LanSecs数据库安全防护系统v2.0技术白皮书(LDB-F10000)

1、LanSecS 数据库安全防护系统技术白皮书v2.0LDB-F10000北京圣博润高新技术股份有限公司2016 年4月版权声明北京圣博润高新技术股份有限公司? 2007-2016 版权所有，保留一切权力。本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属北京圣博润高新技术股份有限公司（以下简称圣博润公司）所有，受到有关产权及版权法保护。未经圣博润公司书面许可不得擅自拷贝、传播、复制、泄露或复写本文档的全部或部分内容。其中圣博润公司具有对所有技术的解释权。信息更新本文档仅用于为渠道代理商或最终用户提供信息，并且随时可由圣博润公司更改或撤回。免责条款根据适

2、用法律的许可范围， 圣博润公司按 “原样” 提供本文档而不承担任何形式的担保， 包括（但不限于）任何隐含的适销性、特殊目的适用性或无侵害性。在任何情况下，圣博润公司都不会对最终用户或任何第三方因使用本文档造成的任何直接或间接损失或损坏负责， 即使圣博润公司明确得知这些损失或损坏，这些损坏包括（但不限于）利润损失、业务中断、信誉或数据丢失。目录1.产品概述 .12.产品目标 .23.产品特性 .33.1虚拟修补数据库漏洞 .33.2防止大规模数据泄漏和篡改.33.3实现黑白名单支持 .33.4完成 SQL 注入检测和阻断 .43.5提供用户权限细粒度管理 .43.6控制和审计动作 .43.7安全

3、策略支持 .43.7.1 策略模型选择 .43.7.2 规则列表 .63.8学习模式 .63.9全面精细审计分析 .73.9.1 提供实时运行监控 .73.9.2 风险和危害访问分析 .73.9.3 会话访问行为分析 .83.9.4 提供丰富报表展示 .84核心技术 .94.1虚拟补丁技术 .94.2全协议解析技术 .104.3 SQL 特征抽象技术 .115产品优势 .145.1全面数据库入侵阻断 .145.2高度应用兼容支持 .145.3灵活产品部署实施 .145.4丰富产品系列 .156.产品部署模式 .156.1串联部署模式 .156.2旁路部署模式 .166.3混合部署模式 .167

4、.产品应用形式 .178. LDB-F10000 产品规格 .181. 产品概述“传统网络防火墙已无法阻挡由数据库系统自身缺陷、应用系统缺陷、以及数据库应用层 SQL 协议引入的安全风险。 ”信息化的价值最终体现在数据上，无论对国家还是企业来说，数据不仅是生产要素，更是战略资产。层出不穷的数据泄露安全事件表明，网络安全方案有漏洞。传统网络防火墙由于架构缺陷已不适应当前新形势下的数据库安全防护需要，解决数据库裸奔问题，必须从架构和应用层协议入手。LanSecs 数据库安全防护系统，是基于数据库协议分析与控制技术，实现对数据库操作的“危险指令阻断、访问行为控制、安全态势分析、全面行为审计”的数据库

5、安全主动防御产品。LanSecs 数据库安全防护系统通过SQL协议分析，根据预定义的禁止和许可策略让合法的SQL操作通过，阻断非法违规操作，形成数据库的外围防御圈，实现SQL危险操作的主动预防、实时审计。LanSecs 数据库安全防护系统面对来自于外部的入侵行为，提供防SQL注入禁止和数据库虚拟补订功能；通过虚拟补丁功能，后端数据库系统不用在实体机上升级、打补丁，即可完成对主要数据库漏洞的防控。LanSecs 数据库安全防护系统支持 Oracle 、 MS SQL Server 、 DB2、MySQL、 Sybase、达梦、人大金仓、南大通用 等多家国内外数据库产品。能够在不影响数据库原有性能

6、、无需应用进行改造的前提下，提供可靠数据库安全保护服务。产品系统架构图2. 产品目标LanSecs 数据库安全防护系统提供四大产品核心目标，包括防止外部黑客攻击、防止内部高危操作、防止敏感数据泄漏、审计追踪非法行为。防止外部黑客攻击威胁 ：黑客利用Web应用漏洞，进行SQL注入；或以Web应用服务器为跳板，利用数据库自身漏洞攻击和侵入。防护 ：通过虚拟补丁技术捕获和阻断漏洞攻击行为，通过SQL注入特征库捕获和阻断SQL注入行为。防止内部高危操作威胁 ：系统维护人员、外包人员、开发人员等，拥有直接访问数据库的权限，有意无意的高危操作对数据造成破坏。防护 ：通过限定更新和删除影响行、限定无Wher

7、e 的更新和删除操作、限定drop 、truncate等高危操作避免大规模损失。防止敏感数据泄漏威胁 ：黑客、开发人员可以通过应用批量下载敏感数据，内部维护人员远程或本地批量导出敏感数据。防护 ：限定数据查询和下载数量、限定敏感数据访问的用户、地点和时间。审计追踪非法行为威胁 ：业务人员在第三方利益诱惑下，通过业务系统提供的功能完成对敏感信息的访问，进行信息的售卖和数据篡改。防护 ：提供对所有数据访问行为的记录， 对风险行为进行 SysLog、邮件、短信等方式的告警，提供事后追踪分析工具3. 产品特性3.1 虚拟修补数据库漏洞在 CVE上公开了 2000 多个数据库安全漏洞， 这些漏洞给入侵者

8、敞开了大门。 数据库厂商会定期推出数据库漏洞补丁，出于数据库打补丁工作的复杂性和应用稳定型的考虑，大多数企业无法及时更新补丁。LanSecs数据库安全防护系统提供了虚拟补丁功能，在数据库外的网络层创建了一个安全层，在用户在无需补丁情况下，完成数据库漏洞防护。LanSecs 数据库安全防护系统支持22 类， 460个以上虚拟补丁，补丁库离线升级。3.2 防止大规模数据泄漏和篡改LanSecs 数据库安全防护系统针对不同的数据库用户，提供敏感表的操作权限、访问行数和影响行数的控制，以及限制 NO WHERE查询和更新，从而避免大规模数据泄露和篡改。3.3 实现黑白名单支持LanSecs数据库安全防

9、护系统通过学习模式以及SQL语法分析构建动态模型，形成SQL 白名单和 SQL黑名单，对符合SQL白名单语句放行，对符合SQL黑名单特征语句阻断。3.4 完成 SQL 注入检测和阻断LanSecs数据库安全防护系统通过对SQL 语句进行注入特征描述，完成对SQL注入行为的检测和阻断。系统提供缺省SQL注入特征库；系统提供定制化的扩展接口。3.5 提供用户权限细粒度管理LanSecs数据库安全防护系统对于数据库用户提供比DBMS 系统更详细的虚拟权限控制。控制策略包括：用户+操作 +对象 +时间。在控制操作中增加了Update Nowhere 、 delete Nowhere 等高危操作；控制规

10、则中增加返回行数和影响行数控制。3.6 控制和审计动作控制动作是对数据库访问行为阻断所采取的控制行为，包括：“中断会话 ”和“ 拦截语句 ”两种方式。中断会话，是断开发现攻击行为的数据库会话连接，拦截语句是将危险语句拦截下来，并返回错误信息。审计行为是对数据库访问行为的记录，分为：“普通审计”和“告警审计”。普通审计将针对所有的数据库访问行为都将记录到LanSecs 数据库安全防护系统的存储中；告警审计是对发现的高风险行为记录到告警存储中，提供特殊的查询和检索接口。告警通知是对当前检测到的高风险数据库访问行为，及时通知到最终用户，通知方式包括：syslog、snmp、邮件和短信。3.7 安全策

11、略支持3.7.1 策略模型选择LanSecs 数据库安全防护系统支持三种策略模型，以适应不同的应用场景需求：（ 1）许可模型在“许可模型”中定义“许可规则”，“许可规则”中定义的访问行为均放行；除了“许可规则”外的所有访问行为，均为禁止。该模型与防护系统中的“白名单”模型相同。许可规则阻止放行许可模型适用于合法行为易于列举的场景，如系统稳定、不采用动态SQL生成技术的应用系统。（ 2）禁止模型在“禁止模型”中定义“禁止规则”，“禁止规则”中定义的访问行为均禁止；除了“禁止规则”外的所有访问行为，均为放行。该模型与防护系统中的“黑名单”模式相同。禁止规则放行阻止禁止模型适用于合法行为枚举不清，非

12、法行为相对明确的场景，如维护侧。（ 3）禁止 + 许可模型以上模型都相对简单，对于较为细腻的场景，很难进行调节；LanSecs数据库安全防护系统提供更具有伸缩性和调节性的“禁止+许可”模型，主要概念：禁止规则+ 许可规则+ 优先禁止规则；如下图所示：许可优先禁规则止规则禁止规则放行阻止放行阻止“禁止规则” 负责定义系统需要阻止的危险数据库访问行为，所有被“禁止规则”命中的行为将被阻断，其余的行为将被放行。“许可规则” 负责定义应用系统的访问行为和维护工作的访问行为，通过“许可规则”使这些行为在被“禁止规则”命中前被放行。“优先禁止规则”负责定义高危的数据库访问行为，这些策略要先于“许可规则”被

13、判断，命中则阻断。该规则模型适用于复杂 的数据库访问环境，难以通过单一策略描述清楚，如应用侧+ 维护侧的数据库安全防护。3.7.2 规则列表类型类别说明禁止规则许可规则优先禁止规则登录禁止对 IP 、 MAC、客户端、用户名、时间等进行限制影响行禁止对超过指定行数的更新、删除、查询和导出行为进行限制权限禁止对用户、操作（ DML、 DDL、 DCL）和对象进行访问控制的限定增加 Update Nowhere和 Delete Nowhere等高危操作虚拟补丁提供对 CVE上已公开的数据库漏洞攻击行为的拦截SQL注入通过模式匹配的方式对SQL访问进行拦截黑名单禁止通过 SQL语法抽象的方式描述需要

14、阻断的SQL语句登录许可对 IP 、 MAC、客户端、用户名、时间等因素描述需要放行的登录SQL白名单通过 SQL语法抽象的方式描述应用的SQL 语句，这些语句将被放行白名单规则通过用户、操作、对象、时间等因素描述许可的用户访问影响行禁止对某些敏感数据的大批量操作即使属于应用行为也不许可3.8 学习模式刚进入生产环境中时，谁也无法穷举出哪些语句是合法，哪些语句是非法，也就无法立即配置出全面可用的规则策略。为了解决这个问题，LanSecs 数据库安全防护系统提供了学习期以完成对应用访问数据库行为的建模，学习期提供两种模式：初始化模式：也就是初始学习期，只抓包不动作，捕获所有数据库应用的访问SQL

15、 语句，形成语法抽象；提供语句的风险输出，用户根据风险确定黑名单或白名单。完善模式：针对应用的变更，保留已有学习结果，完善新的SQL 语句，形成新的黑名单和白名单。3.9 全面精细审计分析LanSecs数据库安全防护系统提供全面详细审计记录，告警审计和会话事件记录，并在此基础上实现了内容丰富的审计浏览、访问分析和问题追踪，提供实时访问仪表盘。LanSecs数据库安全防护系统通过对捕获的SQL 语句进行精细SQL语法分析 ,并根据SQL行为特征和关键词特征进行自动分类，系统访问SQL语句有效“归类”到几百个类别范围内，完成审计结果的高精确和高可用分析。3.9.1 提供实时运行监控提供对风险访问行

16、为统计、SQL吞吐量统计、流量和平均响应时间统计、SQL访问类别统计、告警阻断SQL统计。3.9.2 风险和危害访问分析提供对风险和危害访问的分析，包括：高危操作分析和追踪、大规模数据泄露分析和追踪、批量数据篡改分析和追踪、SQL注入行为分析和追踪。3.9.3 会话访问行为分析提供会话统计分析和会话访问追踪能力，成功会话分析失败会话分析会话历史分析。3.9.4 提供丰富报表展示提供丰富的报表展示能力，包括会话行为报表、SQL行为报表、危险行为报表。（ 1）会话行为报表包括：登录失败历史报表、历史会话分析报表、当前活跃会话报表；（ 2） SQL行为报表： 新型 SQL报表、 SQL语句执行历史报

17、表、失败SQL报表、数据库访问行为报表、数据库管理员活动报表；（ 3）危险行为报表：阻断访问行为报表、告警访问行为报表、通知访问行为报表、SQL注入行为报表、漏洞攻击行为报表、批量数据访问行为报表、敏感对象访问行为报表。4 核心技术4.1 虚拟补丁技术虚拟补丁技术是 LanSecs 数据库安全防护系统中的核心技术之一， 通过该技术用户不需要在实体数据库上打补丁即可提升数据库的安全能力 , 从而保证安全与应用稳定的平衡。虚拟补丁技术是 LanSecs 数据库安全防护系统在数据库外的网络层创建了一个安全层， 通过捕捉黑客利用数据库漏洞进行的网络攻击行为并对其进行阻断， 从而防止通过已知漏洞对数据库

18、的攻击。下图是虚拟补丁技术的示例，示例的是对权限提升漏洞的扑获方法。图的上半部文本框是一个利用数据库漏洞进行攻击的语句示例，图的下半部分文本框是对漏洞攻击行为的匹配示例：LanSecs 数据库安全防护系统通过网络解析技术扑获以下访问特征：用户名、对象、操作、应用模块、语句内容，通过内部的虚拟补丁库进行访问行为匹配。当前LanSecs 数据库安全防护系统可以支持以下漏洞攻击行为的捕获：漏洞类型建议动作漏洞类型 (英文 )总计SQL 注入告警SQL Injection216缓冲区溢出告警Buffer Overflow83权限提升告警Privilege Escalation18数据泄漏告警Data

19、Leakage9拒绝服务攻击告警Denial of Service14告警OS access6告警Default password1告警Change Password1告警Bypass FGA1告警Modification FGA1告警Auditing2告警Excessive privileges3告警Cursor Injection1其他告警Access sensitive component33告警External job creation3告警File corruption1告警Directory Traversal1告警Malicious code2告警Vulnerability As

20、sessment Tool44告警Non-system user exec cmd3告警Login4告警未知类型59总计4504.2 全协议解析技术数据库的通讯协议由于其复杂性，成为网络安全类产品中最难攻克的技术难题；不同的数据库厂商都有自己的通讯协议，这些通讯协议往往会随着数据库的版本不同、数据库客户端的操作系统版本、数据库服务器的操作系统版本、数据库通讯的接口类型（如JDBC、 ODBC、 C API ）的不同而不同；在通讯的处理上，要兼顾不同的数据类型、数据返回行数、数据返回列数；为了性能所采用的不同数据返回机制、句柄机制、参数绑定机制等而采用的不同处理策略；以Oracle为例，可能的通

21、讯矩阵如下：仅Oracle的 10g 和11g 两个版本就有512 种具有差异的通讯协议。LanSecs数据库安全防护系统实现了对主流数据库类型通讯协议的“双向、 全协议解析” ，重要的解析内容包括：SQL 语句、参数化语句句柄、SQL 参数、应答结果信息、结果集结构信息、结果集数据等。4.3 SQL 特征抽象技术SQL 语句的解析和表达是实现对SQL语句攻击行为控制的关键；SQL注入的检查、应用sql语句的放行，都依赖于 sql 语句的解析和特征捕获。传统的技术，往往采用正则表达式的方式，但该方式存在巨大的技术缺陷，一是正则匹配过程性能低下，二是对于复杂的参数情况容易产生匹配错误，三是通过语

22、句的变体容易欺骗。LanSecs 数据库安全防护系统为了有效捕获SQL语句的特征，以及为了快速地对SQL语句进行策略判定，以实现数据库防护系统的高效处理，提供了专利性的SQL语法特征技术，实现了对SQL语句的重写。SQ重写是在不改变原SQL语句的语义的情况下， LanSecs 数据库安全防护系统对捕捉到的SQL语句进行重写，替换原语句中的参数值。SQL重写是一个抽象的过程，便于管理和操作。SQL重写包括以下几个方面：除了单双引号内的内容，小写字母全部变为大写字母；准确区分正负号和加减号；将 SQL语句中的数值、单引号引起的字符串各自重写为统一的占位符；将注释、换行重写为空格，将连续的空格合并为

23、1 个，去掉运算符两端等不影响语义的空格以如下 SQL语句为例：Select +0.25 * money,sum(id) From“testdb ”.accountsWhere id = G1792 or name != /*this message come from Lisa*/LanSecs 数据库安全防护系统在SQL重写的基础上， 根据 SQL语法，对 SQL进行了多级分类。SQL多级分类是将具有相同操作行为的不同语句合并为一类，为SQL信息的查看和策略的定制提供了便利，且SQL分类编码操作后，易于后续的计算、操作和存储。SQL分类主要分为三级，分类的方向由细到粗，即二级分类是在一级分

24、类的基础上进行的，三级分类是在二级的基础上进行的。一级分类基于目前的SQL重写，即替换所有的可变“参数”数据为固定的“参数( 例如， #) ”，并且将所有谓词全部大写化（格式化为大写字母）等。也就是说，一级分类的输出是经过“重写”后的SQL语句。二级分类在一级分类的基础上，对所有的谓词、函数、比较运算符进行编码后，生成摘要的字符串编码，该编码就是 SQL的二级分类码。三级分类在二级分类的基础上，对所有的谓词比较运算符进行编码后，生成的摘要字符串编码，该编码就是 SQL三级分类码。根据 SQL分类的原则，假如有如下SQL语句：1:SELECT salary*1.5 FROM employees

25、WHERE job_id =PU_CLERK;2:SELECT salary*2 FROM employees WHERE job_id=SA_MAN;3:SELECT employee_id FROM department WHERE department_name = HR;4:SELECT department_id FROM employees WHERE salary 5000;5:SELECT sum(salary) FROM employees WHERE job_id =PU_CLERK;6:SELECT max(salary) FROM employees WHERE job

26、_id=PU_CLERK;那么按照分类码， LanSecs 数据库安全防护系统看到的分析 SELECT FROM WHERE =SQL，由三级到一级如下呈现：SELECT FROM WHERE =SELECT SALARY*0 FROM EMPLOYEES WHERE JOB_ID=#SELECT EMPLOYEE_ID FROM DEPARTMENT WHERE DEPARTMENT_NAME=#SELECT SUM FROM WHERE =SELECT SUM(SALARY) FROM EMPLOYEES WHERE JOB_ID=#SELECT MIN FROM WHERE =SELEC

27、T MIN(SALARY) FROM EMPLOYEES WHERE JOB_ID=# SELECT DEPARTMENT_ID FROM EMPLOYEES WHERE SALARY0SELECT MIN FROM WHERE SELECT DEPARTMENT_ID FROM EMPLOYEES WHERE SALARY0SQL语句格式化重写后的结果为：SELECT 0*MONEY,SUM(ID) FROM“ testdb ” .ACCOUNTS WHERE ID=# OR NAME!=5 产品优势5.1 全面数据库入侵阻断提供业界最为全面的数据库攻击行为检测和阻断技术：虚拟补丁技术：针对

28、CVE公布的漏洞库，提供漏洞特征检测技术；高危访问控制技术： 提供对数据库用户的登录、 操作行为， 提供根据地点、 时间、 用户、操作类型、对象等特征定义高危访问行为；SQL注入禁止技术：提供SQL注入特征库；返回行超标禁止技术：提供对敏感表的返回行数控制；SQL黑名单技术：提供对非法SQL的语法抽象描述。5.2 高度应用兼容支持对于 IPS 类产品最重要的是在保持“低漏报率”的同时维护“低误报率” ；对于数据库而言这点更为关键，一点点“误报”可能就会造成重大业务影响。LanSecs 数据库安全防护系统提供强大的应用行为描述方法，以对合法应用行为放行，将误报率降低为“零” 。SQL白名单： L

29、anSecs 数据库安全防护系统通过语法抽象描述不同类型的SQL语句，规避参数带来的多样化；通过应用学习捕获所有合法SQL的语法抽象，建立应用SQL白名单库。5.3 灵活产品部署实施预定义策略模版： LanSecs 数据库安全防护系统提供应用场景、维护场景、应用维护混合场景多种策略模版帮助用户快速建立安全策略。预定义风险特征库：通过预定义风险特征库快速建立风险阻断规则。多种运行模式：LanSecs 数据库安全防护系统提供IPS 、 IDS 运行模式，提供学习期、学习完善期、保护期三种运行周期，以帮助用户在防护系统建设的不同阶段平滑过渡。5.4 丰富产品系列产品共分为2 大系列，满足不同使用环境和访问压力级别的应用需求。名称类别特性描述A 系列提供全面审计能力，5 档 SQL吞吐量处理支持，提基本型供亿条量级的 SQL存储F 系列提供防护和访问控制能力。4 档 SQL吞吐量处理支增强型SQL存储。持，提供十亿条量级的6. 产品部署模式针对不同的防控域可以部署多台数据库安全防护系统每台数据库安全防护系统可以保护多个数据库实例每个数据库安全防护系统中的不同受保护数据库，可以启用不同的安全规则6.1 串联部署模式LanSecs数据库安全防护系统支持两种串联模式：透明网桥模式：在网络上物理串联接入Lan