数据库安全风险分析和解决方案

数据库安全风险分析和解决方案数据库安全风险分析经过十多年的发展，目前各行各业的信息系统都已经得到了长足发展，一套高效、安全、可靠的信息系统已经是衡量一个政府或者企业的管理效率的关键指标，政府和企业也都更加依赖于信息系统，所以信息系统能否稳定、安全的运行也是大家越来越关注的话题。我们稍作统计和回顾，不难发现最近几年信息安全话题讨论越来越激烈，信息安全事件也越来越多。近期美国“棱镜”事件和英国“颞颥”事件被曝光震惊全世界、2012年震惊中国的互联网用户信息大泄露和三大运营商个人隐私信息批量泄露等。这些信息安全事件攻击手段多样，但我们不难发现有一个共同的特征，他们的攻击和窃取目标就是用户的隐私数据，而大部分数据的承载主体就是——数据库系统。所以我们今天对数据库安全进行一些简要的分析。如果说各类业务系统是基础部件，畅通的网络是血液，那心脏理应就是数据库系统。其存储了所有的业务数据，牵涉到所有用户的切身利益。所以其要求各类数据必须是完整的，可用的，而且是保密的。如果发生数据丢失或者数据不可用，犹如心脏出现问题，其他所有的基础部件也将无法正常工作，直接导致整个业务系统的终止，少则让企事业单位受到经济和名誉的损失，大则直接威胁企业的生存和发展，甚至威胁国家和社会的稳定和安全。当然承载数据库的服务器以及网络设备、安全设备、存储系统、应用软件等相关配套设置的安全性也是非常重要的，一旦由于内部操作失误、故意泄露或者外部入侵等都可能给业务数据带来致命的安全威胁。对于数据库，我认为其安全威胁主要来自于几方面，一个是数据库自身安全，一个是数据库运行环境和数据库运行维护过程的安全。首先我们来分析一下数据库自身安全，我们认为中国面临一个最大的安全威胁就在于绝大部分数据库都是采用oracle、sqlserver、mysql等国外数据库系统。我们无法了解这些国外数据库系统是否留下了后门，是否嵌入了不安全的代码等，最近美国棱镜门就更加印证了我们的结论，因为美国多个通信设备厂家都参与了棱镜计划。当然，这个可能大家觉得会比较隐蔽和遥远，那数据库自身漏洞就可能比较容易理解，我们不难发现近期数据库的漏洞也不断被暴光。而我们因为系统的持续运行需要，或者由于管理水平等原因，我可能都无法对数据库系统的漏洞进行加固和修复，所以我们所面临的数据库安全风险有多大，大家可想而知。在数据库运行维护过程中，其所面临的安全威胁一点也不少。下图我们描绘了一个典型的信息系统结构图，我们分别来从几个方面分析一下其威胁。外部入侵威胁层面，因为我们信息系统需要对公众开放访问，所以我们不得不面临外部黑客入侵的分析。黑客可能从系统层面入侵我们对外的服务器和主机，也可以从web应用层面先攻击web服务器，然后以web服务器为跳板，攻击内部数据库，从而窃取敏感数据。其也可通过预埋恶意代码或者SQL注入方式窃取数据。而内部管理方面，我们又不得不面临员工越权操作、恶意操作、误操作等不同安全威胁。内部员工总是有意或者无意做一些超越自己权限范围的事情，比如越权查看一些敏感的信息，定期导出备份一些有价值的数据等。离职员工可能为了报复，预埋一些脚本、存储过程在数据库中，定期的导出一些敏感数据。当然也还有很多外包和系统开发商，因为他们既具备高超的技术，又非常熟悉业务系统，所以其威胁也非常大，近期出现的大量安全事件可以说明这一点。总结下来，我们认为以下十个方面是数据库安全所面临的最大威胁：TOP1.授权不合理，导致越权操作严重TOP2.帐号复用与滥用，安全事件无法定位TOP3.脆弱的web应用,导入侵事情频发TOP4.数据库漏洞和配置不合理TOP5.身份验证措施薄弱TOP6.备份管理不足，备份数据泄露严重TOP7.缺乏审计措施，安全事件无法追踪TOP8.访问控制措施不力TOP9.普遍采用国外数据库系统TOP10.缺失有效加密措施安恒信息解决方案通过对大量安全事件的分析和总结，安恒信息认为要比较好的解决数据库安全风险，就必须采用“事前扫描、事中防御、事后审计”三者结合的方案。“事前扫描”指通过明鉴数据库审计与风险控制的漏洞扫描模块实现对数据库的安全漏洞、不合理配置、弱口令等方面的检查，通过直观丰富的报表展示出相关的安全漏洞以及加固建议。帮助客户不断提升数据库安全水平，防止数据库被入侵、密码被破解而导致的数据泄露行为发生。“事中防御”主要通过明御运维审计与风险控制系统实现，其通过对运维人员的集中账号和访问通道管控，实现单点登录、统一授权和访问控制，包括对SSH、RDP等加密协议的审计和控制等功能，在服务器及后台数据库的核心设备层面的数据保护、智能拦截和行为审计，实现了真正意义上的智能管控和深度审计的目的。“事后审计”主要通过明御web审计、数据库审计和运维审计一起去实现，通过细粒度的访问行为审计、精细化规则以及简单易懂的告警和报表实现对违规行为的监控，一方面提供追踪非法行为的直接依据和证据，更加重要的是通过安全审计反过来推动防御策略、管理措施的提升，实现信息安全闭环管理。解决方案防护效果说明上文我们总结了数据库安全所面临的十大威胁，本文我们详细说明一下采用安恒信息解决方案后如何有效解决这十大安全威胁。TOP1.授权不合理，导致越权操作严重解决思路：运维审计可实现权限统一管理，其首先保障每个数据库的管理人员都通过实名制进行维护，并只有通过运维审计的高强度认证才可以看到自己所拥有权限的数据库列表，并屏蔽了数据库的账号、密码，任何人员都无法绕过运维审计直接访问数据库。总体来说运维审计可以保障数据库的运维源IP、账号的合法性，而且可以保障合法来源仅能访问自己权限范围内的数据库、账号。那数据库审计系统则可以从表、命令一级进行审计分析，分析每个管理员的操作行为权限，并建立起每个账号的权限模型，一旦有人超越自己的合法权限，数据库审计都能够及时发现并告警。TOP2.帐号复用与滥用，安全事件无法定位解决思路：运维审计实现了数据库账号密码的代填，所以一般情况下任何一个数据库管理员都不清楚具体的数据库账号密码，他们仅知道自己的个人运维主账号，这可以大大避免账号复用和滥用的问题。即使有人绕开了运维审计的控制，后方的数据库审计系统也能够发现账号的复用和滥用行为，因为数据库审计持续独立的监控所有数据库访问行为，如果有账号出现多个源IP地址、多个PC主机用户名等，数据库审计就能判断其是账号复用或者滥用，并及时告警。TOP3.脆弱的web应用,导入侵事情频发解决思路：数据库审计系统内置web审计模块，而且关键的是内置了大量的web入侵防御审计规则，一旦有人试图通过入侵web业务系统，即可以被web审计模块所发现和告警。而且数据库审计系统也可以对入侵web后的进一步动作进行审计发现，并提醒管理员采取必要措施。当然为了方案的完整性，也可以采用安恒信息的web应用防火墙和网站卫士系统进行深度防御，及时阻止入侵。TOP4.数据库漏洞和配置不合理解决思路：数据库审计的漏洞扫描模块具备oracle、sqlserver、mysql、DB2等常见数据库的漏洞库，支持授权和非授权两种模式的扫描，可深度发现数据库系统存在的自身漏洞，并提供有效的解决方案和加固建议。而且还支持定期任务的扫描模式，可对不同时期的漏洞情况进行比对分析，持续跟进漏洞和配置不合理改进情况。更为关键的是数据库审计一旦发现数据库存在安全漏洞，其就可以启用相应的审计防护规则，一旦有人对该漏洞进行试探，数据库审计即可及时发现，并告警。TOP5.身份验证措施薄弱解决思路：运维审计实现了统一认证管理，其支持CA证书、动态口令、USBkey等双因子认证手段，可以保证运维过程的身份认证合法性。而且运维审计还支持对系统账号密码自动定期修改，以保证密码的复杂性和安全。TOP6.备份管理不足，备份数据泄露严重解决思路：数据库审计系统可以持续监控数据库的备份行为，可以通过规则设定判断合法和非法的备份行为。如果非常备份与合法备份在时间上、IP地址来源上、账号来源上甚至备份命令上有差异的话，数据库审计都可以进行有效发现和告警。对于合法备份的文件，运维审计能够进行一定的控制，记录每次文件传输的途径、时间、操作人员信息等，防止备份文件非法使用。TOP7.缺乏审计措施，安全事件无法追踪解决思路：运维审计和数据库审计都是有效的、独立的第三方审计系统，能够有效的解决审计措施确实的问题，也能够解决oracle数据库等自身审计的不可信问题。是一个可信、可追溯的完整审计方案。TOP8.访问控制措施不力解决思路：运维审计自身能够从用户、IP地址、来源、时间范围甚至操作命令等层面进行控制，以解决访问措施不足的问题。数据库审计也可以通过建立数据库的访问行为模型，来分析每个数据库的访问账号、源IP地址、工具名、操作对象、操作类型、主机名等。可以通过模型的变更来判断数据库访问行为的变化情况，并可以通过告警和报表的方式持续监控访问措施的执行情况，不断推动访问控制更新和完善，保障访问控制的有效性。TOP9.普遍采用国外数据库系统解决思路：采用国外数据库系统可能我们短期内无法改变，所以我们只能通过持续监控，而且是第三方独立的审计来进行解决。TOP10.缺失有效加密措施解决思路：建议在数据库层面采用加密方式存储，在运维过程采用加密方式进行管理，比如SSH、RDP等。还可以通过运维审计对SSH、RDP等运维过程进行集中控制和审计，以弥补机密措施不足的缺点。解决方案价值说明审计规则和三层关联结合，发现数据库管理员账号密码泄露某公司的财务系统在部署明御数据库审计与风险控制系统以后，设置了四个核心管理员账号的审计规则。只要这四个管理员账号在非法主机登录就设置为关注行为，对于delete、insert等高危操作设置为高级告警。不久就发现有很多违规行为，大部分是通过系统开发商、第三方维护人员进行操作。以上说明数据库高级管理员账号密码已经泄露，后面结合三层审计功能、细粒度的审计记录功能，找到了相应人员的IP地址、MAC地址、主机名等资料，并实时制止了此类行为。双向审计，发现客户资料批量泄密行为某证券公司的CRM系统在部署了数据库审计后，设置了对客户资料表（User_info）的select返回结果超过100条的行为进行告警，不久就发现每天有很多这样的告警行为。这说明有很多内部人员掌握了公司很多客户资料，存在很大的泄密隐患。为了制止这样的行为，公司发布了紧急通知，明令禁止批量查询客户行为，也告知员工已经有技术手段可以监控此类行为，一旦发现将严格处理。通过技术和管理两种结合的方式，此类行为得到有效控制。安全评估和统计关联分析，发现门户网站数据库服务器被入侵通过安恒明御数据库审计与风险控制系统的漏洞扫描模块对数据库进行漏洞扫描，发现部分数据库存在很多安全漏洞。结合审计记录分析发现在0:00---3:00左右有异常的查询行为，在这段时间存在大量的登录失败、且后面登陆成功了，并发现数据库系统表修改更新的告警行为。另外还发现有大量的SQL注入攻击告警。通过关联分析、统计