数据库服务器的安全

1、数据库服务器实际上是每一个电子交易、金融和企业资源规划（ERP）系统的基础，它 还经常包括来自商业伙伴和客户的敏感信息。尽管这些系统的数据完整性和安全性是相当重 要的，但对数据库采取的安全检查措施的级别还比不上操作系统和网络的安全检查措施的级 別。许多因素都可能破坏数据的完整性并导致非法访问，这些因素包括复杂程度、密码安全 性较差、误配宜、未被察觉的系统后门以及自适应数据库安全方法的强制性常规使用等。 数据库安全问题为什么非常重要？ 保护系统敏感信息和数字资产不受非法访问。 任何公司的主要电子数字资产都存贮在现代的关系数据产品中。商业机构和政府组织都 是利用这些数据库服务器得到人事信息，如员工

2、的工资表，医疗记录等。因此他们有责任保 护别人的隐私，并为他们保密。数据库服务器还存有以前的和将来的敏感的金融数据，包括 贸易记录、商业合同及帐务数据等。象技术的所有权、工程数据，甚至市场企划等决策性的 机密信息，必须对竟争者保密，并阻止非法访问，数据库服务器还包括详细的顾客信息，如 财务帐目，信用卡号及商业伙伴的信用信息等。 数据库是个极为复杂的系统，因此很难进行正确的配置和安全维护 数据库服务器的应用相当复杂，掌握起来非常困难一当然竟争者使用的操作系统也是一 样的复杂。诸如Oraclc、Sybase. Microsoft SQL服务器都具有以下特征：用户帐号及密码、 校验系统、优先级模型和

3、控制数据库目标的特别许可、内置式命令（存储的步骤或包）、唯 一的脚本和编程语言（通常为SQL的特殊衍生语）、middleware.网络协议、补丁和服务包 坑辛亂 糕黃芾硼涤贸绦蛭涂 9.艺摺P矶邢BA都忙于管理复杂的系统，所以很可能 没有检查出严重的安全隐患和不当的配置，甚至根本没有进行检测。所以，正是由于传统的 安全体系在很大程度上忽略了数据库安全这一主题，使数拯库专业人员也通常没有把安全问 题当作他们的首要任务。自适应网络安全”的理念一将安全问题看作持续不断的“工作进 程”，而不是一次性的检查一并未被大多数数据库管理者所接受。 保障数据库服务器上的网络和操作系统数据安全是至关重要的，但这些

4、措施对于保护数 据库服务器的安全还很不够。 在许多资深安全专家中普遍存在着一个错误概念，他们认为：一旦访问并锁左了关键的 网络服务和操作系统的漏洞，服务器上的所有应用程序就得到了安全保障。现代数据库系统 具有多种特征和性能配宜方式，在使用时可能会误用，或危及数据的保密性、有效性和完整 性。首先，所有现代关系型数据库系统都是可从端口寻址的”，这意味着任何人只要有合 适的査询工具，就都可与数据库直接相连，并能躲开操作系统的安全机制。例如：可以用 TCP/IP协议从1521和1526端口访问0racle 7.3和8数据库。多数数据库系统还有众所周知 的默认帐号和密码，可支持对数据库资源的各级访问。从

5、这两个简单的数据相结合，很多重 要的数据库系统很可能受到威协。不幸的是，髙水平的入侵者还没有停止对数据库的攻击。 拙劣的数据库安全保障设施不仅会危及数据库的安全，还会影响到服务器的操作系统和 其它信用系统。 还有一个不很明显的原因说明了保证数据库安全的重要性一数据库系统自身可能会提 供危及整个网络体系的机制。例如，某个公司可能会用数拯库服务器保存所有的技术手册、 文档和白皮书的库存淸单。数据库里的这些信息并不是特别重要的，所以它的安全优先级别 不髙。即使运行在安全状况良好的操作系统中，入侵者也可通过“扩展入驻程序”等强有力 的内苣数据库特征，利用对数据库的访问，获取对本地操作系统的访问权限。这

6、些程序可以 发出笛理员级的命令，访问基本的操作系统及英全部的资源。如果这个特定的数据库系统与 其它服务器有信用关系，那么入侵者就会危及整个网络域的安全。 数据库是新型电子交易、企业资源规划（ERP）和其它重要商业系统的基础。 在电子商务、电子贸易的着眼点集中于WEB服务器、Java和其它新技术的同时，应该 记住这些以用户为导向和企业对企业的系统都是以Web服务器后的关系数据库为基础的。 它们的安全直接关系到系统的有效性、数据和交易的完整性、保密性。系统拖延效率欠佳, 不仅影响商业活动，还会影响公司的信誉。不可避免地，这些系统受到入侵的可能性更大， 但是并未对商业伙伴和客戸敏感信息的保密性加以更

7、有效的防范。此外，ERP和管理系统, 如ASPR/3和PeopleSoft等，都是建立在相同标准的数据库系统中。无人管理的安全漏洞与 时间拖延、系统完整性问题和客户信任等有直接的关系。 我需要寻找哪此类型的安全漏洞呢？ 传统的数据库安全系统只侧重于以下几项：用户帐户、作用和对特定数据库目标的操作 许可。例如，对表单和存储步骤的访问。必须对数据库系统做范弗I更广的彻底安全分析，找 出所有可能领域内的潜在漏洞，包括以下提到的各项内容。 与销售商提供的软件相关的风险一软件的BUG、缺少操作系统补丁、脆弱的服务和选 择不安全的默认配置。 与管理有关的风险一可用的但并未正确使用的安全选项、危险的默认设豊

8、、给用户更 多的不适当的权限，对系统配置的未经授权的改动。 与用户活动有关的风险一密码长度不够、对重要数据的非法访问以及窃取数据库内容等 恶意行动。 以上各类危险都可能发生在网络设备、操作系统或数据库自身当中。对数据库服务器进 行安全保护时，都应将这些因素考虑在内。 数据库安全一漏洞区域及示例 在重要数据库服务器中，还存在着多种数据库服务器的漏洞和错误配宜。下面列出了几 个实例。 安全特征不够成熟一绝大多数常用的关系数据库系统已经存在了十多年之久，并且具有 强大的特性，产品非常成熟。但不幸的是，IT及安全专业人七认为理所当然应该具有的许 多特征，在操作系统和现在普遍使用的数据库系统中，并没有提

9、供。 非内建式数据库标准安全性能 MS SQL Server Sybase Oracle 7 Oracle 8 帐户锁泄设备no no no yes 重命名管理帐户no no no no 要求严密的口令no no no yes 陈旧的帐户no no no no 密码失效no yes no yes 登录时间限制no no no no 例如，上表列岀了大多数IT专业人士期望或要求操作系统所应具备的特性，但在数据 库服务器的标准安全设施中并未出现。由于这些数拯库都可进行端口寻址的，操作系统的核 心安全机制并未应用到与网络直接联接的数据库中。一些产品，例如Microsoft SQLServer, 都可

10、利用功能更加强大的Windows NT安全机制去发现上面提到的安全漏洞。但是，考虑到 兼容性问题（运行环境并不全是Windows NT）,所以大多数依然执行MS SQLSener的女全 标准。而实施则是另外一回事了。如果公司实用的是Oracle 8,管理员如何能知道是否真地 实施了安全特性？是否一直在全公司中得到实施？ 这几项特性相结合，使得与之相关的问题更加严峻。由于系统管理员的帐号是不能重命 名的（SQL和Sybase是“sa”,对于Oracle是“System”和sys”），如果没有密码封锁可 用或已配置完毕,入侵者就可以对数据库服务器发动强大字典式登录进攻，最终能破解密码, 有什么能够

11、挡住他们对服务器耐心，持久的髙水平攻击呢？ 数据库密码的管理一在多数数据库系统提供的安全标准中，没有任何机制能够保证某个 用户正在选择有力的一或任意的一密码。这一基本的安全问题需要细心的监督。此外还需要 对全部密码列表进行管理和安全检查。例如，Oracle数据库系统具有十个以上地特定地默认 用户帐号和密码，此外还有用于管理重要数据库操作的唯一密码，如对Oracle数据库开机 程序的管理、访问网络的听众过程以及远程访问数据库的权限等。如果安全出现了问题，这 些系统的许多密码都可让入侵者对数据库进行完全访问，这些密码甚至还被存储在操作系统 的普通文本文件里。下面有几个示例： Oracle Inte

12、rnal密码一Oracle内部密码存放在文件划为sxXXX.cmd”的文本文件中， XXX是Oracle系统的ID或SID,默认值为“0RCL”。用在Oracle数据库的启动过程中， 要用到0racle Internet密码，具有随意访问数据库资源的权力。这个文件应妥善保管，以用 于基于Windows NT的ORACLE程序。 Oracle监听程序过程密码一用于起动并停止Oracle监听程序过程的密码，该过程可将 所有的新业务路由到系统上合适的Oracle例子中，需选择一个保密性强的密码替换系统的 默认值，使用许可必须在“listcncr.ora”文件中得到保护，该文件存贮了 Oracle所有

13、的使用 密码。对密码的不当访问可能会使入侵者对基于Oracle的电子交易站点进行拒绝服务攻击。 Oracle内部密码一 “orapw”文件许可控制一Oracle内部密码和由SYSDBA授权的帐 号密码存贮在“Orapw”文本文件中。尽管文件已被加密，但在ORACLE的UNIX和Windows NT的程序中，还是要限制该文件的使用权限。如果该文件被访问，那么遭解密的文件很容 易遭到强有力的攻击。 这些例子说明了管理员、系统密码和帐号是何等的重要，它们都可能会遭到意想不到的 攻击方法的攻击。注意密码管理问题决不仅限于Oracle数据库，几乎所有主要数据库提供 商的产品都有这种问题。 操作系统的后门

14、一许多数据库系统的特征参数尽管方便了 DBA,但也为数据库服务器 主机操作系统留下了后门。 如上所述，对Sybase或SQL服务器的“sa”密码造成危害的入侵者有可能利用“扩展 入驻程序”，得到基本操作系统的使用权限。以“sa”的身份登录，入侵者使用扩展入驻程 序xp - cmdshell,该程序允许Sybase或SQL服务器的用户运行系统指令，就象该用户在服 务器控制台上运行指令一样。例如，可实用下列SQL指令添加一个Windows NT帐号，帐 号名为 “hackcrl”，密码为nopassoword”，并把hackcrl添加到Administrators组： xp-cmdshell ne

15、t user hacker 1 nopassword/ADD go xp-comdshell net localgroup/ADD Administrators hackerl go 现在这个非法入侵者就成了 Windows NT的管理员了（我们只能祈祷这个SQL服务器 不是域控制器）。这个简单的攻击之所以成功，是因为命令被提交给实用Windows NT帐号 的操作系统，而MSSQLServer的服务就运行在这个帐号下。在默认情况下，这个帐号就是 “LocalSystcm”帐号本地Windows NT系统中最有效力的帐号。另一个途径是黑客可能 使用SQL服务器，利用入驻程序xp-regread

16、从注册表中读出加密的Windows NT SAM密码, 对操作系统的安全造成威胁。由于有几种免费的Windows NT密码攻击器软件，因此保管好 加密的Windows NT密码的安全变得格外重要。以下例子说明了入侵者是怎样得到信息的： xp-regreadr HKEY - LOCAL - MACHINE *， SECURITYSAMDomainsAccount *， F 注意，从注册表中读岀加密密码是一件本地Windows NT管理员帐号都无法做到的事。 SQL服务器之所以能够做到，是因为默认方式运行的SQL服务使用的恰恰就是 “LocalSystcm ” 帐号。 Oracle数据库系统还具有

17、很多有用的特征，可用于对操作系统自带文件系统的直接访 问。例如在合法访问时，UTL_FILE软件包允许用户向主机操作系统进行读写文件的操作。 UTL_FILE_DIR简档变量很容易配置错误,或被故意设麗为允许Oracle用户用UTL_HLE 软件包在文件系统的任何地方进行写入操作，这样也对主机操作系统构成了潜在的威胁。 校验一关系数据库系统的校脸系统可以记录下信息和事件，从基本情况到任一细节，无 一遗漏。但是校验系统只在合理使用和配苣的前提下，才能提供有用的安全防范和警告信息。 当入侵者正在试图侵入特左的数据库服务器时，这些特征可及早给出警告信息，为检测和弥 补损失提供了宝贵的线索。 特洛伊木马程序一尽管人们知道操作系统中的特洛伊木马程序已经有好几年了，但是数 拯库管理员还需注意到木马程序带给系统入驻程序的威胁。一个著爼的特洛伊木马程序修改 了入驻程序的密码，并且当更新密码时，入侵者能得到新的密码。例如，某个个人可以在 sp - password系统入驻程序中添加几行命令，就可在表单中增加新的密码，用e-