数据库安全技术

1、数据库安全技术数据库安全技术 黄志东 | Oracle Database Security Specialist June, 2014 内部资料 请勿外泄 2 大 纲 信息系统安全的本质和主体是数据安全 导致数据安全问题的主要因素 数据和数据库安全的法规标准简介 数据和数据库安全架构讨论 数据库安全防护机制综述和配置基线策略 行业数据安全保护实战场景介绍 快速了解数据安全 法规标准和体系架构 防护机制和行业实战 数据和 数据库安全 3 全球最大的信息安全事故 维基解密：阿富汗和伊拉克文件维基解密：阿富汗和伊拉克文件 结果：美国政府不得不重新调整阿伊政策结果：美国政府不得不重新调整阿伊政策 英国

2、劳工部数据丢失英国劳工部数据丢失 结果：结果：英国皇家税务及海关总署（HMRC）的 主席Paul Gray黯然辞职。英国首相Gordon Brown和英国财政大臣Alistair Darling多次出面 向公众道歉，颜面尽失 4 手段多样，但什么是最致命的？ Virus Trojan Worm DDoS O/S Specific Attacks P2P SQL Injection XSS Phishing PHP File Include Spyware Whaling Botnet Social Media Malware 多种目的驱使的攻击涉及多个层面多种目的驱使的攻击涉及多个层面, 但致

3、命的却是攻击敏感数据但致命的却是攻击敏感数据 5 看看严格的安全系统怎么做的？：网银 安全解决方案 公网部分 内网部分 6 武装到牙齿，但一头一尾并不安全 客户存款 被盗取 客户的个人 信息被泄露 7 国内相应的安全事故 某地税车船使用税“免除”案件 某地社保核心参数被修改，导致当月所有缴费 金额错误 某地社保受益账户修改，诈领养老金事件 政府部门数据误删除事件 深圳福彩事件 富士康泄密案 公安行业的几个安全事件 了解一下这些统计规律 2001 2006 2011 2013 超过78%的敏感数据 存在数据库中! Source: Effective Data Leak Prevention Pr

4、ograms: Start by Protecting Data at the Source Your Databases, IDC, August 2012 Source: “Verizon Business 2012 Data Breach Investigations Report”, Verizon, June 2012 98% 的敏感数据获取的行 为和途径是数据库服务器 9 考虑行业安全主体-数据安全保护的原动力 网络安全体系和硬件安全体系已经建 立 作为安全主体的数据安全体系还没有 建立 主管领导已经意识到数据安全的重要 性。 数据保护是主体安全建设的核心，专 门的数据库安全规范的

5、出台将是重要 的里程碑。 行业安全主体框架 获取/修改/损坏业务数据的途径 自然灾害 地震，洪水 火灾或其它重大灾害 人为原因 病毒，人为攻击，非法侵入 合法用户的误操作或有意操作 系统和设备因素 网络和硬件 应用系统和软件平台 获取/修改/损坏业务数据的途径 v Sniff , 应用访问，直接数据库访问，数据库文件拷贝应用访问，直接数据库访问，数据库文件拷贝 Application Servers PC 12 大 纲 信息系统安全的本质和主体是数据安全 导致数据安全问题的主要因素 数据和数据库安全的法规标准简介 数据和数据库安全架构讨论 数据库安全防护机制综述和配置基线策略 行业数据安全保护

6、实战场景介绍 快速了解数据安全 法规标准和体系架构 防护机制和行业实战 数据和 数据库安全 13 快速了解中国的信息安全等级保护 Oracle Product Strategy，GC Copyright 20101Oracle Corporation, All Rights Reserved. 标准-依据标准制定等级保护政策 政策的技术规范 符合规范的 产品和解决方案 Oracle匹配方案 等级保护标准 信息安全标准 根据三个等级保护标准技术条款建立Oracle匹配方案 信息安全等级保护标准 源于国标 总体确定网络，数据库等 方面安全标准 数据库安全等级保护标 准 五级保护 数据容灾备份等级保

7、护 标准 六个等级 14 灾备系统建设的分级标准 l 实现远程数据实时备份，实现零丢失 l 应用软件可以实现实时无缝切换 l 远程集群系统的实时监控和自动切换能力 l实现远程数据复制技术 l备用网络也具备自动或集中切换能力 数据零丢失和 远程集群支持 实时数据传输 及完整设备支持 电子传输及 完整设备支持 l配置所需要的全部数据和通讯线路及网络设备，并处于就绪状态 l7*24 运行;更高的技术支持和运维管理 电子传输和 部分设备支持 l配置部分数据,通信线路和网络设备 l每天实现多次的数据电子传输 l备用场地配置专职的运行管理人员 备用场地支持 l预定时间调配数据,通信线路和网络设备 l备用场

8、地管理制度 l设备及网络紧急供货协议 基本支持 l每周至少做一次完全数据备份 l制定介质存取、验证和转储的管理制度 l完整测试和演练的灾难恢复计划 15 相关标准的传承渊源 1999年 GB 17859 计算机信息 系统安全保护等级划分准则 1991年欧洲信息技 术安全性评估准则 （ITSEC） 国际通用准则 1996年（CC1.0） 1998年（CC2.0） 1985年美国可信计 算机系统评估准则 （TCSEC） 1993年 加拿大可 信计算机产品评估 准则（CTCPEC） 1993年美国联邦 准则（FC 1.0） 1999年 国际标准 ISO/IEC 15408 1989年 英国可信级别标

9、准 （MEMO 3 DTI） 德国评估标准（ZSEIC） 法国评估标准 （B-W-R BOOK） 2001年 国家标准 GB/T 18336 信息技术安全 性评估准则 idt iso/iec15408 1993年美 国NIST的 MSFR 16 等级等级对象对象侵害客体侵害客体侵害程度侵害程度监管强度监管强度 第一级第一级一般一般 系统系统 合法权益合法权益损害损害自主保护自主保护 第二级第二级合法权益合法权益严重损害严重损害指导指导 社会秩序和公共利益社会秩序和公共利益损害损害 第三级第三级重要重要 系统系统 社会秩序和公共利益社会秩序和公共利益严重损害严重损害监督检查监督检查 国家安全国家

10、安全损害损害 第四级第四级社会秩序和公共利益社会秩序和公共利益特别严重损害特别严重损害强制监督检查强制监督检查 国家安全国家安全严重损害严重损害 第五级第五级极端极端 重要重要 系统系统 国家安全国家安全特别严重损害特别严重损害专门监督检查专门监督检查 快速了解中国的信息安全等级保护 17 相对应的保护数据库等级划分 （五个级别） Oracle Product Strategy，GC Copyright 20101Oracle Corporation, All Rights Reserved. 第一级 用户自主保护级 第二级 系统审计保护级 第三级 安全标记保护级 第四级 结构化保护级 第五级

11、 访问验证保护级 以身份鉴别为基础，提供用户/用户组对文件及数据库表的自 主访问控制，以实现用户与数据的隔离，使用户具备自主安 全保护的能力； 在第一级系统安全保护环境的基础上，增加系统安全审计、 客体重用等安全功能，并实施以用户为基本粒度的自主访问 控制，使系统具有更强的自主安全保护能力。 在第二级系统安全保护环境的基础上，通过实现基于安全策 略模型和标记的强制访问控制以及增强系统的审计机制，使 系统具有在统一安全策略管控下，保护敏感资源的能力。 在第四级系统安全保护环境的基础上，实现访问监控器，仲 裁主体对客体的访问，并支持安全管理职能。审计机制可根 据审计记录及时分析发现安全事件并进行报

12、警，提供系统恢 复机制，以使系统具有更强的抗渗透能力。 建立一个明确定义的形式化安全策略模型，将自主和强制访 问控制扩展到所有主体与客体，相应增强其他安全功能强度 ；将系统安全保护环境结构化为关键保护元素和非关键保护 元素，以使系统具有抗渗透的能力。 18 数据库等级保护的关键技术点 注： * 表示有要求 * 表示有进一步要求 * 表示有更进一步要求 * 表示有更高要求 安全等级安全等级 安全要素安全要素 用户自主保用户自主保 护级护级 系统审计保系统审计保 护级护级 安全标记保护级安全标记保护级结构化保护级结构化保护级 访问验证保护访问验证保护 级级 自主访问控制自主访问控制* * * *

13、* * * * * * * * * 强制访问控制强制访问控制* * * * * * * 标记标记* * * * * * * 身份鉴别身份鉴别* * * * * * * * * * * * * * 客体重用客体重用* * * * * * * 审计审计* * * * * * * * * * * 数据完整性数据完整性* * * * * * * * * * 可信恢复可信恢复* * 隐蔽信道分析隐蔽信道分析* * * * 可信路径可信路径* * * * 推理控制推理控制* * * 19 信息安全等级保护与分级认证信息安全等级保护与分级认证 1985年，美国国防部颁布了可信计算机的安全评估准则 （TCSE

14、C）； 1995年 统一成CC；1999年，CC准则成为国际 标准（ISO/IEC 15408） CC评估准则将信息系统的安全性定义为7个评估保证级 别（EAL1EAL7），即EAL1：功能测试；EAL2：结构测试 ；EAL3：系统的测试和检查；EAL4：系统的设计；EAL5： 半形式化设计和测试；EAL6：半形式化验证的设计和测试 ；EAL7：形式化验证的设计和测试。 从技术和安全的本质来看，从技术和安全的本质来看，EAL级别才级别才 是反映系统或产品安全等级的核心要素是反映系统或产品安全等级的核心要素 20 Oracle数据库等保方案技术规范（三级） 架构类 型 关键技术点关键技术点指标O

15、racle满足条 件产品或方案 灾备 等级 普通型 身份鉴别身份鉴别 受安全管理中心控制的口令、令牌、基于生物特征、受安全管理中心控制的口令、令牌、基于生物特征、 数字证书的组合机制进行用户身份鉴别，并对鉴别数数字证书的组合机制进行用户身份鉴别，并对鉴别数 据进行保密性和完整性保护。据进行保密性和完整性保护。 DB EE，OEM， OAS 34 级 自主访问控自主访问控 制制 自主访问控制主体的粒度为用户级，客体的粒度为文自主访问控制主体的粒度为用户级，客体的粒度为文 件或数据库表级和（或）记录或字段级。件或数据库表级和（或）记录或字段级。 DB EE 用户数据完用户数据完 整性保护整性保护

16、密码机制支持的完整性校验机制，检验存储和处理的密码机制支持的完整性校验机制，检验存储和处理的 用户数据的完整性，以发现其完整性是否被破坏，且用户数据的完整性，以发现其完整性是否被破坏，且 在其受到破坏时能对重要数据进行恢复。在其受到破坏时能对重要数据进行恢复。 DB EE，OAS 用户数据保用户数据保 密性保护密性保护 采用密码技术支持的保密性保护机制，对在安全计算采用密码技术支持的保密性保护机制，对在安全计算 环境中存储和处理的用户数据进行保密性保护。环境中存储和处理的用户数据进行保密性保护。 DB EE，OAS 安全审计安全审计 能对特定安全事件进行报警；确保审计记录不被破坏能对特定安全事

17、件进行报警；确保审计记录不被破坏 或非授权访问。或非授权访问。 AV，DBFW 安全客体复安全客体复 用用 对用户使用的客体资源，在这些客体资源重新分配前，对用户使用的客体资源，在这些客体资源重新分配前， 对其原使用者的信息进行清除，以确保信息不被泄露。对其原使用者的信息进行清除，以确保信息不被泄露。 DB EE 标记和强访标记和强访 问控制问控制 在对安全管理员进行身份鉴别和权限控制在对安全管理员进行身份鉴别和权限控制，由安全管由安全管 理员通过特定操作界面对主、客体进行安全标记；理员通过特定操作界面对主、客体进行安全标记；建建 立立安全标记和强制访问控制规则，客体的粒度为文件安全标记和强制

18、访问控制规则，客体的粒度为文件 或数据库表级。或数据库表级。 DBEE，DV 安全 加强型 安全备份安全备份保证备份数据在非授权环境下无法使用保证备份数据在非授权环境下无法使用Secure Backup 35 级 21 执行层面，行业数据库安全规范最为重要 - - 四十七条，完备和可落地的指导规范四十七条，完备和可落地的指导规范 22 配置配置 管理管理 数据数据 备份备份 日志日志 管理管理 安全安全 策略策略 安全安全 检查检查 授权授权 管理管理 日志日志 分析分析 变更变更 审计审计 日志日志 审计审计 日志日志 管理管理 账户账户 管理管理 运行运行 监控监控 “三大员”各有分工，互

19、补互制 23 “三大员”角色功能和实现方法 数据库管理员数据库管理员 依循传统的方式，实现 数据库管理 根据安全策略并通过 Advanced Security对敏感 数据进行加密 数据库安全员数据库安全员 通过讨论定义敏感数据通过讨论定义敏感数据 定义安全策略，如授权定义安全策略，如授权 、加密、告警、审计、加密、告警、审计 通过通过Database Vault创建创建 数据安全域保护敏感数数据安全域保护敏感数 据据 通过通过Database Vault控制控制 或授权账户管理或授权账户管理 数据库审计员数据库审计员 根据安全策略定义审计、告警根据安全策略定义审计、告警 策略策略 通过通过Au

20、dit Vault and Database Vault收集数据库网络操作和数收集数据库网络操作和数 据库审计日志据库审计日志 对告警进行排查对告警进行排查 定期检视数据库操作日志定期检视数据库操作日志 数据库管理 员 数据库 安全员 数据库 审计员 24 信息系统安全的本质和主体是数据安全 导致数据安全问题的主要因素 数据和数据库安全的法规标准简介 数据和数据库架构讨论 数据库安全防护机制综述和配置基线策略 行业数据安全保护实战场景介绍 快速了解数据安全 法规标准和体系架构 防护机制和行业实战 数据和 数据库安全 大 纲 数据和数据库安全保护策略 评估体系 建立数据库安全评估体系 安全层次

21、建立多层次多阶段 的立体防护 完善数据库运维管 理的制度体系 制度体系 建立数据库安全评估体系 示例 v 岗位职责分立岗位职责分立 有所考虑，但没有好的方法支 持 v 账户口令管理账户口令管理 存在多人共用账户的情况 v 数据库运维管理数据库运维管理 运维制度需要完善，访问缺少 审计和跟踪能力 v 数据加密和脱敏数据加密和脱敏 敏感数据可被外泄 v 数据备份与容灾数据备份与容灾 有备份工具和策略，但备份结 果较少验证 27 设置安全的密码 集中式用户管理 强认证 代理认证 安全的基本配置 加强对特权用户的 控制 控制谁、什么时间、 什么地点、如何 （3W1H）访问了数 据库、数据和应用系 统

22、行级别和列级别的 多角度安全控制 对数据进行分类管 理 数据加密 网络加密 对外发数据进 行数据屏蔽 加密导出的数 据 对备份数据进 行加密 启动数据审计 细粒度的审计 对审计数据进行集 中管理、生成报表 和监控 定时进行安全配置 扫描 用户管理 访问控制 数据保护 监控 防护策略的四个层次防护策略的四个层次 Data Encryption Communication Encryption Backup Encryption Data Masking Segregation of Duty Data Classification DBA Behavior Tracking User Behav

23、ior Tracking Role Change Audit Store Procedure Ch. Auditing Configuration Change Auditing Sensitive Data Blocking Unauthorized IP Blocking Unauthorized Tools Blocking Non-Official Hour Blocking Suspicious Activity Blocking SQL Injection Blocking 事后审计 事前防范 事中喝止 防护策略的三个阶段 v事前. 事中. 事后 1 23 全面的数据库安全控制保护

24、点 应用服务器应用服务器 Traffic Encryption PC 服务器服务器 ut he nt i( ut he nt i( ut he nt i( Data in Backups Encryption Data in Disks Encryption Data in Export Files Encryption Standby 数据库数据库 开发测试开发测试 数据库数据库 Segregation of Duty Activity Monitoring Auditing Regular Reporting Data Masking and Sub-setting Disaster Re

25、covery Protection 02550100 02550100 02550100 02550100 Configuration Assessment Data Redaction Data Classification Entitlement Assessment Row Level Access Control SQL Level Access Control Command Level Access Control Factor Level Access Control Patching Schema/Data Change Monitoring 30 大 纲 信息系统安全的本质和

26、主体是数据安全 导致数据安全问题的主要因素 数据和数据库安全的法规标准简介 数据和数据库安全架构讨论 数据库安全防护机制综述和配置基线策略 行业数据安全保护实战场景介绍 快速了解数据安全 法规标准和体系架构 防护机制和行业实战 数据和 数据库安全 数据安全控制点 - 网络层保护和访问 监控审计 Application Servers PC ut he nt i( ut he nt i( ut he nt i( Standby 数据库数据库 开发测试库开发测试库 Segregation of Duty Activity Monitoring Auditing Regular Reporting

27、02550100 02550100 02550100 02550100 SQL Level Access Control Factor Level Access Control Entitlement Assessment 数据库访问和审计控制方式 应用 用户 内核访问 控制审计 审计控制和分析平台审计控制和分析平台 访问事件 审计控制代理或审计控制代理或Sniff AUDIT DATA 报告 ! 报警 策略 审计人员 安全管理员 Monitors and logs database network traffic Detects and blocks unauthorized databas

28、e activity including SQL injection attacks Highly accurate SQL grammar analysis Whitelist approach to enforce activity Blacklists for managing high risk activity Scalable secure software appliance 数据安全控制点-数据加密和SQL重修订 Application Servers Traffic Encrption PC ut he nt i( ut he nt i( ut he nt i( Data i

29、n Backups Encryption Data in Disks Encryption Data in Export Files Encryption Standby 数据库数据库 开发测试库开发测试库 02550100 02550100 02550100 02550100 Data Redaction v 应用和应用程序不需要应用和应用程序不需要 任何修改任何修改 v 不影响加密主键的区间不影响加密主键的区间 查询和统计功能查询和统计功能 v 可以对网络传输进行加可以对网络传输进行加 密密 v 根据需要，灵活加密数根据需要，灵活加密数 据库单列，单表，表空据库单列，单表，表空 间，间，E

30、xportExport文件，文件， DatafileDatafile等容灾备份文等容灾备份文 件件 v 内置方便的主外键管理内置方便的主外键管理 v 对于性能的影响越小越对于性能的影响越小越 好好“Near ZeroNear Zero” v 与数据库的固有特性和与数据库的固有特性和 组件有机结合组件有机结合 透明的数据加密方法 Disk Backups Exports Off-Site Facilities Applications v 透明加密必须具备的基 本功能 数据安全控制点 - 配置和变动管理 v What has been done? Application Servers PC u

31、t he nt i( ut he nt i( ut he nt i( Standby 数据库数据库 开发测试库开发测试库 02550100 02550100 02550100 02550100 Configuration Assessment Patching Schema/Data Change Monitoring v 发现数据库相应内容发现数据库相应内容 ，并进行管理和分类，并进行管理和分类 v 根据根据(400+)(400+)最佳实践最佳实践 规则，扫描数据库系规则，扫描数据库系 统的安全配置统的安全配置 v 探测非授权的变动探测非授权的变动 v 自动纠正机制自动纠正机制 v 打补丁和

32、版本推送打补丁和版本推送 v 涉及到数据库生命周期 的配置管理 数据库配置的日常管理 v Administrative Control for Oracle Databases 去去发现发现 0255010 0 Number of servers 02550100 Number of CPUs 02550100 Memory 02550100 Local Storage (GB) 扫扫描描 # 移动表格到表空间 SQL ALTER TABLE EMPLOYEES MOVE TABLESPACE SECURE_TS; DAILY JOB CALLS DAY_EDN_SP() 其它手段和阻止的方法 v 更改存储过程 第三方服务商第三方服务商DAY_EDN_SP() 解决方法解决方法 监控储存过程的变动，及时提出告 警或报告 58 应用实例截屏：使用域保护金保数据 安全域的设置。首先 选择保护对象SYSI， 这是金保系统数据的 业务账号。然后选择 敏感数据类型的表。 本次安全方案需要保 护SYSI账户所有的表 数据，因此对象名称 栏位输入通配符%。 59 阻止非授权访问KC40 在未设置授