)庫安全防護(hù)建議:
1)建立數(shù)據(jù)庫安全主動(dòng)防御機(jī)制
利用專門的數(shù)據(jù)庫防火墻技術(shù)�,徹底的對(duì)SQL注入、數(shù)據(jù)庫漏洞攻擊行為進(jìn)行防御�。
數(shù)據(jù)庫防火墻,不同于傳統(tǒng)的防火墻����,傳統(tǒng)的防火墻無法防止SQL注入等攻擊手段;也不同于WEB防火墻����,WEB防火墻實(shí)際上有很多的應(yīng)用限制,有很多的SQL注入繞開手段����,WEB防火墻也無法做到防止批量下載和后門程序。
而數(shù)據(jù)庫防火墻可以對(duì)數(shù)據(jù)庫的通訊過程進(jìn)行精確的解析和控制���;對(duì)于SQL注入本身比WEB防火墻攔截得更為徹底�;同時(shí)可以對(duì)社保行業(yè)應(yīng)用建立應(yīng)用特征模型�,建立社保正常訪問語句的抽象表達(dá),對(duì)每種語句的返回總量進(jìn)行控制���;從而防止批量下載和后門程序�。
2)建立數(shù)據(jù)庫底線保護(hù)機(jī)制
安全防護(hù)與安全攻擊一樣,都有成功概率�。即使能防護(hù)住99%的行為,也有可能存在1%的攻破概率����,而且隨著攻擊人員不斷“創(chuàng)新”攻擊方案或程序,比如會(huì)存在短暫的攻方暫時(shí)領(lǐng)先�����,如同殺毒軟件的病毒庫更新一樣�。
因此,在數(shù)據(jù)庫安全的防護(hù)上����,建議增加底線防護(hù)機(jī)制,通過使用數(shù)據(jù)記錄行數(shù)閥值控制的技術(shù)�����,在最鄰近數(shù)據(jù)庫的位置部署數(shù)據(jù)庫防火墻����,即使攻擊方法穿透了網(wǎng)絡(luò)、主機(jī)���、應(yīng)用���,但是一旦超過一定閥值(如100行),所有的訪問行為將立即進(jìn)行阻斷�、攔截。首先能做到規(guī)避大規(guī)模數(shù)據(jù)的泄密災(zāi)難���。
3)建立數(shù)據(jù)庫安全監(jiān)控和告警機(jī)制
利用數(shù)據(jù)庫監(jiān)控與審計(jì)技術(shù)���,可以記錄下所有人員、所有通道�、所有時(shí)間的數(shù)據(jù)庫訪問行為;可以突破應(yīng)用層限制���,將SQL語句與業(yè)務(wù)人員身份有效關(guān)聯(lián)�����,在發(fā)生安全事件后�,形成有效追蹤�����。為追責(zé)、問責(zé)提供有力的保障手段���。
最后�����,安華金和的技術(shù)專家們提醒大家�����,任何目的攻擊測(cè)試與實(shí)驗(yàn)��,有目的或無意識(shí)的公眾系統(tǒng)安全攻擊����,一旦造成個(gè)人隱私��、國家信息的泄露與竊取行為����,都是違法的,都需要受到刑法的追責(zé)���。
產(chǎn)品咨詢:4000 258 365 
