您现在的位置:首页>热点新闻

热点新闻

数据安全之数据库的守卫者

1. 数据库安全现状


数据库作为业务系统信息的载体,与各种应用程序或应用系统接口,使之能方便地使用并管理数据库中的数据,如数据查询、添加、删除、修改等,海量的数据信息因为数据库的产生而变得更加容易管理和使用。

政府、金融、运营商、公安、能源、税务、工商、社保、交通、卫生、教育、电子商务及企业等行业,纷纷建立起各自的数据库应用系统,以便随时对数据库中海量的数据进行管理和使用,国家和社会的发展带入信息时代。同时,随着互联网的发展,数据库作为网络的重要应用,在网站建设和网络营销中发挥着重要的作用,包括信息收集、信息查询及搜索、产品或业务管理、新闻发布、BBS论坛等等。然而,信息技术是一把双刃剑,为社会的进步和发展带来遍历的同时,也带来了许多的安全隐患。随着互联网技术的迅猛发展,许多用户的关键业务越来越多地基于WEB应用,在通过浏览器方式实现展现与交互的同时,用户的业务系统所受到的威胁也随之而来,并且随着业务系统的复杂化及互联网环境的变化,所受威胁也在飞速增长。数据库安全事件曾出不穷:

  • 在2010年,发生过一件轰动全球的大事——“维基解密”事件,号称“给我一台电脑,我就能晃动世界”的阿桑奇和他的“维基解密”几乎成为所有政府和企业的梦魇,各种“爆料”犹如一个个重磅炸弹,在美国以致于整个世界引起轩然大波,给政府形象和金融市场带来巨大的冲击。

  • 2010年6月,美国AT&T网站服务器出现严重安全漏洞,近11万名iPad用户信息被发布到互联网上,给苹果和AT&T带来了严重的声誉损害。

  • 2010年11月,暴雪娱乐的产品计划推进文件在网上疯传,其中包括详细的用户数、收入、广告投放、媒体计划和预算,给暴雪娱乐造成了巨大损失。

 

可见,数据库目前已经成为了商业和公共安全中最具有战略性的资产,通常保存着重要的商业资料和客户信息,随着互联网的急速发展,使得数据库信息的价值得到了巨大的提升。同时,也致使数据库面临的安全风险大大增加,数据库信息资产面临着严峻的挑战。

 

1.1 三大安全风险

数据库面临的安全风险,概括起来主要表现在以下三个层面:

其一,从管理方面来看,由于管理上的不完善,很多内部员工的日常操作还不够规范,难免出现一些误操作、以及恶意损坏数据的行为;而且,有一些单位对第三方维护人员的操作缺乏监控,使得数据库面临着机密泄露和数据篡改的风险。以医疗界为例,由于医院的信息系统里是存储着大量的隐私信息及机密信息,此类数据又有着相当大的商业价值,对于犯罪分子来说,具有极大的诱惑力,所以说,医院的数据库随时面临着信息泄露的风险。在2008年,深圳发生的孕妇信息库泄露事件中,不法分子将孕妇的资料制成了“泄密光盘”,光盘收录了4万多条信息,包括孕妇姓名、婴儿出生日期、户口性质等,更令人咂舌的是这些信息每月还滚动更新,累计达到了10万条。信息泄露的直接导致深圳70余家大小医院的产科,多数孕产妇时常受到广告推销电话或短信骚扰,在行业内造成了非常不好的影响。

其二,从数据库稳定性来看,数据库一旦出现死锁或出错,将直接导致整个数据库瘫痪,甚至会影响到整个单位业务的正常运转。

以金融行业为例,随着金融行业各种新业务的不断拓展,金融机构对信息系统的依赖越来越高,像银行、证券这样的单位,除了要防止泄密之外,对数据库能否安全稳定的运行也十分的关心,特别是在进行数据大集中后,对核心数据库的保护便成为了信息安全中的重中之重。数据库一旦出现问题,不仅可能造成业务中断,更严重的,甚至会导致资金的丢失,造成巨大的经济损失。

其三,从数据库安全方面来看,数据库服务器操作系统、数据库系统本身都难免存在漏洞,因此,还面临着遭受网络攻击的风险。

 

1.2 传统数据库安全方案缺陷

传统的审计方案,或多或少存在一些缺陷,主要表现在以下两个方面。

传统网络安全方案:依靠传统的网络防火墙及入侵保护系统(IPS),在网络中检查并实施数据库访问控制策略。但是网络防火墙只能实现对IP地址、端口及协议的访问控制,无法识别特定用户的具体数据库活动(比如:某个用户使用数据库客户端删除某张数据库表);而 IPS虽然可以依赖特征库有限阻止数据库软件已知漏洞的攻击,但他同样无法判别具体的数据库用户活动,更谈不上细粒度的审计。因此,无论是防火墙,还是 IPS都不能解决数据库特权滥用等问题。

基于日志收集方案:需要数据库软件本身开启审计功能,通过采集数据库系统日志信息的方法形成审计报告,这样的审计方案受限于数据库的审计日志功能和访问控制功能,在审计深度、审计响应的实时性方面都难以获得很好的审计效果。同时,开启数据库审计功能,一方面会增加数据库服务器的资源消耗,严重影响数据库性能;另一方面审计信息的真实性、完整性也无法保证。

其他诸如应用程序修改、数据源触发器、统一认证系统授权等等方式,均只能记录有限的信息,更加无法提供细料度的数据库操作审计。

 

2. DBA的价值体现


数据库审计,通过审计功能将凡是与数据库安全性相关的操作记录下来,只要检测审计记录,系统安全员便可掌握数据库被使用状况。

例如,检查库中实体的存取模式,监测指定用户的行为。审计系统可以跟踪用户的全部操作,这也使审计系统具有一种威慑力,提醒用户安全使用数据库。

那么,首先让我们来了解一下部署数据库安全审计产品能给用户带来的益处:

 

2.1 满足合规性要求,顺利通过IT审计

目前,越来越多的单位面临一种或者几种合规性要求。比如,在美上市的中国移动集团公司及其下属分子公司就面临SOX法案的合规性要求;而商业银行则面临Basel协议的合规性要求;政府的行政事业单位或者国有企业则有遵循等级保护、分级保护的合规性要求。

数据库审计系统为用户核心系统提供了独立的审计解决方案,有助于完善组织的IT内控体系,从而满足各种合规性要求,并且使组织能够顺利通过IT审计。

 

2.2 有效减少核心信息资产的破坏和泄漏

对单位的业务系统来说,真正重要的核心信息资产往往存放在少数几个关键系统上(如数据库服务器、应用服务器等),通过使用数据库安全审计产品,能够加强对这些关键系统的审计,一旦出现违反安全的事件,及时告警,通知相关负责人,从而有效地减少对核心信息资产的破坏和数据泄漏。

 

2.3 追踪溯源,便于事后追查原因与界定责任

一个单位里负责运维的部门通常拥有数据库管理系统的最高权限(掌握DBA帐号的口令),因而也承担着很高的风险(误操作或者是个别人员的恶意破坏)。DBA数据库审计系统能够帮助企业进行事后追查原因与界定责任。

 

2.4 直观掌握业务系统运行状况,保障稳定运行

业务系统的正常运行需要一个安全、稳定的网络环境。对管理部门来说,网络环境的安全状况事关重大。审计系统提供业务流量监控与审计事件统计分析功能,能够直观地反映网络环境的安全状况,为数据库定期体检,对漏洞进行提前预警,提出优化建议,保障数据库性能的稳定。

 

3. 数据库审计系统产品介绍


ClearNet DBA数据库审计系统,是一款专业的、致力于全面保障数据安全的管理系统,它可以有效监控数据库访问行为,准确掌握数据库系统的安全状态,及时发现违反数据库安全策略的事件,并实时告警、记录,从而实现安全事件的定位分析,事后追查取证,以此保障数据库安全。

数据库审计系统以网络审计方式为主,同时兼顾数据库本地审计,对数据库的查询、新增、删除、修改、授权等各种操作行为进行解析和智能关联,并提供多种灵活方便的查询方法、统计报表,供数据库管理者查询、分析和决策。

系统还具有高效的数据库入侵防御功能,对恶意攻击或者误操作等敏感行为进行实时报警。系统采用了优良的体系结构,支持超大容量的数据库审计条目,支持对ORACLE、MS SQLServer、Sybase等各种主流数据库进行审计,适用于各种大中型组织数据库审计的安全需求。

 

3.1 行为审计

DBA具有全面的数据库行为审计功能,能够提供数据库全方面的审计信息,并按会话、操作、告警分别展示,方便事后的查询。

 

 

  • 审计数据库的类型:系统支持 SQL SEVER、Oracle、DB2、Sybase、MySQL、Informix等主流数据库的审计信息。

  • 数据库会话审计:提供用户访问数据库的会话信息,包括数据库名称、数据库IP、用户组名、用户IP、登录时间、推出时间、SQL条数、登陆是否成功。

  • 数据库操作审计:提供用户对数据库操作的详细信息,包括数据库名称、数据库IP、用户组名、用户IP、操作指令、执行时间、成功与否、异常情况

  • 系统支持的数据库操作的类型:

    • DQL数据查询语言:支持数据查询操作、数据表结构查询操作的审计;

    • DML数据操作语言:支持数据插入操作、更新操作、删除操作的审计;

    • DDL数据定义语言:支持新建数据表、数据库、视图、索引等操作,删除数据、数据表、数据库、视图、索引等操作,以及数据表结构更新操作的审计;

    • DCL数据控制语言:支持用户权限改变、事务操作,用户建立与删除操作的审计;

  • FTP传输信息:提供用户通过FTP传输方式对进行操作的详细信息,全程记录用户在服务器上的各种操作(包括命令行操作、交互菜单操作、业务系统操作),并且可查看传输的会话信息等。

  • TELNET登录信息:提供用户通过Telnet方式对进行操作的详细信息,包括用户组、用户名、用户IP、MAC地址、服务器IP、开始时间、结束时间等。

  • 业务的关联审计:系统支持SQL语句和内容的还原,以及业务系统的关联审计,即使没有数据库基础,也能了解数据库业务操作。

 

3.2 审计策略设置

在对数据库访问行为做审计的基础之上,系统能够很灵活地定义数据库安全策略,通过协议的分析和策略的匹配,对违反安全的事件及时告警,并取得确凿的证据,提供详细的记录内容,以供溯源定位。

系统能够根据访问数据库的源程序名、登陆数据库的账号、数据库命令、数据库名、数据库表名、数据库字段名、数据库字段值、数据库返回码等作为条件,对用户关心的违规行为进行响应,特别是针对重要表、重要字段的各种操作,能够通过简单的规则定义,实现精确审计,降低过多审计数据给管理员带来的信息爆炸。

 

3.3 数据库告警信息

系统可提供邮件和网页告警两种方式,从而满足不同的审计需求。

  • 服务器状态告警:提供服务器状态告警信息,包括设备名称、设备IP、告警时间、告警类别、告警内容等;

  • 数据库会话告警:提供服务器会话告警信息,包括数据库组、数据库名称、数据库类型、数据库IP、用户组、用户名、用户IP、告警时间、告警级别等;

  • 数据库操作告警:提供服务器操作告警信息,包括数据库组、数据库名称、数据库类型、数据库IP、用户组、用户名、用户IP、告警时间、告警级别等;

     

 

3.4 专家系统

专家系统,作为ClearNet DBA所独有的功能,完成定期对数据库进行安全检查,自动对数据库进行故障诊断、数据安全分析、以及漏洞扫描,并给出详细的安全检查报告和漏洞修复建议的功能。用户可根据此报告修复数据库漏洞,提高安全性。DBA为数据库提供了三个方面的专家:分别是故障诊断专家、数据安全专家和系统优化专家。

 

故障诊断专家,针对数据库进行健康体检,故障点场景还原以及数据库中失败业务操作的分析;

  • 数据库健康体检:提供数据库基本信息、故障情况、流量统计情况、IP错误统计情况、连接数统计信息、网络延时数统计量、磁盘空间使用率信息、磁盘分区信息、磁盘分区增长趋势信息、CPU使用信息、内存使用率信息、数据库进程CPU使用率信息、进程内存使用率信息;

  • 故障点场景还原:故障点场景的还原,允许管理员对发生故障时的历史数据、数据库状态以及发生的操作进行追溯,真实展现当时的操作过程,包括故障点的发生时间、恢复时间、数据库名称、故障原因、数据库目前的状态、故障时产生的会话、以及进行的操作,以便分析和追溯系统安全问题。

  • 失败SQL分析:提供失败SQL语句发生的时间、访问的数据库名称、访问数据库的用户、用户的IP、失败语句;

 

数据安全专家,为管理员提供数据库遭受到的攻击行为的分析,以及越权操作的分析。分别从攻击行为、越权操作以及安全状态三方面进行分析,通过DBA发现数据库中一些潜在的安全威胁,比如SQL注入、暴力登录、越权访问、可疑端口和可疑进程的扫描等等,及时发现并产生数据库安全威胁的行为,保证数据库更加安全运行。

  • 可疑端口列表:提供系统所发现的可疑端口的信息,包括数据库名称、数据库IP、操作系统、端口号、以及首次发现时间、最后发现时间;

  • 可疑进程识别:支持设定可以进程的信息,包括数据库名称、数据库IP、操作系统、可以进程名称、首次发现时间、最后发现时间、CPU、内存占用率;

  • 权限修改查询:支持有关权限修改的操作的信息,包括时间、数据库名称、用户名、用户IP、权限修改语句;

  • 危险操作查询:支持危险操作的操作信息,包括数据库名称、操作数据的用户名、数据库IP地址、用户登录名、执行SQL语句的时间、执行结果成功与否、具体的SQL语句;

  • 越权访问扫描:支持越权访问操作的详细信息,包括访问数据库的用户名、被访问的数据库、登录名、操作时间、越权SQL语句、执行状态;

  • SQL注入分析:支持数据库注入信息;

  • 暴力登录: