医院数据库审计运维

1、医院数据库审计运维在医院数据库系统运行期间，需要对现有的数据库进行审计，确保对现有 数据库系统的敏感操作都有记录。为了保证审计系统的正常高效运行，数据库 审计系统的日常运维工作是必不可少的。目录 TOC o 1-5 h z HYPERLINK l bookmark2 o Current Document .六大常见数据库平安漏洞1概述1 HYPERLINK l bookmark6 o Current Document 数据库平安重要性上升2常见数据库漏洞21.部署问题2 HYPERLINK l bookmark11 o Current Document 离线服务器数据泄露2 HYPERLINK

2、 l bookmark13 o Current Document 3.错误配置的数据库2 HYPERLINK l bookmark15 o Current Document 4. SQL 注入3 HYPERLINK l bookmark17 o Current Document 5.权限问题3 HYPERLINK l bookmark19 o Current Document 13.6.存档数据3 HYPERLINK l bookmark21 o Current Document 常见后果3 HYPERLINK l bookmark23 o Current Document .数据库审计系统分

3、类4 HYPERLINK l bookmark25 o Current Document 1.数据库内置的审计功能4 HYPERLINK l bookmark27 o Current Document 2.外置旁路模式的数据库审计系统4 HYPERLINK l bookmark29 o Current Document .内置式数据库审计运维5 HYPERLINK l bookmark31 o Current Document .旁路式数据库审计运维5 HYPERLINK l bookmark33 o Current Document 1.监控系统运行状态6 HYPERLINK l bookm

4、ark35 o Current Document 2.设定审计告警策略6 HYPERLINK l bookmark37 o Current Document 4. 3.调整黑白名单6 HYPERLINK l bookmark39 o Current Document 4. 4.分析审计结果71.六大常见数据库平安漏洞L 1.概述总有大批创意百出的黑客不断捣鼓出超狡猾的新方法染指各类数据。然 后，更多不那么聪明的黑客不断重复老旧套路一一因为同样老旧的漏洞一直在 全球各个企业里涌现。第1页共7页无论如何，数据泄露总是破坏性的；但更糟的是，要怎么向受影响的用户、投资人和证监会交代呢？ 一家公司上千万

5、用户的个人数据，总不会自己长 脚跑到黑市上躺着被卖吧？于是，在各种监管机构找上门来问一些很难堪的问 题之前，我们还是来看看这几个最常见的数据库平安漏洞吧。1. 2.数据库平安重要性上升只要存储了任何人士的任意个人数据，无论是用户还是公司员工，数据库 平安都是重中之重。然而，随着黑市对数据需求的上升，成功数据泄露利润的 上涨，数据库平安解决方案也就变得比以往更为重要了。尤其是考虑到2016 年堪称创纪录的数据泄露年的情况下。身份盗窃资源中心的数据显示，美国2016年的数据泄露事件比上一年增 长了 40%,高达1,093起。商业领域是重灾区，紧随其后的是医疗保健行业。 政府和教育机构也是常见目标。

6、1. 3.常见数据库漏洞1. 3. 1.部署问题这就是数据库平安版的博尔特一蹬出起跑器就被鞋带绊倒。数据库经过广 泛测试以确保能胜任应该做的所有工作，但有几家公司肯花时间保证数据库不 干点儿什么不应该干的事儿呢？解决方法：这个问题的解决方法十清楚显：部署前做更多的测试，找出可 被攻击者利用的非预期操作。1. 3. 2.离线服务器数据泄露公司数据库可能会托管在不接入互联网的服务器上，但这并不意味着对基 于互联网的威胁完全免疫。无论有没有互联网连接，数据库都有可供黑客切入 的网络接口。解决方法：首先，将数据库服务器当成联网服务器一样看待，做好相应的 平安防护。其次，用SSL或TSL加密通信平台加密

7、其上数据。3. 3.错误配置的数据库有太多太多的数据库都是被老旧未补的漏洞或默认账户配置参数出卖的。 个中原因可能是管理员手头工作太多忙不过来，或者因为业务关键系统实在承第2页共7页 受不住停机检查数据库的损失。无论原因为何，结果就是这么令人唏嘘。解决方法：在整个公司中树立起数据库平安是首要任务的气氛，让数据库 管理员有底气去花时间恰当配置和修复数据库。4. SQL 注入SQL注入不仅仅是最常见的数据库漏洞，还是开放网页应用平安计划 (OWASP)应用平安威胁列表上的头号威胁。该漏洞可使攻击者将SQL查询注入 到数据库中，达成读取敏感数据、修改数据、执行管理操作乃至向操作系统发 出指令等目的。

8、解决方法：开发过程中，对输入变量进行SQL注入测试。开发完成后，用 防火墙保护好面向Web的数据库。3. 5.权限问题涉及访问权限，数据库面临两大主要问题：员工被赋予超出工作所需的过多权限；合法权限被未授权或恶意使用。解决方法：权限分发时遵循最小权限原那么，仅给员工赋予完成工作所需最 小权限。数据库访问也要受到严格监视，确保员工权限仅用于经授权的操作。 员工离职时需立即撤销分发给他/她的权限。3. 6.存档数据与上一条相关，无论出于报复还是利益，员工通过盗取数据库备份获得大 量个人资料的事屡见不鲜。解决方法：加密存档数据，严密监视存档数据访问和使用情况，可以大幅 减少内部人威胁。4.常见后果这

9、个无比繁忙的数据泄露年的全部影响尚未真正显现。最初的伤害作用在 受影响企业身上，包括公关灾难、负面报道和用户及员工信誉损失。监管处分 和集体诉讼的赔款会在更晚些时候兑现。最终，企业会损失千百万美元的罚金 和赔款，还有更巨量的收益损失，所有这一切都源于最常见的数据库平安漏 洞。是时候把常见转变为少见了，而第一步，就是意识。第3页共7页数据库审计系统分类因为所有的数据操作都是在数据库中进行的，所以要想审计业务操作的具 体情况，必须做数据库层面的操作审计。常用的数据库审计系统有两类：数据库内置的审计功能这种审计系统利用数据库本身内置的审计功能，能够审计绝大多数数据库 操作。但是审计的细粒度很低，而且

10、也很难还原SQL操作本身。比方：对于一 个数据册U除操作：DELETE FROM EMP WHERE DEPTNO=10；假设表EMP满足 条件DEPTNO=10的记录数有100条，那么在数据库审计系统中会有100条 DELETE操作，而不是真正的SQL语句：DELETE FROM EMP WHERE DEPTNO=10o并且大多数现有的数据库无法准确审计DDL语句，如：ALTER TABLE XXXADDfcol.）,个别数据库产品可以审计DDL语句，但是那都是靠创 建数据库级别的触发器实现的。总之，这类基于数据库产品本身的审计功能的审计系统的审计颗粒度和准 确性都有限。而且由于数据库产品本

11、身的审计功能是基于数据库引擎之上的， 所以会消耗生产数据库系统本身的资源。如果全部翻开所有会话的所有数据库 操作审计，其生产数据库系统的CPU资源会有15%30%的额外消耗。所以， 如果是使用这类数据库审计系统，通常只是有目的地针对个别数据或操作进行 审计，不会审计整个业务数据库中所有的操作。2.外置旁路模式的数据库审计系统外置旁听模式的数据库审计系统是一个独立于生产数据库的系统，其工作 原理是通过网络旁听模式监听并收集所有客户端发送到生产数据库中的网络 包，然后在审计系统内部将这些网络包进行解包还原里面的操作命令（即SQL 语句）。将SQL语句捕获下来后，存入到数据库审计系统中，然后再根据用

12、户 设置条件进行告警或生成报告。相对于基于数据库产品自带的审计功能，外置 旁听模式的数据库审计系统有以下几点优势：不占用生产系统的任何系统资 源，由于是基于网络旁听的模式，所有的审计操作均是在审计系统上进行的， 所以不会占用生产数据库系统的系统资源；能够准确还原SQL语句，因为所有 的从客户端发往数据库服务器的SQL语句都是通过TCP/IP网络发出的，如果第4页共7页 把这些TCP/IP网络包捕获下来，按照相应的数据库产品网络包格式进行解 析，原那么上可以得到所有的SQL语句代码。所以，网络旁听模式的数据库审计 产品不仅能够审计DML操作，还能够很好地审计数据查询操作以及DDL操 作；有良好的

13、用户界面，能够根据用户需求定制告警条件，并且可以通过黑白 名单方式减少日常告警数量。目前，在医院信息系统中，多数使用的是这类网络旁听模式的数据库审计 产品。不过，需要注意的是，如果用户直接登录上数据库系统所在的操作系 统，或者直接在数据库系统主机的控制台上进行数据库操作的话，是不会产生 数据库网络包的，此类网络旁听模式的数据库审计系统是无法审计这些数据库 操作的。因此，如果要很好地针对生产数据库做全面的审计，不仅要部署网络 旁听模式的审计系统，还要结合堡垒机系统、桌面管理系统等。.内置式数据库审计运维虽然内置式的数据库审计系统存在诸多缺乏，但是对于一些特定场景，比 如：仅仅监控数据库超级管理员

14、的操作，或只想审计某个数据库对象（表、序 列号等）的使用情况时，还是可以开启数据库产品内置的审计功能的。对于内 置式数据库审计系统，要做好审计策略、审计对象、审计操作、审计范围的取 舍，确保在不影响系统性能的前提下实现审计目标。在日常运维时需要定期查 询审计结果，及时发现敏感操作。对于内置式数据库审计系统，由于审计结果是存放在数据库主机中的，故 需要定时清理审计结果所占用的存储空间。这个过程容易被数据库管理员忽 视，无论是把审计记录存放在数据库中，还是存放在文件系统中，审计记录占 用的空间往往会比数据库管理员预想的要大。如果把审计记录放在文件系统 中，当审计的范围大、颗粒度小，会产生大量的审计

15、记录小文件。这些数以万 计的小文件会极大地影响文件系统的性能。如果对这些空间不加以清理，不仅 会因为空间爆满而不再记录新的审计记录，而且可能会影响生产系统的文件系 统性能。所以必须定期清理存放审计记录的空间。.旁路式数据库审计运维第5页共7页监控系统运行状态旁路数据库审计系统是独立于生产数据库之外的系统，如果该审计系统出 现故障，不会影响生产数据库的正常运行，但是不会再记录客户端发往生产数 据库的SQL指令了。如果在此期间发生了数据库平安事件，将无法查询相应时 间段的审计记录。因此，要确保旁路审计系统处于正常工作状态。按以下过程 确认审计系统是正常的：首先，登录审计系统，检查系统的运行情况。然

16、后从自己的客户端发出一 条SQL指令给生产数据库。最后检查审计系统是否检查并记录下刚刚发出的测 试SQL指令。如果最终能够在审计系统上看到刚刚发出的测试用的SQL指令， 说明审计系统是运行正常的。4. 2.设定审计告警策略网络旁听模式的审计系统会记录所有的客户端发往生产数据库系统的SQL 代码，并且不会对生产数据库产生任何影响，所以不必设定审计范围。但是需 要设定审计告警策略，即：针对哪些数据库对象的哪些操作，审计系统会主动 发出告警信息、。主动发送告警信息是网络旁听模式数据库审计系统的一个重要 功能，这个功能使得数据库管理员能够在平安事件发生后较短时间内被通知。 数据库管理员需要在审计系统中

17、设置需要对什么数据库对象/表的何种操作（查 询、修改、删除）进行主动告警。另外，还需要设置主动告警的方式。一般地，审计系统提供邮件和短信告 警。如果要设置邮件告警，需要在邮件系统中专门开通一个用以发送告警邮件 的信箱，然后设定SMTP的各种设置：SMTP服务器、端口以及接收方的邮件 地址等。短信告警设置比拟简单，只需要把接收方的手机号码设好即可。4. 3.调整黑白名单仅仅是设置审计告警策略还是不够的，因为在实际运维过程中，满足告警 条件的审计记录是非常多的。对于一个普通的三甲医院，每天对于关键表的查 询操作可能有几千条之多。这些告警信息中绝大多数都是业务程序产生的。因 此，审计系统都会提供黑白名单机制以进一步缩小告警范围。数据库管理员需 要人工鉴别哪些告警信息是属于正常业务程序产生的，然后将其加入到白名单 中。由于正常业务程序产生的数据库操作指令虽多，但是基本上都会是重复的第6页共7页SQL指令。经验说明，经过一个业务周期后，就基本上可以把正常业务程序产 生的告警信息加入到白名单了。经过这样的白名单设置后，再次出现的告警信 息不仅很少了，而且都是值得关注的审计信息。如果数据库平安管理做得完善 的话，每天的告警信息应该可以被控